Im Bereich “Behörden” finden Sie Beiträge zu Weisungen, Veröffentlichungen und Empfehlungen von Behörden, z.B. des EDÖB, des EDSA etc.
Der US-Congressional Research Service hat einen Bericht mit Datum vom 17. März 2021 zu “EU Data Transfer Requirements and U.S. Intelligence Laws: Understanding Schrems II and Its Impact on the EU‑U.S. Privacy Shield” veröffentlicht (PDF). Der Bericht enthält in einem ersten Teil eine Übersicht über die Regelung von Auslandsbekanntgaben in der DSGVO, … weiterlesen
Das Bayrische Landesdatenschutzamt (BayLDA) hat am 15. März 2021 festgehalten, dass der Einsatz von Mailchimp im beurteilten Fall unzulässig war (LDA-1085.1 – 12159/20-IDV). Massgebend war, dass Mailchimp zwar die EU-Standardvertragsklauseln schliesst, aber als “Electronic Communications Service Provider” i.S.v. § 1881 (b) (4) des US-amerikanischen Foreign Intelligence Surveillance Act einzustufen sei – zumindest sah das … weiterlesen
Die norwegische Datenschutzbehörde hat ein Unternehmen mit EUR 40’000 gebüsst, weil es unrechtmässig eine automatische Weiterleitung der E‑Mails eines Mitarbeiters eingerichtet hatte (vgl. Medienmitteilung). Der Mitarbeiter hatte sich darüber bei der Aufsichtsbehörde beschwert. Die Weiterleitung wurde im Zusammenhang mit einer krankheitsbedingten Abwesenheit des Mitarbeiters eingerichtet und war mehr als einen Monat aktiv. … weiterlesen
In Italien hat der Garante, die italienische Aufsichtsbehörde. mit Entscheid von 27. Januar 2021 eine Busse von EUR 50’000 gegen ein Krankenhaus verhängt, dem ein Verstoss gegen die datenschutzrechtlichen Vorgaben bei Gesundheitsdaten zur Last gelegt wurde (Entscheid auf italienisch). Es ging um Daten einer Patientin, die eigens in einem besonderen Formular angeordnet … weiterlesen
Das Landesamt für Datenschutz Niedersachsens hat ein Prüfschema veröffentlicht, das durch die Entscheidung führt, ob eine Datenschutz-Folgenabschätzung erforderlich ist (Schwellenwertanalyse). Das Prüfschema ist nicht nur eine Entscheidungshilfe, sondern kann auch dabei helfen, diese Entscheidung zu dokumentieren.
Vor einigen Tagen wurde bekannt, dass Microsoft Exchange E‑Mail-Server von Schwachstellen betroffen sind (vgl. z.B. die Mitteilungen des deutschen BSI). In ihrer Kombination konnten diese Schwachstellen für Angriffe verwendet werden, was offenbar breit erfolgt ist (Krebs on Security): At least 30,000 organizations across the United States — including a significant number of small businesses, towns, … weiterlesen
Die DSGVO sieht bekanntlich vor, dass bei Datensicherheitsverletzungen der/den zuständige(n) Aufsichtsbehörde(n) zu melden sind, sofern die Verletzung zu einem Risiko für die betroffene Personen führt (Art. 33 DSGVO, und wenn die Verletzung voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt, sich diese von der Verletzung zu benachrichtigen (Art. 34 DSGVO). Der … weiterlesen
Die Richtlinie 2015/2366 vom 25. November 2015 über Zahlungsdienste im Binnenmarkt […] (Zweite Zahlungsdiensterichtlinie, Second Payment Services, PSD II bzw. PSD2; durch die Mitgliedstaaten bis am 13. Januar 2018 umzusetzen; in Deutschland durch das Zahlungsdiensteaufsichtsgesetz) soll u.a. das Angebot im EU-Massenzahlungsmarkt für Konsumenten verbessern und höhere Sicherheitsstandards für Online-Zahlungen verankern. Sie betrifft … weiterlesen
Die DSGVO enthält selbst kaum Ausnahmen von den Betroffenenrechten wie z.B. dem Informationsrecht, dem Auskunftsrecht oder dem Recht, über Datensicherheitsverletzungen informiert zu werden, abgesehen von Art. 12 Abs. 5 DSGVO (offenkundig unbegründete oder exzessive Anträge). Die Mitgliedstaaten können aber gestützt auf Art. 23 DSGVO Ausnahmen und Einschränkungen vorsehen, sofern ihr Recht den Vorgaben von … weiterlesen