Infor­ma­ti­ons­si­cher­heits­ge­setz (ISG) verabschiedet

Das Infor­ma­ti­ons­si­cher­heits­ge­setz (ISG) wur­de im Dezem­ber 2020 in der Schluss­ab­stim­mung nach drei­jäh­ri­ger Bera­tung ange­nom­men. Die Refe­ren­dums­frist endet am 10. April 2021. Der Schluss­text ist hier ver­füg­bar, der Ent­wurf und die Bot­schaft hier. Die Ände­run­gen seit dem Ent­wurf sind hier nach­voll­zieh­bar. In den Schluss­be­stim­mun­gen wur­de auch Art. 320 StGB (Amts­ge­heim­nis) ange­passt, … wei­ter­le­sen

EDSA: Ent­wurf von Leit­li­ni­en zu Bei­spie­len für Data Bre­ach Notifications

Die DSGVO sieht bekannt­lich vor, dass bei Daten­si­cher­heits­ver­let­zun­gen der/den zuständige(n) Aufsichtsbehörde(n) zu mel­den sind, sofern die Ver­let­zung zu einem Risi­ko für die betrof­fe­ne Per­so­nen führt (Art. 33 DSGVO, und wenn die Ver­let­zung vor­aus­sicht­lich zu einem hohen Risi­ko für die betrof­fe­nen Per­so­nen führt, sich die­se von der Ver­let­zung zu … wei­ter­le­sen

EDSA: 2. Ver­si­on der Leit­li­ni­en zu Pri­va­cy by Design und Pri­va­cy by Default / Anmer­kun­gen zur Systematik

Der EDSA hat eine neue Ver­si­on 2.0 der bereits 2019 erschie­nen Leit­li­ni­en zu Pri­va­cy by Design und Pri­va­cy by Default ver­öf­fent­licht. Eine Ver­gleichs­fas­sung (Del­ta­view, PDF) fin­det sich hier. Die Leit­li­ni­en sind in vie­len Punk­ten nach wie vor recht luf­tig, ent­hal­ten aber Hin­wei­se, auf wel­che Wei­se die Ein­hal­tung der … wei­ter­le­sen

EU: Ent­wurf Ver­ord­nung zur Stär­kung der IT-Resi­li­enz im Finanzbereich

Die EU arbei­tet an einer neu­en Ver­ord­nung zur Rege­lung der Stär­kung der Resi­li­enz von IT-Pro­­­zes­­sen im Finanz­be­reich (Regu­la­ti­on on digi­tal ope­ra­tio­nal resi­li­en­ce for the finan­cial sec­tor). Der Ent­wurf ist bis­her nur auf Eng­lisch ver­füg­bar. Die Ver­ord­nung soll bestimm­te ein­heit­li­che Anfor­de­run­gen an die Sicher­heit von Netz- und IT-Syste­­men fest­le­gen, … wei­ter­le­sen

LfDI: Bus­se von EUR 1.24M gegen Kran­ken­kas­se wegen ein­wil­li­gungs­los ver­sand­ter Werbe-E-Mails

Der Lan­des­be­auf­trag­te für den Daten­schutz und Infor­ma­ti­ons­frei­heit Baden-Wür­t­­te­m­­berg (LfDI) hat gegen eine Kran­ken­kas­se (AOK Baden-Wür­t­­te­m­­berg) eine Bus­se von EUR 1,24 Mio. ver­hängt (vgl. Medi­en­mit­tei­lung). Eine Ver­let­zung der DSGVO erkann­te der LfDI dar­in, dass die AOK in den Jah­ren 2015 bis 2019 im Rah­men von Gewinn­spie­len Per­so­nen­da­ten der Teil­neh­mer … wei­ter­le­sen

Spa­ni­en: DSGVO-Bus­se gegen Rechtsanwalt

Die spa­ni­sche Daten­­schutz-Auf­­­sicht­s­­be­­hör­­de, die,hat eine Bus­se von EUR 2 000 gegen einen Rechts­an­walt ver­hängt (Ent­scheid im Ori­gi­nal auf spa­nisch; deut­sche Fas­sung via DeepL). Der Anwalt hat­te im Rah­men eines Ver­fah­rens Mie­ter eines Wohn­hau­ses vor­ge­la­den. Dabei hat er Doku­men­te ver­wen­det, auf deren Rück­sei­te Per­so­nen­da­ten ande­rer Mie­ter zu sehen waren, die … wei­ter­le­sen

Schutz vor Cyber­ri­si­ken: Bun­des­rat beschliesst Ver­ord­nung und wei­te­re per­so­nel­le Ressourcen

Der Bun­des­rat hat die Ver­ord­nung über die Orga­ni­sa­ti­on des Bun­des zum Schutz vor Cyber­ri­si­ken (CyRV) ver­ab­schie­det, sie tritt am 1. Juli 2020 in Kraft: CyRV Erläu­te­run­gen zur CyRV Aus den Erläu­te­run­gen: Mit der Ver­ord­nung über den Schutz vor Cyber­ri­si­ken in der Bun­des­ver­wal­tung (Cyber­ri­si­ken­ver­ord­nung, CyberRV) wer­den die recht­li­chen Grund­la­gen für die … wei­ter­le­sen

DSK: Min­dest­schutz von Per­so­nen­da­ten beim Emp­fang und Ver­sand von E‑Mails

Die deut­sche Daten­schutz­kon­fe­renz (DSK) hat eine Ori­en­tie­rungs­hil­fe zu Mass­nah­men zum Schutz per­so­nen­be­zo­ge­ner Daten bei der Über­mitt­lung per E‑Mail ver­öf­fent­licht (datiert auf dem 13. März 2020). Sie erläu­tert Schutz­mass­nah­men i.S.v. Art. 5(1)(f), 25 und 32 DSGVO, die Ver­ant­wort­li­che, aber auch Auf­trags­ver­ar­bei­ter und “öffent­li­che E‑Mail-Dienst­an­­bie­­ter” beim Ver­sand von E‑Mails auf … wei­ter­le­sen