BayL­DA: Ein­satz von Mail­chimp ohne Prü­fung zusätz­li­cher Mass­nah­men DSGVO-widrig

Das Bay­ri­sche Lan­des­da­ten­schutz­amt (BayL­DA) hat am 15. März 2021 fest­ge­hal­ten, dass der Ein­satz von Mail­chimp im beur­teil­ten Fall unzu­läs­sig war (LDA-1085.1 – 12159/20-IDV). Mass­ge­bend war, dass Mail­chimp zwar die EU-Stan­­dar­d­­ver­­­trag­s­­­klau­­seln schliesst, aber als “Elec­tro­nic Com­mu­ni­ca­ti­ons Ser­vice Pro­vi­der” i.S.v. § 1881 (b) (4) des US-ame­­ri­­ka­­ni­­schen For­eign Intel­li­gence Sur­veil­lan­ce Act ein­zu­stu­fen sei – zumin­dest sah das … wei­ter­le­sen

BVerfG: Vor­la­ge­pflicht bei der Fra­ge, ob eine Erheb­lich­keits­schwel­le für Scha­den­er­satz­an­sprü­che nach der DSGVO gilt

Das deut­sche Bun­des­ver­fas­sungs­ge­richt (BVerfG) hat sich vor kur­zem (Beschluss vom 14. Janu­ar 2021, AZ 1 BvR 2853/19) im Zusam­men­hang mit der Erheb­lich­keits­schwel­le bei Scha­dens­er­satz­an­sprü­chen nach der DSGVO geäu­ssert. Anlass war ein Urteil des Amts­ge­richts Gos­lar, das – aus ver­fah­rens­recht­li­chen Grün­den letzt­in­stanz­lich – ent­schie­den hat­te, dem Klä­ger ste­he kein Scha­den­er­satz­an­spruch zu. Der Klä­ger, ein … wei­ter­le­sen

Hoeren/Tiessen: Hin­wei­se und Muster­ant­wor­ten zur daten­schutz­kon­for­men Nut­zung von Office/Microsoft 365

Prof. Dr. Tho­mas Hoe­ren hat dar­auf hin­ge­wie­sen, dass der Ham­bur­gi­sche Daten­schutz­be­auf­trag­te einen umfang­rei­chen Fra­ge­bo­gen zu Office/ Micro­soft 365 ver­schickt, und dass ver­schie­de­ne Lan­des­da­ten­schutz­be­auf­trag­te ein weit­ge­hen­des Ver­bot der Nut­zung ent­spre­chen­der Dien­ste pla­nen. Prof. Hoe­ren und Mar­ten Tie­ssen (bei­de ITM Mün­ster) haben vor die­sem Hin­ter­grund Muster­ant­wor­ten zum Fra­ge­bo­gen aus Ham­burg ent­wickelt. Das Doku­ment ent­hält … wei­ter­le­sen

LfD Nie­der­sach­sen: Prüf­sche­ma DSFA

Das Lan­des­amt für Daten­schutz Nie­der­sach­sens hat ein Prüf­sche­ma ver­öf­fent­licht, das durch die Ent­schei­dung führt, ob eine Daten­­schutz-Fol­­gen­a­b­­schä­t­­zung erfor­der­lich ist (Schwel­len­wert­ana­ly­se). Das Prüf­sche­ma ist nicht nur eine Ent­schei­dungs­hil­fe, son­dern kann auch dabei hel­fen, die­se Ent­schei­dung zu dokumentieren.

Micro­soft Exchan­ge-Ser­ver: Hand­lungs­be­darf für Unternehmen

Vor eini­gen Tagen wur­de bekannt, dass Micro­soft Exchan­ge E‑Mail-Ser­­ver von Schwach­stel­len betrof­fen sind (vgl. z.B. die Mit­tei­lun­gen des deut­schen BSI). In ihrer Kom­bi­na­ti­on konn­ten die­se Schwach­stel­len für Angrif­fe ver­wen­det wer­den, was offen­bar breit erfolgt ist (Krebs on Secu­ri­ty): At least 30,000 orga­niz­a­ti­ons across the United Sta­tes — inclu­ding a signi­fi­cant num­ber of small busi­nes­ses, towns, … wei­ter­le­sen

DSB Sach­sen: Durch­set­zung der DSGVO gegen Ver­ant­wort­li­che in Drittländern

Der Säch­si­sche Daten­schutz­be­auf­trag­te hat sich in sei­nem Tätig­keits­be­richt für das Berichts­jahr 2019 in inter­es­san­ter Wei­se zur “Durch­set­zung der DSGVO wegen des räum­li­chen Anwen­dungs­be­reichs gegen­über Ver­ant­wort­li­chen in Dritt­län­dern” geäu­ssert: Gemäß Arti­kel 3 Absatz 2 DSGVO unter­lie­gen auch Ver­ant­wort­li­che in Dritt­län­dern dem Anwen­dungs­be­reich der Ver­ord­nung. Bei mei­ner Dienst­stel­le gehen zahl­rei­che Beschwer­den gegen Unter­neh­men mit Sitz außer­halb der … wei­ter­le­sen

VG Ber­lin (31.08.2020): Aus­le­gung der “begrün­de­ten Zwei­fel” an der Iden­ti­tät bei Betroffenenbegehren

Das Ver­wal­tungs­ge­richt Ber­lin hat mit Urteil vom 31. August 2020 (1 K 90.19) über die Fra­ge befun­den, unter wel­chen Umstän­den der Ver­ant­wort­li­che “begrün­de­te Zwei­fel an der Iden­ti­tät der natür­li­chen Per­son” hat (Art. 12 Abs. 6 DSGVO), die ein Aus­kunfts­be­geh­ren gestellt hat. Das Aus­kunft­be­geh­ren ging hier an das Amts­ge­richt Tier­gar­ten das des­sen Prä­si­dent abge­lehnt hat­te, … wei­ter­le­sen

Deutsch­land: Prüf­sche­ma des BfDI für Daten­trans­fers in Drittländer

Der EuGH hat in “Schrems II”-Urteil bekannt­lich fest­ge­hal­ten, dass der EU-US Pri­va­cy Shield unwirk­sam ist und dass die Stan­dard­ver­trags­klau­seln wei­ter­hin ver­wen­det wer­den kön­nen; dass bei Über­mitt­lun­gen ins Aus­land aber eine Risi­ko­ein­schät­zung erfor­der­lich ist (die man “Trans­fer Impact Assess­ment”, “TIA” nen­nen kann) und dass als Ergeb­nis zusätz­li­che Mass­nah­men – d.h. zusätz­lich zu den … wei­ter­le­sen

LDI NRW: Ori­en­tie­rungs­hil­fe Video­über­wa­chung durch nicht-öffent­li­che Stellen

Die Lan­des­be­auf­trag­te für den Daten­schutz des Lan­des Nor­d­rhein-West­­fa­­len hat eine umfang­rei­che Ori­en­tie­rungs­hil­fe für die Video­über­wa­chung durch nicht-öffen­t­­li­che Stel­len (d.h. Pri­va­te) ver­öf­fent­licht. In den Anhän­gen fin­den sich Vor­la­gen für vor­ge­la­ger­te Hin­weis­schil­der (z.B. am Stand­ort der Kame­ras oder beim Ein­gang) und für voll­stän­di­ge Infor­ma­ti­ons­schil­der oder ‑blät­ter.