DSGVO 32 - daten:recht – das Datenschutz-Team von Walder Wyss

Microsoft Exchange-Server: Handlungsbedarf für Unternehmen

10. März 2021 von David Vasella

Vor einigen Tagen wurde bekannt, dass Microsoft Exchange E‑Mail-Server von Schwachstellen betroffen sind (vgl. z.B. die Mitteilungen des deutschen BSI). In ihrer Kombination konnten diese Schwachstellen für Angriffe verwendet werden, was offenbar breit erfolgt ist (Krebs on Security): At least 30,000 organizations across the United States — including a significant number of small businesses, towns, … weiterlesen

EDSA: 2. Version der Leitlinien zu Privacy by Design und Privacy by Default / Anmerkungen zur Systematik

30. Oktober 2020 von David Vasella

Der EDSA hat eine neue Version 2.0 der bereits 2019 erschienen Leitlinien zu Privacy by Design und Privacy by Default veröffentlicht. Eine Vergleichsfassung (Deltaview, PDF) findet sich hier. Die Leitlinien sind in vielen Punkten nach wie vor recht luftig, enthalten aber Hinweise, auf welche Weise die Einhaltung der Bearbeitungsgrundsätze konkret sichergestellt werden kann. … weiterlesen

LfDI: Busse von EUR 1.24M gegen Krankenkasse wegen einwilligungslos versandter Werbe-E-Mails

1. Juli 2020 von David Vasella

Der Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) hat gegen eine Krankenkasse (AOK Baden-Württemberg) eine Busse von EUR 1,24 Mio. verhängt (vgl. Medienmitteilung). Eine Verletzung der DSGVO erkannte der LfDI darin, dass die AOK in den Jahren 2015 bis 2019 im Rahmen von Gewinnspielen Personendaten der Teilnehmer erhoben hatte, u.a. Kontaktdaten … weiterlesen

Spanien: DSGVO-Busse gegen Rechtsanwalt

10. Juni 2020 von David Vasella

Die spanische Datenschutz-Aufsichtsbehörde, die,hat eine Busse von EUR 2 000 gegen einen Rechtsanwalt verhängt (Entscheid im Original auf spanisch; deutsche Fassung via DeepL). Der Anwalt hatte im Rahmen eines Verfahrens Mieter eines Wohnhauses vorgeladen. Dabei hat er Dokumente verwendet, auf deren Rückseite Personendaten anderer Mieter zu sehen waren, die für das Verfahren relevant … weiterlesen

DSK: Mindestschutz von Personendaten beim Empfang und Versand von E‑Mails

3. Juni 202029. Mai 2020 von David Vasella

Die deutsche Datenschutzkonferenz (DSK) hat eine Orientierungshilfe zu Massnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E‑Mail veröffentlicht (datiert auf dem 13. März 2020). Sie erläutert Schutzmassnahmen i.S.v. Art. 5(1)(f), 25 und 32 DSGVO, die Verantwortliche, aber auch Auftragsverarbeiter und “öffentliche E‑Mail-Dienstanbieter” beim Versand von E‑Mails auf dem Transportweg zu erfüllen haben. … weiterlesen

DSB Österreich: Fehlendes Double-Opt-In-Verfahren als Verletzung von DSGVO 32

24. Mai 202015. Februar 2020 von David Vasella

Die österreichische Datenschutzbehörde (DSB) hat mit Entscheid vom 9. Oktober 2019 (DSB-D130.073/0008-DSB/2019) festgestellt, dass nach Art. 32 DSGVO (Datensicherheit) ein Double-Opt-In-Verfahren für Registrierungen auf einer Online-Dating-Plattform zwingend ist. Die Registrierung und eine eingeschränkte Nutzung der Plattform war ohne Double-Opt-In möglich: Es ist korrekt, dass der User sich nach der Registrierung und der expliziten … weiterlesen

BfDI: Busse von EUR 9.5 Mio. gegen einen Telecom-Provider

24. Mai 20209. Dezember 2019 von David Vasella

Der deutsche Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH eine Busse von EUR 9.55 Mio. verhängt. Aus der Medienmitteilung: hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu … weiterlesen

EDPB: Leitlinien zu Privacy by Design und Privacy by Default (Entwurf)

24. Mai 202020. November 2019 von David Vasella

Der Europäische Datenschutzausschuss (EDSA) hat den auf den 13. November 2019 datierten Entwurf von Leitlinien zu Privacy by Design und Privacy by Default i.S.v. Art. 25 DSGVO veröffentlicht (Guidelines 4/2019 on Article 25 Data Protection by Design and by Default). Der Entwurf liegt zur Konsultation auf, Stellungnahmen werden bis am 16. Januar … weiterlesen

TeleTrust: Handreichung zum „Stand der Technik“

24. Mai 20206. März 2019 von David Vasella

Der deutsche TeleTrusT – Bundesverband IT-Sicherheit e.V. hat eine „Handreichung“ zum sog. Stand der Technik veröffentlicht. Der Stand der Technik wird in Art. 32 Abs. 1 DSGVO als eines von mehreren Kriterien erwähnt, die bei der Bestimmung der Angemessenheit technischer und organisatorischer Massnahmen zu berücksichtigen sind. Der Stand der Technik liegt dabei zwischen … weiterlesen