Micro­soft Exchan­ge-Ser­ver: Hand­lungs­be­darf für Unternehmen

Vor eini­gen Tagen wur­de bekannt, dass Micro­soft Exchan­ge E‑Mail-Ser­­ver von Schwach­stel­len betrof­fen sind (vgl. z.B. die Mit­tei­lun­gen des deut­schen BSI). In ihrer Kom­bi­na­ti­on konn­ten die­se Schwach­stel­len für Angrif­fe ver­wen­det wer­den, was offen­bar breit erfolgt ist (Krebs on Secu­ri­ty): At least 30,000 orga­niz­a­ti­ons across the United Sta­tes — inclu­ding a signi­fi­cant num­ber of small busi­nes­ses, towns, … wei­ter­le­sen

EDSA: 2. Ver­si­on der Leit­li­ni­en zu Pri­va­cy by Design und Pri­va­cy by Default / Anmer­kun­gen zur Systematik

Der EDSA hat eine neue Ver­si­on 2.0 der bereits 2019 erschie­nen Leit­li­ni­en zu Pri­va­cy by Design und Pri­va­cy by Default ver­öf­fent­licht. Eine Ver­gleichs­fas­sung (Del­ta­view, PDF) fin­det sich hier. Die Leit­li­ni­en sind in vie­len Punk­ten nach wie vor recht luf­tig, ent­hal­ten aber Hin­wei­se, auf wel­che Wei­se die Ein­hal­tung der Bear­bei­tungs­grund­sät­ze kon­kret sicher­ge­stellt wer­den kann. … wei­ter­le­sen

LfDI: Bus­se von EUR 1.24M gegen Kran­ken­kas­se wegen ein­wil­li­gungs­los ver­sand­ter Werbe-E-Mails

Der Lan­des­be­auf­trag­te für den Daten­schutz und Infor­ma­ti­ons­frei­heit Baden-Wür­t­­te­m­­berg (LfDI) hat gegen eine Kran­ken­kas­se (AOK Baden-Wür­t­­te­m­­berg) eine Bus­se von EUR 1,24 Mio. ver­hängt (vgl. Medi­en­mit­tei­lung). Eine Ver­let­zung der DSGVO erkann­te der LfDI dar­in, dass die AOK in den Jah­ren 2015 bis 2019 im Rah­men von Gewinn­spie­len Per­so­nen­da­ten der Teil­neh­mer erho­ben hat­te, u.a. Kon­takt­da­ten … wei­ter­le­sen

Spa­ni­en: DSGVO-Bus­se gegen Rechtsanwalt

Die spa­ni­sche Daten­­schutz-Auf­­­sicht­s­­be­­hör­­de, die,hat eine Bus­se von EUR 2 000 gegen einen Rechts­an­walt ver­hängt (Ent­scheid im Ori­gi­nal auf spa­nisch; deut­sche Fas­sung via DeepL). Der Anwalt hat­te im Rah­men eines Ver­fah­rens Mie­ter eines Wohn­hau­ses vor­ge­la­den. Dabei hat er Doku­men­te ver­wen­det, auf deren Rück­sei­te Per­so­nen­da­ten ande­rer Mie­ter zu sehen waren, die für das Ver­fah­ren rele­vant … wei­ter­le­sen

DSK: Min­dest­schutz von Per­so­nen­da­ten beim Emp­fang und Ver­sand von E‑Mails

Die deut­sche Daten­schutz­kon­fe­renz (DSK) hat eine Ori­en­tie­rungs­hil­fe zu Mass­nah­men zum Schutz per­so­nen­be­zo­ge­ner Daten bei der Über­mitt­lung per E‑Mail ver­öf­fent­licht (datiert auf dem 13. März 2020). Sie erläu­tert Schutz­mass­nah­men i.S.v. Art. 5(1)(f), 25 und 32 DSGVO, die Ver­ant­wort­li­che, aber auch Auf­trags­ver­ar­bei­ter und “öffent­li­che E‑Mail-Dienst­an­­bie­­ter” beim Ver­sand von E‑Mails auf dem Trans­port­weg zu erfül­len haben. … wei­ter­le­sen

DSB Öster­reich: Feh­len­des Dou­ble-Opt-In-Ver­fah­ren als Ver­let­zung von DSGVO 32

Die öster­rei­chi­sche Daten­schutz­be­hör­de (DSB) hat mit Ent­scheid vom 9. Okto­ber 2019 (DSB-D130.073/0008-DSB/2019) fest­ge­stellt, dass nach Art. 32 DSGVO (Daten­si­cher­heit) ein Dou­­ble-Opt-In-Ver­­­fah­­ren für Regi­strie­run­gen auf einer Online-Dating-Plat­t­­form zwin­gend ist. Die Regi­strie­rung und eine ein­ge­schränk­te Nut­zung der Platt­form war ohne Dou­­ble-Opt-In mög­lich: Es ist kor­rekt, dass der User sich nach der Regi­strie­rung und der expli­zi­ten … wei­ter­le­sen

BfDI: Bus­se von EUR 9.5 Mio. gegen einen Telecom-Provider

Der deut­sche Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI) hat gegen den Tele­kom­mu­ni­ka­ti­ons­dienst­lei­ster 1&1 Tele­com GmbH eine Bus­se von EUR 9.55 Mio. ver­hängt. Aus der Medi­en­mit­tei­lung: hat­te der BfDI Kennt­nis erlangt, dass Anru­fer bei der Kun­den­be­treu­ung des Unter­neh­mens allein schon durch Anga­be des Namens und Geburts­da­tums eines Kun­den weit­rei­chen­de Infor­ma­tio­nen zu … wei­ter­le­sen

EDPB: Leit­li­ni­en zu Pri­va­cy by Design und Pri­va­cy by Default (Ent­wurf)

Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) hat den auf den 13. Novem­ber 2019 datier­ten Ent­wurf von Leit­li­ni­en zu Pri­va­cy by Design und Pri­va­cy by Default i.S.v. Art. 25 DSGVO ver­öf­fent­licht (Gui­de­li­nes 4/2019 on Arti­cle 25 Data Pro­tec­tion by Design and by Default). Der Ent­wurf liegt zur Kon­sul­ta­ti­on auf, Stel­lung­nah­men wer­den bis am 16. Janu­ar … wei­ter­le­sen

Tele­Trust: Hand­rei­chung zum „Stand der Technik“

Der deut­sche Tele­TrusT – Bun­des­ver­band IT-Sicher­heit e.V. hat eine „Hand­rei­chung“ zum sog. Stand der Tech­nik ver­öf­fent­licht. Der Stand der Tech­nik wird in Art. 32 Abs. 1 DSGVO als eines von meh­re­ren Kri­te­ri­en erwähnt, die bei der Bestim­mung der Ange­mes­sen­heit tech­ni­scher und orga­ni­sa­to­ri­scher Mass­nah­men zu berück­sich­ti­gen sind. Der Stand der Tech­nik liegt dabei zwi­schen … wei­ter­le­sen