DSGVO 33 - daten:recht – das Datenschutz-Team von Walder Wyss

EDSA: Entwurf von Leitlinien zu Beispielen für Data Breach Notifications

21. Januar 202121. Januar 2021 von David Vasella

Die DSGVO sieht bekanntlich vor, dass bei Datensicherheitsverletzungen der/den zuständige(n) Aufsichtsbehörde(n) zu melden sind, sofern die Verletzung zu einem Risiko für die betroffene Personen führt (Art. 33 DSGVO, und wenn die Verletzung voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt, sich diese von der Verletzung zu benachrichtigen (Art. 34 DSGVO). Der … weiterlesen

FINMA-Aufsichtsmitteilung 05/2020: Meldepflicht von Cyber-Attacken

24. Mai 202011. Mai 2020 von David Vasella

Die FINMA hat mit Datum vom 7. Mai 2020 die Aufsichtsmitteilung 05/2020 betr. Meldepflicht von Cyber-Attacken veröffentlicht. Sie steht vor dem Hintergrund der weiterhin – und besonders in Stress-Situation wie der aktuellen Pandemie – als “sehr hoch” beurteilten Gefahr von Cyber-Attacken auf den Schweizer Finanzplatz. Aufsichtsmitteilung Die Aufsichtsmitteilung soll alle beaufsichtigten Institute … weiterlesen

DSK: Erfahrungsbericht zur DSGVO; Vorschlag von Erleichterungen und Verschärfungen

24. Mai 202017. Dezember 2019 von David Vasella

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) hat am 6. November 2019 einen Bericht über die Erfahrungen bei der Anwendung der DSGVO verabschiedet. Die DSK kommt dabei u.a. – nicht abschliessend – zu folgenden Erfahrungen und Empfehlungen: Die DSGVO hat sich im Grundsatz bewährt. Es stellen sich … weiterlesen

Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: Data-Breach-Meldungen nach Art. 33 DSGVO

17. Mai 202010. Dezember 2018 von David Vasella

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat am 15. November 2018 einen Leitfaden zu Meldungen von Datenschutzverletzungen nach Art. 33 DSGVO veröffentlicht, der in wenigen Punkten einige Klarstellungen bringt: nicht jede Datenschutzverletzung, sondern grundsätzlich nur Verletzungen der Datensicherheit werden erfasst (Beispiele sind “Hacking und Datendiebstahl sowie SQL-Lücken, Bugs im Webserver, verlorengegangene USB-Sticks oder … weiterlesen

Datenschutzverletzungen: Erste Zwischenbilanz der CNIL

19. November 2018 von David Vasella

Die französische Datenschutzaufsichtsbehörde, die CNIL, hat eine erste Zwischenbilanz zu Datenschutzverletzungen nach der DSGVO veröffentlicht: Seit dem 25. Mai unter dem 1. Oktober sind 742 Meldungen von Verletzungen eingegangen, mit über 33 Mio. Betroffenen. Die folgenden Branchen waren am stärksten betroffen, in absteigender Reihenfolge: Hotellerie (weil ein Dienstleister mit branchenweiter Bedeutung von einer Verletzung betroffen war) Wissenschaft und Technik … weiterlesen

Artikel-29-Datenschutzgruppe: Definitive Fassung der Guidelines zur Meldung von Datenschutzverletzungen

17. Mai 202019. Februar 2018 von David Vasella

Die Art.-29-Datenschutzgruppe hat die auf den 6. Februar 2018 datierte finale Fassung der “Guidelines on Personal data breach notification under Regulation 2016÷679” veröffentlicht. Die Abweichungen zum Entwurf vom 3. Oktober 2017 sind in diesem Vergleichsdokument ersichtlich: Link (PDF). Neu sind u.a. Ausführungen zu Datenschutzverletzungen, die einen nicht in der EU niedergelassenen Verantwortlichen betreffen: Where a controller … weiterlesen

Art.-29-Datenschutzgruppe: Leitfaden zu Meldungen von Datensicherheitsverletzungen (“Breach Notification”)

17. Mai 202018. Oktober 2017 von David Vasella

Die Art.-29-Datenschutzgruppe hat einen auf den 3. Oktober 2017 datierten Entwurf eines Leitfadens zu Meldungen von Datensicherheitsverletzungen veröffentlicht (“Guidelines on Personal data breach notification under Regulation 2016/679″ [PDF]). Sie äussert sich darin u.a. zu folgenden Themen: Legaldefinition der “Datensicherheitsverletzung” RIsikoeinschätzung: Methodik, relevante Risiken und Gewichtung (aber relativ knapp) Auslösung der Meldepflicht gegenüber der zuständigen … weiterlesen