ISO 27701: Behandlung vom Datenschutzvorfall nach der DSGVO

17. Dezember 2021| 2 Kommentare | von Katrin Rammo

Die Pflicht zur Meldung von IT-Sicherheits- und Datenschutzvorfällen in Unternehmen ist eine zentrale organisatorische Maßnahme zum Schutz von IT-Infrastrukturen und zur Umsetzung von Vorgaben der DSGVO sowie der ISO 27701. Dieser Artikel ist Teil unserer Reihe zur „Datenschutz-Zertifizierung nach ISO 27701“. Weiterlesen →

Kein Schmerzensgeld bei Verlust des USB-Sticks

8. November 2021| Noch kein Kommentar | Von Dr. Datenschutz

Häufig müssen wir im Alltag unsere Daten übermitteln, um im Gegenzug Leistungen zu erhalten. Sollen bei der Übermittlung jedoch die Risiken eines Datenverlustes minimiert werden, müssen beide Seiten entsprechende Vorkehrungen treffen. Dass die Übertragung von Daten per unverschlüsseltem USB-Stick hierbei nicht gerade zu den sichersten Methoden zählt, zeigt das Urteil des LG Essen vom 23.09.2021. Weiterlesen →

Kein Zugriff auf Facebook – Meldepflicht nach DSGVO?

15. Oktober 2021| 3 Kommentare | von Vanessa Martin

Viele Menschen wunderten sich wahrscheinlich in der vergangenen Woche, was denn da mit ihrem Facebook-/ Instagram-/ WhatsApp-Account los war. Nichts ging mehr. Für Spott war gesorgt, aber müsste ein solcher Vorfall eigentlich der Aufsichtsbehörde gemeldet werden? Weiterlesen →

Kaseya: Was wir aus dem REvil-Hackerangriff lernen können

7. Juli 2021| 4 Kommentare | von Julina Chibber

Der Hackerangriff auf Kaseya ist in aller Munde und wirkt sich nicht nur auf US-amerikanische Unternehmen aus. Die Gefahr der Cyberkriminalität steigt und Unternehmen müssen anfangen, dieses Risiko ernst zu nehmen. Weiterlesen →

Datenschutzvorfall und Datenpanne – Das ist zu beachten

17. März 2021| 2 Kommentare | von Christopher Schewior

Sie sind spätestens seit Anwendbarkeit der DSGVO der datenschutzrechtliche Schrecken aller Unternehmen – Datenschutzvorfälle und Datenschutzpannen. Vor allem, da Verstöße gegen datenschutzrechtliche Vorschriften bekanntlich mit Bußgeldern von bis zu 20 Mio. EUR geahndet werden können, gilt hier besondere Vorsicht. Wann spricht man eigentlich von Datenschutzvorfällen und wie kann man sie am besten vermeiden? Es lohnt sich, dies einmal genauer zu betrachten. Weiterlesen →

Wann muss ein Datenschutzvorfall gemeldet werden?

6. April 2020| 4 Kommentare | Von Dr. Datenschutz

Seit Inkrafttreten der DSGVO ist die Zahl der gemeldeten Datenschutzvorfälle immens gestiegen. Alleine im Jahr 2019 gab es europaweit mehr als 40.000 Datenpannen, wovon die meisten in Deutschland registriert wurden. Was die Auslöser von Datenschutzvorfällen und die gesetzlichen Anforderungen bei der Meldung sind, lesen Sie hier. Weiterlesen →

Warum Meldungen von Datenpannen bei den Behörden stark ansteigen

12. Juni 2019| Noch kein Kommentar | Von Dr. Datenschutz

Vor kurzem wurde der 24. Tätigkeitsbericht der LDI NRW (Landesbeauftragte für Datenschutz- und Informationsfreiheit Nordrhein-Westfalen) veröffentlicht. Unter anderen datenschutzrechtlich interessanten Themen, stellt der Anstieg der Meldungen von Datenschutzvorfällen ein Problem dar. Was Datenschutzvorfälle sind, hatten wir bereits in der Vergangenheit erklärt. Diesmal beschäftigen wir uns mit den Ursachen und zeigen auf, wann eine Meldung im Regelfall obsolet ist. Weiterlesen →

Datenschutz im Krankenhaus

8. Februar 2019| Noch kein Kommentar | Von Dr. Datenschutz

Durch das Inkrafttreten der DSGVO sind auch Krankenhäuser zunehmend gefordert, Maßnahmen zum Datenschutz umzusetzen. Denn ein Schwerpunkt der Datenverarbeitung in Krankenhäusern betrifft die Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 DSGVO – insbesondere Gesundheitsdaten. Nachfolgend finden Sie einen Überblick von Themen, die Krankenhäuser im Zuge der DSGVO zu beachten haben. Weiterlesen →

DSGVO-Bußgeld: 20.000 Euro für Passwörter im Klartext

22. November 2018| 1 Kommentar | Von Dr. Datenschutz

Das LfDI Baden-Württemberg hat mit Bescheid vom 21.11.2018 gegen einen Social-Media-Anbieter eine Geldbuße in Höhe von 20.000,- Euro verhängt. Grund ist laut Pressemitteilung des LfDI ein eklatanter Verstoß des Unternehmens gegen seine Pflicht, für die Sicherheit der Datenverarbeitung zu sorgen: Man hatte Kundenpasswörter im Klartext gespeichert. Weiterlesen →

Selbstbelastungsfreiheit vs. Mitwirkungspflicht beim Datenschutzverstoß

5. Oktober 2018| 3 Kommentare | Von Dr. Datenschutz

Ein elementarer Grundsatz unserer Rechtsordnung besagt, dass im Rahmen von Straf- und Bußgeldverfahren niemand gezwungen werden darf, sich selbst zu belasten. Dementgegen enthält die Datenschutz-Grundverordnung (DSGVO) Regelungen, nach denen die jeweils verantwortliche Stelle zur Meldung von Verstößen und zur umfangreichen Mitwirkung (Rechenschaft) verpflichtet ist. Wie vertragen sich die umfangreichen Auskunfts- und Mitwirkungspflichten mit der Selbstbelastungsfreiheit? Weiterlesen →

Meldepflicht des Auftragsverarbeiters bei Datenschutzverletzungen

10. September 2018| Noch kein Kommentar | Von Dr. Datenschutz

Wird dem Auftragsverarbeiter eine Datenschutzverletzung bekannt, so trifft ihn eine unverzügliche Meldepflicht gegenüber dem Verantwortlichen. Der folgende Beitrag beleuchtet den Inhalt und Umfang dieser Pflicht näher und grenzt die Rollen des Verantwortlichen und des Auftragsverarbeiters beim Umgang mit Datenschutzvorfällen voneinander ab. Weiterlesen →

Risikobeurteilung bei Datenschutzvorfällen

20. Juni 2018| Noch kein Kommentar | Von Dr. Datenschutz

Unternehmen wurden bereits mit den ersten Datenschutzvorfällen konfrontiert, die nunmehr nach der DSGVO zu beurteilen sind. Bei der Frage, ob ein Vorfall meldepflichtig ist, spielt der Begriff des Risikos eine zentrale Rolle. Der folgende Beitrag beschäftigt sich mit der Risikoanalyse, die in einem solchen Fall durchgeführt werden muss. Weiterlesen →

Die Meldung des Datenschutzbeauftragten: Wann, wo und wie?

26. April 2018| 13 Kommentare | Von Dr. Datenschutz

Ab dem 25.05.2018 müssen Unternehmen gem. Art. 37 Abs. 7 DSGVO die Kontaktdaten ihres Datenschutzbeauftragten (die Kontaktdaten wohlgemerkt, nicht zwangsläufig den Namen) der zuständigen Aufsichtsbehörde mitteilen. In welcher Form dies zu geschehen hat, wird im Gesetz nicht erwähnt. Um ein unübersichtliches Meldechaos zu vermeiden, bleibt es also den Aufsichtsbehörden überlassen einen einheitlichen Meldevorgang zu gestalten. Wir haben uns die Webseiten der Aufsichtsbehörden angeschaut und geben einen Überblick über das Ob und Wie der Meldemöglichkeiten. Weiterlesen →

Meldepflichtiger Datenschutzvorfall: Tipps zum Vorgehen inkl. Muster

16. Februar 2018| 8 Kommentare | von Tino Tezel

Der Albtraum eines jeden Datenschutzbeauftragten: der möglicherweise meldepflichtige Datenschutzvorfall. Was ist zu tun und wie gehe ich damit um? Dieser Beitrag gibt Handlungsempfehlungen und zusätzlich eine Muster-Vorlage zum Download. Weiterlesen →

Datenerhebung in Hotels und ihre rechtlichen Grenzen

15. November 2017| 13 Kommentare | Von Dr. Datenschutz

Keine Übernachtung in einem Hotel geht ohne Erhebung personenbezogener Daten einher. Den Hoteliers bieten sich zahlreiche Möglichkeiten der Einholung von Informationen über ihre Gäste. Grund genug, sich damit einmal aus datenschutzrechtlicher Sicht auseinanderzusetzen. Weiterlesen →

Reaktionsplan zur Bewältigung von Datenpannen

10. November 2017| 4 Kommentare | Von Dr. Datenschutz

Die Datenschutzgrundverordnung schreibt zahlreiche Maßnahmen vor, mit denen die Sicherheit der Verarbeitung personenbezogener Daten sichergestellt werden soll. Trotzdem kann es zu Datenschutzpannen kommen. Dies geschieht insbesondere dann, wenn die Vorgaben zur Sicherheit der Verarbeitung nicht umgesetzt wurden. Dieser Beitrag beschäftigt sich mit der Ausgestaltung eines Prozesses um schnell und effektiv auf Datenpannen reagieren zu können. Weiterlesen →

IT-Sicherheitsgesetz – Neue KRITIS-Unternehmen, alte Pflichten

1. Juni 2017| 4 Kommentare | Von Dr. Datenschutz

Am 25. Juli 2015 hatte der Deutsche Bundestag das IT-Sicherheitsgesetz verabschiedet. Ziel des Gesetzes ist es, Mindeststandards im Bereich der IT-Sicherheit für Unternehmen aus sensiblen Bereichen zu schaffen. Somit sollen diese sich besser vor Cyberangriffen schützen können. Nun hat die Bundesregierung eine Änderung der Verordnung zur Bestimmung kritischer Infrastrukturen (Änderung der BSI-Kritisverordnung) auf den Weg gebracht. Dadurch ergibt sich unter anderem eine erweiterte Meldepflicht für einige Unternehmen. Weiterlesen →

Data Breach Notification: Datenpannen in der DSGVO

21. September 2016| 15 Kommentare | von Felix Hudy

Schon bisher sind Unternehmen verpflichtet, die Aufsichtsbehörden oder die Betroffenen bei Datenschutzverstößen in Form von Datenpannen oder sog. Data Breaches zu informieren. Diese Verpflichtungen werden mit der DSGVO deutlich verschärft. Der Artikel stellt die Neuerungen als Teil unserer Beitragsreihe zur EU-Datenschutz-Grundverordnung dar. Weiterlesen →

Besonderheiten des Datenschutzrechts in Österreich

10. August 2016| 2 Kommentare | Von Dr. Datenschutz

Aufgrund länderübergreifender Umstände wie ein weltweites Roll-Out oder weil der deutsche Datenschutzbeauftragte auch die datenschutzrechtlichen Agenden in Österreich mitkoordinieren soll, kommen deutsche Unternehmen, sei es als Mutterunternehmen oder als anderweitig für Österreich verantwortliches Konzernunternehmen, immer häufiger in die Situation, sich mit österreichischem Datenschutzrecht zu beschäftigen. Dieser Beitrag soll einen praxisrelevanten Überblick über die wichtigsten Besonderheiten des betrieblichen Datenschutzes in Österreich im Vergleich zur deutschen Situation geben. Weiterlesen →

Meldepflicht in Österreich – Was ist zu beachten?

9. Mai 2016| 4 Kommentare | von Dr. jur. Thomas Langer, Dipl. rer soc.

Aller Harmonisierung in Europa zum Trotz gibt es zwischen den Mitgliedstaaten teilweise große Unterschiede im Datenschutz. In Österreich unterliegen bestimmte Datenanwendungen der Meldepflicht. Hinzu kommt, dass einige der meldepflichtigen Datenanwendungen in Österreich der Vorabkontrolle unterliegen. Weiterlesen →

Tag: Meldepflicht

Archiv