Cookies, Tracking, Reichweitenanalyse, Social Media, Einbindung externer Medien und das Datenschutzrecht – der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat die FAQ zu Cookies und Tracking aktualisiert. Weiterlesen
Archiv der Kategorie: Datenschutzrecht
Datenschutz: Bußgeld von 1,9 Millionen Euro gegen Wohnungsbaugesellschaft
Datenschutzverstoß durch rechtswidrige Datensammlung – die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen hat gegen eine Wohnungsbaugesellschaft ein Bußgeld in Höhe von 1,9 Millionen Euro verhängt, weil unter anderem sensible personenbezogene Daten ohne Rechtsgrundlage verarbeitet wurden. Weiterlesen
Datenleck im Ausländeramt Lübeck: Woanders gelesen
Datenleck in der Behörde: Auf einem ausgemusterten und über eBay verkauften Computer des Ausländeramts Lübeck finden sich mehr als 33.000 hochsensible E-Mails und Akten unter anderem zu Visa-Anträgen – das berichtet das c’t-Magazin mit einem Beitrag auf heise online vom 28.01.2022.
Sachverhalt: Worum geht es?
Dem Bericht zufolge gibt es wohl eine Vorschrift, wonach Festplatten mit sensiblen Daten ausgebaut und vernichtet werden müssen, bevor ein ausgemusterter Behörden-PC markiert und dann einem Verwerter übergeben wird. Im konkreten Fall sei der PC zwar markiert gewesen. Ob die Festplatte tatsächlich entfernt war, sei aber nicht überprüft worden.
Der Bericht ist mit all seinen Details lesenswert: Nicht nur bei der Aussonderung und der anschließenden Verwertung des PCs wurde hiernach geschlampt. Bereits bei der Konfiguration des Outlook-Clients wurde nicht die datensparsamste Lösung gewählt. Während des Einsatzes in der Behörde wurden nicht mehr benötigte Nutzerkonten und die dort abgelegten Daten nicht sorgfältig gelöscht.
Praxisempfehlung: Regeln, prüfen, dokumentieren
„Vertrauen ist gut, Kontrolle ist besser“: Gerade im Tages- und Massenbetrieb sind Routineaufgaben und Standardprozesse tückisch, die nur oberflächlich geregelt sind und die während ihrer Ausführung nicht detailliert dokumentiert werden. Abläufe in alle ihre Schritte zu zerlegen, die Reihenfolge der einzelnen Schritte verbindlich vorzugeben und dazu kleinteilige Inventare zu entwickeln, wer wann was getan hat, macht Arbeit.
Was ist von wem innerhalb von welchem Zeitrahmen zu tun, nachdem ein Mitarbeiter ausgeschieden oder die Abteilung gewechselt hat? Welche Festplatte wurde wann aus welchem Rechner ausgebaut und was geschah dann mit diesem Datenträger? Was muss wie dokumentiert worden sein, bevor überhaupt der nächste Schritt getan werden darf? Und welche Sorgfaltsanforderungen gelten für externe Verwertungsunternehmen?
Ganz egal, ob die ausgemusterte Hardware verschrottet wird oder auf dem Second-Hand-Markt verwertet wird: Auch dieser Vorfall ist Anlass im Unternehmen, dass Datenschutzbeauftragte, Compliance-Abteilung und IT-Administratoren gemeinsam betriebsinterne Vorschriften, Checklisten und Dokumentationen entwickeln, um Datenpannen zu verhindern. Es geht um den guten Ruf des Unternehmens. Es geht um Vertrauen in das Unternehmen. Und nichts anderes gilt für eine Behörde.
© RA Stefan Loebisch | Kontakt
Urteil: Kein Auskunftsanspruch nach Datenschutzrecht bei Rechtsmissbrauch
Wann kann die datenschutzrechtliche Auskunft nach Art. 15 DSGVO verweigert werden, weil der Auskunftsanspruch rechtsmissbräuchlich geltend gemacht wird? Das Landgericht Wuppertal entschied mit Urteil vom 29.07.2021, Az. 4 O 409/20: Dem Auskunftsanspruch steht der Rechtsmissbrauch entgegen, wenn mit ihm ein zweckfremdes Ziel außerhalb des Datenschutzrechts erreicht werden soll. Weiterlesen
OLG Dresden: Akteneinsicht und Aktenkopie im Arzthaftungsprozess
Akteneinsicht im Arzthaftungsprozess durch Aktenkopie – das Oberlandesgericht (OLG) Dresden entschied mit Beschluss vom 28.06.2021, Az. 4 W 386/21: Der Grundsatz des rechtlichen Gehörs gebietet es, dass das Gericht einer Prozesspartei auch beigezogene Aktenteile in Kopie zur Verfügung stellt, wenn sie sich im Rahmen ihres Vortrages mit deren Inhalt auseinandersetzen muss. Weiterlesen
BGH-Urteil zum Recht am eigenen Bild: Film „Die Auserwählten“
Darstellung einer lebenden Person durch einen Schauspieler und Recht am eigenen Bild – der Bundesgerichtshof (BGH) entschied mit Urteil vom 18.05.2021, Az. VI ZR 441/19: Eine als solche erkennbare bloße Darstellung einer realen Person durch einen Schauspieler in einem Spielfilm ist kein Bildnis der dargestellten Person i.S.d. § 22 Satz 1 KUG ist. Der dargestellten Person steht daher kein Unterlassungsanspruch aus ihrem Recht am eigenen Bild zu. Weiterlesen
Exchange-Sicherheitslücke: Stellungnahmen Datenschutz-Aufsichtsbehörden
Über die Empfehlungen, die das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zur aktuellen „Hafnium“-Sicherheitslücke bei Exchange-Servern gibt, wurde bereits >hier< berichtet. Auch die für das Datenschutzrecht zuständigen Aufsichtsbehörden anderer Bundesländer haben in den letzten Tagen Pressemitteilungen und Handreichungen zu Meldepflichten und Benachrichtigungspflichten veröffentlicht. Weiterlesen
Exchange-Sicherheitslücke – BayLDA empfiehlt: Patchen, prüfen, melden!
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet die IT-Bedrohungslage im Zusammenhang mit ungepatchten Microsoft-Exchange-Servern in einer Pressemitteilung vom 08.03.2021 mit Stufe 4 (Rot). Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zog mit einer Pressemitteilung vom 09.03.2021 nach und sieht akuten Handlungsbedarf für bayerische Unternehmen. Der Inhalt der Pressemitteilung des BayLDA hat es in sich. Weiterlesen
Erzwungene Anrede „Herr“ oder „Frau“ verletzt Persönlichkeitsrecht
Obligatorische Anrede als „Herr“ oder „Frau“ in der Geschäftskorrespondenz – das Landgericht Frankfurt am Main entschied mit Urteil vom 03.12.2020, Az. 2-13 O 131/20: Die erzwungene Angabe der Anredeform „Herr“ oder „Frau“ verletzt eine Person mit nicht-binärer Geschlechtsidentität in ihrem allgemeinen Persönlichkeitsrecht. Weiterlesen
Datenschutzrecht und Wettbewerbsrecht: Vorlage und Vortrag
Ist das Datenschutzrecht auch Wettbewerbsrecht? Ist also ein Datenschutzverstoß zugleich ein Wettbewerbsverstoß? Können Mitbewerber einen Verstoß gegen Datenschutzrecht über das Wettbewerbsrecht abmahnen? Weiterlesen