Home / Aktuelles & Termine / it.sec blog

Phishing-Mails können gerade im geschäftlichen Alltag großen Schaden anrichten und spielen auch im Datenschutz eine große Rolle.

 

Woran Sie sofort erkennen, ob es sich um ein Original oder um Betrug handelt, wollen wir Ihnen mit dem folgenden Blogbeitrag näherbringen:

 

In der Regel sieht man schon an einfachen Dingen, dass die E-Mail gefälscht wurde.

 

 

  • Der Betreff passt nicht, die Anrede ist unpersönlich oder nicht wie gewohnt.
  • Die Rechtschreibung ist häufig fehlerhaft, Umlaute werden nicht richtig wiedergegeben, oder der Satzbau ist untypisch.
  • Bei einer persönlichen Anrede wird oft der Vor- und Nachname benutzt oder ein falsches Geschlecht.

 

Manche E-Mails kopieren das Layout und das Corporate Design des Unternehmens und des Absenders aber so perfekt, dass man nur schwer unterscheiden kann ob die E-Mail nun ein Original ist oder nicht.

 

Aber auch in diesen Fällen können Sie einen Betrug erkennen. Folgende Dinge sind bei allen Phishing-Mails identisch:

 

1. Sehr dringender Handlungsbedarf

 

Die E-Mails möchten Sie zu einem schnellstmöglichen Tätigwerden zwingen, um unangenehme Konsequenzen zu vermeiden.

 

2. Konsequenzen

 

Wenn Sie nicht sofort handeln, drohen hohe Strafen, Bußgelder oder Ähnliches für Sie oder das Unternehmen.

 

3. Links oder Anhänge

 

Sie werden in der Regel aufgefordert, einen Link zu nutzen oder einen Anhang zu öffnen, um Gebühren, Strafen oder sonstige unangenehme Dinge zu vermeiden.

 

Sie haben bereits auf einen Link geklickt oder den Anhang geöffnet und im schlimmsten Fall bereits Daten weitergeben?

 

In diesem Fall kontaktieren Sie unverzüglich Ihre IT-Abteilung und den Datenschutzbeauftragten.

 

Geben Sie Acht. Gerade in Stresssituationen macht man Fehler, die einen großen Schaden für Sie und für Ihren Arbeitgeber bedeuten können.

 

Dr. Bettina Kraft

 

Teamleitung und Senior Consultant für Datenschutz

 

Volljuristin

 

Derzeit wird unsere Wahrnehmung von besonders vielen wichtigen Themen beherrscht. Zwischen Inzidenzen, Lockdowns und Schutzmaßnahmen muss das Leben weitergehen. Gerade auch durch alternative Geschäftsprozesse, die durch Geschäftsschließungen oder Meldevorgaben eingeführt wurden, sind Dauerthemen wie die Datennutzung und die dazugehörige technische sowie organisatorische Absicherung nochmals wichtiger geworden.

Die Fehler der Anderen

Um Sie vor Fehlern zu bewahren, sensibilisieren wir Sie für häufige und naheliegende Versäumnisse, die im Ernstfall zu empfindlichen Sanktionen führen können. Dazu haben wir nachfolgend einen kurzen Überblick jüngster Bußgelder für Sie zusammengestellt und die Fälle kurz beschrieben.

  • UK, £250,000 Bußgeld für das Versenden von 2,670,140 Werbe-SMS an Betroffene ohne deren Einwilligung. Innerhalb von 41 Tagen gingen über 10,000 Beschwerden bei der Aufsicht ein. Außerdem waren die Absenderinformationen irreführend und der Verantwortliche (Leads Work Limited) ließ die Marketingaktion weiterlaufen, selbst als die Aufsichtsbehörde den Fall schon untersuchte. Da der Verantwortliche auch nicht kooperativ und transparent gegenüber der Aufsicht agierte, erkannte diese keine mildernden Umstände.
  • UK, £50,000 Bußgeld für Muscle Foods Limited, wegen des Versendens von ca. 135,651,627 Werbemails und 6,354,425 Werbe-SMS ohne Einwilligungen, über einen Zeitraum von 7 Monaten.
  • Polen, ca. 30,000 EUR Bußgeld für die Verletzung von Meldepflichten. Eine unberechtigte Person erhielt von einem Mitarbeiter des Verantwortlichen (Enea S.A.) eine E-Mail, welche die persönlichen Daten von hunderten Personen enthielt. Die Daten wurden zwar in einem passwortgeschützten, jedoch unverschlüsselten E-Mail-Anhang übermittelt. Der Verantwortliche hatte den Vorfall zudem geprüft und dabei aber selbst keine Datenschutzverletzung festgestellt, die eine Benachrichtigung erfordert hätte.
  • Polen, in zwei Fällen Bußgelder (ca. 4,645 EUR und ca. 22,140 EUR) wegen der Verletzung der Pflicht zur Kooperation mit der Aufsichtsbehörde. Zum einen ging es um eine Stellungnahme zu einer Beschwerde einer betroffenen Person, zum anderen um die Aufklärung eines Datenschutzvorfalls im Zusammenhang mit einem Internetportal und der Erfassung der verwendeten TOM.
  • Polen, ca. 22,275 EUR Bußgeld wegen des Fehlens angemessener TOM. Eine Datenbank der Nationalen Schule für Justiz und Staatsanwaltschaft mit über 50.000 Betroffenen wurde innerhalb einer Schulungsplattform unbefugt weitergegeben. Weiterhin wurde festgestellt, dass ein Auftragsverarbeiter einbezogen, aber die Vorgaben des Art. 28 DSGVO nicht eingehalten wurden. Die unzureichende Bezeichnung der Betroffenen und der verarbeiteten Daten bzw. Datenkategorien und die fehlende Verpflichtung zur Weisungsgebundenheit wurden dem Verantwortlichen angelastet und der Auftragsverarbeiter ausdrücklich nicht für die Datenschutzverletzung verantwortlich gemacht.
  • Deutschland, 14,5 Millionen EUR Bußgeld gegen die Deutsche Wohnen SE noch nicht rechtskräftig. Wegen unberechtigter Verarbeitung von Mieterdaten wurde das Bußgeld von der Berliner Aufsichtsbehörde verhängt. Das Landgericht Berlin hob das Bußgeld auf, weil es nicht den Anforderungen des Deutschen Verwaltungsrechts, an die genaue Bezeichnung des Beschuldigten und der konkreten Tathandlung entsprach. Die Aufsichtsbehörde legte Beschwerde ein und hofft auf eine Klärung des Verhältnisses von DSGVO und nationalem Straf- bzw. Ordnungswidrigkeitenrecht. Die Entscheidung wird insbesondere für Konzerne mit internationalen Strukturen von großer Bedeutung sein.
  • Deutschland, 10,4 Millionen EUR gegen notebooksbiller.de wegen unzulässiger Videoüberwachung von Beschäftigten. Aufgrund eines generellen Verdachts wurden Beschäftigte an Arbeitsplätzen, in Verkaufsräumen, Aufenthaltsbereichen und im Lager über 2 Jahre hinweg per Video überwacht und die Aufnahmen lange gespeichert. Die Aufsichtsbehörde verwies darauf, dass mildere Mittel zumindest geprüft werden und konkrete Verdachtsfälle bestehen müssen.
  • Zypern, 40,000 EUR Bußgeld gegen die dortige Strombehörde wegen eines automatischen Systems zur Überwachung der gesundheitsbedingten Abwesenheit seiner Mitarbeitenden. Dabei wurden ohne gültige Rechtsgrundlage personenbezogene Daten nach Art 6 und 9 DSGVO verarbeitet und den Mitarbeitenden nicht ihr Widerspruchsrecht gem. Art. 21 DSGVO eingeräumt. Dies wäre erforderlich gewesen, da die Entscheidungsfindung Auswirkungen auf die Gesamtbewertung der Mitarbeitenden hatte.
  • Norwegen, ca. 24,000 EUR Bußgeld gegen einen unbenannten Verantwortlichen für die Weiterleitung einer E-Mail. Diese an einen Mitarbeiter adressierte E-Mail wurde an ein allgemeines Postfach des Unternehmens weitergeleitet. Dafür gab es keine Rechtsgrundlage und der Verantwortliche hatte keine Maßnahmen (TOM) implementiert, den Zugriff auf E-Mails zu regeln.
  • Spanien, 9,000 EUR Bußgeld gegen einen unbenannten Verantwortlichen für die Veröffentlichung eines Fotos auf der Webseite ohne die Einwilligung der Betroffenen. Zudem wurden die Informationspflichten (Art. 13 DSGVO) bei Erhebung der Daten nicht erfüllt.
  • Spanien, 200,000 EUR Bußgeld gegen Vodafone wegen Kontaktaufnahme via E-Mail trotz vorangegangenen Löschungsverlangens der Betroffenen. In Anbetracht der fehlenden Rechtsgrundlage im Einzelfall und zwei ähnlicher vorangegangener Fälle, wurde die Strafe verhängt. Da Vodafone einlenkte, wurde sie deutlich auf 120,000 EUR reduziert.
  • Italien, 50,000 EUR Bußgeld gegen die Gesundheitsbehörde der Emilia-Romagna für unterlassene Sicherungsmaßnahmen (TOM). Krankenhausmitarbeiter haben Familienangehörige kontaktiert und ihnen Gesundheitsdaten mitgeteilt. Da es keine gültige Rechtsgrundlage gab, stellte dies eine Datenschutzverletzung dar. Der Verantwortliche hatte keine Maßnahmen zur Datenverwaltung und eventuellen Herausgabe getroffen.
  • Italien, 30,000 EUR Bußgeld gegen eine Gesundheitsbehörde wegen der Verwendung eines Fingerabdrucksystems zur Anwesenheitskontrolle. Die Fingerabdrücke von 2,000 Mitarbeitenden wurden mit deren Personaldaten verknüpft und dazu genutzt, die Anwesenheitszeiten zu überwachen. Die verwendeten Einwilligungen der Mitarbeitenden waren zweifelhaft hinsichtlich ihrer Freiwilligkeit und der notwendigen Informationen an die Betroffenen. Die Aufsicht untersagte die weitere Datenverarbeitung.
  • Italien, 300,00 EUR Bußgeld wegen unrechtmäßiger Verarbeitung personenbezogener Daten im Zusammenhang mit der Ausschüttung von COVID-19-Hilfen. Das Nationale Institut für Sicherheit (INPS) hatte Daten von Personen, die politische Positionen innehatten, mit Daten von Personen, die COVID-19-Hilfen beantragt hatten, abgeglichen. Dabei wurden Rechtmäßigkeit und Transparenz nicht ausreichend sichergestellt und eine angesichts der sensiblen Daten notwendige DSFA unterlassen.

Fazit

Aus der Zusammenstellung wird deutlich, dass die Kooperation mit der Aufsicht stets hohe Priorität hat. Die polnische Entscheidung zur Verantwortlichkeit für AV-Verträge ist für jeden Auftraggeber alarmierend, der sich auf die Dokumente der Dienstleister verlässt oder die entsprechenden Punkte ohne eigene Kontrolle vom Dienstleister ausfüllen lässt. Fehlende oder unzureichende Rechtsgrundlagen sind ein Klassiker, führen deshalb im Wiederholungsfall oder in Verbindung mit Daten nach Art. 9 DSGVO zu deutlich schärferen Maßnahmen der Aufsichtsbehörden. Die COVID-19-Pandemie machte viele Anpassungen und neue Perspektiven notwendig. Doch das Beispiel aus Italien zeigt eindrucksvoll, dass der Datenschutz durch die Pandemie nicht ausgesetzt wurde.

Stefan Effmert

Legal Advisor

Consultant Data Protection

Am 02.03.2021 teilte Microsoft mit, dass Schwachstellen in Microsoft Exchange-Servern (=E-Mail Server) aktiv durch Hacker ausgenutzt wurden und werden. Daraufhin stellte Microsoft ein Update für die Nutzer bereit.

Was ist passiert?

Durch vier Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) wurde es Hackern ermöglicht, Daten abzugreifen (z.B. E-Mail-Kommunikation) und sich dadurch ggfs. Zugang zum gesamten Unternehmensnetzwerk zu verschaffen und Schadsoftware auf den Systemen zu implementieren.

Der Hackerangriff betrifft laut Bundesamt für Sicherheit in der Informationstechnik (BSI) ca. 9.000 in Deutschland ansässige Unternehmen. Das BSI schätzt die Bedrohung als sehr hoch ein und hat bereits damit begonnen, potenziell Betroffene zu informieren. Laut Microsoft sind von dem Hackerangriff keine Privatpersonen und deren Exchange Server betroffen.

Was ist jetzt zu tun?

Sofern noch nicht erfolgt, sollten Unternehmen umgehend die von Microsoft bereitgestellten Updates implementieren, um diese Schwachstellen zu schließen. Zudem sollte von den Systemadministratoren über das von Microsoft zur Verfügung gestellte Powershell-Skript geprüft werden, ob ein Exchange-Server bereits erfolgreich angegriffen wurde. Wenn bereits ein erfolgreicher Hackerangriff stattgefunden hat, muss das Unternehmen in den Incident Response Modus wechseln und entsprechende Nachforschungen betreiben.

Genauere Ausführungen zu den Schwachstellen und zum weiteren Vorgehen entnehmen Sie der: Sicherheitswarnung des BSI.

Laura Piater

Justiziarin
Consultant für Datenschutz

In Reportagen hört man immer wieder, wie Menschen auf Betrugsmaschen hereinfallen und dadurch große Geldsummen verlieren. Doch das Thema trifft nicht nur im privaten Bereich zu, sondern kann auch Mitarbeitern im Unternehmen passieren, denn die angewendeten Betrugsmaschen werden immer raffinierter.

Vishing

Beim so genannten Vishing (Kombination aus Voice und Phishing) gibt sich jemand als Person bzw. Unternehmen aus (Bsp. Experte, Mitarbeiter, Kundenunternehmen) und versucht im Gespräch Informationen über Passwörter, Geburtsdaten etc. zu erhalten. Ziel der Betrüger ist es dabei, sich Zugang zu den Daten des Unternehmens zu verschaffen für den anschließenden Datenklau.

Versierte Betrüger können durch das so genannte Caller ID Spoofing sogar den Eindruck vermitteln, von einer dem Angerufenen bereits bekannten Telefonnummer aus anzurufen. Den Betrügern gelingt es dadurch das Vertrauen der angerufenen Person zu gewinnen, um an die benötigten Informationen zu gelangen.

CEO-Fraud

Beim so genannten CEO Fraud gibt sich eine Person als Vorstandsmitglied, Geschäftsleitung oder anderen Führungsperson des eigenen Unternehmens aus. Per E-Mail oder Telefon sollen Mitarbeiter dazu bewegt werden, hohe Geldbeträge ins Ausland zu überweisen. Durch Informationen von der Homepage des Unternehmens sowie Social Media Inhalten erweckt der Betrüger den Anschein, über interne Informationen zu verfügen. Gepaart mit dem Anschein eines hohen Zeitdrucks kommen Mitarbeiter dem Zahlungswunsch schließlich nach.

Wie vermeidet man, dass Mitarbeiter auf den Betrug eingehen?

Oftmals wird die Wahrscheinlichkeit, auf diese oder ähnliche Betrugsmaschen hereinzufallen, von den Unternehmen als gering bewertet. In jedem Fall sind Unternehmen gut damit beraten, ihre Mitarbeiter regelmäßig hinsichtlich (aktueller) Betrugsmaschen zu sensibilisieren und Hilfestellungen in Form von Verhaltensweisen an die Hand zu geben (Bsp. keine Weitergabe von Passwörtern oder internen Informationen).

Zudem sind in die bestehenden Prozesse zum Zahlungsverkehr auch Kontrollmechanismen einzubauen, sodass der Betrug schnell erkannt wird und rechtzeitig gestoppt werden kann, sofern es notwendig werden sollte.

Laura Piater

Justiziarin
Consultant für Datenschutz

Seit Einführung der DSGVO werden Verstöße immer wieder mit hohen Bußgeldern geahndet. Auch die Deutsche Wohnen erhielt 2019 ein Bußgeld, welches nun vom Landgericht Berlin aufgehoben wurde.

 

Sachverhalt

 

Bei der Deutsche Wohnen handelt es sich um einen der größten Immobilienkonzerne in Deutschland. Im Rahmen der Vermietung werden viele personenbezogene Daten von Mietern und Interessenten verarbeitet.

 

Bereits im Jahr 2017 wurde die Deutsche Wohnen von der Aufsichtsbehörde auf Mängel hinsichtlich des Archivsystems hingewiesen. Bei einer erneuten Prüfung im Jahr 2019 konnte die Aufsichtsbehörde jedoch weiterhin gravierende Mängel feststellen.

 

Zum einen verstoße das Archivsystem der Deutsche Wohnen gegen den Grundsatz Privacy by Design gemäß Art 25 DSGVO, da das System die Löschung der personenbezogenen Daten nicht vorsieht. Dadurch befinden sich im Archivsystem Informationen, wie Gehaltsabrechnungen, Informationen aus den Arbeitsverträgen und Selbstauskünfte der Mieter. Der Vorwurf der Aufsichtsbehörde lautet weiter, dass von der Deutsche Wohnen nicht geprüft wurde, ob die Speicherung der personenbezogenen Daten rechtmäßig und erforderlich ist.

 

Die Aufsichtsbehörde verhängte daraufhin ein Bußgeld in Höhe von 14,5 Mio EUR gegen die Deutsche Wohnen. Dagegen legte die Deutsche Wohnen Einspruch ein, sodass das Landgericht Berlin mit dem Fall befasst war.

 

Entscheidung des Landgerichts Berlin

 

Das Landgericht Berlin stellte das Verfahren ein, weil der Bußgeldbescheid unwirksam sei (LG Berlin, Beschluss der 26. Großen Strafkammer v. 18.2.2021, Az.: 526 AR). Begründet hat das Landgericht Berlin die Unwirksamkeit damit, dass im Bußgeldbescheid keine Angaben zu konkreten Tathandlungen eines Organs des Unternehmens enthalten seien. Zu den Datenschutzverletzungen an sich hat sich das Landgericht Berlin dabei nicht geäußert.

 

Diese Entscheidung wirft jedoch auch neue Rechtsfragen auf. Insbesondere muss geklärt werden, ob eine konkrete Handlung von Leitungspersonen oder gesetzlichen Vertretern nachgewiesen werden muss, um entsprechende Verstöße gegen die DSGVO ahnden zu können.

 

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat in der Presseerklärung vom 03. März 2021 bereits zu bedenken gegeben, dass viele Verstöße gegen die DSGVO in diesen Fällen nicht mehr geahndet werden können, da der Nachweis einer konkreten Handlung eines Organs des Unternehmens - insbesondere bei Unternehmen mit komplexen Konzernstrukturen - nicht möglich sein wird. In diesem Zusammenhang würden jedoch Unternehmen mit weniger komplexen Strukturen (v.a. kleine und mittelständische Unternehmen) benachteiligt werden.

 

Ausblick

 

Auch wenn das Landgericht Berlin das Verfahren eingestellt hat, bedeutet das noch nicht, dass die Deutsche Wohnen nicht doch noch ein Bußgeld zahlen muss.

 

Denn die Staatsanwaltschaft hat gegen die Entscheidung des Gerichts bereits Beschwerde eingelegt. Im weiteren Verfahren ist zu hoffen, dass das Gericht das Verhältnis zwischen DSGVO und dem deutschen Ordnungswidrigkeitenrecht klärt.

 

Laura Piater

 

Justiziarin

Consultant für Datenschutz

Auch wenn in dieser Hinsicht noch einige Fragen offen sind, nehmen die Verfahren zu Schadensersatzansprüchen nach der Datenschutzgrundverordnung (DSGVO) zu. Wir hatten hierzu auch bereits berichtet (siehe Blog "Datenschutz Bußgelder Anfang 2021"). Hier soll ein kurzer Überblick über die rechtliche Grundlage in § 82 DSGVO gegeben und diese anhand von Beispielen veranschaulicht werden.

 

Rechtliche Grundlage

 

Nach § 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Zu einem solchen Schaden können beispielsweise führen: Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Kontrolle über die personenbezogenen Daten oder Einschränkung der Rechte der betroffenen Personen, Verlust der Vertraulichkeit vom Berufsgeheimnis unterliegenden Daten oder finanzieller Verlust.

 

 

Unrechtmäßige Datenübermittlung an die Schufa

 

Das Landgericht Lüneburg hat einem Kläger wegen einer unrechtmäßigen Datenübermittlung an die Schufa Schmerzensgeld in Höhe von 1.000€ zugesprochen. Der Kläger hatte ein Bankkonto mit einem Dispokredit von 1.000€, den er um 20€ überschritt. Nachdem er von der Bank hierüber informiert wurde, glich er die überzogenen 20€ aus. Die Bank meldete der Schufa danach trotzdem die Überziehung des Kontos.

 

Damit verstieß die Bank gegen die DSGVO, da sie kein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Datenübermittlung hatte. Für den Schaden ließ es das LG Lüneburg – im Gegensatz zu anderen Gerichten, die eine schwerwiegende Persönlichkeitsverletzung fordern – schon ausreichen, dass die unrichtige Meldung an die Schufa negativen Einfluss auf die wirtschaftliche Handlungsfreiheit des Kunden haben könnte, auch wenn die Falschmeldung bis zur Berichtigung nur 2 Wochen bestanden habe.

 

Falscher E-Mail-Empfänger

 

Das Landgericht Darmstadt hat einem Kläger 1.000€ Schmerzensgeld wegen einer falsch versandten Nachricht zugesprochen. Die Beklagte wollte dem Kläger, der sich bei ihr beworben hatte, eine Nachricht über Xing schicken, in der es um die Gehaltsvorstellungen des Klägers ging, versandte sie aber an eine dritte Person. Für diese Datenverarbeitung (= Versand der Nachricht) bestand jedoch keine Rechtsgrundlage, sodass ein Datenschutzverstoß vorlag. Zusätzlich lag ein Verstoß gegen Art. 34 DSGVO vor, da ein hohes Risiko für die persönlichen Rechte und Freiheiten des Klägers bestand und die Beklagte den Kläger nicht unverzüglich benachrichtigte.

 

Unberechtigter Versand von Gesundheitsdaten

 

Das Arbeitsgericht Dresden hat einem Kläger 1.500€ Schmerzensgeld zugesprochen, weil die Prokuristin des Unternehmens der Ausländerbehörde und der Arbeitsagentur in einer E-Mail mitteilte, dass ein ausländischer Beschäftigter des Unternehmens arbeitsunfähig erkrankt sei und listete die Krankheitszeiten auf. Dabei handelt es sich um Gesundheitsdaten, sodass ein Verstoß gegen Art. 9 Abs. 1 DSGVO vorlag. Der immaterielle Schaden lag in der Rufschädigung des Beschäftigten und im Kontrollverlust über seine personenbezogenen Daten.

 

Fazit

 

Anhand dieser Fälle lässt sich gut erkennen, dass alltägliche Vorkommnisse, die von einigen bestimmt als „nicht so schlimm“ bewertet werden würden, durchaus (erhebliche) Auswirkungen auf die betroffenen Personen haben und somit auch einen Schadensersatzanspruch nach der DSGVO begründen können.

 

Seien Sie deshalb vorsichtig bei Datenverarbeitungen und prüfen Sie vor einer Datenübermittlung gewissenhaft, ob sie hierzu berechtigt sind und es sich auch um den richtigen Empfänger handelt.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Am 10. Februar 2021 hat das Bundeskabinett den Entwurf zum Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (kurz: Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG)) beschlossen. Durch das TTSDG soll Rechtsklarheit für den Datenschutz und den Schutz der Privatsphäre in der digitalen Welt geschaffen werden.

 

Das TTDSG vereint Datenschutzbestimmungen aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) und hat diese Regelungen auch an die europäischen Vorgaben, insbesondere die Datenschutzgrundverordnung (DSGVO) angepasst.

 

Besonders hervorzuheben ist die enthaltene Regelung zum Einsatz von Cookies. Dies ist zwar schon seit längerer Zeit durch die europäische ePrivacy-Richtlinie geregelt, wurde aber im deutschen Recht bisher nie umgesetzt. So ist im TTDSG vorgeschrieben, dass das Speichern von und der Zugriff auf Cookies nur dann erlaubt ist, wenn der Endnutzer eingewilligt hat. Diese Einwilligung hat nach der Maßgabe der DSGVO zu erfolgen, d.h. sie muss freiwillig, auf Grundlage von klaren und umfassenden Informationen erfolgen und jederzeit widerruflich sein. Eine Einwilligung soll nur dann nicht erforderlich sein, wenn die Speicherung von oder der Zugriff auf die Informationen technisch notwendig sind.

 

Nun muss der Bundestag dem Gesetzesentwurf noch zustimmen. Wir werden hierzu weiter berichten.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Datenpannen sind in der Regel nach Art. 33 Abs. 1 Satz 1 DSGVO meldepflichtig, es sei denn, sie führen voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Person. Eine meldepflichtige Datenpanne muss vom Verantwortlichen innerhalb von 72 Stunden nach dessen Bekanntwerden an die zuständige Aufsichtsbehörde gemeldet werden.

Oft stellt sich jedoch die Frage: Ab wann wird eine Datenpanne dem Verantwortlichen überhaupt bekannt?

Mehrere Landesbeauftragte für Datenschutz und Informationsfreiheit haben sich mittlerweile zu dieser Frage geäußert.

Der Landesbeauftragte in Bayern hat sich zur Kenntniszurechnung in Behörden geäußert. Nach dessen Ansicht wird das meldepflichtige Ereignis jedenfalls dann bekannt, wenn bestimmte Funktionseinheiten bzw. bestimmte Funktionsträger Kenntnis von dem in Rede stehenden Vorfall erlangen. Klargestellt wurde, dass dem Verantwortlichen nicht das Wissen des behördlichen Datenschutzbeauftragten zuzurechnen ist.

Der Landesbeauftragte in Hamburg vertritt die Ansicht, dass es für die Kenntnis bereits genügt, dass eine beliebige Person im Unternehmen oder der Behörde Kenntnis von dem Vorfall erlangt.

Nach Ansicht der Landesbeauftragten des Saarlandes begründet die positive Kenntnisnahme der Datenschutzverletzung durch den Verantwortlichen den Fristbeginn für die 72 Stunden. Dem Verantwortlichen ist dabei die Kenntnis desjenigen Mitarbeiters/derjenigen Mitarbeiterin zuzurechnen, der/die nach der internen Organisation für die Verarbeitung personenbezogener Daten verantwortlich ist oder von dem dies aufgrund seiner Stellung im Unternehmen erwartet werden kann.

Kenntnis gilt folglich eher früher als erlangt als später. Darauf sollten sich die Unternehmen einstellen. Folgt man der strengeren Ansicht aus Hamburg, so kann die Kenntnis eines jeden Mitarbeiters ausreichen, um die Frist in Gang zu setzen. Schaffen Sie also in Ihrem Unternehmen immer ein ausreichendes Risikobewusstsein bei allen Ihren Mitarbeitern im Umgang mit Daten und Datenpannen.

Dr. Bettina Kraft

Teamleitung und Senior Consultant für Datenschutz

Volljuristin

Die große Bußgeldwelle nach Inkrafttreten der europäischen Datenschutzgrundverordnung im Jahr 2018 ist ausgeblieben. Jetzt, fast drei Jahre danach steigt die Zahl der erfassten Verstöße und die damit verbundenen Bußgelder stetig. Im Jahr 2020 verhängten die europäischen Bußgeldbehörden gemeinsam Bußgelder in Höhe von 158,5 Millionen € wegen Verstößen gegen das europäische Datenschutzrecht.

 

Schaut man sich die Zahlen der erfassten Verstöße an, sieht man einen deutlichen Zuwachs im Vergleich zu den Jahren zuvor, seit Mai 2018. Tatsächlich stieg die Zahl um 39%!

 

Im europäischen Vergleich sind, wie auch vor der DSGVO deutliche Unterschiede zu erkennen. Nicht nur die Zahlen der Verstöße, gerade der unterschiedliche Umgang mit diesen wird deutlich.

 

Die meisten Verstöße sind mit 77.747 Fällen in Deutschland dokumentiert. Bezieht man die gemeldeten Verstöße aber auf die Einwohnerzahl, liegt Dänemark mit 155,6 gemeldeten Verstößen pro 100.000 Einwohner vor allen anderen Mitgliedstaaten. Aus diesen Zahlen sollte man allerdings nicht voreilig folgern, dass in Deutschland oder Dänemark ein besonders niedriges Datenschutzniveau herrscht.

 

Zum Vergleich: Im gleichen Zeitraum gab es in Frankreich 5389 und in Italien lediglich 3460 geahndete Fälle. Interessanterweise belegt Italien aber bei der Gesamtsumme von verhängten Bußgeldern den ersten Platz mit insgesamt 69 Millionen Euro.

 

Dies macht deutlich wie unterschiedlich die DSGVO durch die Datenschutz- und Bußgeldbehörden ausgelegt wird. Denn oftmals bedeutet die Meldung eines Datenschutzvorfalls nicht gleich ein Bußgeld für den Verantwortlichen.

 

Fazit:

 

Die Höhe und der Anstieg der geahndeten Fälle und die Summe der verhängten Bußgelder zeigt, dass die Zeit der nachsichtigen Aufsichts- und Bußgeldbehörden ein Ende nimmt. Unternehmen hatten ausreichend Zeit ihr Datenschutzmanagement aufzustellen und damit die Rechte der betroffenen Personen zu schützen.

 

Im Jahr 2021 ist davon auszugehen, dass es erneut zu mehr Bußgeldern kommen wird. Die Probleme, welchen sich Unternehmen aufgrund des Coronavirus gegenübersahen, werden dieses Jahr nicht mehr als Ausrede taugen, sodass gegen datenschutzrechtliche Verstöße konsequenter vorgegangen werden muss.

 

Jan Brinkmann

 

Consultant für Datenschutz

 

Volljurist

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat der notebooksbilliger.de AG ein Bußgeld in Höhe von 10,4 Millionen Euro wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) auferlegt.

 

Das Unternehmen hat seine Beschäftigten über einen Zeitraum von mindestens zwei Jahren per Video überwacht, wobei die Kameras u.a. Lager, Verkaufsräume, Arbeitsplätze und Aufenthaltsbereiche erfassten. Eine Rechtsgrundlage für diese Überwachung gab es nicht.

 

Ziel der Videoüberwachung sei laut dem Unternehmen die Verhinderung und Aufklärung von Straftaten sowie eine Nachverfolgung des Warenflusses in den Lagern gewesen. Eine Videoüberwachung zur Aufdeckung von Straftaten kann jedoch nur rechtmäßig sein, wenn tatsächliche Anhaltspunkte den Verdacht begründen, dass eine konkrete Person eine Straftat begangen hat. Ein Generalverdacht reicht nicht aus. Ferner ist bei einem begründeten Verdacht nur eine zeitlich begrenzte Überwachung angezeigt. Die Videoüberwachung bei notebooksbilliger.de war jedoch weder auf einen bestimmten Zeitraum noch auf konkrete Personen beschränkt. Die Aufzeichnungen wurden zudem teilweise 60 Tage gespeichert und damit laut LfD Niedersachsen deutlich länger als erforderlich. In der Regel sind die Daten innerhalb von 2 bis 3 Tagen (max. 72 Stunden) nach Erhebung zu löschen, da es zumutbar ist, in diesem Zeitraum zu klären, ob eine Sicherung des Materials notwendig ist.

 

Einige Kameras waren auch auf Sitzgelegenheiten im Verkaufsraum gerichtet, sodass von der unzulässigen Videoüberwachung neben den Beschäftigten auch Kunden und Kundinnen des Unternehmens betroffen waren. Die Landesbeauftragte führte aus, dass die betroffenen Personen in Bereichen, in denen sich Menschen typischerweise länger aufhalten, z.B. um die angebotenen Geräte ausgiebig zu testen, hohe schutzwürdige Interessen haben. Dies gelte besonders für Sitzbereiche, die offensichtlich zum längeren Verweilen einladen sollen.

 

Sie betonte außerdem, dass es sich hierbei um einen schwerwiegenden Fall der Videoüberwachung im Betrieb handele und Unternehmen verstehen müssen, dass sie damit massiv gegen die Rechte ihrer Mitarbeiter und Mitarbeiterinnen verstoßen.

 

Bei dem Bußgeld in Höhe von 10,4 Millionen handelt es sich um das bisher höchste Bußgeld, das Niedersachsen seit Inkrafttreten der DSGVO ausgesprochen hat. Der Bußgeldbescheid ist jedoch noch nicht rechtskräftig, da notebooksbilliger.de hiergegen Einspruch eingelegt hat.

 

Nach der Verhängung des bisher höchsten Bußgeldes in Deutschland in Höhe von 35,3 Millionen Euro im letzten Jahr, zeichnet sich auch durch diese Entscheidung der LfD Niedersachsen ab, dass die Aufsichtsbehörden ihr Vorgehen bei Datenschutzverstößen verschärfen. Prüfen Sie daher auch in Ihrem Unternehmen sorgfältig, ob Sie die Vorgaben der DSGVO einhalten.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

20 Mitarbeiter 50 Millionen 72 Stunden A1 Digital Abbinder Abkommen Abmahnung Abmahnungen Abo-Falle Absenderinformationen irreführend Absicherung Abstandsmessung Abstandsüberwachung Abstimmung Abwehr terroristischer Straftaten ADCERT Adressbuch AfD ähnliche Betrugsmaschen Airbnb amerikanische Behörden Amnesty Anbieter Angemessenheitsbeschluss Angemessenheitsentscheid Angestellte Angreifer Angriff Anklage Anonymisierung Anschein Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit Anwesenheitskontrolle AOK Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsagentur Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Arbeitsverhältnis Arbeitszeit ArbGG Art 6 und 9 DSGVO Art. 13 DSGVO Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 28 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Auftragsverarbeitungsvertrag Aufzeichnung Auskunft Auskunftei Auskunftsanspruch Auskunftsansprüche Auskunftsrecht Auskunftsverlangen Ausländerbehörde auslisten Ausnutzung Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG Bankkonto BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Befunde Begrifflichkeiten Beherbergungsstätten Bekanntwerden BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berichte Berufsgeheimnis Beschäftigte Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten Betreff passt nicht betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene betroffene Person betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte Betrüger Betrugsmasche BetrVG Bewegungsprofil Bewerberdaten Bewerberportal BfDI BGH Bildaufnahmen Bildberichterstattung Bilder Bildersuche Bildrecht Bildrechte Binding Corporate Rules biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesdatenschutzbeauftragter Bundesfinanzministerium Bundesgesundheitsministerium Bundeskartellamt Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgeldbehörden Bußgelder Bußgeldverfahren BVG Callcenter Caller ID Spoofing Cambridge Analytics Captcha-Funktion CEO-Fraud Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Coronavirus Corporate Design COVID-19 COVID-19-Hilfen CovidLock Malware Coworking-Spaces Cross Site Scripting Custom Audience CVE-2020-1456 CVE-2020-35753 CVE-2021-26857 CVE-2021-26858 CVE-2021-27065 Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenabflüsse Datenaustausch Datenerhebung Datenklau Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzaufsichtsbehörde Datenschutzaufsichtsbehörden Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzmanagement Datenschutzmängel Datenschutzniveau Datenschutzpanne Datenschutzprinzipien Datenschutzvereinbarung Datenschutzverletzung Datenschutzverletzungen Datenschutzverstöße Datenschutzverstößen Datenschutzvorfall Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenübertragung Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Denial of Service Deutsch deutsch Deutsche Bahn Deutsche Bundesbank deutsche Telemediengesetz Deutsche Wohnen Deutsche Wohnen SE Diagnose Diebstahl Dienste Diensteanbieter Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Dispokredit Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittlandtransfers Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten Drohung DSAnpUG-EU DSDVO DSFA DSG DSGVO DSGVOÜberwachungstool DSK DSVGO Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen E-Mail-Kommunikation e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EDPB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte eigenes Unternehmen Eigentum Einhaltung Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen Einzelfall elektronische Kommunikation elektronische Patientenakte Empfänger Empfehlungen Empfehlungen für Transfer- und Überwachungsmaßnahmen Ende-zu-Ende Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entsorgung ePA ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Datenschutzgrundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Standardvertragsklauseln EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Kommission Europäische Union europäischen Vorschriften Europäischer Gerichtshof European Data Protection Board EWR Exchange-Servern externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Falschmeldung Fanpage Fanpagebetreiber Faxgerät FBI FDPIC Feedback fehlende TOM Fehler Fernmeldegeheimnis Festplatte Finanzamt Finanzsektor Fingerabdruck Fingerabdruckscanner Fingerabdrucksystem Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Foto-Funktion Fotos auf der Webseite ohne die Einwilligung Framework freiwillig Frist Fristbeginn fristlose Kündigung Führungsperson Funkmäuse Funktastaturen Fürsorgepflicht GDPR Geburtsdaten gefährdet gefälscht Email Gehaltsvorstellung Geheimhaltung Geldbörse Geldbußen Geldstrafe Geldsumme Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb Gesetz gegen Wettbewerbsbeschränkungen gestohlen gesundheitsbedingten Abwesenheit Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechte Grundrechtsabwägung Grundrechtseingriffen Grundsatz der Zweckbindung GWB H & M H&M Hack hack day Hackathon hacken Hacker Hackerangriff Hackerangriff auf Microsoft Exchange-Server hackfest halal Handelsabkommen Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hilfestellung Hinweisgeber Hoccer höchstpersönlich Höchstvermietungsdauer Home Office Home-Office Homeoffice Homepage Hygiene Identitätsdiebstahl Immobilienmakler Incident Response Incident Response Modus Infomationen Information Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter INPS Insights Insolvenzmasse Insolvenzverfahren Insolvenzverwalter Installation Integrität interne Informationen interner Datenschutzbeauftragter Internet Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Abteilung IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kameras Kanada Kenntnis Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Kommunikationsmedium Konferenz konkrete Handlung Kontaktaufnahme trotz Löschungsverfahren Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Kontrolle Konzern konzerninterner Datentransfer Kooperation mit der Aufsichtsbehörde Kooperationsabkommen Körpertemperatur KoSIT Krankenkasse Krankenkassen Krankheit Kriminalität Kriminelle Krise KUG Kunden Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Kurzarbeit Landesarbeitsgericht Landesbeauftragte Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Landesbeauftragte für den Datenschutz Landesdatenschutzbeauftragten Landesdatenschutzgesetz Landesverband Landgericht Landgericht Berlin Laptop Lazarus Leads Work Limited Lebensweise Lehrer Leistungs- und Verhaltenskontrolle Leitungspersonen LfD LfDI Baden-Württemberg LfDI BW Like-Button Link geklickt Link klicken Link öffnen LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Löschungsverfahren Löschverlangen Lösegeld Machtposition Mail Makler Malware Mängel Manipulation eines Request Manipulation eines Requests Markennamen Markenrecht marktbeherrschende Stellung Marktforschung Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldevorhaben Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messung Microsoft Microsoft Office Mieter Mieterdaten Mietverhältnis Minutien Misch-Account Missbrauch Missbrauch von Kundendaten missbräuchlich Mitarbeiter Mitbestimmung Mitbestimmungsrecht Mitbewerber Mitglieder Mitgliedsstaaten Mitwirkung Mobiltelefon MouseJack-Angriffe Nachverfolgung Nationale Institut für Sicherheit Nationale Schule für Justiz natürliche Person Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande Niedersachsen NIST No-Deal-Brexit Nordkorea Notebook notebooksbilliger.de Nutzer Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Dienste Online-Gewinnspiel Online-Kommunikationstools OpenPGP Opfer organisatorische Absicherung Original oder Betrug Österreich Pandemie Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests Persis Online personal data Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten personenbezogenen Daten Personenbilder persönliche Daten Persönlichkeitsrecht Persönlichkeitsrechte Persönlichkeitsverletzung Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phishing-Mail Phishingmail Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query Powershell-Skript PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatleben Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Produktivitätswert Profiling Prozesskosten Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht am eigenen Bild Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechte der betroffenen Personen Rechtmäßigkeitsvoraussetzungen Rechtsabteilung Rechtschreibung fehlerhaft rechtswidrig Referenten Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien Regelungsaufträge Reichweitenanalyse Reputationsschaden Research Research Team Risiken Risiko Risikobewusstsein Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen SCC Schaden Schadensersatz Schadensersatzanspruch Schadprogramm Schadsoftware Schmerzensgeld Schrems II Schufa Schüler Schulung Schulungsplattform Schutz Schutz der Privatsphäre schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstelle Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Sensibilisierung SHA1 SharePoint sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherheitswarnung des BSI Sicherung der Daten Siegel Signal Signatur Sitzbereiche Sitzungen Skype Smartphone Social Media Inhalt Social Plugin sofort Handeln Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke soziale Netzwerke Spammails SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standarddatenschutzklauseln Standardschutzklauseln Standardvertragsklauseln Standort Statistik Tool Steuer Steuerberater Strafe Strafen Straftaten Strafverfolgung Stresssituation Studenten Suchanfrage Suchdienst Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss- U.S. Privacy Shield Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Tathandlung Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische Absicherung Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefonanruf Telefonat Telefonnummer Telefonwerbung Telekommunikation-Telemedien-Datenschutzgesetz Telekommunikationsgesetz Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Transfer- und Überwachungsmaßnahmen Transportverschlüsselung TTDSG Twitter Übergangsfrist Übergangsphase Übermittlung personenbezogener Daten Übernahme Übertragung Überwachung Überwachungssoftware Überweisung ins Ausland überzogen Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account unterlassen Sicherungsmaßnahme Unterlassungsanspruch Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmensnetzwerk Unternehmenssprache unverschlüsselt unverschlüsselter E-Mail Anhang Unwirksamkeit unzulässig Update Urlaub Urteil US-Behörden US-Regierung USA UWG Vegan Vegetarier Verantwortlichen Verantwortlicher Verantwortung Verarbeitung Verarbeitung von Mieterdaten Verarbeitungsverbot Verbot Verbraucher Verbraucherzentralen Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren Verfahren C-311/18 Vergessenwerden Verhaltensweise Verkaufsraum Verlängerung Verletzung der Meldepflicht verloren Verlust Vermieter Vermietung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Versicherte Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Vertrauen Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Video-Kommunikation Videokamera Videokonferenz Videokonferenzen Videokonferenzsysteme Videoüberwachung Videoüberwachung der Beschäftigten Virus Vishing Vodafone Voraussetzungen Voreinstellungen Vorgesetzte Vorsicht Vorteile Wachstum WAF WannaCry Warnung Web-Applikation-Firewalls Webcast Webseite Webseiten Webseitenbesucher Webseitenbetreiber Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weiterempfehlung von Stellenausschreibungen Weitergabe Weitergabe an Dritte Weiterleitung E-Mail Weltanschauung Werbe SMS ohne Einwilligung Werbeaussage Werbezwecke Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung Workplace Analytics X-Rechnung Xing XSS Youtube Zahlungsverkehr Kontrollmechanismen Zeitdruck Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zoom Video Zugang zu Daten Zugangsdaten Zugriff Zugriffsmöglichkeiten Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit zusätzliche Maßnahmen Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung Zweckbindungsgrundsatz § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30