Haftung des Geschäftsführers bei fehlendem DS-GVO-Management

DSGVO News

Sorgfaltspflicht eines Geschäftsführers Mit einer Entscheidung (Az. 12 U 1520/19) vom 30. März 2022 hat das OLG Nürnberg sich mit der Haftung eines Geschäftsführers für Compliance-Verstöße auseinandergesetzt Das OLG Nürnberg hat sich in seiner Entscheidung vom 30.03.2022 (Az. 12 U 1520/19) mit der Haftung eines Geschäftsführers für Compliance-Verstöße auseinandergesetzt. Dieses Urteil lässt sich problemlos auf die DS-GVO und das Datenschutzmanagement übertragen. Der Beklagte hatte es im vorliegenden Fall unterlassen, erforderliche Compliance-Strukturen zu schaffen, die zum einen ein rechtmäßiges und effektives Handeln gewährleisten und zum anderen die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern. Jede Gesellschaft verarbeitet in ihren Arbeitsprozessen und ihrer unternehmerischen Tätigkeit personenbezogene Daten von Kunden und Vertragspartnern, sodass die Einhaltung und Überwachung des Datenschutzes im...

Weiterlesen

Sicherheitslücken bei Gesundheits-Apps

DSGVO News

Nach Informationen von NDR und WDR konnten Nutzer von bestimmte Gesundheits-Apps auf Daten anderer Patienten zugreifen. Lesen Sie hierzu diesen Artikel. Aller anschein nach sind die massive Sicherheitslücken bei Novego und Cankado bereits behoben. Ich hoffe es jedenfalls. Was mir aber viel mehr beunruhigt ist die Aussage von dem Sprecher des Bundesdatenschutzbeauftragten, Christof Stein. Dieser erklärt: "Tatsächlich hat ein Softwarehersteller keine Verpflichtung, seine Software in irgendeiner Art und Weise datenschutzkonform auszugestalten."  Das gelte auch für Software, die sensible Daten verarbeitet. Ich frage mich: Wie steht es denn mit Art. 25 DS-GVO - Privacy by Design und Privacy by Default? Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie...

Weiterlesen

Löschung von 3G-Daten

DSGVO News

Um keine rechtswidrige Datenfriedhöfe anzulegen, müssen Sie ab sofort die gespeicherten Daten zu den registrierten Impf- und Teststatus löschen. Wer es noch nicht gemacht hat, sollte es spätestens jetzt tun den, Niedersachsens Datenschutzbeauftragte Barbara Thiel hat darauf hingewiesen das Sie in diesem Jahr (2022) unangekündigt Kontrollen in Unternehmen und Einrichtungen durchführen will. Es geht hier also um die Zugangsbeschränkung am Arbeitsplatz nach der 3G-Regel. Für die Erfassung und Speicherung der Daten zur Impf- und Teststatus der Mitarbeiter gibt es, außer im Gesundheitsbereich, keine gesetzliche Grundlage mehr. Obwohl bisher nur die Landesdatenschutzbehörde Niedersachsen Kontrollen in Unternehmen und Einrichtungen angekündigt haben, werden vermutlich alle Landesdatenschutzbehörden ein wachsames Auge auf diese Löschpflicht haben.   Ich empfehle die Löschung der Daten zu dokumentieren. Am...

Weiterlesen

Die DS-GVO – eine Herausforderung für kleine Unternehmen?

DSGVO News

Die Datenschutz Grundverordnung. Stellt die DS-GVO kleine Unternehmen vor große Probleme? Dieses Gesetz, die Datenschutz Grundverordnung, ist jetzt schon eine ganze Weile in Kraft und es wurde schon viel – sehr viel – darüber gesprochen und geschrieben. Es hat sich auch schon einiges getan, vor allem bei den größeren mittelständischen Unternehmen. Selbständige, die allein oder in einem losen Netzwerk arbeiten, aber auch kleine Organisationen mit nur wenigen Mitarbeitern sowie Vereine haben nach wie vor erhebliche Probleme DS-GVO Konform aufzutreten. Die Größe eines Unternehmens sagt nicht immer etwas darüber aus, wie viele personenbezogene Daten erhoben werden und wie sensibel diese sind.  Denken Sie zum Beispiel an Finanzberater, Versicherungs- und Immobilienmakler, unabhängige Psychologen, Physiotherapeuten aber auch an Handwerker und den Onlinehandel. Neben...

Weiterlesen

Warnung vor dem Einsatz von Kaspersky-Virenschutzprodukten

DSGVO News

Die Cybersicherheitsbehörde (BSI) hält es für möglich das russische Unternehmen gegen deren Willen gezwungen werden, Systeme außerhalb (und innerhalb) Russland anzugreifen. Nach der BSI-Kritisverordnung §7 warnt das Bundesamt für Sicherheit in der Informationstechnik vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky. Zwar bezieht sich der §7 der Cybersicherheitsbehörde auf dem Sektor Finanz- und Versicherungswesen, grundsätzliche aber können alle Behörden, Unternehmen und private Nutzerinnen und Nutzer der Virenschutzsoftware Kaspersky von einem Angriff getroffen werden. Das BSI empfiehlt daher, Anwendungen aus dem Portfolio von Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen. Quelle: Bundesamt für Sicherheit in der Informationstechnik – 15. März 2022

Weiterlesen

Kritische Lücken bei HP Bürodruckern

DSGVO News

Forschern der finnischen IT-Sicherheitsfirma F-Secure haben zwei Datensicherheit/ Datenschutz Lücken bei HP Bürodruckern entdeckt. HP bezeichnet diese Lücken als „kritisch“! Lücke 1: Der Angreifende versucht über ein Datenschutz-Sicherheitsvorfall, wie z.B. eine Phishingmail seine Opfer auf eine bestimmte Website zu locken. Wenn der Drucker direkt verbunden ist, druckt dieser automatisch ein bestimmtes Dokument aus. Lücke 2: Der Angreifende bringt das Opfer dazu eine Seite über eine entsprechenden Mail-Anhang oder eine Datei von einem USB-Stick auszudrucken. Durch eine manipulierte Schriftart in dem Dokument kann er dabei einen Speicherfehler im Drucker erzwingen und erlangt hiermit die Möglichkeit einen weiteren Code auszuführen um damit das Gerät zu kapern. Sobald der Datenschutz-Sicherheitsvorfall zu einem Erfolg geführt hat, kann der Angreifer jede Datei, die gedruckt, gescannt...

Weiterlesen

Bußgeldbescheid wegen Videoüberwachung

DSGVO News

Wie ernst das Thema Videoüberwachung in Niedersachsen genommen wird zeigt das Vorgehen des Landesdatenschutzbeauftragte Niedersachsen . Nach Überzeugung dieser Landesdatenschutzbehörde hat das Unternehmen Notebooksbilliger.de seine Mitarbeiter über mindestens 2 Jahre rechtswidrig per Video überwacht. Die Kameras hätten dabei Aufenthaltsbereiche, Lager, Verkaufsräume und Arbeitsplätze erfasst. Notebooksbilliger.de beruft sich auf, das in ihren Augen, legitime Ziel Straftaten zu verhindern und aufzuklären sowie den Warenfluss in den Lagern nach zu verfolgen. Die Landesdatenschutzbehörde widerspricht dieses und findet das Verhalten von Notbooksbiller.de nicht verhältnismäßig. Mit dem Bußgeldbescheid bestraft die Landesbeauftragte für den Datenschutz Niedersachsen, Barbara Thiel, das Unternehmen dafür das sie mit diesen intensiven Videoüberwachung massiv gegen die Rechte ihrer Mitarbeiterinnen und Mitarbeiter verstoßen hat. Videoüberwachung in Ihrem Unternehmen Unternehmer und Verantwortliche sollten das...

Weiterlesen

Datenleck bei Spotify

DSGVO News

Bereits am 3. Juli 2020 hat Noam Rotem und Ran Locar von der VPN-Bewertungsseite VPNmentor.com einen Datenleck an Spotify gemeldet. Die ungeschützte Datenbank stamme nicht von dem Musikstreamingdienst Spotify selbst, sondern wurde vermutlich von Kriminellen erstellt, welche die rund 72 GByte umfassende Datenbank mit 380 Millionen Einträgen ungeschützt im Internet zurück gelassen haben.Kriminelle könnten mit den Zugangsdaten beispielsweise die bezahlten Spotify-Konten mitnutzen und Social-Engineering-Angriffe starten. Betroffene, die sich nicht sicher sind ob sie die Warnung von Spotify erhalten haben oder diese möglicherweise gelöscht haben, sollten ihre Zugangsdaten umgehend ändern. Wenn das gleiche Passwort auch bei anderen Diensten verwendet wird, sollte auch dort das aktuelle Passwort geändert werden. Zudem empfiehlt es sich, die Zwei-Faktor-Authentifizierung von Spotify zu verwenden. Quelle: Golem.de /...

Weiterlesen

EuGH erklärt das Privacy-Shield Abkommen für ungültig!

DSGVO News

Am 16. Juli 2020 hat die EuGH das EU-US-Datenschutzschild (Privacy-Shield) für ungültig erklärt! Nach „Safe Harbor“ ist das „Privacy-Shield Abkommen bereits die zweite Vereinbarung zum transatlantischen Datenschutz, die das Gericht für ungültig erklärt. Im Moment ist unklar, wie Daten von EU-Bürgern beim Transfer in die USA zukünftig geschützt werden können. Nach Art. 45 DSG-VO ist eine Datenübermittlungen in ein Drittland auch dann zulässig, wenn von der Europäischen Kommission durch einen Angemessenheitsbeschluss entschieden wurde, dass das Datenschutzniveau in diesem Drittland ausreichend ist. Dies war die Grundlage für den EU-U.S. Privacy Shield, welcher am 1. August 2016 in Kraft trat. Dass Privacy Shield war kein wirkliches Abkommen, sondern lediglich eine Absprache zwischen den USA und der EU. Die Vereinigten Staaten sicherten gewisse...

Weiterlesen