Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 40/2021)“
Der 18. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 40/2021)“ ist da!
Wie angekündigt konzentriert sich diese Ausgabe auf Rechtsprechung des vergangenen Monats.
- Aufsichtsbehörden
- Rechtsprechung
- Belgien: Verschlüsselung und Schrems II
- VG Wiesbaden: Vorlage an EuGH zur Verwendung von Daten zum Scoring
- BAG: Vorlage beim EuGH zu Art. 9 und Art. 82 DS-GVO
- Stellungnahme des Generalanwalts des EuGH: DS-GVO regelt nicht alles
- Stellungnahme des Generalanwalts des EuGH: Geltung der DS-GVO für Gerichte? – und überhaupt!
- LG Köln: Schmerzensgeld durch Weiterleiten eines Urteils?
- OLG Brandenburg: Kein Schadensersatz nach Art. 82 DS-GVO ohne konkrete Darlegung
- Sozialgericht Nordhausen: kein rechtswidriges Behördenhandeln, wenn Art. 13 nicht beachtet
- OGH Österreich: Löschanspruch gegenüber Auskunftei?
- LAG München: Arbeitgeber darf Rückkehr aus „Homeoffice“ anordnen
- Filmstudios verklagen VPN-Anbieter
- Gesetzgebung
- Veröffentlichungen
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 LfDI Baden-Württemberg: aktualisierte Hinweise zu internationalem Datentransfer
Der LfDI Baden-Württemberg hat mit Stand September 2021 seine „Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?“ aktualisiert. Berücksichtigung fanden nun der Durchführungsbeschluss (EU) 2021/914 der EU-Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (und eigentlich sind es Standarddatenschutzklauseln…).
1.2 LfDI Baden-Württemberg: Datenschutzhinweise erstellen
Wie kann ein Verein oder KMU schnell und einfach die erforderlichen Datenschutzhinweise erstellen? Mit dem Tool des LfDI Baden-Württemberg wäre das seiner Ansicht nach möglich. Natürlich befreit die Verwendung nicht von der eigenverantwortlichen Prüfung des Verwenders, ob tatsächliche alle Verarbeitungen erfasst werden und die Übernahme in das Tool die gesetzlichen Anforderungen erfüllt. Für die angestrebte Zielgruppe erreicht das Tool aber ein „etwas mehr“ an Rechtssicherheit.
1.3 BfDI: Konsultationsverfahren zu KI bei Polizei
Der BfDI startet ein Konsultationsverfahren zur KI im Bereich der Strafverfolgung und Gefahrenabwehr. Das geht Sie nichts an? Aber sind das nicht vielleicht die Kernfragen beim Einsatz einer KI, die dabei erörtert werden und bei denen die Antworten auch Anwendungsbereiche außerhalb der Strafverfolgung ermöglichen? Der Einsatz der KI bei der Strafverfolgung und Gefahrenabwehr werfe grundsätzliche Fragen auf, dazu stellt der BfDI sieben Thesen zur Diskussion. Das Verfahren richtet sich an Akteure aus Politik, Wirtschaft, Gesellschaft und Verwaltung, die sich mit dem Thema dieses Verfahrens befassen. Alle sind dazu eingeladen, ihre Kommentare und Stellungnahmen bis zum 18. November 2021 per E-Mail an konsultation2021@bfdi.bund.de zu senden. Die Ergebnisse sollen auf der Website des BfDI veröffentlicht werden.
2 Rechtsprechung
2.1 Belgien: Verschlüsselung und Schrems II
Reicht eine Verschlüsselung aus, um den Anforderungen des EuGH aus Schrems II gerecht zu werden? Damit befasste sich der belgische Staatsrat, das oberste Verwaltungsgericht in Belgien. Das Urteil des belgischen Staatsrats erging gemäß Berichten in einem Streit um die Vergabe eines öffentlichen Auftrags. Geklagt hatte ein niederländisches Unternehmen, das in einem Ausschreibungsverfahren der öffentlichen Hand den Auftrag an den Amazon-Cloud-Anbieter AWS verloren hatte. Demnach können Unternehmen und Behörden US-Cloud-Dienste nutzen – aber nur mit zusätzlichen Sicherungsmaßnahmen. Dabei wird auch das BayLDA zitiert, das die Aussage des Urteils bestätige, dass auch Datenübermittlungen in die USA durch den Einsatz wirksamer Verschlüsselungsmaßnahmen und die Übertragung des Schlüssels allein an den in der EU ansässigen Verantwortlichen datenschutzgerecht abgesichert werden könne.“ Das sei aber „kein Blankoscheck“, der „von einer sorgfältigen Prüfung anderer AWS-Angebote oder anderer US-Cloud-Diensteanbieter freizeichne“. Gerade aber die Gestaltung „bring your own key“ sollte für die Drittstaatenthematik daher in Betracht gezogen werden.
2.2 VG Wiesbaden: Vorlage an EuGH zur Verwendung von Daten zum Scoring
Das VG Wiesbaden hat dem EuGH mehrere Fragen zur Klärung vorgelegt. Anlass ist die Bewertung der Eintragung einer Restschuldbefreiung bei einer Auskunftei. Die Information hinsichtlich einer Restschuldbefreiung stammt aus den Veröffentlichungen der Insolvenzgerichte, bei denen sie nach sechs Monaten gelöscht werde. Bei der Auskunftei erfolgt eine Löschung gemäß der „Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien“ vom 25.05.2018 des Verbandes „Die Wirtschaftsauskunfteien e.V.“ erst 3 Jahre nach der Eintragung. Der Kläger begehrte die Löschung, die Auskunftei lehnt mit Bezugnahme auf die Verhaltensregeln ab, auch die zuständige Aufsicht lehnte das Begehren ab.
Der EuGH soll nun klären, ob eine Speicherung der Information der Restschuldbefreiung in einem privaten Verzeichnis überhaupt zulässig ist, ob wenn ja, die Dauer über den Zeitraum der offiziellen Veröffentlichung ausgedehnt werden dürfe und wie eine Datenschutzaufsicht auf Beschwerden zu reagieren habe (alles sehr komprimiert von mir zusammengefasst).
Und weil´s im Umfeld dazu passt, welche Aspekte sind bei dem Verkauf einer deutschen Auskunftei an einen US-Investor zu beachten, dazu hat sich der Wissenschaftliche Dienst des Bundestages befasst.
2.3 BAG: Vorlage beim EuGH zu Art. 9 und Art. 82 DS-GVO
Auch das Bundesarbeitsgericht (BAG) bittet den EuGH in einem aktuellen Verfahren um Auslegung europäischen Rechts. Die Fragen habe ich (nach meinem Verständnis) etwas verständlicher umformuliert, die Anfrage ist ja verlinkt.
Müssen neben den Voraussetzungen des Art. 9 Abs. 2 DS-GVO (z.B. bei der Verarbeitung von Gesundheitsdaten noch weitere Anforderungen (wie nach Art. 6 DS-GVO) erfüllt sein? Dies würde zu einem weiteren Prüfungs- bzw. Dokumentationsaufwand führen.
Daneben gibt es Fragen zu den Anforderungen an einen immateriellen Schadensersatz nach Art. 82: Müssen bei Art. 82 Abs. 1 DS-GVO bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens zulasten des Verantwortlichen bzw. Auftragsverarbeiters ein spezial- bzw. generalpräventiver Charakter berücksichtigt werden? (soll heißen: Muss ein großes Unternehmen mehr immateriellen Schadenersatz zahlen als ein kleines?). Und kommt es für einen Anspruch des Art. 82 DS-GVO auf ein Verschulden an?
2.4 Stellungnahme des Generalanwalts des EuGH: DS-GVO regelt nicht alles
Im Rahmen einer Stellungnahme zu einem Verfahren aus Lettland zur Übermittlung von Daten für eine Steuerermittlung durch eine Webplattform zur Veräußerung von Kraftfahrzeugen befasst sich der Generalanwalt am EuGH in seinem Schlussantrag auch grundsätzlich mit der DS-GVO.
Er stellt (in RN3) dar, dass die Konsequenzen der DS-GVO wohl keiner bedacht hätte und nennt als Beispiel das Auskunftsrecht von Trainee Accountants über ihre Prüfungsarbeiten, möglicherweise zusammen mit dem Recht auf Berichtigung dieser personenbezogenen Daten nach Ablegung der Prüfung, oder die DS-GVO als Grund für die Verhinderung der Identifizierung eines Verkehrsunfallbeteiligten durch die Polizei, so dass die geschädigte Partei nicht vor einem Zivilgericht auf Ersatz des an ihrem Fahrzeug entstandenen Schadens klagen kann, oder als Grundlage für die Beschränkung der Offenlegung von Informationen über durch ein insolventes Unternehmen bereits gezahlte Steuern gegenüber dem Insolvenzverwalter dieses Unternehmens, um die Gleichstellung zwischen privaten und öffentlich-rechtlichen Gläubigern im Zusammenhang mit Insolvenzanfechtungsansprüchen wiederherzustellen. Bei dem Lesen der Stellungnahme kann sich der Eindruck aufdrängen, dass das Verfahren mit aus Sicht des Generalanwalts zu ungenaue Darstellungen und unzureichende Darlegungen der Rechtslage zu einer gewissen Verstimmung führten.
So wird ab der RN 53 ausgeführt, dass in der DS-GVO nicht alles geregelt wird, wie z.B. die Beziehungen zwischen den beteiligten Einrichtungen als Verantwortlichen. Die Regelungslogik und der eigentliche Anwendungsbereich der DS-GVO müssten dem Datenfluss folgen und den Schutz personenbezogener Daten bei Verarbeitungsvorgängen sicherstellen. Es sei nicht Sinn der DS-GVO, jede erdenkliche vorgelagerte Beziehung zwischen verschiedenen Einrichtungen, die im Besitz von Daten sein könnten, zu regeln, einschließlich der Gründe für den Besitz der Daten und der Art der Besitzerlangung. Mit anderen Worten garantiere die DS-GVO keinerlei „Rechte“ eines Verantwortlichen gegenüber einem anderen Verantwortlichen (vgl. RN 56).
2.5 Stellungnahme des Generalanwalts des EuGH: Geltung der DS-GVO für Gerichte? – und überhaupt!
In einem Vorlageverfahren hat der Generalanwalt seine Stellungnahme abgegeben. Ein Gericht hatte drei Seiten aus einer Akte an Pressevertreter gegeben, um auf eine korrektere Berichterstattung hinzuwirken. Ist die DS-GVO hier anwendbar? Ihr ahnt es schon: man kann es so oder so sehen – die DS-GVO hat eigentlich eine Regelung in Art. 55 Abs. 3 DS-GVO, dass die Aufsichtsbehörden nicht zuständig sind für die Aufsicht über die von den Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen. Damit befasst er sich ausführlich, bringt aber auch (wieder) einige Überlegungen, zu der grundsätzlichen Konzeption der DS-GVO.
Das kann man gar nicht kürzen, daher die folgenden RN im Original:
55. Einem Journalisten drei Verfahrensunterlagen zur Verfügung zu stellen, damit er die mündliche Verhandlung, über die er berichten soll, besser verstehen kann, ist eine Verarbeitung personenbezogener Daten gemäß der DSGVO. Diese Schlussfolgerung ist ebenso sehr eine Antwort wie Ausdruck eines Problems. Menschen sind soziale Wesen. Bei den meisten unserer Interaktionen wird irgendeine Art von Informationen ausgetauscht, in der Regel mit anderen Menschen. Sollte also nahezu jeder Informationsaustausch der DSGVO unterliegen?
56 Wenn ich eines Abends in ein Wirtshaus gehe und im Beisein von vier Freunden, die an einem öffentlichen Ort mit mir am Tisch sitzen (so dass die Ausnahme in Art. 2 Abs. 2 Buchst. c DSGVO für private oder familiäre Tätigkeiten wohl nicht anwendbar sein dürfte)(29), eine wenig schmeichelhafte Bemerkung über meinen Nachbarn mache, die seine personenbezogenen Daten enthält, die ich soeben per E-Mail erhalten habe (und folglich mittels automatisierter Verfahren, und/oder sie sind Teil meines Dateisystems), werde ich dadurch zum Verantwortlichen für diese Daten, und gelten dann plötzlich alle (recht schwerwiegenden) Verpflichtungen der DSGVO für mich? Da mein Nachbar dieser Verarbeitung (Offenlegung durch Übermittlung) nicht zugestimmt hat und Klatsch und Tratsch wohl auch nie zu den in Art. 6 DSGVO aufgeführten Rechtmäßigkeitsgründen gehören wird, werde ich mit dieser Offenlegung zwangsläufig gegen eine Reihe von Vorschriften der DSGVO verstoßen, einschließlich der meisten der in Kapitel III niedergelegten Rechte der betroffenen Person.
57. In der mündlichen Verhandlung hat die Kommission, als sie mit diesen durchaus bizarren Fragen des Generalanwalts konfrontiert wurde, darauf bestanden, dass der Anwendungsbereich der DSGVO Grenzen habe. Sie konnte jedoch nicht erklären, wo genau diese Grenzen liegen. Tatsächlich bestätigte sie, dass sogar eine beiläufige „Verarbeitung“ personenbezogener Daten zur Anwendbarkeit dieser Verordnung und der daraus resultierenden Rechte und Pflichten führen dürfte.
(58 – 64…)
65. Ich befürchte jedoch, dass sich eines Tages entweder der Gerichtshof oder der Unionsgesetzgeber dazu gezwungen sehen könnte, den Anwendungsbereich der DSGVO neu zu überdenken. Der aktuelle Ansatz verwandelt die DSGVO schrittweise in eines der faktisch am häufigsten ignorierten Regelwerke des Unionsrechts. Diese Entwicklung ist nicht unbedingt beabsichtigt. Vielmehr ist sie das natürliche Nebenprodukt der zu weit reichenden Anwendung der DSGVO, die ihrerseits dazu führt, dass sich viele Personen schlicht in seliger Unkenntnis des Umstands befinden, dass auch ihre Tätigkeiten der DSGVO unterliegen. Während nicht auszuschließen ist, dass ein derartiger Schutz personenbezogener Daten trotzdem dazu in der Lage ist, „im Dienste der Menschheit [zu] stehen“, bin ich mir recht sicher, dass es nicht gerade zu der Autorität oder Legitimation gleich welchen Gesetzes, einschließlich der DSGVO, beiträgt oder sie untermauert, wenn das Gesetz ignoriert wird, weil es unsinnig ist.
So, das kann man auch mal nur wirken lassen und muss es nicht kommentieren. Jedenfalls sind alle, die beruflich damit verbunden sind, die rechtlichen Regelungen des Datenschutzes anderen zu vermitteln, nun etwas guter Hoffnung, dass manche Komplexität und Widersprüchlichkeit nun auch auf der europäischen Ebene diskutiert wird, aus der diese Regelungen letztendlich stammen. Und alle, die bislang nicht in der Lage waren, simpelste Differenzierungen des Datenschutzrechts nachzuvollziehen, haben nun einen kompetenten Kronzeugen für ihre Situation.
Und noch ein interessanter Aspekt: Die Fußnote zur RN 57 enthält eine Quelle, nach der eine Anonymisierung keine Verarbeitung sei – auch wenn das dort zitierte Urteil bereits 20 Jahre alt ist.
Franks Nachtrag:
Ich war neugierig und habe mir die Fußnote angeschaut.
Eine nicht ganz ernst gemeinte Frage in dem Zusammenhang: Wenn es doch um ein britisches Urteil geht, ist das nach dem Brexit noch relevant? (Ja, ich kenne die Antwort…)
2.6 LG Köln: Schmerzensgeld durch Weiterleiten eines Urteils?
Gibt es einen Anspruch auf immateriellen Schadenersatz („Schmerzensgeld“) nach Art. 82 DS-GVO, wenn eine Behörde ein Urteil ohne eine erfolgte Anonymisierung des Klägers an andere Behörden weiterleitet? Das LG Köln hat entschieden, dass Entscheidungen von Gerichten nicht von Behörden an andere Behörden weitergeleitet werden dürfen, wenn die Personen, um die es geht, namentlich genannt würden; allerdings stünde dem Kläger im aktuellen Fall kein Schmerzensgeld zu, weil die Kausalität der Weiterleitung für die erlittenen Nachteile nicht erwiesen sei. Schließlich seien auch keine immateriellen Beeinträchtigungen des Klägers ersichtlich. Zwar soll eine abschreckende Wirkung dadurch erzielt werden, dass Verstöße zur Zahlung hoher Schmerzensgelder führen können. Zu einer uferlosen Häufung von Ansprüchen soll es aber nicht kommen – immerhin bestehe nach Art. 83 DS-GVO auch die Möglichkeit, bei Verstößen Geldbußen in erheblichem Umfang zu verhängen. Die Entscheidung ist laut Pressemitteilung nicht rechtskräftig.
2.7 OLG Brandenburg: Kein Schadensersatz nach Art. 82 DS-GVO ohne konkrete Darlegung
Allein die Veröffentlichung eines Bildes einer Person auf einer Webseite begründet nach Ansicht des OLG Brandenburg keinen Anspruch auf immateriellen Schadenersatz, wenn der Kläger keine weiteren Angaben macht. Der Kläger habe lediglich substanzlos zu Beeinträchtigungen durch die streitgegenständliche Verwendung seines Fotos und seines Namens auf der Internetseite der Klägerin vorgetragen. Diesbezüglich gäbe es auch keine Beweislastumkehr. Die Nachweisobliegenheit des Verantwortlichen berühre allein seine Verantwortlichkeit für die Umstände, die den Schaden herbeigeführt haben, nicht aber – auch – auf den Schaden selbst.
2.8 Sozialgericht Nordhausen: kein rechtswidriges Behördenhandeln, wenn Art. 13 nicht beachtet
Die Überschrift liest sich etwas sperrig. Denn eigentlich ging es um etwas ganz anderes. Das Sozialgericht Nordhausen entschied über die Zulässigkeit der Weitergabe von Daten im Rahmen der Grundsicherung an potenzielle Arbeitgeber und die Nachfrage, ob sich die Klägerin bei ihm beworben habe (ist laut Gericht über die entsprechenden Regelungen, vgl. § 67b SGB X, zulässig).
Aber „nebenbei“ äußerte es sich auch dazu, ob ein etwaiger Verstoß gegen Art. 13 DS-GVO dabei nicht die Feststellung der Rechtswidrigkeit des Behördenhandelns bedingt. Und verneint dies (RN 38 des o.g. Urteils). Auch wenn den datenschutzrechtlichen Vorschriften der DS-GVO und des SGB X über den reinen Verfahrenscharakter zur Durchführung von Verwaltungshandeln hinaus auch die Funktion zukäme, ein verfassungsrechtlich (Recht auf informationelle Selbstbestimmung, Art. 2 Abs. 1 in Verbindung mit Art. 1 GG) und europarechtlich (Art. 7 und 8 Charta der Grundrechte der Europäischen Union) verbrieftes materielles Recht zu schützen, führe eine fehlende oder fehlerhafte Informationserteilung nach Art. 13 DS-GVO in Verbindung mit § 82 SGB X nicht unmittelbar zu einer unzulässigen Datenverarbeitung. Vielmehr seien die Grundsätze der §§ 41 f. SGB X, die die Heilung und Folgen von Verfahrens- und Formfehlern betreffen, entsprechend anzuwenden. Hier sei die Klägerin jedenfalls im Laufe des Verfahrens über den gesamten Sachverhalt ins Bild gesetzt worden, sodass ein etwaiger Verstoß gegen Art. 13 DSGVO geheilt wäre.
2.9 OGH Österreich: Löschanspruch gegenüber Auskunftei?
Der Oberste Gerichtshof in Österreich wies eine Klage ab, die die Löschung von Zahlungsrückständen aus einer Auskunftei forderte. In die Auskunftei werden Daten nur übernommen, wenn der Gläubiger nach Fälligkeit der Forderung den Schuldner zumindest dreimal vergeblich gemahnt und danach ein Inkassounternehmen eingeschaltet hat, durch das eine weitere vergebliche Mahnung erfolgte. Werden die Forderungen von den Schuldnern bestritten, speichert die Auskunftei diese Datensätze nicht. Erfolgt eine Zahlung der Forderungen zu einem späteren Zeitpunkt, bleiben die Zahlungserfahrungsdaten zwar gespeichert; allerdings wird vermerkt, dass der Zahlungsstatus „positiv erledigt“ ist. Aus den gespeicherten Daten wird aufgrund eines von der Auskunftei angewendeten Algorithmus ein Zahlenwert („score“) errechnet, der die Kreditwürdigkeit bzw Zahlungsausfallswahrscheinlichkeit einer Person oder eines Unternehmens widerspiegeln soll. Die Anzahl der negativen Zahlungserfahrungsdaten, die Höhe der aushaftenden Beträge, der Zeitraum seit der Erfassung der Forderung und das Zahlungsverhalten der betroffenen Person/des Unternehmens haben nach dem von der Auskunftei festgelegten Algorithmus Einfluss auf den score, der insofern variabel ist, als er sich abhängig vom Zahlungsverhalten im Laufe der Zeit verbessert oder verschlechtert. Nach dem Löschungskonzept der Auskunftei werden Zahlungserfahrungsdaten unabhängig von der Höhe der Forderung grundsätzlich nach zehn Jahren, Daten aus Forderungen von Telekommunikationsanbietern nach fünf Jahren gelöscht. Im Ergebnis wird die Teilnahme der Klägerin am Wirtschaftsleben durch die Eintragungen in der Datenbank der Beklagten insofern eingeschränkt, als ihr in vielen Bereichen (etwa im Internet) keine Bestellung auf Rechnung ermöglicht, Finanzierungsansuchen nicht gewährt und Mobilfunkverträge verweigert würden. Der Klägerin sei es aber möglich Bestellungen gegen vorherige Bezahlung zu tätigen und „prepaid“-Mobiltelefone zu nutzen.
Im Ergebnis bestätigt das Gericht eine zulässige Verarbeitung über Art. 6 Abs. 1 lit. f DS-GVO: Die berechtigten Informationsinteressen künftiger Gläubiger der Klägerin prävalieren deshalb im Ergebnis gegenüber dem schutzwürdigen Geheimhaltungsinteresse der Klägerin, dies auch mit Blick auf die vorangegangenen Überlegungen, wonach die mehrfachen Datenbankeinträge für künftige Gläubiger der Klägerin durchaus Aussagekraft für ihre Risikobewertung haben, auch wenn die Eintragungen zum Teil bereits auf das Jahr 2017 zurückgehen, jeweils keine hohen Forderungen betreffen und sich aus den Datensätzen ergibt, dass die Klägerin letztlich alle Verbindlichkeiten bezahlt hat.
Abschließend sei zu ergänzen, dass Art. 22 hier nicht geprüft wurde, weil dies die Klägerin erstmalig im Revisionsverfahren und damit zu spät vorbrachte.
2.10 LAG München: Arbeitgeber darf Rückkehr aus „Homeoffice“ anordnen
Eigentlich eher reines Arbeitsrecht, aber da in der Praxis dabei auch datenschutzrechtliche Themen tangiert werden (der Arbeitgeber bleibt ja weiterhin aus Datenschutzsicht der Verantwortliche für die Rechtsgrundlage der Verarbeitung und den angemessenen Schutzmaßnahmen). Es besteht laut Landesarbeitsgericht München kein Anspruch auf einen Homeoffice-Arbeitsplatz (es muss schon extra vereinbart oder gestattet werden).
2.11 Filmstudios verklagen VPN-Anbieter
VPN-Verbindungen haben auch aus Datenschutzsicht viele Vorteile. Aus Sicht der US-Filmindustrie aber auch Nachteile, könnten sie doch für Urheberrechtsverletzungen genutzt werden, die dann bei einer Nutzung einer VPN-Verbindung nur erschwert verfolgt werden können. Daher versuchen nun US-Filmstudios über eine Klage, eine Änderung der technischen Vorgaben zu erreichen. Mehr Details dazu hier.
3 Gesetzgebung
3.1 Standarddatenschutzklauseln bei Drittstaatentransfer
Hier erinnere ich gerne daran, dass seit 27.09.2021 bei Neuverträgen mit Drittstaatentransfer nur noch die neuen Standarddatenschutzklauseln nach Art. 46 Abs. 2 lit. c DS-GVO verwendet werden dürfen, die durch die EU-Kommission im Juni veröffentlicht wurden. Bestehende Verträge sind bis 27.12.2022 entsprechend anzupassen.
4 Veröffentlichungen
Diese Kategorie bleibt diese Woche noch leer…
5 Gesellschaftspolitische Diskussionen
Diese Kategorie bleibt diese Woche noch leer…
6 Sonstiges/Blick über den Tellerrand
Diese Kategorie bleibt diese Woche noch leer…
7. Franks Zugabe
7.1 Cybersecurity – Sichere Passworte?
OK, das ist jetzt nicht mehr der allerneueste Link, aber das Thema sichere Passworte ist ja immer „in“.
In einem Blogbeitrag hat das National Cyber Security Centre (NCSC) sich darüber ausgelassen, warum ein Passwort, welches aus drei wirklich gewählten Worten besteht, sicherer ist als ein hochkomplexes Passwort, welches sich kaum jemand merken kann.
Ob die irgendwo abgeschrieben haben?
Ausführungen darüber, was gute Passworte ausmacht, gibt es ja schon länger…
7.2 Sichere Mails – Ein Erfolgsmodell?
Ich hoffe, dass ich Ihre Erwartungen jetzt nicht enttäusche, aber…
De-Mail ist es wohl nicht. Wird ja nun (zumindest durch die Telekom) abgeschaltet.
Aber wenigstens die Rechtsanwälte haben doch ein sicheres Postfach mit ihrem „besonderen elektronischen Anwaltspostfach“, oder?
Wie, auch nicht?
Apropos Erfolgsmodell, wie war das noch mal mit der digitalen Krankenakte? Ach? So?
Na, wenigstens ist das konsequent…
7.3 Passend zum Wochenende…
Erinnern Sie sich noch an das Jahr-2000-Problem?
So schlimm wird das hier hoffentlich nicht, oder? Warten wir den Samstag ab.
Schönes Wochenende 😉