DeepL wechselt auf AWS – Datentransfer in die USA nicht ausgeschlossen
Ab dem 20. Mai 2026 verarbeitet der Kölner Übersetzungsdienst DeepL Kundendaten nicht mehr ausschließlich auf eigenen Servern in Deutschland und Island, sondern auch über Amazon Web Services (AWS) – in Regionen wie der EU, den USA und Japan. Die neuen Nutzungsbedingungen gelten als akzeptiert, wenn du nicht aktiv widersprichst. Wer widerspricht, kann seinen Account bis maximal Ende 2026 auf der alten Infrastruktur weiternutzen, danach endet der Vertrag.
Read MoreEU-Datenschutzbehörden bremsen „Digital Omnibus" – DSGVO-Abbau vorerst gestoppt
Die EU-Kommission wollte mit dem sogenannten „Digital Omnibus" weitreichende Änderungen an der DSGVO durchsetzen – darunter eine engere Definition von Personendaten, Einschränkungen beim Auskunftsrecht und einen Freifahrtschein für KI-Training auf Basis von Nutzerdaten. Nun haben der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) in einer gemeinsamen Stellungnahme deutliche Kritik geäußert und mehrere Kernpunkte klar abgelehnt.
Read MoreLinkedIn sperrt DSGVO-Auskunftsrecht hinter Paywall – noyb beschwert sich
Wer wissen möchte, wer das eigene LinkedIn-Profil besucht hat, soll dafür bezahlen – das ist die aktuelle Praxis der Microsoft-Tochter. Die österreichische Datenschutzorganisation noyb sieht darin einen klaren Verstoß gegen Art. 15 DSGVO, der jedem das Recht auf kostenlose Selbstauskunft über gespeicherte Daten garantiert. noyb hat nun im Namen eines LinkedIn-Nutzers Beschwerde bei der österreichischen Datenschutzbehörde eingelegt und eine Geldbuße gefordert.
Read MoreEuropols Schatten-IT: Millionen Datensätze ohne Kontrolle
Laut einem Bericht von heise.de belegen interne Dokumente, dass Europol jahrelang bis zu 99 % seiner operativen Daten auf einer Plattform ohne IT-Kontrolle und Zugriffsprotokollierung verarbeitete — darunter Standortdaten, Finanztransaktionen und Ausweisdokumente auch von Unverdächtigen. Der EU-Datenschutzbeauftragte wurde offenbar gezielt im Dunkeln gelassen. Ein ehemaliger Insider berichtet, die Behörde versuche das System nun nachträglich zu legalisieren.
Read MoreBGH: Privatadresse und Unterschrift dürfen aus dem Handelsregister gelöscht werden
Der Bundesgerichtshof hat am 18. Februar 2026 ein datenschutzrechtlich bedeutsames Urteil gesprochen (Az. II ZB 2/25): Wer als Geschäftsführer Dokumente beim Handelsregister eingereicht hat, die mehr personenbezogene Daten enthalten als gesetzlich vorgeschrieben – etwa die private Wohnanschrift oder eine handschriftliche Unterschrift –, kann deren Austausch gegen bereinigte Fassungen verlangen. Der BGH stützt sich dabei auf das Recht auf Löschung nach Art. 17 DSGVO.
Read MoreChatkontrolle: Rechtslage unklar, Tech-Konzerne scannen weiter
Seit dem Wochenende ist die EU-Übergangsregelung ausgelaufen, die Unternehmen wie Google, Meta und Microsoft erlaubte, private Nachrichten anlasslos nach Darstellungen sexualisierter Gewalt gegen Kinder (CSAM) zu durchsuchen. Eine Verlängerung scheiterte im Europaparlament. Ohne diese Ausnahmeregelung verstoßen automatisierte Massenscans nach Einschätzung von Experten und der EU-Kommission selbst gegen die geltende E-Privacy-Richtlinie.
Read MoreBundesrat zur KI-Verordnung: Vereinfachung ja, aber nicht auf Kosten des Schutzes
Der Bundesrat hat am 27. März 2026 Stellung zur geplanten EU-Digital-Omnibus-Verordnung genommen, die die bestehende KI-Verordnung vereinfachen soll. Die Kernbotschaft: Bürokratieabbau ist richtig und wichtig, darf aber nicht den Grundrechtsschutz aushöhlen.
Read MoreLinkedIn-Verifizierung: Was du wirklich preisgibst
Wer auf LinkedIn den blauen Haken für verifizierte Identität will, landet unweigerlich bei einem Unternehmen namens Persona Identities, Inc. – einem US-amerikanischen Dienstleister aus San Francisco, den die meisten Nutzer noch nie gehört haben. Ein Blogger hat sich die Mühe gemacht, die 34 Seiten Datenschutzrichtlinien und Nutzungsbedingungen tatsächlich zu lesen – und was er herausfand, ist ernüchternd.
Read MoreEuGH: Fingerabdrücke und Fotos nicht auf Vorrat
Der Europäische Gerichtshof hat am Donnerstag klargestellt, dass Polizeibehörden biometrische Daten wie Fingerabdrücke oder Lichtbilder nicht routinemäßig bei jeder Festnahme erheben dürfen. Das Urteil (C-371/24) setzt der verbreiteten Praxis einer automatischen erkennungsdienstlichen Behandlung enge Grenzen.
Read MoreEuGH begrenzt Missbrauch von DSGVO-Auskunftsrechten
Der Europäische Gerichtshof hat in einem aktuellen Urteil (C-526/24) klargestellt, dass das Auskunftsrecht nach Artikel 15 DSGVO nicht schrankenlos gilt. Wer Auskunftsanfragen gezielt stellt, um daraus Schadenersatzforderungen zu konstruieren, kann als Rechtsmissbraucher eingestuft werden – und geht dann leer aus.
Read MoreMicrosoft Copilot: KI-Assistent mit Sicherheitslücken
Microsoft Copilot ist tief in Microsoft 365 integriert und hat Zugriff auf praktisch alles, was ein Mitarbeiter sehen kann – E-Mails, SharePoint-Dokumente, Teams-Chats. Genau das ist das Problem: In den meisten Unternehmen haben Mitarbeiter weit mehr Zugriffsrechte als nötig. Laut einem Bericht von Concentric AI sind 16 % aller geschäftskritischen Daten übermäßig geteilt, im Schnitt rund 800.000 Dateien pro Organisation. Copilot erbt diese Berechtigungen – und kann damit ungewollt zum Datenleck werden.
Read MoreDSGVO-Bußgelder 2025: Unter der Milliardenmarke
Eine aktuelle Auswertung zeigt: Die verhängten DSGVO-Bußgelder summierten sich 2025 auf rund 690 Millionen Euro – nach über einer Milliarde im Vorjahr ein deutlicher Rückgang. Die Analyse stammt vom deutschsprachigen Datenschutzportal, der vollständige Artikel ist hier abrufbar: datenschutz.org
Read MoreEU-Rat kippt geplante Änderung der Personendaten-Definition aus dem DSGVO-Omnibus
Der Rat der EU-Mitgliedstaaten hat in einem Kompromisstext vom 20. Februar beschlossen, die von der EU-Kommission vorgeschlagene Neudefinition personenbezogener Daten aus dem sogenannten Digital Omnibus zu streichen. Das berichtet Euractiv auf Basis eines geleakten Dokuments. Der vollständige Artikel ist hier zu finden: Euractiv
Read MoreClawdbot: KI-Automation mit hohem Risiko
Stellen Sie sich vor: Eine KI, die nicht nur Fragen beantwortet, sondern tatsächlich Aufgaben auf Ihrem Computer ausführt. Die Ihren Browser steuert, Dateien verwaltet, Code schreibt und testet – alles per Chat-Befehl von Ihrem Smartphone aus. Klingt wie Science-Fiction? Willkommen bei Clawdbot, dem Open-Source-Projekt, das derzeit die Tech-Welt elektrisiert und nebenbei einen regelrechten Run auf Mac Minis ausgelöst hat.
Read MoreGmail erhält KI-gestütztem Posteingang
Google hat den Start der sogenannten Gemini-Ära für Gmail angekündigt und führt 2026 umfangreiche KI-Funktionen ein, die den E-Mail-Alltag stärker automatisieren sollen. Ziel ist es, Gmail von einem reinen Postfach zu einem proaktiven, persönlichen Assistenten weiterzuentwickeln.
Read MoreSpanien: 34 Festnahmen von Mitgliedern der nigerianischen Cyber-Fraud Gruppe Black-Axe
Spanische Sicherheitsbehörden haben 34 Verdächtige festgenommen, die Teil eines europaweit aktiven Cybercrime-Netzwerks sein sollen und Verbindungen zur berüchtigten Black-Axe-Gruppierung haben. Die Ermittlungen erfolgten in Zusammenarbeit mit dem Bayerischen Landeskriminalamt und mit Unterstützung von Europol.
Read MoreDATEV-Störung führt zu möglichem DSGVO-Vorfall bei Lohnabrechnungen
Beim IT-Dienstleister DATEV kam es am 8. und 9. Januar 2026 zu einer schwerwiegenden Störung im Umfeld der Lohnabrechnung. Wie der IT-Blog Borncity berichtet, war insbesondere das Modul LODAS betroffen. Zwar konnte die technische Störung offenbar per Workaround eingedämmt werden, dennoch scheint es dabei zu gravierenden Folgeproblemen gekommen zu sein.
Read MoreEU-Kommission plant verbindliches Huawei-Verbot im Cybersecurity Act
Laut einem Bericht von Golem erwägt die EU-Kommission, den Einsatz chinesischer Technologieanbieter wie Huawei und ZTE in kritischen Infrastrukturen künftig verpflichtend zu untersagen. Hintergrund ist eine geplante Überarbeitung des Cybersecurity Acts, die am 14. Januar 2026 vorgestellt werden soll. Damit würden die bislang freiwilligen Maßnahmen der sogenannten ICT Toolbox verbindlich umgesetzt, die den Ausschluss von Technik aus als nicht vertrauenswürdig eingestuften Staaten vorsieht.
Read MoreUSA verlangen Zugriff auf europäische Polizeidaten
Die USA wollen den Verbleib europäischer Staaten im Visa-Waiver-Programm künftig an einen direkten Zugriff auf nationale Polizeidatenbanken knüpfen. Gefordert wird der automatisierte Zugang zu Biometriedaten wie Fingerabdrücken und Gesichtsbildern – nicht nur von Reisenden, sondern auch von Personen, deren Daten bei Polizei- und Grenzbehörden gespeichert sind.
Read MoreDSGVO: EU verlängert UK-Angemessenheitsbeschluss für 6 Jahre
Die EU-Kommission hat am 19. Dezember 2025 die beiden Angemessenheitsbeschlüsse für das Vereinigte Königreich erneuert. Damit dürfen personenbezogene Daten weiterhin ohne zusätzliche Transfermechanismen (wie SCCs) aus der EU in das Vereinigte Königreich fließen – einmal für den Bereich der DSGVO und einmal für den Bereich Strafverfolgung (Law Enforcement Directive).
Read MoreOpenMates verspricht Chat-Verschlüsselung und Datenschutz in LLMs
Das Open Source Projekt OpenMates adressiert ein zentrales Problem heutiger KI-Dienste: fehlende Kontrolle über eigene Daten. Während viele KI-Plattformen Nutzereingaben serverseitig speichern, auswerten oder für Training nutzen, setzt OpenMates auf Zero-Knowledge-Verschlüsselung und Open Source. Inhalte sollen clientseitig verschlüsselt werden, sodass Betreiber keinen Zugriff auf Chats und Daten haben.
Read MoreEU: DSGVO-Reform und weniger strenge KI-Regeln
Die EU-Kommission hat ihr großes Vereinfachungspaket für Digitalgesetze präsentiert. Unter dem Namen „Digital Omnibus“ sollen sowohl die DSGVO als auch die ePrivacy-Regeln und das KI-Gesetz überarbeitet und verschlankt werden. Die Kommission verspricht weniger Bürokratie und mehr Innovationsspielraum – Datenschützer sprechen dagegen von einem Rückschritt, vor allem wegen gelockerter Cookie-Regeln.
Read MoreUNC6384 missbraucht Windows .LNK Dateien gegen Europäische Diplomaten
Arctic Wolf Labs beobachtet seit September/Oktober 2025 eine Spionagekampagne des China-nahen Akteurs UNC6384 gegen diplomatische Einrichtungen in Ungarn, Belgien sowie weiteren EU-Ländern. Die Angreifer nutzen Spear-Phishing mit LNK-Dateien zu EU-/NATO-Terminen und weaponizen die im März 2025 offengelegte Windows-Verknüpfungs-Schwachstelle ZDI-CAN-25373. Über obfuskierte PowerShell-Ketten wird PlugX per DLL-Side-Loading in signierte Canon-Hilfsprogramme eingeschleust; Persistenz erfolgt u. a. via Run-Key. Identifizierte C2-Infrastruktur umfasst racineupci[.]org, dorareco[.]net und naturadeco[.]net.
Read MoreEU-Vorschlag zur Chat-Überwachung nach deutscher Kritik zurückgezogen
Das dänische EU-Ratsvorsitzland hat sein umstrittenes Vorhaben fallen gelassen, Techkonzerne zum Scannen privater Nachrichten zu verpflichten.
Read MoreIsrael ruft 700 chinesische Dienstfahrzeuge wegen Spionagegefahr zurück
Die israelischen Streitkräfte (IDF) haben laut Medienberichten rund 700 chinesische Fahrzeuge aus dem Fuhrpark hochrangiger Offiziere zurückgerufen. Hintergrund sind Sicherheitswarnungen, wonach in den Autos verbaute Kameras, Mikrofone, Sensoren und Kommunikationssysteme potenziell zur Datenübertragung oder Spionage missbraucht werden könnten.
Read MoreNorwegen: Fernabschaltung bei chinesischen Yutong-E-Bussen entdeckt
Der Verkehrsbetrieb Ruter (Oslo) hat bei geheimen Tests zwei Elektrobusse in einer stillgelegten Mine geprüft und festgestellt, dass das Yutong-Fahrzeug ferngesteuerte Software-Updates, Diagnosen und sogar Batterie-Module zulässt — in der Theorie könnten Hersteller oder Dritte den Bus so fernsteuern oder deaktivieren.
Read MoreKonformität mit NIS2-Richtlinie und Cyber Resilience Act
NIS2 und Cyber Resilience Act Die NIS2-Richtlinie (EU 2022/2555) und der Cyber Resilience Act (CRA) bilden neue EU-Vorgaben zur Cybersicherheit. NIS2 zielt auf Betreiber wesentlicher Dienste und kritischer Infrastrukturen ab, während der CRA ein Mindestmaß an IT-Sicherheit für Produkte mit digitalen Elementen vorschreibt. Beide Regelwerke gehen über freiwillige Standards wie ISO/IEC 27001 hinaus und schaffen verbindliche Pflichten. EU-Mitgliedstaaten mussten NIS2 bis Oktober 2024 in nationales Recht umsetzen – Deutschland arbeitet an einem NIS2-Umsetzungsgesetz, das voraussichtlich Ende 2025 in Kraft tritt. Der CRA ist hingegen eine EU-Verordnung, die am 10. Dezember 2024 in Kraft getreten ist und ab dem 11. Dezember 2027 vollumfänglich gilt. Im Folgenden werden die zentralen Anforderungen beider Regelungen erläutert – insbesondere was über eine ISO 27001-Zertifizierung hinaus zu beachten ist – sowie die Auswirkungen auf Lieferanten (z.B. Dienstleister) und Software/Cloud-Anbieter.
Read MoreVerpflichtende Nutzung der elektronischen Patientenakte gestartet
Seit dem 1. Oktober 2025 müssen Arztpraxen, Krankenhäuser und weitere medizinische Einrichtungen die elektronische Patientenakte (ePA) nutzen. Laut Gematik sind mehr als 93 Prozent der Praxen und Apotheken technisch ausgestattet. Bereits rund 70 Millionen Akten für gesetzlich Versicherte wurden angelegt, die Widerspruchsquote liegt bei etwa fünf Prozent.
Read MoreMicrosoft verschleiert globale Datenflüsse von Polizeidaten
Recherchen von Computer Weekly zeigen, dass Microsoft zentrale Informationen über internationale Datenflüsse seiner Cloud-Infrastruktur vor UK-Behörden zurückhält. Laut freigegebenen Dokumenten verweigerte der Konzern der Scottish Police Authority (SPA) und Police Scotland detaillierte Angaben dazu, in welche Länder ihre in Microsoft 365 gehosteten Daten übertragen oder von wo aus sie abgerufen werden können.
Read MoreOpenAI will kritische ChatGPT-Verläufe Behörden melden
Das KI-Unternehmen OpenAI plant, bei gefährlichen Inhalten in ChatGPT-Konversationen stärker einzugreifen. Wenn Nutzer anderen Menschen ernsthaft Schaden androhen, sollen entsprechende Verläufe von einem Team geprüft und – falls akute Gefahr besteht – an die Strafverfolgung weitergegeben werden.
Read MoreCNIL verhängt 325-Millionen-Euro-Strafe gegen Google
Die französische Datenschutzbehörde CNIL hat Google am 1. September 2025 zu einer Strafe von insgesamt 325 Millionen Euro verurteilt. Grund: Gmail blendete ohne Einwilligung der Nutzer Werbenachrichten zwischen privaten E-Mails in den Tabs „Promotions“ und „Soziales“ ein, zudem wurden beim Anlegen eines Google-Kontos Cookies für personalisierte Werbung gesetzt, ohne gültige Zustimmung der französischen Nutzer.
Read MoreMicrosoft gesteht fehlende Garantie für EU-Datenschutz
Bei einer Anhörung vor dem französischen Senat räumte Anton Carniaux, Chefjustiziar von Microsoft France, ein, dass der Konzern nicht garantieren könne, EU-Daten niemals an US-Behörden weiterzugeben. Hintergrund sind gesetzliche Pflichten nach dem US-CLOUD Act und Patriot Act. Zwar prüfe Microsoft jedes Auskunftsersuchen genau und habe bislang keine Daten aus Frankreich weitergegeben, bei formal korrekten Anfragen sei das Unternehmen jedoch zur Herausgabe verpflichtet. Die Aussage befeuert EU-weit die Debatte über digitale Souveränität und den Einsatz von US-Cloud-Diensten wie Microsoft, Amazon AWS oder Google Cloud.
Read MoreKabinett beschließt Umsetzung der NIS-2-Richtlinie – mehr Cybersicherheit für Deutschland
Die Bundesregierung hat am 30. Juli 2025 die Umsetzung der europäischen NIS-2-Richtlinie beschlossen. Ziel ist es, die digitale Sicherheit in Wirtschaft und Verwaltung deutlich zu stärken und europäische Sicherheitsstandards in deutsches Recht zu überführen.
Read MoreCERT@VDE wird erste CVE Numbering Authority Deutschlands
Das CERT@VDE ist seit Juli 2025 offiziell Deutschlands erste Root-CNA (CVE Numbering Authority) im internationalen CVE-System. Damit übernimmt die Plattform eine Schlüsselrolle in der globalen Koordination von Sicherheitslücken in Industrieprodukten und wird zur zentralen Vergabestelle für CVE-IDs im deutschsprachigen Raum.
Read MoreDatenschutzbeauftragte fordern Entfernen der DeepSeek-App aus App-Stores
Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider unterstützt die Forderung ihrer Berliner Kollegin Meike Kamp, die chinesische KI-App DeepSeek aus den App-Stores zu entfernen, so ein Bericht von ComputerBase. „China hat kein Datenschutzniveau, das unserer Datenschutzgrundverordnung entspricht“, so Specht-Riemenschneider. Die App müsse aus den Stores verschwinden, solange europäisches Recht nicht eingehalten werde.
Read MoreNIS-2-Richtlinie: Europa tut sich schwer mit einheitlicher Umsetzung
Die EU-Richtlinie NIS-2, die ein einheitliches und hohes Cybersicherheitsniveau in der Europäischen Union etablieren soll, hätte bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden müssen. Doch Stand Juli 2025 haben lediglich sieben der 27 EU-Mitgliedstaaten diese Frist eingehalten.
Read MoreWie viel EU steckt wirklich in DNS4EU
DNS4EU soll laut Eigenbeschreibung ein sicheres, datenschutzkonformes DNS-System „made in EU“ sein – gefördert durch die EU und ENISA. Doch ein Blogbeitrag auf dem Techblog von Jenslink zeigt: Der Schein trügt.
Read MoreStudie aus 2025: AI-Plattformen im Datenschutzvergleich
Die Nutzung von generativer KI (Gen AI) und Large Language Models (LLMs) ist heute Alltag. Ob bei der Texterstellung, beim Programmieren oder im Kundenservice – diese Tools erleichtern vieles, doch oft auf Kosten des Datenschutzes. Die aktuelle Studie von Incogni, kombiniert mit der Privacy-Ranking-Grafik 2025, zeigt: Nicht alle Plattformen gehen gleich verantwortungsvoll mit Nutzerdaten um.
Read MoreMeta will KI Analyse auch auf nicht geteilte Fotos anwenden
Facebook bittet laut einem Bericht von TechCrunch Nutzer derzeit um Erlaubnis, Fotos aus ihrem Kamera-Archiv — auch solche, die noch nicht auf Facebook hochgeladen wurden — für KI-gestützte Vorschläge zu nutzen. Die Funktion erscheint beim Erstellen neuer Stories und bietet „Cloud Processing“ an, um kreative Ideen wie Collagen, AI-Restylings oder Foto-Themen zu generieren.
Read MoreBfDI verhängt 45 Mio. € an DSGVO Bußgeldern gegen Vodafone
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, hat Vodafone GmbH zweimal mit Bußgeldern in Höhe von insgesamt 45 Millionen Euro belegt. Ein erstes Bußgeld von 15 Mio. € folgte, weil Vodafone nach Artikel 28 (1) Satz 1 DSGVO die Partneragenturen, die im Namen des Konzerns Kundenverträge vermittelten, nicht ausreichend geprüft und überwacht hatte. Zudem erhielt Vodafone eine Verwarnung wegen Mängeln in den Vertriebssystemen nach Artikel 32 (1) DSGVO.
Read MoreAWS gründet EU-basierte Cloud-Einheit
Amazon Web Services (AWS) will noch bis Ende 2025 eine eigenständige, in Europa ansässige Organisation für seine „AWS European Sovereign Cloud“ (ESC) aufbauen. Die ESC umfasst eine europäische Muttergesellschaft und drei in Deutschland gegründete Tochterfirmen, die Infrastruktur, DNS (Route 53 mit ausschließlich europäischen Top-Level-Domains) und ein eigenes Root-Zertifizierungszentrum kontrollieren.
Read MoreKleinanzeigen: Follower werden künftig für Verkäufer einsehbar
Der Online-Marktplatz Kleinanzeigen hat eine neue Funktion freigeschaltet, mit der Nutzer künftig nicht nur die Anzahl ihrer Abonnenten sehen, sondern auch deren Profilnamen einsehen und unerwünschte Follower löschen können. Bisher war nur die Gesamtzahl der Follower für jeden sichtbar, nicht jedoch, wer genau einem folgt.
Read MoreMeta und Yandex - unerlaubtes Android Nutzer Tracking über Localhost Verbindungen
Viele Websites binden Meta Pixel (Facebook/Instagram) oder Yandex Metrica ein, um Besucherdaten zu sammeln. Doch seit Herbst 2024 nutzen beide Anbieter eine versteckte Methode, bei der ihr JavaScript im mobilen Browser mit nativen Android-Apps auf demselben Gerät kommuniziert – über „localhost“-Verbindungen, wie die Seite Localmess auf Github berichtet. Dadurch lassen sich Web-Cookies (z. B. das Meta-_fbp-Cookie) heimlich an App-Identitäten (Facebook/Instagram-Logins, Android Advertising ID) koppeln und Nutzer eindeutig wiedererkennen, selbst wenn sie im Inkognito-Modus surfen oder Cookies gelöscht haben. Der Meta Pixel ist laut HTTP Archive in rund 2,4 Millionen der meistbesuchten Websites eingebunden. Yandex Metrica findet sich auf etwa 575 000 Sites (EU-Crawl) bzw. 1,3 Millionen (US-Crawl).
Read MoreGoogle zwingt Publisher ihrer KI-Indizierung und KI-Suche zuzustimmen
Google hat sich laut einem internen Dokument bewusst dagegen entschieden, Publishern eine präzisere Kontrolle über die Verwendung ihrer Inhalte in der KI-Suche zu ermöglichen. Statt klarer Opt-out-Optionen für KI-Features wie „AI Overviews“, bleibt Publishern nur die radikale Entscheidung: vollständiger Ausstieg aus der Google-Suche.
Read MoreEU plant DSGVO-Novelle – mit weniger Dokumentationspflichten
Die EU-Kommission arbeitet an einer Überarbeitung der Datenschutzgrundverordnung (DSGVO), die insbesondere kleinen und mittleren Unternehmen Erleichterungen bringen soll. Ein zentrales Element des aktuellen Entwurfs ist die Anhebung der Schwelle zur Dokumentationspflicht: Künftig sollen Unternehmen mit bis zu 749 Mitarbeitenden von der Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten ausgenommen werden – bislang lag diese Grenze bei 250 Beschäftigten.
Read MoreDatenschutzvorfall bei Online-Apotheke Volksversand.de
Die Online-Versandapotheke volksversand.de hat einen Datenschutzvorfall gemeldet. Unbekannte Angreifer verschafften sich unbefugten Zugriff auf das IT-System des Unternehmens und konnten dabei auf persönliche Kundendaten zugreifen. Betroffen sind unter anderem Namen, Adressen und E-Mail-Adressen – sensible Zahlungsdaten oder Passwörter seien laut dem Betreiber jedoch nicht kompromittiert worden.
Read MoreBluetooth® Core 6.1 bringt neue Privatsphäre-Features
Die Bluetooth Special Interest Group (SIG) hat mit der Veröffentlichung von Bluetooth® Core 6.1 am 6. Mai 2025 den Start ihres neuen halbjährlichen Release-Zyklus eingeläutet. Besonders aus datenschutzrechtlicher Perspektive sticht ein Feature hervor: die Bluetooth® Randomized RPA Updates (resolvable private addresses). Mit der Einführung der zufällig getakteten Adresswechsel wird die Privatsphäre der Nutzer:innen signifikant verbessert. Durch das Randomisieren der Zeitpunkte für den Wechsel der Geräteadresse wird es für Dritte erheblich erschwert, Geräte über längere Zeiträume hinweg zu identifizieren oder zu verfolgen. Dies ist ein klarer Fortschritt im Kampf gegen passives Bluetooth-Tracking durch Werbenetzwerke oder potenziell missbräuchliche Apps.
Read MoreTikTok erhält Rekordstrafe von 530 Millionen Euro wegen Datenschutzverstößen
Die irische Datenschutzbehörde (DPC) hat am 2. Mai 2025 eine Geldstrafe von 530 Millionen Euro gegen TikTok verhängt. Die Behörde stellte Verstöße gegen die DSGVO im Zusammenhang mit der Übermittlung personenbezogener Daten europäischer Nutzer nach China fest. Laut der DPC habe TikTok nicht ausreichend nachweisen können, dass die Daten in China ein dem EU-Standard vergleichbares Schutzniveau genossen.
Read MoreChinesischen E-Autos: Mögliche Spionage durch Fahrzeugvernetzung
Britische Rüstungsunternehmen haben ihre Mitarbeiter angewiesen, ihre Mobiltelefone nicht mit chinesischen Elektrofahrzeugen zu verbinden. Grund dafür sind Bedenken, dass durch die Verbindung sensible Daten von Peking abgegriffen werden könnten. Moderne E-Autos verfügen über zahlreiche Sensoren, Kameras und Internetverbindungen, die potenziell zur Datenübertragung genutzt werden könnten. Insbesondere Personen in sicherheitsrelevanten Positionen wird geraten, Vorsicht walten zu lassen. Obwohl es bisher keine öffentlichen Beweise für einen Missbrauch gibt, bleibt die Sorge vor möglichen Sicherheitsrisiken bestehen. Weitere Informationen finden Sie im Artikel des Guardian.
Read MoreGoogle hält Third Party Cookies weiter am leben
Am 22. April 2025 bekräftigte Google in einem Blog-Beitrag, dass kein separater Prompt zur Verwaltung von Third-Party-Cookies in Chrome eingeführt wird und Nutzer weiterhin ausschließlich über die bestehenden Einstellungen entscheiden können, ob sie Third-Party-Cookies zulassen oder blockieren. Google hat damit nicht nur die “Phase-out”-Pläne beendet, sondern die Privacy Sandbox de facto auf eine passive Unterstützerrolle reduziert.
Read MoreeBay aktualisiert Datenschutzerklärung – Nutzerbewertungen als KI‑Trainingsdaten
Seit Ostermontag weist eBay in seiner überarbeiteten Datenschutzerklärung darauf hin, dass Nutzerdaten künftig nicht nur für personalisierte Services, sondern auch zum Trainieren, Testen und Validieren eigener und Drittanbieter‑KI‑Modelle verwendet werden. Im März kam eine E‑Mail, die auf die Neuerung hinwies, ohne jedoch zu erläutern, welche Daten konkret betroffen sind oder wie genau sie zum Einsatz kommen.
Read MoreDie EU-Kommision verbietet KI Agenten in Web-Konferenzen
Die Europäische Kommission hat eine Grundregel erlassen, wonach virtuelle Assistenten auf Basis künstlicher Intelligenz nicht mehr an ihren Online‑Meetings teilnehmen dürfen, so berichtet POLITICO. Diese Vorgabe wurde Anfang April bei einer Telefonkonferenz mit Vertretern der digitalen Policy‑Support‑Netzwerke europaweit eingeführt und durch eine Meeting‑Etiquette‑Folie mit dem Satz „No AI Agents are allowed“ signalisiert. KI‑Agenten agieren autonom in virtuellen Umgebungen, können eigenständig Meetings beitreten, Notizen erstellen oder Informationen vortragen und wurden im „Virtual Worlds“-Paket der Kommission vom 31. März als softwarebasierte Assistenten mit definierten Vorgaben beschrieben. Obwohl die zugrunde liegenden KI‑Modelle bereits dem künftigen EU‑KI‑Gesetz unterliegen, reagiert die Kommission mit diesem Verbot auf zentrale Fragen der Transparenz, Rechenschaftspflicht und Sicherheit in digitalen Diskussionen.
Read MoreUS-Regierung streicht Common Vulnerabilities and Exposures die Finanzierung
April 2024 - Die US-Regierung stellt überraschend die Finanzierung des global genutzten Common Vulnerabilities and Exposures (CVE)-Programms ein.
Read MoreMeta trainiert KI nun auch in Europa mit Userdaten
Meta verkündet die europaweite Nutzung öffentlicher Inhalte erwachsener Nutzerinnen und Nutzer zur KI-Trainingserweiterung – und stößt damit aus DSGVO-Sicht auf Skepsis. Zwar verspricht das Unternehmen, keine privaten Nachrichten oder Daten von Minderjährigen einzubeziehen und gewährt EU-Nutzenden ein Widerspruchsrecht. Es ist zu bemängeln, dass ein Opt-out-Verfahren (statt eines expliziten Opt-ins) den Transparenz- und Einwilligungsprinzipien der DSGVO nicht vollständig gerecht wird. Auch die Frage, ob Meta die gesammelten Interaktionen wirklich nur für die angekündigten Zwecke nutzt, bleibt offen. Bereits letztes Jahr berichteten wir, Meta per Opt-Out bei Facebook gängige Einwilligungsprinzipien der DSGVO missachtet hat, seitdem hat sich nicht viel an Meta’s Vorgehen getan.
Read MoreHacker zielen auf Home Office und Cloud Schwachstellen
Die Arbeitswelt verändert sich rasant. Was vor einigen Jahren noch als Ausnahme galt, gehört spätestens seit Corona zum Alltag: Remote- und Hybrid-Arbeitsmodelle haben sich in vielen Unternehmen etabliert und sind schwer wieder wegzudenken. Während Arbeitnehmer von mehr Flexibilität profitieren, nutzen Cyberkriminelle die neuen Schwachstellen, die das Arbeiten außerhalb gesicherter Unternehmensnetzwerke mit sich bringt. Gleichzeitig wächst die Abhängigkeit von Cloud-Diensten und Managed Service Providern (MSPs), was zusätzliche Einfallstore für Angriffe schafft.
Read MoreKoalitionsverhandlungen: 6 monatige Speicherpflicht für IP Adressen und KI Gesichtserkennung
In den aktuellen Koalitionsverhandlungen wird eine umfassende Reform der inneren Sicherheit angestrebt – ein ambitionierter Plan, der die gesamte Verwaltung, Justiz und sogar Migrationspolitik neu ausrichten soll. Während die vorgelegten Maßnahmen unter dem Motto einer „Zeitenwende“ in der Sicherheitspolitik als dringend notwendig dargestellt werden, werfen sie zugleich schwerwiegende Fragen hinsichtlich des Datenschutzes und der Massenüberwachung im Stil von George Orwells Roman 1984 auf.
Read MoreKI-Kompetenz als Pflicht: Was das EU-KI-Gesetz für Ihre Organisation bedeutet
Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4 Das KI-Gesetz der Europäischen Union markiert einen Wendepunkt für die Anforderungen am Arbeitsplatz – mit einem klaren Fokus auf KI-Kompetenz. Nach Artikel 4 sind Organisationen verpflichtet, sicherzustellen, dass ihre Mitarbeitenden über ausreichende Kenntnisse im Umgang mit Künstlicher Intelligenz verfügen. Doch was bedeutet das konkret für Unternehmen?
Read MoreFrankreich: VTI kritisiert Ausweitung von Website-Sperren auf VPN-Dienste
Am 24. Februar 2025 hat die VPN Trust Initiative (VTI) entschieden gegen einen rechtlichen Versuch in Frankreich Stellung bezogen, der darauf abzielt, VPN-Anbieter zur Blockierung von Streaming-Websites zu verpflichten, die potenziell urheberrechtlich geschützte Inhalte verbreiten.
Read More12000 API-Schlüssel von Usern in AI-Trainingsdaten von Common Crawl gefunden
Der kürzlich erschienene Artikel „Nearly 12,000 API keys and passwords found in AI training dataset“ von Ionut Ilascu auf BleepingComputer offenbart gravierende Datenschutzprobleme im Zusammenhang mit der Nutzung des Common Crawl-Datensatzes als Trainingsgrundlage für künstliche Intelligenz (KI). Nahezu 12.000 gültige API-Schlüssel und Passwörter – darunter AWS Root Keys, MailChimp API-Schlüssel und Slack Webhooks – wurden in diesem öffentlich zugänglichen Webarchiv gefunden. Dieser Bericht beleuchtet kritisch die Datenschutzimplikationen und die damit verbundenen Sicherheitsrisiken.
Read MoreDoctolib nutzt künftig Gesundheitsdaten zum KI-Training
Die Patientenplattform Doctolib, über die Millionen Arzttermine buchen, erweitert ihre Datenverarbeitung: Ab sofort sollen anonymisierte Gesundheitsdaten – etwa aus Video-Sprechstunden – intensiv für den Aufbau von KI-Modellen genutzt werden, so berichtet der WDR. Ziel ist die Entwicklung eines digitalen Sprechstunden-Assistenten, der Diagnosen, Medikationspläne und Behandlungsverläufe automatisiert in Arztbriefe überträgt und personalisierte Dienste ermöglicht.
Read MoreDatenleck durch Copilot: Ehemals öffentliche GitHub-Repositories bleiben zugänglich
Laut einem Bericht bei TechCrunch sind tausende GitHub-Repositories, die kurzzeitig öffentlich waren und inzwischen auf „privat“ gesetzt oder gelöscht wurden, weiterhin über Microsofts Copilot abrufbar. Die zwischengespeicherten Daten, die über den Bing-Cache indexiert wurden, können von der generativen KI abgerufen werden – selbst wenn sie über herkömmliche Websuchen nicht mehr auffindbar sind.
Read MoreiCloud Datenschutz: US-Senat fordert Neubewertung der UK "Snoopers Charter"
Am 13. Februar 2025 richteten US-Senatoren Ron Wyden und Andy Biggs einen offenen Brief an Director of National Intelligence Tulsi Gabbard. Die Abgeordneten warnen vor gefährlichen Eingriffen der britischen Regierung, die angeblich Apple dazu gezwungen haben soll, die Verschlüsselung seines iCloud-Backup-Dienstes zu schwächen – ein Schritt, der als “Snoopers’ Charter” bekannt ist und ohne richterliche Genehmigung erfolgt.
Read MoreGoogle's reCAPTCHA: Datenkrake ohne ernstzunehmenden Bot-Schutz
Eine aktueller Bericht auf TechSpot wirft ein Schlaglicht auf Googles reCAPTCHA v3, das sich als ineffektiv im Bot-Schutz und gleichzeitig als massiver Datenschutzrisiko entpuppt. Der einfache Checkbox-Test (“Ich bin kein Roboter”) überzeugt nicht – Bots bestehen ihn mühelos, wie der YouTuber “Chuppl” demonstrierte, der einen Bot entwickelte, der den Test in einem Versuch absolvierte.
Read MoreMeta: Urheberrecht beim KI Training bewusst missachtet
In einem Statusbericht von vx-underground geht es um die kürzlich veröffentlichten Gerichtsdokumente vom 5. Februar 2024 im Fall Kadrey v. Meta. Die Unterlagen zeigen, dass Meta (ehemals Facebook) illegal insgesamt 81,7 TB an Daten von sogenannten „Shadow Libraries“ wie Anna’s Archive, Z-Library und LibGen heruntergeladen hat, um damit unternehmensinterne KI-Modelle zu trainieren.
Read MoreDOGE trainiert KI mit sensiblen Daten des US-Bildungsministeriums
Elon Musks „Department of Government Efficiency“ (DOGE) greift auf sensible Datensätze des US-Bildungsministeriums (Education Department) zu, um mithilfe von KI mögliche Einsparungen zu identifizieren, so berichtet die Washington Post. Über Microsofts Cloud-Dienst Azure haben DOGE-Mitarbeitende personenbezogene Informationen (u. a. von Fördermittel-Verantwortlichen) sowie vertrauliche Finanzdaten ausgewertet und mehrere Verträge als Streichkandidaten markiert. Dieses Vorgehen steht im Kontext des Vorhabens, das Ministerium erheblich zu verkleinern und dessen Aufgaben zu reduzieren.
Read MoreÖsterreich: Faxverbot stellt Gesundheitssektor vor Herausforderungen
Seit dem 1. Januar 2025 ist der Faxversand von Gesundheitsdaten in Österreich aus Datenschutzgründen verboten. Ziel ist eine bessere Datensicherheit, doch es entstehen erhebliche Probleme in Krankenhäusern und Arztpraxen.
Read MoreApple nutzt seine Nutzer für Stimmungsmache gegen den EU Digital Markets Act
Leseempfehlung: ein Anfang Februar 2025 erschienener Golem-Artikel von Daniel Ziegener beleuchtet kritisch, wie Apple die eigene Marktmacht nutzt, um Stimmung gegen die Regulierung durch die Europäische Union (EU) zu machen. Konkret geht es um die Verzögerung von Apple Intelligence und weiteren Funktionen von iOS 18 für europäische Nutzer, die Apple mit „regulatorischen Unsicherheiten“ im Zusammenhang mit dem Digital Markets Act (DMA) begründet.
Read MoreNeue Pseudonymisierungsleitlinien der EDSA schaffen Klarheit für medizinische Studien
Die am 16.01.2025 veröffentlichten Leitlinien des Europäischen Datenschutzausschusses (EDSA) zur Pseudonymisierung erwähnen spezifisch die Anwendung der Pseudonymisierung in sensiblen Bereichen wie Patientendaten und Forschung, da hier besondere Anforderungen an den Schutz personenbezogener Daten gelten. Dabei gehen die Leitlinien speziell auf folgende Punkte ein:
Read MoreEuGH-Urteil: EU-Kommission verstößt gegen Datenschutzregeln
Das Gericht der Europäischen Union (EuGH) hat entschieden, dass die EU-Kommission gegen die Datenschutzregeln verstoßen hat. Es geht um den Fall eines deutschen Bürgers, dessen persönliche Daten ohne ausreichende Sicherheitsmaßnahmen an das Internetunternehmen Meta (Facebook) übermittelt wurden.
Read MoreÄrzte warnen vor Datenschutzproblemen in der elektronischen Patientenakte
Berlin – Ärzteverbände äußern erhebliche Bedenken hinsichtlich der Datensicherheit in der elektronischen Patientenakte (ePA). Anlass sind kürzlich enthüllte Sicherheitslücken, die der Chaos Computer Club (CCC) aufgedeckt hat. Bundesärztekammer (BÄK) und der Berufsverband der Kinder- und Jugendärzte (BVKJ) sehen in den Mängeln ein erhöhtes Risiko für Patientendaten.
Read MoreWhite House führt „U.S. Cyber Trust Mark“ für vernetzte Geräte ein
Am 7. Januar 2025 hat das Weiße Haus das „U.S. Cyber Trust Mark“-Programm gestartet – ein freiwilliges Sicherheitslabel für vernetzte Geräte. Die von der Federal Communications Commission (FCC) verwaltete Initiative soll Verbrauchern helfen, die Cybersicherheit von Smart-Home-Produkten wie Babyphones oder Sicherheitssystemen besser einzuschätzen.
Read MoreDatenschutz-Skandal in Rostocks Stadtverwaltung: Ermittlungen wegen Datenlecks
Am 11. Dezember 2024 wurde bekannt, dass die Staatsanwaltschaft gegen eine ehemalige Mitarbeiterin der Rostocker Stadtverwaltung ermittelt. Nach Informationen des NDR soll die Beschuldigte im Einwohnermeldeamt unerlaubt mehr als 100 Adress- und Personendaten von Stadtbeschäftigten und Richtern abgegriffen haben. Eine Anzeige der Stadt Rostock führte zur Einleitung eines Ermittlungsverfahrens wegen des Ausspähens von Daten.
Read MoreElektronische Patientenakte (ePA): Chancen, Herausforderungen und Kontroversen
Mit der geplanten Einführung der elektronischen Patientenakte (ePA) im Jahr 2025 erreicht die Digitalisierung des deutschen Gesundheitswesens einen Meilenstein. Die ePA soll medizinische Daten zentral verfügbar machen, um die Patientenversorgung zu verbessern und Kosten zu reduzieren. Trotz des Potenzials dieser Technologie gibt es erhebliche Bedenken, die von Datenschutzfragen bis hin zur praktischen Nutzbarkeit reichen.
Read MoreVertragsverletzungsverfahren gegen Deutschland: EU fordert Umsetzung der NIS-2-Richtlinie
Die Europäische Union hat ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet, weil die Umsetzung der NIS-2-Richtlinie (Network and Information Security Directive 2) in nationales Recht nicht fristgerecht erfolgt ist. Diese Richtlinie soll die Cybersicherheit und Resilienz kritischer Infrastrukturen stärken und eine einheitliche Grundlage für den Schutz vor Cyberangriffen in der EU schaffen. Die Situation hat erhebliche Auswirkungen auf die deutsche Gesetzgebung und den Schutz kritischer Einrichtungen.
Read MoreDatenschutz nur per Opt-Out: Microsoft Word trainiert KI mit Ihren Daten
Die Integration von KI in Office-Anwendungen hat eine neue Stufe erreicht. Funktionen wie Microsofts CoPilot versprechen, die Produktivität zu steigern und alltägliche Aufgaben zu erleichtern. Doch ein Bericht auf Medium mit dem Titel "MS Word Is Using You to Train AI" hat eine wichtige Diskussion ausgelöst: Werden Ihre Dokumente möglicherweise verwendet, um KI-Modelle zu trainieren, ohne dass Sie es merken?
Read MoreKRITIS Dachgesetz: Bundeskabinett beschließt besseren Schutz kritischer Infrastruktur
Das Bundeskabinett hat am 6. November 2024 den Entwurf für das KRITIS-Dachgesetz (Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen) beschlossen und in das parlamentarische Verfahren eingebracht. Ziel des Gesetzes ist es, deutschlandweit einheitliche Mindeststandards für den Schutz kritischer Infrastrukturen festzulegen und deren Widerstandsfähigkeit zu stärken.
Read MoreDie SAFE-Anforderungen der Weltzollorganisation WZO
Im Juni 2005 verabschiedete der WZO-Rat den SAFE-Rahmen für Standards zur Sicherung und Erleichterung des Welthandels (SAFE Framework), der als Abschreckung gegen den internationalen Terrorismus, zur Sicherung der Steuereinnahmen und zur Förderung der weltweiten Handelserleichterung dienen soll. Im Jahr 2007 wurde das Vorzeigeprogramm der WZO für Partnerschaften zwischen Zoll und Wirtschaft - das Programm für zugelassene Wirtschaftsbeteiligte (AEO) - eingeführt.
Read MoreInternationale Datenschutzkonferenz verabschiedet Resolution für vertrauenswürdigen internationalen Datenverkehr
Vom 28. Oktober bis zum 1. November fand in Jersey die Global Privacy Assembly (Internationale Datenschutzkonferenz verabschiedet Resolution für vertrauenswürdigen internationalen Datenverkehr) statt, bei der Datenschutzbehörden aus über 130 Ländern zusammenkamen. Auf Initiative der deutschen Delegation unter Leitung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, wurde eine Resolution zum „Data Free Flow with Trust“ (DFFT) verabschiedet. Diese Resolution wurde in Zusammenarbeit mit dem Europäischen Datenschutzbeauftragten entwickelt und zielt darauf ab, vertrauenswürdige Rahmenbedingungen für den internationalen Datenaustausch zu schaffen. Die Empfehlungen der GPA zu DFFT legen zentrale datenschutzrechtliche Elemente fest, um Standards wie Standardvertragsklauseln und Zertifizierungen zu harmonisieren und somit die Sicherheit und Vertrauenswürdigkeit von Datenübermittlungen zu fördern.
Read MoreEuGH stärkt Datenschutz: Schadensersatz- und Unterlassungsansprüche
Der Europäische Gerichtshof (EuGH) hat im Oktober 2024 zwei Urteile gefällt, die den Schutz von personenbezogenen Daten betreffen. Hier die wichtigsten Punkte zusammengefasst:
Read MoreNational Public Data meldet nach Datenleck Insolvenz an
Das in Florida ansässige Unternehmen National Public Data, spezialisiert auf Hintergrundüberprüfungen, hat am 15. Oktober 2024 Insolvenz angemeldet. Grund dafür ist ein massives Datenleck, bei dem etwa 270 Millionen Sozialversicherungsnummern sowie weitere persönliche Daten gestohlen wurden. Die Hackergruppe USDoD bot die gestohlenen Daten im Darknet zum Verkauf an. Das Unternehmen sieht sich nun mit zahlreichen Klagen und regulatorischen Herausforderungen konfrontiert, während die finanziellen Mittel für Entschädigungen oder Schadensregulierungen äußerst begrenzt sind. Betroffensind Namen, Geburtsdaten, Adressen und Sozialversicherungsnummern.
Read MoreDatenschutz-Problem: Smart-TVs tracken Userverhalten mit ACR im Opt-Out Verfahren
Im Oktober 2024 veröffentlichten Forscher der CalTec die Studie „Watching TV with the Second-Party“, die Automatic Content Recognition (ACR) in Smart-TVs untersucht. ACR ist eine Technologie, die automatisch Inhalte erkennt, die auf dem Fernseher abgespielt werden, und diese Informationen an Server übermittelt. Dabei werden regelmäßig Bild- oder Audioschnipsel erfasst, die dann mit einer zentralen Datenbank abgeglichen werden, um das genaue Programm oder den Film zu identifizieren, das/die ein Nutzer sieht.
Read MoreNeue Regelungen zur Gesichtserkennung durch Polizei geplant
Am 11. September 2024 wurde ein Gesetzesentwurf veröffentlicht, der der Polizei erlaubt, Verdächtige mithilfe von Gesichtserkennung zu identifizieren. Ermittler sollen biometrische Fotos von Verdächtigen mit öffentlich zugänglichen Internetbildern abgleichen dürfen. Dies betrifft jedoch nur statische Bild- und Videodateien, nicht Echtzeitübertragungen wie Livestreams. Der Abgleich darf nur für schwerwiegende Straftaten erfolgen, und die erhobenen Daten müssen gelöscht werden, wenn sie keinen Ermittlungsansatz bieten.
Read MoreGoogle Chrome setzt Abschaffung von Drittanbieter-Cookies aus – W3C reagiert mit Kritik
31. Juli 2024 Google Chrome hat bekanntgegeben, dass die geplante Abschaffung von Drittanbieter-Cookies nicht weiterverfolgt wird. Diese Entscheidung ermöglicht es Werbenetzwerken, weiterhin traditionelle Tracking-Methoden zu verwenden, um Benutzer über verschiedene Webseiten hinweg zu verfolgen und sensible Informationen zu sammeln. Dies stellt einen Rückschritt für den Datenschutz dar.
Read MoreDatenleck bei Pinterest betrifft 60 Mio Datensätze
Am 15. Juli 2024 berichtete cyberpress.org über ein mögliches Datenleck bei Pinterest, bei dem angeblich 60 Millionen Datensätze von Nutzern veröffentlicht wurden. Der Hacker “Tchao1337” behauptet, eine Datenbank mit E-Mail-Adressen, Benutzernamen, Benutzer-IDs und IP-Adressen auf einem Datenleck-Forum hochgeladen zu haben.
Read MoreTwitter trainiert KI mit Nutzerdaten: Opt-Out möglich
Die Social-Media-Plattform X, ehemals Twitter, hat durch eine standardmäßig aktivierte Datenfreigabe-Funktion Kritik ausgelöst. Diese Funktion erlaubt es X, Nutzerdaten, einschließlich Posts und Interaktionen mit dem KI-Chatbot Grok, an Elon Musks KI-Unternehmen xAI weiterzugeben. xAI verwendet diese Daten zur Schulung seiner KI-Modelle.
Read MoreRansomware-Angriff auf Notarorganisationen in Bayern und Pfalz
In der Nacht vom 08.07. auf den 09.07.2024 wurden die Standesorganisationen der Notare Bayern und Pfalz, bestehend aus der Notarkasse, der Landesnotarkammer Bayern, der Notarkammer Pfalz und dem Bayerischen Notarverein, Opfer eines Ransomware-Angriffs, wie eine entsprechende Pressemitteilung berichtet. Die Schadsoftware verschaffte sich Zugang zur IT-Infrastruktur und verschlüsselte Daten, wodurch ein Datenabfluss festgestellt wurde.
Read MoreVergleich Datenschutzgesetze: Österreich, Deutschland, Schweiz
Datenschutz ist heute wichtiger denn je. In der EU wird der Schutz persönlicher Daten durch die Datenschutz-Grundverordnung (DSGVO) geregelt, die seit dem 25. Mai 2018 in Kraft ist. Diese Verordnung legt einheitliche Standards für alle EU-Länder fest und stärkt die Rechte der Betroffenen. Deutschland und Österreich haben die DSGVO in nationales Recht umgesetzt, während die Schweiz, die nicht zur EU gehört, ihr eigenes Datenschutzgesetz (DSG) hat, das am 1. September 2023 in Kraft trat. Trotz ähnlicher Ziele gibt es wichtige Unterschiede in den Datenschutzregelungen dieser drei Länder.
Read MoreDatenschutz-Sammelklage: Oracle zahlt 115 Millionen Dollar
22.07.2024: Oracle hat in einem Class-Action Verfahren in den USA zugestimmt, 115 Millionen Dollar zur Beilegung einer zweijährigen Sammelklage bezüglich des Missbrauchs von Nutzerdaten zu zahlen. Die Klage behauptete, dass Oracles Datenverkaufsaktivitäten das Recht der Internetnutzer auf Privatsphäre nach der kalifornischen Verfassung sowie verschiedene bundesstaatliche und staatliche Datenschutzgesetze verletzten. Die Einigung betrifft 220 Millionen betroffene Nutzer, die jeweils eine gleichmäßige Entschädigung aus einem unwiderruflichen Fonds erhalten werden.
Read MoreMicrosoft: EU Kommission schuld an Kernel Zugriff von CrowdStrike
Laut dem WallStreetJournal behauptet Microsoft, die EU Kommission habe das Unternehmen gezwungen, Drittanbietern wie CrowdStrike tiefen Zugriff auf den Windows-Kernel zu gewähren. Diese Behauptung bezieht sich auf eine Vereinbarung von 2009 zur Interoperabilität, die Microsoft mit der Europäischen Kommission getroffen hat. Diese Vereinbarung sollte gleiche Wettbewerbsbedingungen schaffen und verlangte, dass Microsoft seine APIs für Drittanbieter-Sicherheitssoftware zugänglich macht.
Read MoreDer gläserne Mensch: Recherche deckt Ausmaß des Datenhandels auf
Der unkontrollierte Datenhandel der Online-Werbeindustrie stellt eine erhebliche Bedrohung für den Datenschutz von Millionen Menschen sowie die nationale Sicherheit Deutschlands dar. Dies zeigen aktuelle Recherchen von netzpolitik.org und dem Bayerischen Rundfunk.
Read MoreDatenpanne: Hacktivistin zeigt Massenüberwachung durch die Telekom auf
Lilith Wittmann hat eine Webseite namens festnetz.cool online gestellt, die es ermöglicht, Daten von Festnetz-Anschlüssen der Deutschen Telekom allein anhand der IP-Adresse abzufragen. Mit den ermittelten Daten können die Anschlussinhaber der Telekom im Internet dauerhaft getrackt werden.
Read MoreDatenleck: Chinesischer Balkonkraftwerkhersteller Deye weist Verantwortung von sich
Auf dem Blog von Günther Born wird berichtet, dass Balkonkfraftwerkbesitzer über die Deye-Cloud auf Solardaten einer fremden Person zugreifen konnte. Die Wechselrichter von Deye, die in vielen Balkonkraftwerken und Solaranlagen in Deutschland eingesetzt werden, sind über das Internet verbunden und speisen Daten in eine Cloud in China. Dies wirft nicht nur erhebliche Datenschutzprobleme auf, da fremde Anlagendaten samt persönlicher Informationen sichtbar wurden, sondern ist über dies noch schlecht programmiert, so dass man Anlagendaten fremder Besitzer angezeigt bekommt. Deye bestritt laut Born das Problem, und verweist darauf, dass die Nutzer die fremden Anlagen selbst angelegt haben sollen.
Read MoreUSA verbieten Kaspersky-Software
Das US-Handelsministerium hat am 20. Juni 2024 die Nutzung der Kaspersky-Software in den USA untersagt. Die Entscheidung folgt auf Bedenken, dass die Software der russischen Firma ein erhebliches nationales Sicherheitsrisiko darstellt.
Read MoreEu-Chatkontrolle: Eu-Rat lehnt aktuellen Vorschlag ab
Der aktuelle Vorschlag zur Chatkontrolle der belgischen Ratspräsidentschaft wurde im EU-Rat am 20.6.24 abgelehnt. Laut einem von 36 Abgeordneten unterzeichneten offenen Brief schwächt der Vorschlag die Verschlüsselung privater Kommunikation erheblich und könnte als „Blaupause für autoritäre Staaten“ dienen. Deutschland stimmte ebenfalls gegen den Entwurf zur Massenüberwachung.
Read MoreProton wird in eine Stiftung umgewandelt
Am 17. Juni 2024 verkündete Proton, bekannt für seine datenschutzorientierten Produkte wie Proton Mail und Proton VPN, dass es künftig als gemeinnützige Stiftung agieren wird. Dieser Schritt soll die Unabhängigkeit und Integrität von Proton langfristig sichern und die Mission des Unternehmens stärken, die Privatsphäre der Nutzer zu schützen und das Internet im Sinne der Gesellschaft zu gestalten.
Read MoreAlptraum für den Datenschutz - Adobes neue Nutzungsbedingungen
Ein Artikel auf tarnkappe.info kritisiert die neuen Nutzungsbedingungen von Adobe in Hinblick auf Datenschutz. Der Software-Riese hinter Programmen wie Photoshop und Illustrator räumt sich darin weitreichenden Zugriff auf Nutzerdaten ein.
Read MoreGerichtsurteil: Kameras schon bei theoretisch möglicher Nachbarüberwachung unzulässig
Ein aktuelles Gerichtsurteil stärkt den Schutz der Privatsphäre von Grundstückseigentümern und klärt, dass Kameras bereits dann unzulässig sind, wenn sie theoretisch in der Lage sind, das Nachbargrundstück zu überwachen. Das Gericht entschied, dass bereits die Möglichkeit einer Überwachung ausreicht, um einen Unterlassungsanspruch zu begründen. Das allgemeine Persönlichkeitsrecht des Klägers sei durch die Kamera gefährdet, da diese in einem angespannten Nachbarschaftsverhältnis installiert wurde. Der Schutz der Privatsphäre überwiegt hier das Interesse der Beklagten am Schutz ihres Eigentums.
Read MoreEuropäisches Zentrum für digitale Rechte wirft Microsoft Verletzung der Privatsphäre von Kindern vor
Das Europäische Zentrum für digitale Rechte, auch bekannt als noyb, hat Beschwerden gegen Microsoft eingereicht, denen zufolge der Technologieriese mit seinem Angebot Microsoft 365 Education die Datenschutzrechte von Schülern verletzt habe.
Read More42 Punkte Plan der EU zur Massenüberwachung von Messengerdiensten geleakt
Die Europäische Union hat einen 42-Punkte-Plan vorgestellt, der unter dem Schlagwort “Access by design” Hersteller dazu verpflichten soll, digitale Geräte wie Smartphones, Smart-Home-Geräte und Autos jederzeit staatlich überwachbar zu machen. Diese Initiative zielt darauf ab, den Behörden bessere Möglichkeiten zu geben, SSL Verschlüsselungen zu umgehen, um jederzeit und in Echtzeit Chatverläufe von Personen in der EU mitverfolgen zu können.
Read MoreMeta: EU User von Facebook und Co. - können KI Training mit ihren Daten nun widersprechen
Meta informiert derzeit Nutzer von Facebook und Instagram in Europa über In-App-Benachrichtigungen über Änderungen seiner Datenschutzrichtlinie, die ab dem 26. Juni in Kraft treten. Das Unternehme habe laut DSGVO ein „berechtigten Interesse“ an der Nutzung von Nutzerdaten wie Beiträgen, Kommentaren, Audiodaten und Nachrichten an Unternehmen zu haben, um seine KI-Modelle zu trainieren. Private Nachrichten an Freunde und Familie sind ausgenommen, nicht jedoch Erwähnungen Ihres Namens oder Bilder, die Sie zeigen. Ein Pop-up informiert Nutzer darüber, dass ihre Daten für das KI-Training verwendet werden, sofern sie nicht widersprechen
Read MoreDatenleck in Apples Wi-Fi Positionierungssystem gibt weltweit Gerätestandorte preis
Forscher der Uni Maryland haben in einem Paper aufgezeigt, dass das Wi-Fi-basierte Positionierungssystem (WPS) von Apple zu einer erheblichen globalen Datenschutzbedrohung führen kann. Diese Systeme, die moderne mobile Geräte zur Positionsbestimmung durch nahegelegene Wi-Fi-Zugangspunkte nutzen, können von Angreifern ausgenutzt werden, um eine weltweite Momentaufnahme der geolokalisierten Wi-Fi-BSSIDs (Basic Service Set Identifiers) zu erstellen.
Read MoreNeuer Trend: Ransomware als Werkzeug der Hacktivisten
Hacktivistengruppen nutzen zunehmend Ransomware, um politische Aufmerksamkeit zu erregen und ihre Ziele zu stören, wie ein Bericht von SentinelOne zeigt. Ein bemerkenswertes Beispiel ist das Ikaruz Red Team (IRT), das geleakte Ransomware-Baukästen verwendet, um Angriffe auf kritische Infrastrukturen auf den Philippinen durchzuführen.
Read MoreBSI verklagt Microsoft wegen Sicherheitsvorfällen auf Herausgabe von Informationen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein offizielles Verfahren gegen Microsoft eingeleitet, um Informationen zu dessen Sicherheitsvorkehrungen zu erhalten. Trotz wiederholter Anfragen und Drohungen einer Klage hat Microsoft bisher nicht die geforderten Details geliefert. Daher griff das BSI nun zu Paragraf 7a des BSI-Gesetzes, um die Herausgabe von Informationen gerichtlich einzufordern.
Read MoreUSA: Secure by Design Pledge - 68 Softwareanbieter verpflichten sich
Die amerikanische Cybersicherheits- und Infrastruktursicherheitsbehörde (CISA) hat die „Secure by Design Pledge“ ins Leben gerufen. Die freiwillige Initiative zielt darauf ab, Softwarehersteller dazu zu bewegen, ihre Produkte von Grund auf sicherer zu gestalten (Security by Design). Das Versprechen ist speziell auf Enterprise-Softwareprodukte und Dienstleistungen ausgerichtet, einschließlich On-Premises-Software, Cloud-Services und Software as a Service (SaaS).
Read MoreÜberwachung vs. Datenschutz: Die Auswirkungen von Abschnitt 702
Von Sven Bagemihl, Regional Director CEMEA bei Logpoint Das in den USA verabschiedete Gesetz zur Wiederzulassung von Abschnitt 702 (RISAA) bewirkt eine erhebliche Ausweitung der inländischen Überwachung vor, die die umfangreichste seit dem Patriot Act darstellt.
Read MoreSachsen und Berlin überwachen Verkehr mit biometrischer Gesichtserkennung
Laut einem Bericht von Netzpolitik.org nutzt die sächsische Polizei ein Gesichtserkennungssystem, das in der Lage ist, Gesichter in Echtzeit zu erkennen und zu verarbeiten. Dieses System wird auch in Berlin eingesetzt, wo der Senat erstmals technische Details öffentlich gemacht hat. Die Überwachungstechnik, die sowohl stationär als auch in parkenden Fahrzeugen eingesetzt werden kann, soll die Identifikation von verdächtigen Personen ermöglichen. Kritik gibt es hinsichtlich der rechtlichen Grundlagen und des Eingriffs in die Persönlichkeitsrechte unbeteiligter Personen.
Read MoreChinesische Tastatur-Apps: 8 von 9 senden Eingaben in die Cloud
Eine Studie vom April 2024 warnt, dass 8 von 9 getesteten chinesischen Tastatur-Apps, das Abhören von Benutzereingaben ermöglichen. Die betroffenen Apps werden von namhaften Herstellern wie Baidu, Honor, Huawei (ohne festgestellte Schwachstellen), iFlytek, OPPO, Samsung, Tencent, Vivo und Xiaomi angeboten. Betroffen sind Android wie IOS. Die Sicherheitsanalyse konzentrierte sich auf die Übertragung von Benutzereingaben dieser Tastatur-Apps an Cloud-Server. Dabei wurden kritische Sicherheitslücken entdeckt, die es ermöglichen, die übertragenen Eingaben vollständig einzusehen. Dies birgt das Risiko, dass sensible Informationen wie Finanzdaten, Login-Daten und verschlüsselte Nachrichten abgefangen werden können.
Read MoreZu kurze Passwörter werden in UK illegal
In Großbritannien traten am 29.4.24 neue Gesetze in Kraft, die es für Cyberkriminelle schwieriger machen sollen, in Hardware wie Handys und Tablets einzudringen. Das “Product Security and Telecommunications Infrastructure Act 2022” (PSTI Act) setzt Mindestsicherheitsstandards durch, an die sich alle Gerätehersteller halten müssen.
Read MoreMicrosoft installiert heimlich Telemetrie Wrapper um Store-Apps
In einer kürzlich durchgeführten Untersuchung von Rafael Rivera wurde festgestellt, dass Microsoft begonnen hat, Anwendungen aus seinem Store in speziellen .NET-Wrappern zu verpacken. Diese Entwicklung könnte tiefgreifende Auswirkungen auf die Sicherheit und Funktionalität dieser Apps haben.
Read MoreEuGH Urteil: Hackerangriffe führen nicht mehr automatisch zu Bußgeldern
Ein richtungsweisendes Urteil des Europäischen Gerichtshofs (EuGH) vom 14. Dezember 2023, könnte die Art und Weise, wie Unternehmen in der EU mit Datenschutzverletzungen umgehen, grundlegend verändern. In der Entscheidung (C-340/21) hat der EuGH klargestellt, dass das bloße Vorliegen einer unbefugten Offenlegung personenbezogener Daten nicht automatisch bedeutet, dass die vom Unternehmen getroffenen Sicherheitsmaßnahmen unzureichend waren. Vielmehr muss konkret bewertet werden, ob die Schutzmaßnahmen angesichts der spezifischen Risiken angemessen waren.
Read MoreSchleswig-Holstein wechselt von Microsoft zu Linux und LibreOffice
3.4.24: Die Regierung des Landes hat mit einem Kabinettsbeschluss die Einführung der quelloffenen Software LibreOffice als standardmäßige Office-Lösung und einen Umstieg von Microsoft Windows zu Linux beschlossen.
Read MoreBSI Umfrage: Arztpraxen kümmern sich zu wenig um IT Sicherheit
Die Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Arztpraxen, durchgeführt von März bis Mai 2023, bietet Einblicke in die Umsetzung der IT-Sicherheitsrichtlinie gemäß § 75b SGB V in deutschen Arztpraxen. Diese Richtlinie stellt gesetzliche Mindestanforderungen für einen sicheren IT-Betrieb in Arztpraxen auf und zielt darauf ab, die IT-Sicherheit im Gesundheitswesen zu stärken.
Read MoreArztpraxis IT-Sicherheitsrichtlinie gemäß § 75b SGB V
Die IT-Sicherheitsrichtlinie gemäß § 75b SGB V bezieht sich auf die deutschen gesetzlichen Anforderungen an die Informationstechnologie-Sicherheit im Gesundheitswesen. Das SGB V steht für das Fünfte Buch Sozialgesetzbuch, welches die gesetzliche Krankenversicherung in Deutschland regelt. § 75b wurde eingeführt, um die Sicherheit von Informationstechnologiesystemen im Gesundheitswesen zu gewährleisten. Einige Kernpunkte der IT-Sicherheitsrichtlinie sind:
Read MoreProjekt Ghostbusters: Wie Facebook Snapchat ausspionierte
Ein kürzlich erschienener Report von Techcrunch berichtet über einen Gerichtsfall, indem Facebook vorgeworfen wird per VPN App den Datenverkehr der Konkurrenzapp Snapchat ausspioniert zu haben. Die Operation Ghostbusters dauerte von 2016 bis 2019. Es ging nicht nur darum, Konkurrenten zu übertrumpfen; es ging darum, sie zu infiltrieren. Facebook-Ingenieure nutzten einen Dienst namens Onavo, welcher sich als VPN tarnte, um in die sicheren Kommunikationen von Konkurrenzunternehmen wie Snapchat, YouTube und Amazon einzudringen und so wichtige Informationen zur Verbesserung Ihrer Instagram App sammeln zu können.
Read MoreDatenpanne im Ausländeramt Hamburg: Möbelstück incl. sensibler Daten verkauft
22. März 2024 - Die Ausländerbehörde Hamburg verkaufte im Januar 2024 irrtümlich einen Rollcontainer voller sensibler Dokumente, mit personenbezogenen Daten, an ein Gebrauchtmöbelkaufhaus.
Read MoreBürokratie-Entlastungsgesetz zum Datenschutz: § 38 BDSG bleibt
Das Bürokratieentlastungsgesetz IV (BEG IV) befindet sich derzeit in der Phase des Regierungsentwurfs. Das Gesetz enthält verschiedene Maßnahmen zur Entlastung von Unternehmen und Bürgern von bürokratischen Auflagen. Das Forum Arbeitsrecht und der Zentralverband des deutschen Handwerks kreiden hingegen im Referentenentwurf IV an, dass Entlastungen beim Datenschutz fehlen, wie zB. die Streichung des § 38 BDSG. Diese Vorschrift regelt die Bestellung eines betrieblichen Datenschutzbeauftragten. Die Streichung der Vorschrift bedeutet, dass Unternehmen mit mehr als 20 Mitarbeitern nicht mehr automatisch verpflichtet sind, einen betrieblichen Datenschutzbeauftragten zu bestellen.
Read MoreDatenschutz im Onlinezugangsgesetz (OZG)
Das Onlinezugangsgesetz (OZG) fordert, dass Bund, Länder und Kommunen ihre Verwaltungsdienstleistungen bis 2022 digital zugänglich machen. Während das OZG und das OZG Änderungsgesetz tangieren dabei zwangsläufig die in der DSGVO vorgeschriebenen Rechte auf Datenschutz. Um die Digitalisierung voranzutreiben, ist es daher notwendig, dass sich die öffentliche Verwaltung auch mit der Umsetzung von Datenschutzfragen befasst.
Read MoreGerichtsentscheid: Whatsapp darf Pegasus Spyware Code einsehen
Im Februar 2024 entschied ein US-Gericht im laufenden Rechtsstreit zwischen WhatsApp und der NSO Group, einem israelischen Unternehmen hinter der berüchtigten Spionagesoftware Pegasus, zugunsten von WhatsApp. Das Gericht ordnete an, dass die NSO Group den Code für Pegasus und andere damit verbundene Spionagesoftware-Produkte an WhatsApp übergeben muss. Diese Entscheidung wurde als bedeutender Sieg für WhatsApp und sein Mutterunternehmen Meta angesehen, in ihren Bemühungen, illegale Überwachungsaktivitäten zu bekämpfen.
Read MoreNIS2: Geschäftsführer haften für zu niedriges IT Security Niveau
Die Einführung von NIS2 im Herbst 2024 wird viele Geschäftsführer zum schwitzen bringen. Nicht nur, dass Sie nun persönlich für ein zu niedriges IT-Sicherheitsniveau haften werden, Sie müssen darüber hinaus auch noch die IT Sicherheit auf gleichem Niveau bei Ihren Zulieferern erzwingen. D
Read MoreSnackautomat macht heimlich biometrische Gesichtsscans
Im Februar 2024 offenbarte ein fehlerhafter Invenda-Verkaufsautomat durch eine Fehlermeldung unabsichtlich, dass er Gesichtserkennungstechnologie nutzte. Die Studierenden waren vorher nicht über diese Technologie informiert worden, was Bedenken hinsichtlich Privatsphäre und Zustimmung aufwarf. Die Universität reagierte umgehend, forderte die Deaktivierung der Technologie und den schnellstmöglichen Abbau der Automaten. Sie bestätigte zudem, dass keine ähnliche Technologie auf dem Campus verwendet wird. Daraufhin wurden die Invenda-Verkaufsautomaten demontiert und vom Campus der University of Waterloo entfernt.
Read MoreArtikel 82 DSGVO: Schadensersatz Betroffener
Artikel 82 der Datenschutz-Grundverordnung (DSGVO), auch bekannt als “Recht auf Schadensersatz und Haftung”, regelt die Bedingungen, unter denen eine Person Anspruch auf Schadensersatz hat, wenn ihre Rechte nach der DSGVO verletzt wurden. Hier sind die wichtigsten Punkte von Artikel 82 DSGVO:
Read MoreAntiviren Firma Avast hat jahrelang Nutzerdaten verkauft
Die Firma Avast, bekannt für gratis Antiviren Software, hat jahrelang Browserdaten verkauft und die Privatsphäre ihrer Nutzer missachtet. Die Federal Trade Commission (FTC) hat herausgefunden, dass Avast über sein Tochterunternehmen Jumpshot eindeutig identifizierbare Daten über einen Zeitraum von 2014 - 2020 veräußert hatte. Die FTC verhängt eine Strafe von 16,5 Mio $ und verbietet zukünftigen Handel mit Nutzerdaten.
Read MoreEuropäischer Gerichtshof für Menschenrechte verbietet Massenüberwachung
Am 14.2.2024 wurde ein Urteil im Fall Podchasov v. Russland gefällt, das weitreichende Konsequenzen für die geplante Client-Side Massenüberwachung von Smartphones durch die EU haben könnte. Der Europäische Gerichtshof für Menschenrechte (EGMR) befand, dass russische Gesetze, die von “Internetkommunikationsorganisatoren” verlangen, Kommunikationsdaten zu speichern und Sicherheitsdiensten Zugang zu diesen sowie die Fähigkeit zur Entschlüsselung verschlüsselter Kommunikation zu gewähren, eine übermäßig breite und ernsthafte Beeinträchtigung der Privatsphäre und des Briefverkehrs darstellen. Der EGMR kritisierte das Fehlen ausreichender Schutzmaßnahmen gegen Missbrauch und beurteilte die Gesetzgebung als nicht konform mit dem Recht auf Privatsphäre und Korrespondenz, wie es durch die Europäische Menschenrechtskonvention geschützt ist.
Read MoreBayerische Datenschutzaufsicht stoppt Acxiom Datenhandel mit CRIF
Das bayerische Landesamt für Datenschutzaufsicht hat den Handel mit Daten zwischen der Auskunftei CRIF und dem Adresshändler Acxiom in Deutschland für illegal erklärt. Nach Beschwerden der Datenschutzorganisation NOYB gegen CRIF und Acxiom, wegen des Handels mit den persönlichen Daten von Millionen von Deutschen, hat die bayerische Datenschutzbehörde entschieden, dass CRIF durch den Kauf von Daten bei Acxiom gegen das Prinzip der Zweckbindung verstoßen und somit europäisches Datenschutzrecht verletzt hat. Die Behörde stellte fest, dass CRIF die Daten des Beschwerdeführers entgegen dem Grundsatz der Zweckbindung verarbeitet und seine Pflicht zur Information über den Erwerb seiner Daten von Acxiom verletzt hat. Zudem gab die Kreditagentur unvollständige Antworten auf eine Anfrage des Beschwerdeführers nach Informationen und lieferte sogar falsche Informationen.
Read MoreEU AI Act öffnet Tür und Tor zur EU weiten Massenüberwachung
Die neuesten Entwicklungen und Diskussionen um den “AI Act” (Gesetz zur Regulierung künstlicher Intelligenz) in der Europäischen Union zeigen, dass es Bedenken hinsichtlich der Anwendung von Gesichtserkennungstechnologien gibt. Die Hauptpunkte der Debatte lassen sich wie folgt zusammenfassen:
Read MoreE-Rezept 2024 - Bedenken aus Datenschutzsicht
Ab dem 1. Januar 2024 wird das elektronische Rezept (E-Rezept) in Deutschland für verschreibungspflichtige Medikamente verpflichtend. Das E-Rezept bietet verschiedene Einlösemöglichkeiten für gesetzlich Versicherte: Über die elektronische Gesundheitskarte (eGK), eine spezielle E-Rezept-App der Gematik oder über einen Papierausdruck mit einem Rezeptcode. Die E-Rezept-App ermöglicht es, Rezepte online einzulösen, den Medikationsstatus einzusehen und Apotheken zu finden. Zudem können auch Rezepte für Familienmitglieder in der App verwaltet werden. Das e-Rezept umfasst dabei folgende für den DSGVO relevante Daten:
Read MoreDas Standard Datenschutzmodell (SDM)
Das Standard-Datenschutzmodell (SDM) ist ein Ansatz, der entwickelt wurde, um Datenschutzprinzipien in der Informationstechnologie effektiv umzusetzen. Ziel des SDM ist es, einen systematischen Rahmen für Datenschutzmaßnahmen zu bieten, der sowohl die rechtlichen Anforderungen als auch die technischen und organisatorischen Aspekte berücksichtigt. Es konzentriert sich darauf, Datenschutz von Anfang an in die Designphase von IT-Systemen und -Prozessen zu integrieren. Das SDM bietet eine strukturierte Methode, um Datenschutzrisiken zu identifizieren und geeignete Schutzmaßnahmen zu ergreifen. Dadurch soll sichergestellt werden, dass personenbezogene Daten in Übereinstimmung mit den gesetzlichen Datenschutzvorgaben behandelt werden.
Read MoreNach 38 Stunden Verhandlungen wurde der EU AI-Act beschlossen
Die Europäische Union hat kürzlich eine wegweisende Gesetzgebung zur Regulierung Künstlicher Intelligenz (KI) vereinbart, die als “AI Act” bekannt ist. Diese Gesetzgebung stellt einen globalen Meilenstein dar und zielt darauf ab, die Entwicklung und Nutzung von KI-Systemen innerhalb der EU zu regeln. Der AI Act wurde nach intensiven Verhandlungen beschlossen, die fast 38 Stunden dauerten.
Read MoreArt. 37 DSGVO - Benennung eines Datenschutzbeauftragten
Die Datenschutz-Grundverordnung (DSGVO), die seit Mai 2018 in der Europäischen Union gilt, hat den Schutz personenbezogener Daten wesentlich gestärkt. Ein zentraler Aspekt der DSGVO ist die Bestellung eines Datenschutzbeauftragten, wie in Artikel 37 festgelegt. Dieser Artikel ist von entscheidender Bedeutung, da er die Voraussetzungen und Pflichten rund um die Position des Datenschutzbeauftragten definiert.
Read MoreDie EU-weite Single Digital Gateway-Verordnung (SDGVO)
Die Single Digital Gateway-Verordnung (SDGVO) ist eine wichtige Initiative der Europäischen Union, die darauf abzielt, den Zugang zu Informationen und Dienstleistungen innerhalb der EU zu vereinfachen und zu digitalisieren.
Read MoreArtikel 28 DSGVO - Auftragsverarbeiter
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union hat die Landschaft des Datenschutzes radikal verändert, seit sie im Mai 2018 in Kraft getreten ist. Einer ihrer zentralen Artikel ist Artikel 28, der sich mit der Verarbeitung personenbezogener Daten durch Auftragsverarbeiter befasst.
Read MoreArtikel 83 DSGVO - Bußgelder
Artikel 83 der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union behandelt die allgemeinen Bedingungen für die Verhängung von Verwaltungsstrafen, also Bußgeldern, im Falle von Verstößen gegen die Verordnung. Dieser Artikel ist entscheidend, da er die finanziellen Konsequenzen für Unternehmen und Organisationen festlegt, die die Datenschutzvorschriften nicht einhalten. Hier ist eine vereinfachte Zusammenfassung der wichtigsten Punkte von Artikel 83:
Read MoreArtikel 25 DSGVO - Datenschutz durch Technikgestaltung
Artikel 25 der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union befasst sich mit dem Konzept von “Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen”, oft bekannt als “Privacy by Design” und “Privacy by Default”. Dieser Artikel ist ein zentraler Bestandteil der DSGVO und spielt eine wichtige Rolle bei der Art und Weise, wie Unternehmen und Organisationen personenbezogene Daten verarbeiten. Hier ist eine vereinfachte Zusammenfassung des Artikels:
Read MoreBinding Corporate Rules
Binding Corporate Rules (BCR) sind ein Mechanismus für multinationale Unternehmen, um angemessene und konsistente Datenschutzstandards für die Übertragung personenbezogener Daten innerhalb ihrer Unternehmensgruppe über Ländergrenzen hinweg zu gewährleisten. BCR sind besonders relevant im Kontext der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU).
Read MoreAngemessenheitsbeschlüsse
Angemessenheitsbeschlüsse sind ein wichtiges Instrument im Rahmen der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU). Sie spielen eine zentrale Rolle bei der Regelung des Transfers personenbezogener Daten von der EU in Drittländer.
Read MoreStandardvertragsklauseln (SVK)
Standardvertragsklauseln (SVK), auch bekannt als Standard Contractual Clauses (SCC), sind rechtliche Instrumente, die im Bereich des Datenschutzes verwendet werden, um den Transfer personenbezogener Daten aus der Europäischen Union (EU) in Drittländer zu ermöglichen, die nach EU-Standards kein angemessenes Datenschutzniveau bieten. Sie sind besonders relevant im Kontext der Datenschutz-Grundverordnung (DSGVO).
Read MoreArtikel 9 DSGVO - Besonders sensible Daten
Artikel 9 der Datenschutz-Grundverordnung (DSGVO) behandelt die Verarbeitung besonderer Kategorien personenbezogener Daten. Diese besonderen Kategorien umfassen Daten, die aufgrund ihrer Sensibilität ein höheres Risiko für die Grundrechte und Freiheiten der betroffenen Personen darstellen. Artikel 9 legt daher strengere Bedingungen für die Verarbeitung dieser Arten von Daten fest.
Read MoreBundesdatenschutzgesetz (BDSG)
ChatGPT Das Bundesdatenschutzgesetz (BDSG) ist ein deutsches Bundesgesetz, das den Schutz von persönlichen Daten, die durch öffentliche und nichtöffentliche Stellen verarbeitet werden, regelt. Es ist neben der Datenschutz-Grundverordnung (DSGVO) eines der zentralen Datenschutzgesetze in Deutschland. Seit dem Inkrafttreten der DSGVO im Mai 2018 ist das BDSG in einer neuen Fassung gültig, die es an die Vorgaben der DSGVO anpasst und in bestimmten Bereichen ergänzt.
Read MoreArtikel 36 DSGVO - Vorherige Konsultation
Artikel 36 der Datenschutz-Grundverordnung (DSGVO) trägt den Titel “Vorherige Konsultation” und befasst sich mit den Situationen, in denen ein Verantwortlicher (das Unternehmen oder die Organisation, die personenbezogene Daten verarbeitet) vor der Verarbeitung personenbezogener Daten die zuständige Aufsichtsbehörde konsultieren muss. Dies ist insbesondere dann der Fall, wenn eine Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO darauf hinweist, dass die geplante Verarbeitung, insbesondere aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt.
Read MoreArtikel 39 DSGVO – Aufgaben des Datenschutzbeauftragten
Der Datenschutzbeauftragte hat zumindest folgende Aufgaben: die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters sowie der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung und nach anderen Datenschutzvorschriften der Union oder der Mitgliedstaaten; die Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union oder der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen; die Beratung – auf Anfrage – im Hinblick auf die Datenschutz-Folgenabschätzung und die Überwachung ihrer Durchführung gemäß Artikel 35; die Zusammenarbeit mit der Aufsichtsbehörde; die Tätigkeit als Anlaufstelle für die Aufsichtsbehörde zu Fragen der Verarbeitung, einschließlich der vorherigen Konsultation gemäß Artikel 36, und zu gegebenenfalls weiteren Angelegenheiten. Der Datenschutzbeauftragte berücksichtigt bei der Erfüllung seiner Aufgaben die mit den Verarbeitungsvorgängen verbundenen Risiken, die sich aus der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung ergeben. Der Datenschutzbeauftragte ist bei der Ausübung seiner Aufgaben nicht dem Weisungsrecht des Verantwortlichen oder des Auftragsverarbeiters unterworfen. Die Rolle des Datenschutzbeauftragten ist also primär die eines Beraters und Überwachers innerhalb der Organisation, der für die Einhaltung der Datenschutzgesetze verantwortlich ist. Darüber hinaus soll der DSB als Brücke zwischen der Organisation und den Aufsichtsbehörden fungieren, um sicherzustellen, dass alle datenschutzrechtlichen Anforderungen eingehalten werden und die Kommunikation mit den Behörden effektiv ist.
Read MoreBDSG §7 - Aufgaben eines Datenschutzbeauftragten
Der § 7 des Bundesdatenschutzgesetzes (BDSG) bezieht sich auf die Position und die Aufgaben des Datenschutzbeauftragten in Deutschland. Der § 7 BDSG (neu) wurde im Zuge der Anpassung des deutschen Rechts an die DSGVO eingeführt. Die Anforderungen sollen Artikel 39 DSGVO ergänzen.
Read MoreDSGVO Betroffenenrechte
Die Datenschutz-Grundverordnung (DSGVO) hat die Rechte von Einzelpersonen, deren personenbezogene Daten von Unternehmen und Organisationen verarbeitet werden, erheblich gestärkt und erweitert. Diese Betroffenenrechte sind zentraler Bestandteil der Verordnung und sollen sicherstellen, dass Personen Kontrolle über ihre eigenen Daten behalten. Hier ist eine Übersicht über die wichtigsten Betroffenenrechte nach der DSGVO:
Read MoreLeitfaden zu Transfer Impact Assessments (TIAs)
Im Zeitalter der Globalisierung und digitalen Wirtschaft ist der grenzüberschreitende Datentransfer ein unverzichtbarer Bestandteil des Geschäftslebens. Mit der steigenden Bedeutung des Datenschutzes und insbesondere nach dem Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) ist das Transfer Impact Assessment (TIA) zu einem kritischen Instrument geworden, um Compliance im internationalen Datenverkehr sicherzustellen.
Read MoreDas Hinweisgeberschutzgesetz (HinSchG)
Mit der Einführung des Hinweisgeberschutzgesetzes (HinSchG) positioniert sich Deutschland an der Seite anderer EU-Länder bei der Umsetzung der EU-Whistleblower-Richtlinie. Ziel ist es, Personen zu schützen, die Verstöße gegen das Recht melden, und die Compliance innerhalb von Organisationen zu stärken. Für Unternehmen ergeben sich dadurch neue Pflichten und Herausforderungen, die sowohl organisatorische als auch kulturelle Anpassungen erfordern.
Read MoreWer haftet bei Datenschutzverstößen?
Nach einem Urteil des Oberlandesgerichts Dresden vom 30. November 2021 (4 U 1158/21) wurden ein GmbH-Geschäftsführer und die Gesellschaft selbst zur Zahlung von 5.000 Euro Schadensersatz verurteilt. Das Gericht sah den Geschäftsführer nach Art. 4 DSGVO als datenschutzrechtlichen verantwortlichen an.
Read MoreBerechtigtes Interesse nach Artikel 6 Abs.1 DSGVO
Berechtigtes Interesse ist eines der am kontroversesten diskutierten Artikel der DSGVO. Nach Ansicht der meisten Unternehmer wird deren Interesse meist zu 100 % berechtigt sein. Die aktuelle Rechtsprechung verhängt aber nicht selten Bußgelder, weil das Interesse am Ende in Abwägung der Betroffenenrechte dann doch nicht genug berechtigt ist, um sich durchzusetzen. In diesem Artikel zeigen wir Ihnen daher, was Sie beachten müssen, wenn Sie eine Argumentation zur Datenerfassung aus berechtigten Interesse vorhaben.
Read MoreLandesspezifische Krankenhausgesetze - Datenschutzregelungen
Da jedes Bundesland ein eigenes Krankenhausgesetz hat und sich die darin vorkommenden Regelungen die bei der Datenverarbeitung von besonders sensiblen Patientendaten, genetischen Daten und Gesundheitsdaten zu beachten sind.
Read MorePatienten-Daten-Schutz-Gesetz-PDSG
Das Patienten-Daten-Schutz-Gesetz (PDSG) ist ein deutsches Gesetz, das dazu dient, den Schutz von Patientendaten und die Sicherheit der Gesundheitsversorgung zu gewährleisten. Es trat im Oktober 2020 in Kraft und dient dazu, digitaler Gesundheitsangebote wie die elektronischen Patientenakte (ePA) und digitale Rezepte und Überweisungen auszubauen.
Read MoreDSGVO Erwägungsgrund 13
Berücksichtigung von Kleinstunternehmen sowie kleinen und mittleren Unternehmen Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union wurde mit dem Ziel geschaffen, ein einheitliches Datenschutzniveau für natürliche Personen innerhalb der Union sicherzustellen. Sie zielt darauf ab, Unterschiede zu beseitigen, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten. Dabei ist es von entscheidender Bedeutung, dass die DSGVO Rechtssicherheit und Transparenz für Wirtschaftsteilnehmer, einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen (KMU), schafft.
Read MoreArtikel 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Gesetzestext des Artikel 22 DSGVO Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Absatz 1 gilt nicht, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder mit ausdrücklicher Einwilligung der betroffenen Person erfolgt. In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört. Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden. Bedeutung des Artikel 22 der DSGVO Art. 22 DSGVO regelt die automatisierte Entscheidungsfindung einschließlich Profiling, welche bedeutende Auswirkungen auf die betroffenen Personen haben können. Im Kern zielt die Vorschrift darauf ab, die Rechte und Freiheiten der Einzelnen zu schützen und dabei den Unternehmen den notwendigen Spielraum zu lassen, um innovative, datengetriebene Lösungen zu entwickeln.
Read More