Thomas Bindl
@thomasbindl.bsky.social
Founder EuGD.org | personal account | no lawyer, no legal advice
Vielleicht wieder etwas für den EuGH.
EG 85 anbei.
Wenn konkretes Risiko (Kontrollverlust), dann sofort(!) informieren.
Wenn fortlaufende Verletzung (zB Verarbeitung ohne RGL?), dann reicht spätere Benachrichtigung.
EG 85 anbei.
Wenn konkretes Risiko (Kontrollverlust), dann sofort(!) informieren.
Wenn fortlaufende Verletzung (zB Verarbeitung ohne RGL?), dann reicht spätere Benachrichtigung.
February 6, 2025 at 10:04 AM
Vielleicht wieder etwas für den EuGH.
EG 85 anbei.
Wenn konkretes Risiko (Kontrollverlust), dann sofort(!) informieren.
Wenn fortlaufende Verletzung (zB Verarbeitung ohne RGL?), dann reicht spätere Benachrichtigung.
EG 85 anbei.
Wenn konkretes Risiko (Kontrollverlust), dann sofort(!) informieren.
Wenn fortlaufende Verletzung (zB Verarbeitung ohne RGL?), dann reicht spätere Benachrichtigung.
Weiß ich, dass jemand zugegriffen (und die Daten exfiltriert) hat, ist es kein Risiko mehr, sondern es ist bereits ein Schaden eingetreten, der Kontrollverlust.
February 5, 2025 at 9:59 AM
Weiß ich, dass jemand zugegriffen (und die Daten exfiltriert) hat, ist es kein Risiko mehr, sondern es ist bereits ein Schaden eingetreten, der Kontrollverlust.
"Hat die Verletzung des Schutzes pbD voraussichtlich ein hohes Risiko"
Die Verletzung sind zB unzureichende technische Maßnahmen (kein Passwort), korrekt?
Falls ja, geht es um das Risiko durch diese Verletzung. Kann ich einen Zugriff durch Dritte ausschliessen => Risiko gering
Falls nein => hoch
Die Verletzung sind zB unzureichende technische Maßnahmen (kein Passwort), korrekt?
Falls ja, geht es um das Risiko durch diese Verletzung. Kann ich einen Zugriff durch Dritte ausschliessen => Risiko gering
Falls nein => hoch
February 5, 2025 at 9:58 AM
"Hat die Verletzung des Schutzes pbD voraussichtlich ein hohes Risiko"
Die Verletzung sind zB unzureichende technische Maßnahmen (kein Passwort), korrekt?
Falls ja, geht es um das Risiko durch diese Verletzung. Kann ich einen Zugriff durch Dritte ausschliessen => Risiko gering
Falls nein => hoch
Die Verletzung sind zB unzureichende technische Maßnahmen (kein Passwort), korrekt?
Falls ja, geht es um das Risiko durch diese Verletzung. Kann ich einen Zugriff durch Dritte ausschliessen => Risiko gering
Falls nein => hoch
Sind die Daten sicher(!) verschlüsselt ist das Risiko nur gering.
Waren die Daten nur intern im Unternehmen ungeschützt zugänglich und es gibt keine Logfiles, ist das Risiko wohl auch häufig nur gering.
Wenn die Daten aber in den Händen Dritter sind, hat sich das Risiko bereits materialisiert.
Waren die Daten nur intern im Unternehmen ungeschützt zugänglich und es gibt keine Logfiles, ist das Risiko wohl auch häufig nur gering.
Wenn die Daten aber in den Händen Dritter sind, hat sich das Risiko bereits materialisiert.
February 4, 2025 at 1:20 PM
Sind die Daten sicher(!) verschlüsselt ist das Risiko nur gering.
Waren die Daten nur intern im Unternehmen ungeschützt zugänglich und es gibt keine Logfiles, ist das Risiko wohl auch häufig nur gering.
Wenn die Daten aber in den Händen Dritter sind, hat sich das Risiko bereits materialisiert.
Waren die Daten nur intern im Unternehmen ungeschützt zugänglich und es gibt keine Logfiles, ist das Risiko wohl auch häufig nur gering.
Wenn die Daten aber in den Händen Dritter sind, hat sich das Risiko bereits materialisiert.
Aber bei einem Datenleck (breach) ist es ja nicht nur mehr ein Risiko, sondern das Risiko hat sich zumindest im Kontrollverlust für die Betroffenen materialisiert.
Habe ich eine Sicherheitslücke, die ich schließe und ich weiß über Logfiles, dass es keinen Abfluss gab, ist das Risiko gering.
Habe ich eine Sicherheitslücke, die ich schließe und ich weiß über Logfiles, dass es keinen Abfluss gab, ist das Risiko gering.
February 4, 2025 at 1:12 PM
Aber bei einem Datenleck (breach) ist es ja nicht nur mehr ein Risiko, sondern das Risiko hat sich zumindest im Kontrollverlust für die Betroffenen materialisiert.
Habe ich eine Sicherheitslücke, die ich schließe und ich weiß über Logfiles, dass es keinen Abfluss gab, ist das Risiko gering.
Habe ich eine Sicherheitslücke, die ich schließe und ich weiß über Logfiles, dass es keinen Abfluss gab, ist das Risiko gering.
Nach Art 34 / EG 86 DSGVO sollen sie das schon.
Es wird nur leider zu oft nicht gemacht.
Es wird nur leider zu oft nicht gemacht.
February 4, 2025 at 12:39 PM
Nach Art 34 / EG 86 DSGVO sollen sie das schon.
Es wird nur leider zu oft nicht gemacht.
Es wird nur leider zu oft nicht gemacht.
GA opinion:
curia.europa.eu/juris/docume...
curia.europa.eu/juris/docume...
CURIA - Documents
curia.europa.eu
January 27, 2025 at 8:14 AM
GA opinion:
curia.europa.eu/juris/docume...
curia.europa.eu/juris/docume...
Verstoß = unzureichende TOM, wodurch die Daten abgegriffen werden konnten
Schaden = Kontrollverlust
Das Scraping und dessen Veröffentlichung macht den Verstoß sichtbar.
Unzureichend umgesetzte TOMs (Verstöße) gibt es wohl häufig, Datenabflüsse (Kontrollverlust als Schaden) seltener
Schaden = Kontrollverlust
Das Scraping und dessen Veröffentlichung macht den Verstoß sichtbar.
Unzureichend umgesetzte TOMs (Verstöße) gibt es wohl häufig, Datenabflüsse (Kontrollverlust als Schaden) seltener
March 27, 2024 at 8:48 PM
Verstoß = unzureichende TOM, wodurch die Daten abgegriffen werden konnten
Schaden = Kontrollverlust
Das Scraping und dessen Veröffentlichung macht den Verstoß sichtbar.
Unzureichend umgesetzte TOMs (Verstöße) gibt es wohl häufig, Datenabflüsse (Kontrollverlust als Schaden) seltener
Schaden = Kontrollverlust
Das Scraping und dessen Veröffentlichung macht den Verstoß sichtbar.
Unzureichend umgesetzte TOMs (Verstöße) gibt es wohl häufig, Datenabflüsse (Kontrollverlust als Schaden) seltener