📠 What a week!?! - Und jetzt kommt auch noch der BGH mit einer Art. 82… | Thomas Bindl 📠 What a week!?! - Und jetzt kommt auch noch der BGH mit einer Art. 82 Entscheidung: BGH Urteil vom 11.02.2025 VI ZR 365/22 15 aa) Schon der bloße Kontrollverlust kann, wie der Senat in Umsetzung der...

BGH VI ZR 365/22

𝗡𝗮𝗰𝗵 𝗱𝗶𝗲𝘀𝗲𝗻 𝗚𝗿𝘂𝗻𝗱𝘀𝗮̈𝘁𝘇𝗲𝗻 𝗹𝗶𝗲𝗴𝘁 𝗱𝗲𝗿 𝗦𝗰𝗵𝗮𝗱𝗲𝗻 𝗵𝗶𝗲𝗿 𝗼𝗵𝗻𝗲 𝗪𝗲𝗶𝘁𝗲𝗿𝗲𝘀 𝗱𝗮𝗿𝗶𝗻, 𝗱𝗮𝘀𝘀 𝗱𝗶𝗲 𝗕𝗲𝗸𝗹𝗮𝗴𝘁𝗲 𝗮𝘂𝗰𝗵 𝗻𝗮𝗰𝗵 𝗱𝗲𝗺 𝟮𝟱. 𝗠𝗮𝗶 𝟮𝟬𝟭𝟴 𝗱𝗶𝗲 𝗽𝗲𝗿𝘀𝗼𝗻𝗲𝗻𝗯𝗲𝘇𝗼𝗴𝗲𝗻𝗲𝗻, 𝗶𝗻 𝗱𝗲𝗿𝗲𝗻 𝗣𝗲𝗿𝘀𝗼𝗻𝗮𝗹𝗮𝗸𝘁𝗲 𝗲𝗻𝘁𝗵𝗮𝗹𝘁𝗲𝗻𝗲𝗻 𝗗𝗮𝘁𝗲𝗻 𝗱𝗲𝗿 𝗞𝗹𝗮̈𝗴𝗲𝗿𝗶𝗻 𝗵𝗶𝗲𝗿𝘇𝘂 𝗻𝗶𝗰𝗵𝘁 𝗯𝗲𝗿𝗲𝗰𝗵𝘁𝗶𝗴𝘁𝗲𝗻 𝗗𝗿𝗶𝘁𝘁𝗲𝗻, 𝗻𝗮̈𝗺𝗹𝗶𝗰𝗵 (...), 𝘇𝘂𝗿 𝗕𝗲𝗮𝗿𝗯𝗲𝗶𝘁𝘂𝗻𝗴 𝘂̈𝗯𝗲𝗿𝗹𝗮𝘀𝘀𝗲𝗻 und (...) hat.

Vielleicht wieder etwas für den EuGH.

EG 85 anbei.

Wenn konkretes Risiko (Kontrollverlust), dann sofort(!) informieren.
Wenn fortlaufende Verletzung (zB Verarbeitung ohne RGL?), dann reicht spätere Benachrichtigung.

Weiß ich, dass jemand zugegriffen (und die Daten exfiltriert) hat, ist es kein Risiko mehr, sondern es ist bereits ein Schaden eingetreten, der Kontrollverlust.

"Hat die Verletzung des Schutzes pbD voraussichtlich ein hohes Risiko"

Die Verletzung sind zB unzureichende technische Maßnahmen (kein Passwort), korrekt?
Falls ja, geht es um das Risiko durch diese Verletzung. Kann ich einen Zugriff durch Dritte ausschliessen => Risiko gering
Falls nein => hoch

Sind die Daten sicher(!) verschlüsselt ist das Risiko nur gering.

Waren die Daten nur intern im Unternehmen ungeschützt zugänglich und es gibt keine Logfiles, ist das Risiko wohl auch häufig nur gering.

Wenn die Daten aber in den Händen Dritter sind, hat sich das Risiko bereits materialisiert.

Aber bei einem Datenleck (breach) ist es ja nicht nur mehr ein Risiko, sondern das Risiko hat sich zumindest im Kontrollverlust für die Betroffenen materialisiert.

Habe ich eine Sicherheitslücke, die ich schließe und ich weiß über Logfiles, dass es keinen Abfluss gab, ist das Risiko gering.

Nach Art 34 / EG 86 DSGVO sollen sie das schon.

Es wird nur leider zu oft nicht gemacht.

GA opinion:
curia.europa.eu/juris/docume...

In one month a very interesting CJEU decision will be published:
Case C-203/22
Dun & Bradstreet Austria

The GA opinion was very clear in terms of transparency requirements. Let's see if the CJEU follows these suggestions.

This will most likely have BIG impact on AI and of course credit scoring.

The PCLOB just published its report on the Terrorist Watchlist and its recommendations.

It makes me wonder if this was the reason why three members were asked by the White House to resign by today.

One comment regarding E.O. 14086 is quite interesting.

documents.pclob.gov/prod/Documen...

Ich bin gespannt, wie das Rennen endet. Aktuell wohl 1:1 BG vs WW

EuGH C-741/21 juris: Art. 82 ist dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung, (...), nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen immateriellen Schaden im Sinne dieser Bestimmung darzustellen.

Verstoß = unzureichende TOM, wodurch die Daten abgegriffen werden konnten
Schaden = Kontrollverlust

Das Scraping und dessen Veröffentlichung macht den Verstoß sichtbar.
Unzureichend umgesetzte TOMs (Verstöße) gibt es wohl häufig, Datenabflüsse (Kontrollverlust als Schaden) seltener