GDD-Praxisreport 2021 - Datenschutzverletzungen - GDD eV
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Gesellschaft für Datenschutz
und Datensicherheit e.V.
GDD-Praxisreport 2021
Datenschutzverletzungen
INHALT Einleitung.......................................................................... 3 Gestaltung der Umfrage und Ergebnisse............................... 4 Ausgewählte Beispielfälle................................................... 6 Relevante Normen.................................................................................... 6 Definitionen ........................................................................................... 7 Beispielfälle ..................................................................... 7 Fall 1: Der verlorene Schlüssel................................................................... 7 Fall 2: Unerkanntes GPS-Tracking .............................................................. 8 Fall 3: Systemfehler im Schulungstool ....................................................... 8 Fall 4: Fehlgeleitete Zielvereinbarungen .................................................... 9 Fall 5: Der Berechtigungsexzess ................................................................ 9 Fazit ............................................................................... 10
Datenschutzverletzungen Im Rahmen der Konsultation des Europäischen Datenschutzausschusses zu Beispielsfällen einer Datenschutzverletzung1 hat die GDD eine Umfrage für die Öffentlichkeit initiiert, um einen tieferen Einblick in den Umgang von Datenverarbeitern mit den “Datenpannen” zu erhalten2. Die Vielzahl der uns zugetragenen Praxisfälle verdeutlicht, welch große Bedeutung dieser Thematik insbesondere in der unternehmerischen Praxis zukommt. Jüngstes Beispiel der Kon- troversen um die Verletzung des Schutzes personenbezogener Daten bilden Schwachstellen von On-Premise-Installationen des E-Mail-Servers Microsoft Exchange. Hier wurden Melde- pflichten für Organisationen von Aufsichtsbehörden sehr unterschiedlich beurteilt, was zu einer großen Rechtsunsicherheit bei den datenverarbeitenden Stellen führte. 1 https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2021/guidelines-012021-examples-regarding-data-breach_de 2 https://www.gdd.de/aktuelles/startseite/umfrage-zu-datenschutzvorfaellen-im-unternehmen GDD-Praxisreport 2021: Datenschutzverletzungen Stand: April 2021 3
Gestaltung der Umfrage und >> ob ein unbefugter Zugriff auf Daten fest-
Ergebnisse gestellt werden konnte.
Insgesamt wurden 94 vollständige Beispiele für
Den Schwerpunkt der GDD-Umfrage bildete die Fra- eine Datenschutzverletzung an die GDD übermit-
ge nach der konkreten Beschreibung einer Daten- telt. Die berichteten Datenschutzverletzungen las-
schutzverletzung. Um auch den Umgang von Ver- sen sich folgenden Kategorien zuordnen:
antwortlichen mit den gesetzlichen Pflichten aus
Art. 33 u. 34 DS-GVO insgesamt in Erfahrung zu >> Übermittlung an falsche Empfänger
bringen, wurden weitere Informationen abgefragt. >> Cyberangriffe
>> System-/Konfigurationsfehler
Die Fragen lauteten wie folgt: >> Diebstahl
>> Verlust von Datenträgern oder Akten
Bitte schildern Sie uns einen Datenschutzvorfall,
der Ihnen zu Prüfungszwecken (Melde-/Benach- Daneben existieren einzelne Meldungen in der Ka-
richtigung-/Dokumentationspflicht) vorgelegt tegorie “Sonstiges”, die sich keiner der obigen Ka-
wurde. Beschreiben Sie hierbei auch tegorien eindeutig zuordnen lassen, z.B. gezielte
Maßnahmen zur unbefugten Verarbeitung personen-
>> die betroffenen Daten und Personen bezogener Daten auf Veranlassung des Verantwort-
(z.B. Kategorien oder genauere Bezeichnung lichen bzw. einzelner Beschäftigter. Ebenso wurde
ohne Personenbezug; z.B. Kontodaten von Be- ein Fall einer versehentlichen Löschung besonderer
schäftigten, Kunden oder B2B-Kontakten), Kategorien personenbezogener Daten gemeldet, der
>> die Zahl der betroffenen Datensätze Anlass für die Meldung einer Datenschutzverletzung
(z.B. E-Mail-Verteiler mit 30 Empfängern), war.
>> ob der Vorfall an die zuständige Aufsichtsbe-
hörde gemeldet wurde und - falls ja - wie Die prozentuale Verteilung der gemeldeten Vor-
schnell nach Kenntniserlangung, fälle gestaltete sich wie folgt (siehe Grafik unten):
GDD-Praxisreport 2021: Datenschutzverletzungen
Stand: April 2021 4Die unbeabsichtigte Übermittlung personen- dass hinsichtlich der elektronischen Hardware nur
bezogener Daten an falsche Empfänger ist die bei drei von sieben der gemeldeten Szenarien eine
mit Abstand am häufigsten gemeldete Kategorie Verschlüsselung der Datenträger eingesetzt wurde.
(47 %). Cyberangriffe gaben ebenfalls einen An-
lass für Datenschutzverletzungen (14 %), wobei Bei den erfassten Kategorien einer Datenschutz-
sich diese nochmals in Unterkategorien einteilen verletzung lag die folgende prozentuale Verteilung
lassen, so bspw. Phishing-, Ransomware- oder an- hinsichtlich ihrer Meldung gegenüber einer Auf-
dere Attacken zur Umgehung von Zugangsbeschrän- sichtsbehörde vor (siehe Grafik unten):
kungen bzw. Rechteeskalation.
57 % der gemeldeten Sachverhalte wurden an die
Bei den System- oder Konfigurationsfehlern zuständige Aufsichtsbehörde gemeldet. Ein Ver-
(10 %) wurden entweder fehlerhafte Konfiguratio- gleich zwischen Sachverhaltsdarstellung und dem
nen in Systemen oder Applikationen vorgenommen Ergebnis der Prüfung der Anforderungen aus Art. 33
oder Fehler im Programmcode lösten eine Sicher- DS-GVO zeigt eine bestehende Sensibilisierung der
heitsverletzung aus. In diesen Fällen beruhten die Umfrageteilnehmer/innen hinsichtlich gesetzlicher
Verletzungen entsprechend auf einem menschlichen Meldepflichten. Dies führte jedoch nicht zu einer
Verhalten. Aufgrund der direkten Auswirkungen erweiterten Interpretation von Art. 33 DS-GVO.
auf den Schutz personenbezogener Daten werden Diese Erkenntnisse decken sich in Teilen mit einem
fehlerhafte Berechtigungen als eigene Kategorie Vergleich der inneuropäischen Meldebereitschaft
geführt, die in Systemen oder Applikationen irr- ausgewählter Mitgliedstaaten, den die Daten-
tümlich gesetzt wurden. Die Kategorie Diebstahl schutzkonföderation CEDPO in ihrer Stellungnahme
oder Verlust bezog sich im Wesentlichen auf Hard- zu den Beispielsfällen einer Datenschutzverletzung
ware zur Speicherung personenbezogener Daten veröffentlicht hat3:
(USB-Sticks, externe Festplatten, Smartphones,
Laptops), wobei es auch Einzelfälle des Verlustes
oder des Diebstahls von Akten gab. Auffällig war,
3 https://cedpo.eu/wp-content/uploads/20210302-CEDPO_Com-
ments_Gudelines_01-2021.pdf
GDD-Praxisreport 2021: Datenschutzverletzungen
Stand: April 2021 5“A high variation in personal data breach notifica- Art. 34 DS-GVO - Benachrichtigung der von einer
tions in EU Member States is noticed. Breach no- Verletzung des Schutzes personenbezogener Da-
tifications in 2020 at several higher population EU ten betroffenen Person
countries were as follows:
(1) Hat die Verletzung des Schutzes personenbezo-
>> Netherlands: 66,257 (388 per 100,000 of gener Daten voraussichtlich ein hohes Risiko für
country population) die persönlichen Rechte und Freiheiten natür-
>> Germany: 77,747 (93 per 100,000 of licher Personen zur Folge, so benachrichtigt der
country population) Verantwortliche die betroffene Person unverzüglich
>> France: 5,389 (8 per 100,000 of country von der Verletzung.
population)
>> Italy: 3,460 (6 per 100,000 of country […]
population)”
(3) Die Benachrichtigung der betroffenen Person
gemäß Absatz 1 ist nicht erforderlich, wenn eine
der folgenden Bedingungen erfüllt ist:
Ausgewählte Beispielfälle
a) der Verantwortliche hat geeignete technische
und organisatorische Sicherheitsvorkehrungen ge-
Relevante Normen troffen und diese Vorkehrungen wurden auf die von
der Verletzung betroffenen personenbezogenen
Art. 33 DS-GVO - Meldung von Verletzungen des Daten angewandt, insbesondere solche, durch die
Schutzes personenbezogener Daten an die Auf- die personenbezogenen Daten für alle Personen,
sichtsbehörde die nicht zum Zugang zu den personenbezogenen
Daten befugt sind, unzugänglich gemacht werden,
(1) Im Falle einer Verletzung des Schutzes perso- etwa durch Verschlüsselung,
nenbezogener Daten meldet der Verantwortliche
unverzüglich und möglichst binnen 72 Stunden, b) der Verantwortliche hat durch nachfolgende
nachdem ihm die Verletzung bekannt wurde, diese Maßnahmen sichergestellt, dass das hohe Risiko für
der gemäß Art. 55 zuständigen Aufsichtsbehörde, die Rechte und Freiheiten der betroffenen Personen
es sei denn, dass die Verletzung des Schutzes gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht
personenbezogener Daten voraussichtlich nicht mehr besteht,
zu einem Risiko für die Rechte und Freiheiten
natürlicher Personen führt. Erfolgt die Meldung c) die Benachrichtigung wäre mit einem unverhält-
an die Aufsichtsbehörde nicht binnen 72 Stunden, nismäßigen Aufwand verbunden. In diesem Fall hat
so ist ihr eine Begründung für die Verzögerung bei- stattdessen eine öffentliche Bekanntmachung oder
zufügen. eine ähnliche Maßnahme zu erfolgen, durch die die
betroffenen Personen vergleichbar wirksam infor-
(2) Wenn dem Auftragsverarbeiter eine Verletzung miert werden.
des Schutzes personenbezogener Daten bekannt
wird, meldet er diese dem Verantwortlichen unver-
züglich.
[…]
GDD-Praxisreport 2021: Datenschutzverletzungen
Stand: April 2021 6Definitionen Beispielfälle
Art. 4 Nr. 12 DS-GVO
Fall 1: Der verlorene Schlüssel
Im Sinne dieser Verordnung bezeichnet der Aus-
druck: Sachverhalt
„Verletzung des Schutzes personenbezogener Da- Ein Beschäftigter eines Krankenhauses verliert ei-
ten“ eine Verletzung der Sicherheit, die zur Ver- nen Schlüsselbund. Bei dem Schlüsselbund handelt
nichtung, zum Verlust oder zur Veränderung, ob es sich um einen Gruppenschlüssel mit Transponder,
unbeabsichtigt oder unrechtmäßig, oder zur un- der Zutritt zu verschiedenen Bereichen des Kranken-
befugten Offenlegung von beziehungsweise zum hauses ermöglicht, so auch zum Sekretariat oder zu
unbefugten Zugang zu personenbezogenen Daten verschiedenen Ärztezimmern. Dadurch können Un-
führt, die übermittelt, gespeichert oder auf sonsti- befugte Zugang zu IT- und Medizintechnik sowie
ge Weise verarbeitet wurden. Patientendokumentationen erhalten. Hinweise auf
entwendete Unterlagen oder eine Einsichtnahme in
Dokumente bestehen für das Krankenhaus nicht.
Nachdem der Verlust bemerkt wird, erfolgt eine
unverzügliche Sperrung des Transponders sowie
ein Ersetzen des Schließsystems für den Gruppen-
schlüssel. Patientendokumentationen werden aus
den Räumlichkeiten entfernt.
Risikoanalyse
Die Besonderheit in diesem Fall liegt darin, dass
zum einen ein Zugangsmittel zu Daten verloren ge-
gangen ist, zum anderen personenbezogene Daten
auf dem Zugangsmittel selbst (Transponder) be-
troffenen sind. Unbefugte können sich mittels des
Transponders Zugang zu personenbezogenen Daten
verschaffen. Bei den Daten, die eingesehen werden
könnten, handelt es sich unter anderen um beson-
dere Kategorien personenbezogener Daten gem.
Art. 9 Abs. 1 DS-GVO. Eine Kenntnisnahme von Ge-
sundheitsdaten kann für Betroffene grundsätzlich
schwerwiegende Folgen haben. Allerdings fehlen
in diesem Fall Anhaltspunkte für einen Verlust von
Dokumentationen oder für einen unbefugten Zu-
griff hierauf.
Aus Sicht des Datenschutzes wäre zunächst eine
sorgfältige Analyse eines möglichen Dokumenten-
verlustes oder einer -einsichtnahme geboten. Hier-
bei ist zu bedenken, dass Ablichtungen vor Ort er-
stellt werden können (z.B. über ein Smartphone),
GDD-Praxisreport 2021: Datenschutzverletzungen
Stand: April 2021 7was für die verantwortliche Stelle im Nachhinein nis sowie eine unbefugte Nachverfolgung privater
nicht nachvollziehbar wäre. Fehlen dem Verant- Fahrten mit dem Dienstwagen. Dass die Maßnah-
wortlichen nach sorgfältiger Prüfung Hinweise auf me des Arbeitgebers bewusst herbeigeführt wurde
einen Verlust oder eine unbefugte Kenntnisnahme, und Zugriffsberechtigungen nicht verletzt wurden,
wäre eine rein interne Dokumentation des Vorfalls bedarf einer besonderen Würdigung. Ausweislich
in diesem Fall grundsätzlich vertretbar. Hierbei wird der gesetzlichen Definition der Datenschutzverlet-
jedoch auch zu berücksichtigen sein, wie lange der zung, muss zunächst überhaupt eine Sicherheits-
Verlust des Zugangsmittels angedauert hat. Dies er- verletzung gegeben sein. Ausgangspunkt hierfür
gibt sich aus dem Sachverhalt nicht. bilden die Anforderungen an die IT-Sicherheit aus
Art. 32 DS-GVO, wobei in diesem Fall ein Verlust
Meldepflicht gem. Art. 33/34 DS-GVO der Vertraulichkeit zu prüfen ist. Personenbezogene
Interne Doku- Meldung an Benachrichti- Daten von Beschäftigten wurden hier unrechtmä-
mentation die Aufsichts- gung Betrof- ßig verarbeitet, jedoch gemäß intern vorgesehener
gemäß Art. behörde fene Zugriffsberechtigungen eingesehen. Ob eine Ver-
33 Abs. 5 letzung unbefugt oder unabsichtlich herbeigeführt
DS-GVO wurde, ist für das Vorliegen einer Datenschutzver-
x letzung grundsätzlich irrelevant4. Dies führt zum
Ergebnis, dass trotz einer planmäßigen Maßnahme
des Verantwortlichen eine Meldepflicht gegenüber
der Aufsichtsbehörde und der betroffenen Personen
Fall 2: Unerkanntes GPS-Tracking anzunehmen ist. Insbesondere der Umstand der Er-
fassung privater Lebensumstände führt zu einem
Sachverhalt hohen Risiko für Rechte und Freiheiten Betroffener.
Bei einem Unternehmen werden 15 Dienstwagen
mit GPS-Trackern ausgestattet. Hierdurch ist es Meldepflicht gem. Art. 33/34 DS-GVO
der Fuhrparkleitung möglich, Fahrtzeiten und Rou- Interne Doku- Meldung an Benachrichti-
ten von Beschäftigten während und außerhalb der mentation Aufsichtsbe- gung Betrof-
Arbeitszeit nachzuverfolgen. Beschäftigte haben gemäß Art. hörde fene
grundsätzlich die Möglichkeit, das GPS-Tracking ab- 33 Abs. 5
zuschalten, sind jedoch über die vorzunehmenden DS-GVO
Einstellungen nicht hinreichend informiert. x x x
Risikoanalyse
Im konkreten Fall können über das GPS-Tracking
Fahrerprofile von Beschäftigten innerhalb und au- Fall 3: Systemfehler im Schulungstool
ßerhalb des Beschäftigungsverhältnisses erstellt
werden. Eine Profilbildung ist noch nicht auto- Sachverhalt
matisch mit einer Datenschutzverletzung verbun- Ein Unternehmen unterhält ein Schulungstool, das
den. Im konkreten Fall ist jedoch der Umstand jedem Beschäftigten die Möglichkeit gibt, an Schu-
des Vorliegens eines Beschäftigungsverhältnisses lungen teilzunehmen und diese zu verwalten. Im
und einer Datenerhebung von Aktivitäten aus dem Rahmen eines Softwareupdates erhält ein Beschäf-
Privatbereich von Bedeutung. Es droht das Risiko tigter Zugriff auf die Schulungsdaten eines ande-
einer Diskriminierung im Beschäftigungsverhält- ren Mitarbeiters. Zu den Informationen zählen die
4 Vgl. Artikel-29-Datenschutzgruppe, WP 250 S. 7.
GDD-Praxisreport 2021: Datenschutzverletzungen
Stand: April 2021 8teilgenommenen Kurse, geplante Kurse, verschobe- Risikoanalyse
ne Termine sowie der Status der jeweiligen Kurse Die Zielvereinbarungen stellen Abreden zwischen
(erfolgreich teilgenommen bzw. nicht erfolgreich dem Mitarbeiter und jeweiligen Vorgesetzten dar.
teilgenommen). Diese Vertraulichkeit war durch die Einsichtsmög-
lichkeit anderer Beschäftigten nicht länger ge-
Risikoanalyse wahrt. Bei Zielvereinbarungen werden zwischen
Eine Verletzung des Schutzes personenbezogener dem Mitarbeiter und der Führungskraft Ziele indi-
Daten liegt hier unstreitig vor. Personenbezogene viduell vereinbart. Werden Informationen hierzu
Daten waren durch Unbefugte einsehbar. Damit Beschäftigten desselben Teams offenbart, besteht
liegt ein Bruch der Vertraulichkeit vor. grundsätzlich das Risiko einer Diskriminierung oder
anderer sozialer Nachteile. Gerade weil Ziele und
Bei den Daten, die durch einen anderen Beschäf- damit verbundene Leistungen von Beschäftigten
tigten einsehbar waren, handelt es sich um keine verglichen bzw. gegenübergestellt werden können,
besonderen Kategorien personenbezogener Daten. kann in diesem Fall von einem Risiko für Betroffe-
Die Daten entstammen aus dem Beschäftigungs- ne ausgegangen werden. Durch den Aspekt eines
kontext und geben unter anderem Auskunft über möglichen Leistungsvergleichs im Beschäftigungs-
die Leistung eines Beschäftigten im Bereich der verhältnis liegt die Annahme eines hohen Risikos
Mitarbeiterschulungen. Allerdings sind hier nicht für Freiheiten und Rechte Betroffener nahe.
konkrete Punktzahlen offenbart worden, sondern
der Umstand einer erfolgreichen oder nicht erfolg- Meldepflicht gem. Art. 33/34 DS-GVO
reichen Teilnahme. Auch die Information über teil- Interne Doku- Meldung an Benachrichti-
genommene Kurse ist für Betroffene nicht automa- mentation Aufsichtsbe- gung Betrof-
tisch mit einem Risiko verbunden. Anhaltspunkte gemäß Art. hörde fene
für eine Diskriminierung oder sonstige Benachteili- 33 Abs. 5
gung am Arbeitsplatz bestehen nicht. DS-GVO
x x x
Meldepflicht gem. Art. 33/34 DS-GVO
Interne Doku- Meldung an Benachrichti-
mentation Aufsichtsbe- gung Betrof-
gemäß Art. hörde fene
Fall 5: Der Berechtigungsexzess
33 Abs. 5
DS-GVO Sachverhalt
x Personenbezogene Daten zu Beschäftigten eines
Unternehmens wurden in einem Netzlaufwerk ge-
speichert. Bei den Daten handelte es sich, unter
anderem, um Protokolle zu Einzelgesprächen mit
Fall 4: Fehlgeleitete Zielvereinbarungen Mitarbeitern, Listen mit an Corona-Erkrankten ein-
schließlich Kontaktpersonen, Urlaubslisten sowie
Sachverhalt personenbezogene Krankmeldungen. Die genaue
Aufgrund einer fehlerhaften Berechtigungsvergabe Anzahl der Datensätze sowie ein tatsächlicher Zu-
konnten Mitarbeiter eines Teams Zielvereinbarun- griff auf Daten sind nicht bekannt.
gen, die eine Führungskraft mit Mitarbeitern des
Teams geschlossen hatten, einsehen. Die Informa- Die Zugriffssteuerung auf den Netzwerkordner wur-
tionen konnten durch das Aufrufen einer Historie de auf Anweisung geändert und der Zugriff auf die
sichtbar gemacht werden.
GDD-Praxisreport 2021: Datenschutzverletzungen
Stand: April 2021 9Daten einem definierten Kreis von Vorgesetzten er- Fazit
laubt.
Verletzungen des Schutzes personenbezogener Da-
Risikoanalyse ten treten in sehr unterschiedlichen Ausprägungen
Auch wenn konkrete Angaben zu dem erweiterten auf, was hinsichtlich ihres Erkennens und einer sich
Kreis der zugriffsberechtigten Personen fehlen, ist daran anschließenden Risikobewertung eine ver-
das Vorliegen einer Sicherheitsverletzung nahelie- tiefte Kenntnis der rechtlichen Anforderungen vo-
gend, da personenbezogene Daten nicht mehr für raussetzt. Auf Grundlage der Ergebnisses der GDD-
einen ursprünglich vorgesehen Nutzerkreis einseh- Umfrage bestehen starke Anhaltspunkte, dass sich
bar sind und eine Vertraulichkeit der Daten nicht Verantwortliche für den Datenschutz oder Daten-
mehr gewahrt ist. Hierbei ist es wiederum unerheb- schutzbeauftragte mit einer möglichen Meldepflicht
lich, ob die Verletzung der Vertraulichkeit unbefugt auseinandergesetzt haben. Unklar ist, inwieweit
- wie in diesem Fall - oder unbeabsichtigt erfolgt. Beschäftigte, als wichtige interne Meldestelle für
Zu den von einer unbefugten Preisgabe betroffenen Datenschutzverletzungen ausreichend geschult und
Daten zählen solche einer besonderen Kategorie in die unternehmerischen Prozesse eingebunden
gem. Art. 9 Abs. 1 DS-GVO. Die unbefugte Kenntnis- sind. Dies wird einen wichtigen Teil eines richtigen
nahme dieser Daten kann zu einer Diskriminierung Umgangs mit den „Datenpannen“ ebenso ausma-
oder anderweitigen Benachteiligung im Beschäfti- chen wie die eigentliche Prüfung eines Sachver-
gungsverhältnis führen. Gerade bei Informationen halts durch fachkundige Stellen. Die GDD ist weiter
zu Erkrankungen sind z.B. Ächtungen durch Kolle- bemüht, einen wichtigen Beitrag bei der Rechtsan-
ginnen oder Kollegen möglich. Daher ist vorliegend wendung zu leisten. Sie wird ihren Mitgliedern den
von einem Risiko für Rechte und Freiheiten Betrof- Ratgeber zu den Datenpannen in der aktualisierten
fener auszugehen, das als hoch einzustufen ist. 3. Auflage im Mai 2021 zur Verfügung stellen.
Meldepflicht gem. Art. 33/34 DS-GVO
Interne Doku- Meldung an Benachrichti-
mentation Aufsichtsbe- gung Betrof-
gemäß Art. hörde fene
33 Abs. 5
DS-GVO
x x x
GDD-Praxisreport 2021: Datenschutzverletzungen
Stand: April 2021 10Gesellschaft für Datenschutz und Datensicherheit e.V. Mitglied werden? Mehr Informationen? https://www.gdd.de/service/mitglied-werden oder eine E-Mail an: info@gdd.de Eine Mitgliedschaft bietet wesentliche Vorteile: >> Mitglieder-Nachrichten mit aktuellen Fachinformationen >> Bezug der Fachzeitschrift RDV (Recht der Datenverarbeitung) >> Beratung bei konkreten Einzelfragen >> Zugriff auf Rechtsprechungs- und Literaturarchiv >> Online-Service „Dataagenda Plus“ (Muster, Checklisten, RDV ONLINE Archiv, Arbeitspapiere etc.) >> Mitarbeit in Erfahrungsaustausch- und Arbeitskreisen >> Teilnahme an den kostenfreien GDD-Informationstagen sowie Vergünstigungen bei Seminaren u.v.m. Schließen Sie sich unseren mehr als 3.800 Mitgliedern an. Eine Mitgliedschaft erhalten Sie schon ab 150,- EUR/Jahr für Privatpersonen und ab 300,- EUR/Jahr für Firmen. Herausgeber: Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.) Heinrich-Böll-Ring 10 53119 Bonn Tel.: +49 0228 96 96 75-00 Fax: +49 0228 96 96 75-25 www.gdd.de info@gdd.de Ansprechpartner: RA Steffen Weiß, LL.M. Satz: C. Wengenroth, GDD-Geschäftsstelle, Bonn Stand: Version 1.0 (April 2021)
Sie können auch lesen
