VerimiGmbH der den Verantwortlichen bei der Einschätzung der Lage und Empfehlungen in Bezug auf Abhilfemaßnahmen unterstützt. Weiterhin werden folgende Gegenmaßnahmen diskutiert bzw. deren Umsetzung steht bevor: - Einrichtung eines automatisierten Tests auf den Testumgebungen des Verantwortlichen, der ein Konto erstellt und eine Suche in den Log-Dateien nach den verwendeten personenbezogenen Daten (z.B. Passwort) durchführt. Dies wird so bald wie möglich implementiert. Durchführung eines externen Penetrationstests, der sich auf den Umgang mit personenbezogenen Daten im internen Code des Verantwortlichen und dessen Konfiguration konzentriert. - Implementierung von Warnungen für Protokollmeldungen, die bestimmte Zeichenfolgen enthalten (z. B. "Passwort"). - Implementierung einer Benachrichtigung / Bestätigung für Anmeldungen von Standorten / IP-Adressen / Maschinen, die noch nicht von einem Benutzer verwendet wurden. - Weitere Optionen, die im Rahmen der noch laufenden Nachuntersuchung des Vorfalls erörtert werden. 3. Falls nein: Bitte beqründen Sie Ihre Entscheidunq (Fortsetzung) Überdies hat der Europäische Datenschutzausschuss (EDSA) in seinen Leitlinien Beispielsfälle aufgeführt, wann eine Benachrichtigungspflicht gemäß Art. 34 Abs. l DSGVOeinschlägig sein soll und wann nicht (EDSA, Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679, WP250, Stand: 6.2.2018, S. 36 ff.). Keiner der in Bezug auf die Benachrichtigungspflicht nach Art. 34 DSGVO beschriebenen Fälle ist nach Ansicht des Verantwortlichen hier auch nur ansatzweise erfüllt, da insbesondere kein Schadenseintritt in irgendeiner Form festgestellt werden konnte.

Meldung einer Datenpanne nach Art, 33 DS-GV... Betreff: Meldung einer Datenpanne nach Art, 33 DS-GVO (§ 51 BlnDSG) - Ihre E-Mail vom 17. September 2021 Von: "Mailbox (BlnBDI)" <mailbox@datenschutz-berlin.de> Datum: 20.09.21, 09:10 An: @verimi.com Sehr geehrter Herr Adrian, Ihre Meldung vom 17. September 2021 ist eingegangen und bei uns unter dem GeschZ. 535.3049 veraktet. Sofern Sie keine weitere Nachricht von uns erhalten, betrachten wir den Vorgang im Hinblick auf die Melde- und Informationspflichten gemäß Art. 33, 34 DS-GVO als erledigt. Dies hat keine Auswirkungen auf eventuell von uns für notwendig erachtete weitergehende Prüfungen, Wir empfehlen grundsätzlich, die Betroffenen - ungeachtet einer etwaigen BenachrichtigungspfT-icht nach Art. 34 DS-GVO - über den Vorfall zu informieren (ggf. verbunden mit einer Entschuldigung), soferndies nicht bereits geschehen ist. Mit freundlichen Grüßen Andreas Bluhm Berliner Beauftragte für Datenschutz und Informationsfreiheit Abteilung III (Informatik) Tel.:+49 30 13889-405 Fax: +49 30 215 50 58 Friedrichstraße 219 10969 Berlin Besuchereingang: Puttkamer Straße 16-18 Wir verarbeiten personenbezogene Daten zur Erfüllung unserer Aufgaben als Datenschutzaufsichtsbehörde auf Grundlage von § 40 Abs. 3 Bundesdatenschutzgesetz und § 13 Abs. 6 Berliner Datenschutzgesetz. Einzelheiten hierzu können Sie unserer Datenschutzerklärung entnehmen, die Sie unter der Adresse httpsi//datenschutz-be^lin.de/datenschutzerkLaer^ abrufen können. We process personal, data in order to fulfil, our duties and responsibiT-ities as a data protection supervisory authority. This is done on the basis of § 40 para. 3 Bundesdatenschutzgesetz as well as § 13 para. 6 Berliner Datenschutzgesetz. Further information can be obtained in our privacy declaration, which is accessible via jlttßs,i//www,datenschytziberlin,de^d^^ l von l                                                                                    20.09.21, 09:10