Der Europäische Datenschutzausschuss (EDSA) stellt klar, dass das oft vorgeschobene "berechtigte Interesse, Artikel 6 I f EU-DSGVO" zur Verarbeitung personenbezogener Daten in vielen Fällen nicht zulässig ist.
Für die rechtmäßige Nutzung personenbezogener Daten wird grundsätzlich eine Rechtsgrundlage benötigt, also beispielsweise eine Vertragsgrundlage (Artikel 6 I b DSGVO) oder die Einwilligung (Artikel 6 I a DSGVO) vorliegen muss.
Ende Septemver sind in der Teamviewer-Fernwartungssoftware hochriskante Sicherheitslücken entdeckt worden. Eine aktualisierte Version wurde vom Hersteller veröffentlicht (Kw.39), dringend updaten!
Datensparsamkeit! Bei Verivox und Check24 sind Datenlecks bekannt geworden. Meine Empfehlung: So wenige Daten wie möglich speichern, dann muss man die eigenen Angaben halt eben immer wieder neu eingeben.
Erster Entwurf zum Einwilligungsmanagement gemäß §26 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) vorgestellt.
Ziel ist es, die Einwilligung, umgangssprachlich Cookie-Banner zu vereinfachen bzw. zu vereinheitlichen.
Es sind jedoch noch viele Fragen bzgl. der konkreten Umsetzung offen.
Achtung z. Zt. ist Briefpost im Namen von diversen Banken mit gefälschten QR-Code im Umlauf.
Ein Beispiel des Briefes siehe hier:
Beispiel: Gefälschte Bankbriefe
Wieder ist ein großer, weltweiter IT- Anbieter einem Hackerangriff zum Opfer gefallen.
Mobile Guardian, ein britischer MDM-Anbieter (Mobile Device Management) mit Fokus auf den Bildungssektor wurde gehckt.
Betroffen sind Nutzer aus Europa, Nordamerika und Singapur.
Der EU AI Act (EU Artificial Intelligence Act bzw. EU Künstliche Intelligenz Verordnung) ist in Kraft getreten und ist bis zum August 2026 umzusetzen.
Freitag, 19.07.2024, das Crowdstrike Debakel.
Wichtig in diesem Zusammenhang bzw. für ähnliche Probleme ist die Kontrolle ob alle BitLocker- Wiederherstellungsschlüssel (recovery-keys) griffbereit vorliegen (auch offline?)!
Am besten auch gleich ein Notfallszenario erstellen, testen und protokollieren.
27.06.2024, Teamviewer meldet erneut einen IT- Sicherheitsvorfall.
Meine Empfehlung: Die Funktion unbeaufsichtigter Zugriff in Fernwartungssoftware immer deaktivieren!
Wordpress ist weltweit die am weitesten verbreitete Software zur Erstellung von WebSites. Auch viele Unternehmen nutzen wordpress.
Im Juni sind nun wieder 5 kompromittierte wordpress-plugins entdeckt worden.
Die Plugins erstellen "geheime" Administratorkonten und schleusen darüber SEO-Spam in die Website ein.
Folgende Plugins sind betroffen und müssen ausgetauscht werden:
Social Warfare 4.4.6.4 bis 4.4.7.1 (berichtigte version 4.4.7.3)
Blaze Widget 2.2.5 bis 2.5.2 (berichtigte version 2.5.4)
Wrapper Link Element 1.0.2 bis 1.0.3 (berichtigte version 1.0.5)
Contact Form 7 Multi-Step Addon 1.0.4 bis 1.0.5 (berichtigte version 1.0.7)
Simply Show Hooks 1.2.1 bis 1.2.2 (berichtigte version nv.)
DSGVO und Videoüberwachung
Die Überwachung von Grundstücken zum Schutz vor Einbrechern oder Vandalismus unterliegt strengen Auflagen.
Nun hat das Amtsgericht im hessischen Gelnhausen entschieden (Az.: 52 C 76/24), dass es beim Einsatz von schwenkbaren Kameras nicht darauf ankommt,
ob diese tatsächlich Nachbargrundstücke bzw. öffentliche Bereiche erfassen, sondern das schon der Betrieb
"bei theoretischer Möglichkeit der Erfassung des Nachbargrundstücks unzulässig" ist.
Auch die Verwendung von Attrappen unterliegt den gleichen strengen Auflagen wie das verwenden von echten Kameras.
Das Digitale-Dienste-Gesetz (DDG) ersetzt das Telemediengestz (TMG).
Das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, kurz: TDDDG) ersetzt das TTDSG.
Inhaltlich sind die neuen Gesetze (fast) identisch im Vergleich zu den Vorgängern.
Von 49 Millionen Kunden des Computersysteme- Herstellers DELL sind Kunden- und Bestelldaten gestohlen worden.
Zu den enthaltenen Informationen gehören Name, Anschrift, Informationen zur Hardware und Bestellung, sowie Artikelbeschreibungen, Bestelldaten und Gewährleistungsinformationen.
Diese Daten werden aktuell im Darknet zum Verkauf angeboten.
Betroffene DELL Kunden müssen besonders in diesem Bereich (z.B. Einkauf) auf Phishing- Angriffe vorbereitet sein.
EUGH: Datenschutzaufsicht z.B. Landesdatenschutzbeauftragte(r) muss bei einem Verstoß gegen DSGVO einschreiten:
Eine betroffene Person hatte beim Verwaltungsgericht Wiesbaden beantragt, den Landesdatenschutzbeauftragten zum Eingreifen gegen
den Verursacher des Datenschutzverstoßes zu verpflichten.
Der Generalanwalt führt dazu nun aus, dass die hessische Behörde Maßnahmen in Betracht ziehen müsse, die zur Behebung des
Verstoßes und zur Durchsetzung der Rechte der betroffenen Person am besten geeignet seien.
Die Aufsichtsbehörde ist gehalten, "eine geeignete, erforderliche und verhältnismäßige Maßnahme"
zu ergreifen. Das kann eine Geldbuße sein, oder die Behörde könnte es mit einer Verwarnung bewenden lassen.
Ein Beschwerdeverfahren wäre "völlig nutzlos", wenn "die Aufsichtsbehörde angesichts einer unionsrechtswidrigen Rechtslage
passiv bleiben würde.
Videokonferenzen:
Video- und Audio- Konferenzen sollten immer mit einem PIN gegen unberechtigte Zuhörer bzw. Zuseher geschützt sein!
Datenschutzrechtlich verantwortlich ist der Arbeitgeber. Er muss nicht nur Sicherungsmaßnahmen vorgeben, sondern ihre Einhaltung und Wirksamkeit auch kontrollieren.
Ein grundsätzliches Sicherheitsproblem ist das bei Einwahl per Telefon oder über einen Browser es keine Ende-zu-Ende-Verschlüsselung gibt!
Aus Sicht der DSGVO sollten für Video-Konferenzen europäische Cloud-Anbieter verwendet werden.
Weitere Sicherheitslücke bei Fernwartungssoftware:
Eine Schwachstelle im Teamviewer-Client (älter als Version 15.51.5) ermöglicht die Umgehung von Sicherheitsvorkehrungen
(BSI ID: WID-SEC-2024-0492)
Es ist ein Update verfügbar welches das Problem behebt.
Mehrere Fernwartungssoftware Varianten fielen zuletzt ebenfalls mit Sicherheitsproblemen auf, z.B.: Anydesk, Rustdesk.
Meine Empfehlungen: Immer nur die aktuelle Version verwenden „unbeaufsichtigten Zugriff“ deaktivieren, Zwei-Faktor- bzw. Multi-Faktor-Authentifizierung verwenden.
Das Arbeitsgericht Suhl hat jetzt betont, dass eine angemessene Sicherheit personenbezogener Daten bei unverschlüsselten E-Mails nicht gegeben ist.
Unverschlüsselte E-Mails mit personenbezogenen Inhalten, insbesondere wenn Inhalte gem. Artikel 9 DSGVO enthalten sind, verstoßen somit gegen die DSGVO!
Wenn Sie bzgl. Verschlüsselungstechniken in ihrem Unternehmen Fragen haben, bitte melden ...
Immer noch sind ca. 1,8 Mio. PCs mit einem veralteten Windows (XP, W7, W8) in Deutschland mit dem Internet verbunden.
Kommt es zu Schäden durch Hackerangriffe, ist unklar ob Cyber-Versicherungen einspringen, denn veraltete Windows-PCs entsprechen
nicht mehr dem Stand der Technik, da diese nicht mehr mit Sicherheitsupdates aktualisiert werden.
Siehe Art.25 DSGVO „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ (s.a. Erwägungsgrund 91).
Fragen: Gehe zu Kontaktdaten
Der EuGH hat aktuell mit zwei Entscheidungen klargestellt, dass Verantwortliche (also z.B. ihr Unternehmen) nicht nur für eigene Verstöße haftet,
sondern auch für Verstöße, die in deren Namen begangen werden.
Das bedeutet das auch dann ein Bußgeld verhängt wird, wenn der Verstoß von einem Mitarbeiter, einer Mitarbeiterin oder von einem externen Auftragsverarbeiter begangen wurde.
Eine Ausnahme von diesem Grundsatz gilt lediglich, wenn die betreffende Person ihrerseits gegen Weisungen verstoßen hat.
Denn Geldbuße soll nur dann verhängt werden, wenn das Unternehmen vorsätzlich oder fahrlässig gegen die DSGVO verstoßen hat.
Was können wir tun: a) Überprüfung der Anforderungen an unsere Auftragsverarbeiter (Aktualität), b) Check ob unsere internen Prozesse DSGVO konform sind.
Fragen: Gehe zu Kontaktdaten
die US-amerikanischen Sicherheitsbehörden haben letzte Woche eine Mitteilung zur IT-Sicherheit veröffentlicht,
in der die zehn häufigsten Fehler im Bereich der IT-Sicherheit genannt werden.
Gesamten Bericht der "Cybersecurity & Infrastructure Security Agency USA" lesen
Fragen: Gehe zu Kontaktdaten
Massive Abmahnwelle bzgl. falsch eingesetzter Google Fonts auf Webseiten. Sie sollten ihre WebSite nochmal intensiv überprüfen, ob eine versteckte oder vielleicht vergessene Funktion auf nicht benötigte Google Dienste verweist. Diese Verweise sollten dringend entfernt bzw. in ein Zustimmungs-Banner eingebunden werden!
Fragen: Gehe zu Kontaktdaten
Das Landgericht München hat in dem Urteil (Az. 3 O 17493/20) entschieden das die Einbindung dynamischer Webinhalten z.B. Google Fonts, Trusted-Shop-Badges uvm. ohne Einwilligung der Besucher rechtswidrig ist! Das betrifft alle Content-Delivery-Network Anbieter aus Drittländern.
Fragen: Gehe zu Kontaktdaten
Fragen: Gehe zu Kontaktdaten
Powered by w3.css
Copyright Stefan Krumbhorn © 2006 - 2024 zwo-k
All Rights Reserved