Stefan Krumbhorn IT-Auditor / Datenschutzbeauftragter

Datenschutz und IT- Neuigkeiten

Latest News

Juni 2024

DSGVO und Videoüberwachung Video
Die Überwachung von Grundstücken zum Schutz vor Einbrechern oder Vandalismus unterliegt strengen Auflagen.
Nun hat das Amtsgericht im hessischen Gelnhausen entschieden (Az.: 52 C 76/24), dass es beim Einsatz von schwenkbaren Kameras nicht darauf ankommt, ob diese tatsächlich Nachbargrundstücke bzw. öffentliche Bereiche erfassen, sondern das schon der Betrieb "bei theoretischer Möglichkeit der Erfassung des Nachbargrundstücks unzulässig" ist.
Auch die Verwendung von Attrappen unterliegt den gleichen strengen Auflagen wie das verwenden von echten Kameras.

Mai 2024

Von 49 Millionen Kunden des Computersysteme- Herstellers DELL sind Kunden- und Bestelldaten gestohlen worden.
Zu den enthaltenen Informationen gehören Name, Anschrift, Informationen zur Hardware und Bestellung, sowie Artikelbeschreibungen, Bestelldaten und Gewährleistungsinformationen. Diese Daten werden aktuell im Darknet zum Verkauf angeboten.
Betroffene DELL Kunden müssen besonders in diesem Bereich (z.B. Einkauf) auf Phishing- Angriffe vorbereitet sein.

April 2024

EUGH: Datenschutzaufsicht z.B. Landesdatenschutzbeauftragte(r) muss bei einem Verstoß gegen DSGVO einschreiten:
Eine betroffene Person hatte beim Verwaltungsgericht Wiesbaden beantragt, den Landesdatenschutzbeauftragten zum Eingreifen gegen den Verursacher des Datenschutzverstoßes zu verpflichten.
Der Generalanwalt führt dazu nun aus, dass die hessische Behörde Maßnahmen in Betracht ziehen müsse, die zur Behebung des Verstoßes und zur Durchsetzung der Rechte der betroffenen Person am besten geeignet seien. Die Aufsichtsbehörde ist gehalten, "eine geeignete, erforderliche und verhältnismäßige Maßnahme" zu ergreifen. Das kann eine Geldbuße sein, oder die Behörde könnte es mit einer Verwarnung bewenden lassen.
Ein Beschwerdeverfahren wäre "völlig nutzlos", wenn "die Aufsichtsbehörde angesichts einer unionsrechtswidrigen Rechtslage passiv bleiben würde.

März 2024

Videokonferenzen:
Video- und Audio- Konferenzen sollten immer mit einem PIN gegen unberechtigte Zuhörer bzw. Zuseher geschützt sein! Datenschutzrechtlich verantwortlich ist der Arbeitgeber. Er muss nicht nur Sicherungsmaßnahmen vorgeben, sondern ihre Einhaltung und Wirksamkeit auch kontrollieren.
Ein grundsätzliches Sicherheitsproblem ist das bei Einwahl per Telefon oder über einen Browser es keine Ende-zu-Ende-Verschlüsselung gibt!
Aus Sicht der DSGVO sollten für Video-Konferenzen europäische Cloud-Anbieter verwendet werden.

Februar 2024

Weitere Sicherheitslücke bei Fernwartungssoftware:
Eine Schwachstelle im Teamviewer-Client (älter als Version 15.51.5) ermöglicht die Umgehung von Sicherheitsvorkehrungen (BSI ID: WID-SEC-2024-0492) Es ist ein Update verfügbar welches das Problem behebt.
Mehrere Fernwartungssoftware Varianten fielen zuletzt ebenfalls mit Sicherheitsproblemen auf, z.B.: Anydesk, Rustdesk.
Meine Empfehlungen: Immer nur die aktuelle Version verwenden „unbeaufsichtigten Zugriff“ deaktivieren, Zwei-Faktor- bzw. Multi-Faktor-Authentifizierung verwenden.

Januar 2024

Das Arbeitsgericht Suhl hat jetzt betont, dass eine angemessene Sicherheit personenbezogener Daten bei unverschlüsselten E-Mails nicht gegeben ist.
Unverschlüsselte E-Mails mit personenbezogenen Inhalten, insbesondere wenn Inhalte gem. Artikel 9 DSGVO enthalten sind, verstoßen somit gegen die DSGVO!
Wenn Sie bzgl. Verschlüsselungstechniken in ihrem Unternehmen Fragen haben, bitte melden ...


Immer noch sind ca. 1,8 Mio. PCs mit einem veralteten Windows (XP, W7, W8) in Deutschland mit dem Internet verbunden.
Kommt es zu Schäden durch Hackerangriffe, ist unklar ob Cyber-Versicherungen einspringen, denn veraltete Windows-PCs entsprechen nicht mehr dem Stand der Technik, da diese nicht mehr mit Sicherheitsupdates aktualisiert werden.
Siehe Art.25 DSGVO „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ (s.a. Erwägungsgrund 91).

Fragen: Gehe zu Kontaktdaten

Dezember 2023; EuGH Urteile C-683/21 und C-807/21, Haftung für Unternehmen

Der EuGH hat aktuell mit zwei Entscheidungen klargestellt, dass Verantwortliche (also z.B. ihr Unternehmen) nicht nur für eigene Verstöße haftet, sondern auch für Verstöße, die in deren Namen begangen werden.
Das bedeutet das auch dann ein Bußgeld verhängt wird, wenn der Verstoß von einem Mitarbeiter, einer Mitarbeiterin oder von einem externen Auftragsverarbeiter begangen wurde.
Eine Ausnahme von diesem Grundsatz gilt lediglich, wenn die betreffende Person ihrerseits gegen Weisungen verstoßen hat. Denn Geldbuße soll nur dann verhängt werden, wenn das Unternehmen vorsätzlich oder fahrlässig gegen die DSGVO verstoßen hat.
Was können wir tun: a) Überprüfung der Anforderungen an unsere Auftragsverarbeiter (Aktualität), b) Check ob unsere internen Prozesse DSGVO konform sind.

Fragen: Gehe zu Kontaktdaten

Oktober 2023; Die 10 häufigsten Fehler, die Cyberkriminellen Tür und Tor öffnen

die US-amerikanischen Sicherheitsbehörden haben letzte Woche eine Mitteilung zur IT-Sicherheit veröffentlicht, in der die zehn häufigsten Fehler im Bereich der IT-Sicherheit genannt werden.
Gesamten Bericht der "Cybersecurity & Infrastructure Security Agency USA" lesen

Fragen: Gehe zu Kontaktdaten

Oktober 2022; Massive Abmahnwelle wegen Google Fonts

Massive Abmahnwelle bzgl. falsch eingesetzter Google Fonts auf Webseiten. Sie sollten ihre WebSite nochmal intensiv überprüfen, ob eine versteckte oder vielleicht vergessene Funktion auf nicht benötigte Google Dienste verweist. Diese Verweise sollten dringend entfernt bzw. in ein Zustimmungs-Banner eingebunden werden!

Fragen: Gehe zu Kontaktdaten

Februar 2022; Urteil des LG München zu US-CDN Anbietern (Az. 3 O 17493/20 v. 20.01.22)

Das Landgericht München hat in dem Urteil (Az. 3 O 17493/20) entschieden das die Einbindung dynamischer Webinhalten z.B. Google Fonts, Trusted-Shop-Badges uvm. ohne Einwilligung der Besucher rechtswidrig ist! Das betrifft alle Content-Delivery-Network Anbieter aus Drittländern.

Fragen: Gehe zu Kontaktdaten

Dezember 2021; Datenschutz und Compliance bei der Kommunikation per E-Mail

Newsletter

Fragen: Gehe zu Kontaktdaten

September 2021; „keep it simple“. Die IT regelmäßig ausmisten, die Systeme sauber halten.

Newsletter

Kontakt / Impressum

Stefan Krumbhorn
IT Auditor IDW
Certified Information Systems Auditor (CISA)
Zertifizierter Datenschutzbeauftragter

Kontakt

email

Tel

Powered by w3.css
Copyright Stefan Krumbhorn © 2006 - 2024 zwo-k
All Rights Reserved