Stefan Krumbhorn IT-Auditor / Datenschutzbeauftragter

Datenschutz und IT- Neuigkeiten

Latest News

November 2024

Mit dem Urteil VI ZR 10/24 (Nov. 2024) setzt der Bundesgerichtshof die Hürden für Schadensersatzansprüche nach Artikel 82 DSGVO (Haftung und Recht auf Schadenersatz) sehr niedrig. Demnach kann bereits "der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines Verstoßes gegen die DSGVO ein immaterieller Schaden im Sinne der Norm sein" Vgl. hierzu Artikel 32 DSGVO (Sicherheit der Verarbeitung).
Das bedeutet: Sollten Hacker auf Unternehmensdaten zugreifen können und diese z.B. im Internet veröffentlichen tritt neben dem eigenen Schaden auch ein Schadensersatzfall der betroffenen Personen ein, rein basierend auf Grund des erlittenen Ärgers und des Kontrollverlustes.

Die IT-Sicherheit bleibt also eines der wichtigsten Themen unserer Zeit, dazu passt auch:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den aktuellen Bericht zur 'Lage der IT-Sicherheit in Deutschland 2024' veröffentlicht.
Kurz gesagt: Die Verbesserung der IT-Sicherheit ist ein sehr wichtiges Thema und bleibt uns auch bis auf Weiteres erhalten.
D.h. Wir müssen uns intensiv mit dem Thema IT-Sicherheit beschäftigen - ein Baustein bzw. Orientierungshilfe dazu kann die NIS-2 Direktive sein.

Oktober 2024

Der Europäische Datenschutzausschuss (EDSA) stellt klar, dass das oft vorgeschobene "berechtigte Interesse, Artikel 6 I f EU-DSGVO" zur Verarbeitung personenbezogener Daten in vielen Fällen nicht zulässig ist. Für die rechtmäßige Nutzung personenbezogener Daten wird grundsätzlich eine Rechtsgrundlage benötigt, also beispielsweise eine Vertragsgrundlage (Artikel 6 I b DSGVO) oder die Einwilligung (Artikel 6 I a DSGVO) vorliegen muss.

Ende September sind in der Teamviewer-Fernwartungssoftware hochriskante Sicherheitslücken entdeckt worden. Eine aktualisierte Version wurde vom Hersteller veröffentlicht (Kw.39), dringend updaten!

Datensparsamkeit! Bei Verivox und Check24 sind Datenlecks bekannt geworden. Meine Empfehlung: So wenige Daten wie möglich speichern, dann muss man die eigenen Angaben halt eben immer wieder neu eingeben.

September 2024

Erster Entwurf zum Einwilligungsmanagement gemäß §26 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) vorgestellt. Ziel ist es, die Einwilligung, umgangssprachlich Cookie-Banner zu vereinfachen bzw. zu vereinheitlichen. Es sind jedoch noch viele Fragen bzgl. der konkreten Umsetzung offen.

August 2024

Achtung z. Zt. ist Briefpost im Namen von diversen Banken mit gefälschten QR-Code im Umlauf. Ein Beispiel des Briefes siehe hier: Beispiel: Gefälschte Bankbriefe

Wieder ist ein großer, weltweiter IT- Anbieter einem Hackerangriff zum Opfer gefallen. Mobile Guardian, ein britischer MDM-Anbieter (Mobile Device Management) mit Fokus auf den Bildungssektor wurde gehckt. Betroffen sind Nutzer aus Europa, Nordamerika und Singapur.

Der EU AI Act (EU Artificial Intelligence Act bzw. EU Künstliche Intelligenz Verordnung) ist in Kraft getreten und ist bis zum August 2026 umzusetzen.

Juli 2024

Freitag, 19.07.2024, das Crowdstrike Debakel.
Wichtig in diesem Zusammenhang bzw. für ähnliche Probleme ist die Kontrolle ob alle BitLocker- Wiederherstellungsschlüssel (recovery-keys) griffbereit vorliegen (auch offline?)! Am besten auch gleich ein Notfallszenario erstellen, testen und protokollieren.

27.06.2024, Teamviewer meldet erneut einen IT- Sicherheitsvorfall.
Meine Empfehlung: Die Funktion unbeaufsichtigter Zugriff in Fernwartungssoftware immer deaktivieren!

Wordpress ist weltweit die am weitesten verbreitete Software zur Erstellung von WebSites. Auch viele Unternehmen nutzen wordpress. Im Juni sind nun wieder 5 kompromittierte wordpress-plugins entdeckt worden. Die Plugins erstellen "geheime" Administratorkonten und schleusen darüber SEO-Spam in die Website ein.
Folgende Plugins sind betroffen und müssen ausgetauscht werden:

Juni 2024

DSGVO und Videoüberwachung Video
Die Überwachung von Grundstücken zum Schutz vor Einbrechern oder Vandalismus unterliegt strengen Auflagen.
Nun hat das Amtsgericht im hessischen Gelnhausen entschieden (Az.: 52 C 76/24), dass es beim Einsatz von schwenkbaren Kameras nicht darauf ankommt, ob diese tatsächlich Nachbargrundstücke bzw. öffentliche Bereiche erfassen, sondern das schon der Betrieb "bei theoretischer Möglichkeit der Erfassung des Nachbargrundstücks unzulässig" ist.
Auch die Verwendung von Attrappen unterliegt den gleichen strengen Auflagen wie das verwenden von echten Kameras.

Mai 2024

Das Digitale-Dienste-Gesetz (DDG) ersetzt das Telemediengestz (TMG).
Das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, kurz: TDDDG) ersetzt das TTDSG. Inhaltlich sind die neuen Gesetze (fast) identisch im Vergleich zu den Vorgängern.

Von 49 Millionen Kunden des Computersysteme- Herstellers DELL sind Kunden- und Bestelldaten gestohlen worden.
Zu den enthaltenen Informationen gehören Name, Anschrift, Informationen zur Hardware und Bestellung, sowie Artikelbeschreibungen, Bestelldaten und Gewährleistungsinformationen. Diese Daten werden aktuell im Darknet zum Verkauf angeboten.
Betroffene DELL Kunden müssen besonders in diesem Bereich (z.B. Einkauf) auf Phishing- Angriffe vorbereitet sein.

April 2024

EUGH: Datenschutzaufsicht z.B. Landesdatenschutzbeauftragte(r) muss bei einem Verstoß gegen DSGVO einschreiten:
Eine betroffene Person hatte beim Verwaltungsgericht Wiesbaden beantragt, den Landesdatenschutzbeauftragten zum Eingreifen gegen den Verursacher des Datenschutzverstoßes zu verpflichten.
Der Generalanwalt führt dazu nun aus, dass die hessische Behörde Maßnahmen in Betracht ziehen müsse, die zur Behebung des Verstoßes und zur Durchsetzung der Rechte der betroffenen Person am besten geeignet seien. Die Aufsichtsbehörde ist gehalten, "eine geeignete, erforderliche und verhältnismäßige Maßnahme" zu ergreifen. Das kann eine Geldbuße sein, oder die Behörde könnte es mit einer Verwarnung bewenden lassen.
Ein Beschwerdeverfahren wäre "völlig nutzlos", wenn "die Aufsichtsbehörde angesichts einer unionsrechtswidrigen Rechtslage passiv bleiben würde.

März 2024

Videokonferenzen:
Video- und Audio- Konferenzen sollten immer mit einem PIN gegen unberechtigte Zuhörer bzw. Zuseher geschützt sein! Datenschutzrechtlich verantwortlich ist der Arbeitgeber. Er muss nicht nur Sicherungsmaßnahmen vorgeben, sondern ihre Einhaltung und Wirksamkeit auch kontrollieren.
Ein grundsätzliches Sicherheitsproblem ist das bei Einwahl per Telefon oder über einen Browser es keine Ende-zu-Ende-Verschlüsselung gibt!
Aus Sicht der DSGVO sollten für Video-Konferenzen europäische Cloud-Anbieter verwendet werden.

Februar 2024

Weitere Sicherheitslücke bei Fernwartungssoftware:
Eine Schwachstelle im Teamviewer-Client (älter als Version 15.51.5) ermöglicht die Umgehung von Sicherheitsvorkehrungen (BSI ID: WID-SEC-2024-0492) Es ist ein Update verfügbar welches das Problem behebt.
Mehrere Fernwartungssoftware Varianten fielen zuletzt ebenfalls mit Sicherheitsproblemen auf, z.B.: Anydesk, Rustdesk.
Meine Empfehlungen: Immer nur die aktuelle Version verwenden „unbeaufsichtigten Zugriff“ deaktivieren, Zwei-Faktor- bzw. Multi-Faktor-Authentifizierung verwenden.

Januar 2024

Das Arbeitsgericht Suhl hat jetzt betont, dass eine angemessene Sicherheit personenbezogener Daten bei unverschlüsselten E-Mails nicht gegeben ist.
Unverschlüsselte E-Mails mit personenbezogenen Inhalten, insbesondere wenn Inhalte gem. Artikel 9 DSGVO enthalten sind, verstoßen somit gegen die DSGVO!
Wenn Sie bzgl. Verschlüsselungstechniken in ihrem Unternehmen Fragen haben, bitte melden ...


Immer noch sind ca. 1,8 Mio. PCs mit einem veralteten Windows (XP, W7, W8) in Deutschland mit dem Internet verbunden.
Kommt es zu Schäden durch Hackerangriffe, ist unklar ob Cyber-Versicherungen einspringen, denn veraltete Windows-PCs entsprechen nicht mehr dem Stand der Technik, da diese nicht mehr mit Sicherheitsupdates aktualisiert werden.
Siehe Art.25 DSGVO „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ (s.a. Erwägungsgrund 91).

Fragen: Gehe zu Kontaktdaten

Dezember 2023; EuGH Urteile C-683/21 und C-807/21, Haftung für Unternehmen

Der EuGH hat aktuell mit zwei Entscheidungen klargestellt, dass Verantwortliche (also z.B. ihr Unternehmen) nicht nur für eigene Verstöße haftet, sondern auch für Verstöße, die in deren Namen begangen werden.
Das bedeutet das auch dann ein Bußgeld verhängt wird, wenn der Verstoß von einem Mitarbeiter, einer Mitarbeiterin oder von einem externen Auftragsverarbeiter begangen wurde.
Eine Ausnahme von diesem Grundsatz gilt lediglich, wenn die betreffende Person ihrerseits gegen Weisungen verstoßen hat. Denn Geldbuße soll nur dann verhängt werden, wenn das Unternehmen vorsätzlich oder fahrlässig gegen die DSGVO verstoßen hat.
Was können wir tun: a) Überprüfung der Anforderungen an unsere Auftragsverarbeiter (Aktualität), b) Check ob unsere internen Prozesse DSGVO konform sind.

Fragen: Gehe zu Kontaktdaten

Oktober 2023; Die 10 häufigsten Fehler, die Cyberkriminellen Tür und Tor öffnen

die US-amerikanischen Sicherheitsbehörden haben letzte Woche eine Mitteilung zur IT-Sicherheit veröffentlicht, in der die zehn häufigsten Fehler im Bereich der IT-Sicherheit genannt werden.
Gesamten Bericht der "Cybersecurity & Infrastructure Security Agency USA" lesen

Fragen: Gehe zu Kontaktdaten

Oktober 2022; Massive Abmahnwelle wegen Google Fonts

Massive Abmahnwelle bzgl. falsch eingesetzter Google Fonts auf Webseiten. Sie sollten ihre WebSite nochmal intensiv überprüfen, ob eine versteckte oder vielleicht vergessene Funktion auf nicht benötigte Google Dienste verweist. Diese Verweise sollten dringend entfernt bzw. in ein Zustimmungs-Banner eingebunden werden!

Fragen: Gehe zu Kontaktdaten

Februar 2022; Urteil des LG München zu US-CDN Anbietern (Az. 3 O 17493/20 v. 20.01.22)

Das Landgericht München hat in dem Urteil (Az. 3 O 17493/20) entschieden das die Einbindung dynamischer Webinhalten z.B. Google Fonts, Trusted-Shop-Badges uvm. ohne Einwilligung der Besucher rechtswidrig ist! Das betrifft alle Content-Delivery-Network Anbieter aus Drittländern.

Fragen: Gehe zu Kontaktdaten

Dezember 2021; Datenschutz und Compliance bei der Kommunikation per E-Mail

Newsletter

Fragen: Gehe zu Kontaktdaten

September 2021; „keep it simple“. Die IT regelmäßig ausmisten, die Systeme sauber halten.

Newsletter

Kontakt / Impressum

Stefan Krumbhorn
IT Auditor IDW
Certified Information Systems Auditor (CISA)
Zertifizierter Datenschutzbeauftragter

Kontakt

email

Tel

Powered by w3.css
Copyright Stefan Krumbhorn © 2006 - 2024 zwo-k
All Rights Reserved