Datenschutzaufsichtsbehörden prüfen Auftragsverarbeitung von Webhostern
Das Bayerisches Landesamt für Datenschutzaufsicht hat eine Prüfung von Auftragsverarbeitungsverträgen bei Webhostern angekündigt. An der Prüfung der AVV-Verträge beteiligen sich neben dem BayLDA auch die Datenschutzaufsichtsbehörden aus Berlin, Sachsen, Sachsen-Anhalt, Niedersachsen und Rheinland-Pfalz.
Um Webhoster und Verantwortliche beim Abschluss von rechtskonformen Auftragsverarbeitungsverträgen zu unterstützen, haben die an der Prüfung beteiligten Datenschutzbehörden eine Checkliste (pdf) zur Prüfung von Auftragsverarbeitungsverträgen entwickelt und veröffentlicht.
-ck-

Datenschutzaufsichtsbehörde prüft Auftragsverarbeitungsverträge von Webhostern
LDA Bayern online - "BayLDA prüft Auftragsverarbeitung von Hostern" 
https://www.lda.bayern.de/de/index.html

Umfangreiche Informationen zur Auftragsverarbeitung
LDA Bayern online – "Auftragsverarbeitung"
https://www.lda.bayern.de/de/thema_auftragsverarbeitung.html

BlnBDI kontrolliert die datenschutzrechtlichen Musterverträge
Datenschutz Berlin online – "Pressemitteilung: Berliner Datenschutzbeauftragte prüft Auftragsverarbeitungsverträge von Webhostern (pdf)"
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2022/20220718-BlnBDI-AVV-Pruefung.pdf

Ausfüllhinweise zur Checkliste Prüfung AVV
Datenschutz Berlin online – "Hinweise zur Nutzung der Checkliste Prüfung AVV (pdf)"
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/themen-a-z/a/2022-BlnBDI-Checkliste_Pruefung_AVV_v1.0_Ausfuellhinweise.pdf

Volkszählung mit Pannen
Seit Mitte Mai sind für den Zensus 2022 Interviewerinnen und Interviewer bundesweit im Einsatz. Bei den Befragungen soll unter anderem herausgefunden werden, wie viele Menschen in Deutschland leben, wie viele Wohnungen es gibt oder wo die Menschen beschäftigt sind. Die Zensus-Ergebnisse dürfen ausschließlich für Statistiken benutzt werden und nicht an sonstige Stellen der Verwaltung übermittelt werden. Somit ist eine Weitergabe der Daten an Dritte, wie zum Beispiel an dem Finanzamt, gesetzlich untersagt.
Bei den Erhebungen für den Zensus 2022 kommt es derzeit wegen eines Softwarefehlers bundesweit zu Problemen. Die eigens für den Zensus entwickelte Software zeige in der praktischen Anwendung erhebliche Schwierigkeiten auf, wie zum Beispiel immense Verzögerungen in der Datenerfassung sowie Programmabbrüche bei der Datenerfassung durch die Erhebungsstellen.
Wie die Medien berichteten, sind auch Meldungen von Datenpannen zu verzeichnen: Ein ehrenamtlicher Zensus-Mitarbeiter hat in Springe eine Tasche mit ca. 90 ausgefüllten Befragungsbögen mit sensiblen Daten der befragten Personen verloren zu haben. Auch in Wunstorf gingen 110 Erhebungsbögen verloren, so die Medienberichte. Die Polizei ist benachrichtigt und hat die Ermittlung aufgenommen.
-ck-

Verschiedene Bundesländer melden Probleme mit der Zensus-Software
Focus online – "Schon über 20 Millionen ausgefüllte Bögen: Erhebliche Probleme beim Zensus 2022 - jetzt könnte er sogar scheitern"
https://www.focus.de/wissen/beim-zensus-2022-gibt-es-probleme-jetzt-koennte-er-sogar-scheitern_id_118834396.html

Probleme mit der Zensus-Software
Süddeutsche Zeitung online – "Digitalisierung: Probleme beim Zensus"
https://www.sueddeutsche.de/politik/digitalisierung-probleme-beim-zensus-1.5623558

Bundesinnenministerium räumt Probleme mit der Software zur Volkszählung ein
Stuttgarter Zeitung online – "Softwareprobleme bei der Erhebung: Massive Probleme beim Zensus – auch in Baden-Württemberg"
https://www.stuttgarter-zeitung.de/inhalt.softwareprobleme-bei-der-erhebung-massive-probleme-beim-zensus-auch-in-baden-wuerttemberg.a9753995-51af-497e-89f7-978b383351c6.html

Welche Informationen sind Richtig und welche Falsch?
Zensus 2022 online – "Was ist der Zensus?: Faktencheck zum Zensus"
https://www.zensus2022.de/DE/Was-ist-der-Zensus/Faktencheck/faktencheck_tabelle_neu.html


Geschäftsrisiko: Cyber-Security
Vorfälle Ransomware-Angriffe haben in den vergangenen Monaten weltweit drastisch zugenommen. Ein Grund für die rasante Verbreitung ist immer noch die Sorglosigkeit vieler Anwender. Viele User benutzen zu einfache Kennwörter, installieren einen wichtigen Patch nicht oder öffnen unbedarft Anhänge von Spam-Mails. Die Folgen sind nicht unerheblich. Wie die unten aufgeführten Medienberichte zeigen, haben erfolgreiche Angriffe auf die IT-Systeme nicht nur einen herben Datenverlust zur Folge: Geschäftsaktivitäten kommen zum Stillstand, doch viel schlimmer als der kurzfristige monetäre Schaden, sind jedoch die negativen Schlagzeilen, die Unternehmen und deren Marken dauerhaft schaden können.
Um das Bewusstsein für Cyberrisiken zu stärken, gehört die professionelle und nachhaltige Mitarbeiter-Sensibilisierung, durch ihren Datenschutzbeauftragten, zu den unverzichtbaren Präventionsmaßnahmen in jedem Unternehmen. Denn nur wer in der Lage ist die Angriffsmethoden zu identifizieren, kann diese verhindern.
-ck-

Persönliche Daten von Mitarbeitern, Geschäftspartnern und des Energieversorgers Entega im Darknet veröffentlicht
IT-Daily net – "Kriminelle veröffentlichen nach Cyberangriff auf Count and Care Kundendaten"
https://www.it-daily.net/shortnews/kriminelle-veroeffentlichen-nach-cyberangriff-massenweise-kundendaten

Über 500 Gigabyte großes Datenpaket im Darknet veröffentlicht
Inside – IT ch - "3 Wochen nach Cyberangriff hat der Baustoffriese Knauf immer noch Probleme"
https://www.inside-it.ch/3-wochen-nach-cyberangriff-hat-der-baustoffriese-knauf-immer-noch-probleme-20220721

IT-Infrastruktur der Stadt Bülach lahmgelegt
Neue Züricher Zeitung ch – "Ausmaß verharmlost? Der Cyberangriff auf die Stadt Bülach ist schwerwiegender, als bisher kommuniziert"
https://www.nzz.ch/technologie/der-cyberangriff-auf-buelach-ist-schwerwiegender-als-bisher-kommuniziert-ld.1694657

Telekommunikationskonzerne wegen unerlaubte Datenweitergabe verklagt
Wirtschaftsauskunfteien wie zum Beispiel die Schufa, sammeln massenhaft personenbezogene Daten zwecks Bonitätsprüfung der Verbraucher und Unternehmen. Laut Medienberichten haben Recherchen des Norddeutschen Rundfunks und der Süddeutschen Zeitung (SZ) ergeben, dass die Wirtschaftsauskunfteien seit Jahren anlasslos Millionen Mobilfunk-Vertragsdaten der Kunden gesammelt haben. Diese Vertragsdaten wurden ohne ausdrückliche Einwilligung der Betroffenen seit Jahren gesammelt. Nach Ansicht der Datenschutzbehörden ist das seit Einführung der DS-GVO nicht rechtens. Auch Verbraucherschützer kritisieren diese anlasslose Datenspeicherung und warnen schon länger vor negativen Auswirkungen für die Bürger, welche die sich nichts zu Schulden kommen lassen.
Nach erfolglosen Abmahnungen gegen die Telekommunikationskonzerne hat die Verbraucherzentrale NRW Klage wegen unerlaubter Datenweitergabe gegen Telefónica (dazu gehört O2), Telekom und Vodafone eingereicht. Den Unternehmen wird vorgeworfen, das sie sogenannte Positivdaten ohne Kenntnis und ausdrücklicher Einwilligung der Betroffenen an Wirtschaftsauskunfteien weitergegeben haben. Dies verstoße gegen die Datenschutz-Grundverordnung, so die Ansicht der Verbraucherzentrale NRW.
-ck-

Weitergabe von Kundendaten: Klage gegen Telefonfirmen
Tagesschau online – "Weitergabe von Kundendaten Klage gegen Vodafone, Telekom und Telefónica"
https://www.tagesschau.de/investigativ/ndr/kundendaten-telefonfirmen-verbraucherzentrale-101.html

Positivdaten ohne Einwilligung an Wirtschaftsauskunfteien weitergegeben
Verbraucherzentrale Nordrhein-Westfalen online – "Wegen Datenweitergabe: Klage gegen Telefónica, Telekom und Vodafone"
https://www.verbraucherzentrale.nrw/aktuelle-meldungen/digitale-welt/wegen-datenweitergabe-klage-gegen-telefonica-telekom-und-vodafone-75333


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick

1. Kritische Schwachstellen: Admins sollten Sicherheitsupdates installieren
Heise Security online – "Altert: Jetzt patchen! Oracle sichert seine Produkte mit 349 Updates ab"
https://www.heise.de/news/Jetzt-patchen-Oracle-sichert-seine-Produkte-mit-349-Updates-ab-7184179.html

2. Support-Ende für Windows 8.1 naht
T-Online online – "Support-Ende: Das bedeutet die aktuelle Windows-Warnung"
https://www.t-online.de/digital/computer/software/windows/id_100028982/support-ende-das-bedeutet-die-aktuelle-windows-warnung.html

Anspruch auf Schadenersatz nach Artikel 82 Abs.1 der DSGVO
Personen haben nach Artikel 82 Abs. 1 der EU-Datenschutzgrundverordnung einen Anspruch auf Schadenersatz, wenn ihnen durch einen Datenschutzverstoß ein Schaden entstanden ist. Betroffene haben somit das Recht Schadensersatz gegenüber dem Verursacher einzufordern, wenn ihnen ein materieller und auch immaterieller Schaden entstanden ist.
In den letzten Monaten wurden immer mehr Gerichtsurteile zum Schadenersatzanspruch nach Ar. 82 DSGVO bekannt. Die unten aufgeführten Medienberichte enthalten eine Übersicht zur aktuellen Rechtsprechung.
-ck-

Mitarbeiter sendet Mail an falsche Adresse: Arbeitgeber muss 2.000 € Schmerzensgeld zahlen
Bugel & Kollegen online – "Schadensersatz bei Verletzungen des Datenschutzes"
https://buglundkollegen.de/schadensersatz-bei-verletzungen-des-datenschutzes/

Urteil Schmerzensgeld: Rechtswidrige Versendung eines Kontoabschlusses
RV Hessenrecht: Hessen online – "Zur Bemessung des Schmerzensgeldanspruchs nach Artt. 6 i.V.m. 82 DSGVO bei rechtswidriger Versendung eines Kontoabschlusses"
https://www.rv.hessenrecht.hessen.de/bshe/document/LARE220002839

Videoaufnahme einer Mitarbeiterin ohne schriftliche Einwilligung veröffentlicht
REWIS io online – "LAG Schleswig-Holstein: 6 Ta 49/22 vom 01.06.2022"
https://rewis.io/urteile/urteil/kuk-01-06-2022-6-ta-4922/

Unternehmen immer häufiger mit Schadenersatzforderungen konfrontiert
IT-Daily net – "Vorsicht vor Lücken in der Strategie und Umsetzung: Datenschutz"
https://www.it-daily.net/it-sicherheit/datenschutz-grc/datenschutz


Defizite bei der Zugriffsverwaltung
In vielen Unternehmen, Behörden und Organisationen sind sensible Daten und Geschäftsinformationen anhand fehlerhaftem Zugriffs- und Berechtigungsmanagement unzureichend geschützt. Eine "One Identity Global State of IAM Study" ergab, dass in jedem zweiten Unternehmen herumgeschnüffelt und auf vertrauliche und sensible Informationen zugegriffen wird. Die Studie zeigte auch auf, dass selbst IT-Sicherheitsexperten anhand der privilegierten Zugriffsberechtigungen selbst auf sensible Informationen zugegriffen haben. Auch sei es keine Seltenheit, das verwaiste Konten von ehemaligen Mitarbeitern nicht gesperrt wurden.
Mitarbeiter sollten anhand Zugriffsberechtigung ausschließlich nur auf solche Daten zugreifen können, die zur Erfüllung ihrer Aufgaben tatsächlich benötigt werden, sodass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Damit ausscheidende Beschäftigte nicht weiterhin auf personenbezogene Daten und Geschäftsgeheimnisse des Unternehmens zugreifen können, müssen die Zugriffsrechte bei Austritt entzogen werden.
-ck-

Unternehmens-Logins von ehemaligen Mitarbeitenden monatelang nicht gelöscht
NZZ ch – "Datenpanne beim Kanton: Entlassene Contact-Tracer konnten weiterhin auf Zürcher Corona-Datenbank zugreifen"
https://www.nzz.ch/zuerich/zuerich-entlassene-contact-tracer-hatten-zugriff-auf-corona-daten-ld.1693079

Weitreichende Zugriffsrechte verhindern
Deutschlandfunk Nova online – "Datenschutz: Interne Mitschnitte: Tiktok-Angestellte mit Zugriff auf persönliche Daten"
https://www.deutschlandfunknova.de/beitrag/datenzugriff-bei-tiktok-buzzfeed-veroeffentlicht-interne-mitschnitte

Zugriffsberechtigungen und Rechtevergaben im Unternehmen
IT Sec City online - "Gerade in kleinen Unternehmen wird geschnüffelt"
http://www.itseccity.de/markt/studien/one-identity121217.html

Datendiebstahl ist kein Kavaliersdelikt
Tenfold-Security com – "Datendiebstahl durch Mitarbeiter: Wie kann ich mich schützen?"
https://www.tenfold-security.com/datendiebstahl-durch-mitarbeiter/

Schutz für sensible Daten und wertvollem Know-how
Verfassungsschutz Bayern online - "Wirtschaftsspionage"
http://www.verfassungsschutz.bayern.de/spionageabwehr/ wirtschaftsschutz/wirtschaftspionage/index.html

Verletzung des Schutzes personenbezogener Daten
Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Die unten aufgeführten Medienberichte zeigen, wie große und auch kleine Unternehmen immer wieder damit zu kämpfen haben, dass vertrauliche interne Dokumente – sensible Gesundheitsdaten, personenbezogene Kundendaten, nicht an die Öffentlichkeit gelangen. Der beste Schutz sensibler Unternehmensdaten besteht darin, bei den Mitarbeitern und dem Management ein entsprechendes Sicherheits-Bewusstsein zu wecken und mit qualifizierten IT-Fachkräften und professionellen Datenschutzberatern zusammenzuarbeiten.
-ck-

Mehr als 124 000 Dokumente wie E-Mails und Chatnachrichten betroffen
Mannheimer Morgen online – "Interne Dokumente geleakt: Datenpanne offenbart aggressives Vorgehen"
https://www.mannheimer-morgen.de/wirtschaft_artikel,-wirtschaft-interne-dokumente-geleakt-_arid,1972239.html

Nicht alle Bußgelder werden publik gemacht
IT-Daily net - Studie: "Was hinter dem starken Anstieg bei DSGVO-Bußgeldern steckt (OBJ)"
https://www.it-daily.net/it-sicherheit/datenschutz-grc/was-hinter-dem-starken-anstieg-bei-dsgvo-bussgeldern-steckt%EF%BF%BC

Sicherheitslücke entstand durch ein Support-System
RBB 24 online – "Personenstandsregister betroffen: Datenpanne bei Berliner Behörde gemeldet"
https://www.rbb24.de/politik/beitrag/2022/07/datenpanne-berlin-landesbehoerde-personenstandsregister.html

Behörde hat wegen rechtlichen Status der Botschaften keine Handhabe
Golem online - "Passanträge für Bangladesch ungeschützt im Netz"
https://www.golem.de/news/datenschutz-passantraege-fuer-bangladesch-ungeschuetzt-im-netz-2207-166867.html

Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Unternehmen-Accounts werden auch bei aktivierter Multi-Faktor-Authentifizierung angegriffen
Heise online – "Office-Nutzer im Visier: Phishing-Kampagne umgeht Multi-Faktor-Authentifizierung"
https://www.heise.de/news/Zahlungsbetrug-Gross-angelegte-Phishing-Kampagne-umgeht-MFA-7179750.html

2. Datenverlust vermeiden: Regelmäßige Datenspeicherung und Backups
Chip online – " Ist der PC kurz vorm Hitzetod? So schützen Sie das Gerät im Sommer"
https://www.chip.de/news/Ist-der-PC-kurz-vorm-Hitzetod-So-schuetzen-Sie-das-Geraet-im-Sommer_96452164.html

3. Sicherheits-Team warnt vor versteckter Malware
Chip online – "WhatsApp warnt: Modifizierte Versionen können Schadsoftware enthalten"
https://www.chip.de/news/Warnung-vor-WhatsApp-Mods-bringen-Malware-auf-Smartphones_184338366.html