Letzte Änderung: 02.10.2024
Liebe geschätzte Leserinnen und Leser unserer Datenschutznachrichten
Bereits seit 2005, also seit stattlichen 17 Jahren, versorgen wir Sie engagiert mit einem unternehmerisch relevanten Überblick über die öffentlich kommunizierten Datenschutzschwerpunkte der vergangenen Woche. Unsere (anonymen) Statistiken über Ihre rege und wachsende Beteiligung und Ihr persönliches Feedback haben uns immer wieder bestätigt, wie wichtig es ist, praxisrelevante Infos auf den Punkt gebracht zu servieren.
Diese Aufgabe wurde, vor allem in den letzten Wochen, jedoch immer kniffliger: manche seriöse Quellen sind inzwischen zahlungspflichtig, einige wagen es aufgrund gesetzlicher Änderungen zunächst nicht mehr, in gewohnter Form zu publizieren, und viele bieten keine festen Links mehr an, die uns auch langfristig nachschlagbare Quellen für unser Archiv erlauben.
Im Hintergrund arbeiten wir bereits an einer Lösung, wie wir Sie auch künftig in gewohnt hochwertiger Form mit relevanten Infos versorgen können. Qualität benötigt von Zeit zu Zeit eine Rekalibrierung, dafür nehmen wir uns als Redaktionsteam nach all den Jahren für die rein redaktionelle Arbeit eine schöpferisch-kreative Pause. Voraussichtlich erfolgt der Re-Start im Oktober.
Wenn Sie Anregungen, Tipps oder geeignete Quellen für uns haben oder sogar ehrenamtlich einen Beitrag leisten möchten, melden Sie sich gerne unter redaktion@blossey-partner.de.
Wir wünschen Ihnen einen schönen Sommer und bedanken uns herzlich für Ihr Interesse und Ihre Treue.
Und natürlich freuen wir uns auf ein Wiedersehen im Herbst.
Mit besten Grüßen
Ihre Kerstin Blossey & Redaktionsteam
Geschäftsleitung
Liebe Leser unserer Datenschutznachrichten
Aus organisatorischen Gründen können wir Ihnen eine Berichterstattung durch unser Redeaktionsteam in dieser Woche nicht anbieten.
Entsprechende datenschutzrelevante Aspekte werden in den nächsten Datenschutznachrichten mit einbezogen.
Wir bedanken uns für Ihr Verständnis und freuen uns darauf, Sie in der 26. Kalenderwoche 2021 wieder bei uns begrüßen zu dürfen.
-ck-
----------------------
Cyberkriminelle bedrohen die Wirtschaft
Gefährliche Ransomware-Angriffe gehören zurzeit zu den beliebtesten Methoden der Cyberkriminellen. Mithilfe von verschlüsselten E-Mail-Anhängen dringt Malware in die Unternehmens-Systeme ein. Ob Spam-Mails, Phishing, Viren oder Spionageprogramme – erfolgreiche Cyberattacken verursachen Schäden in Millionen Höhe sobald ein Schadprogramm ins IT-System eines Unternehmens gelangt. Ein Grund für die rasante Verbreitung von Cyberkriminalität ist immer noch die Sorglosigkeit vieler Anwender. Viele User benutzen zu einfache Kennwörter, installieren einen wichtigen Patch nicht oder öffnen unbedarft Anhänge von Spam-Mails. Die Folgen sind nicht unerheblich. Die Problemstellung dieser Angriffsmethoden kann nur dann bewältigt werden, wenn alle Mitarbeiter und das Management durch ihren Datenschutzbeauftragten professionell und nachhaltig sensibilisiert sind, wissen - welche Tricks heute angewandt werden und somit achtsam mitwirken können.
Hilfreiche Informationen zum datenschutzrechtlichen Umgang mit Schadcode-Vorkommen sind zum Beispiel auf der Homepage des BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) zu finden.
Anhand der zunehmenden IT-Sicherheitsvorfälle mit Verschlüsselungs-Trojaner hatte auch der BSI ein Themenpapier (pdf) mit konkreten Empfehlungen sowie Hilfestellungen zur verschärften Bedrohungslage durch Ransomware veröffentlicht.
-ck-
Ransomware-Angriff: Lösegeldzahlung um Datenverlust zu verringern
Tagesschau online - "Nach Hackerangriff: Fleischproduzent JBS zahlt Lösegeld"
https://www.tagesschau.de/ausland/amerika/usa-hackerangriff-loesegeld-101.html
Cyberkriminalität: Teile des gezahlten Lösegelds aufgespürt
Zeit online - "US-Ermittler finden Lösegeld nach Pipeline-Hackerangriff"
https://www.zeit.de/politik/ausland/2021-06/hackerangriff-usa-pipeline-colonial-loesegeld-fbi-ermittler-bitcoin?utm_referrer=https%3A%2F%2Fwww.google.com%2F
Mitarbeiter müssen sensibilisiert werden
Computer World ch - "Schweizer Unternehmen sind ein beliebtes Ziel für Hacker"
https://www.computerworld.ch/security/business-it/schweizer-unternehmen-beliebtes-ziel-hacker-2671083.html
Informationshilfe zur Einhaltung gesetzlicher Anforderungen
BayLDA online - "Informationen zum datenschutzrechtlichen Umgang mit Schadcode-Vorkommen bei Verantwortlichen"
https://www.lda.bayern.de/de/thema_schadcode.html
Sanktionen für Datenschutzverstöße gegen die EU-Datenschutz-Grundverordnung (DSGVO)
Unzählige Warnungen über die strengen Anforderungen der Datenschutzgrundverordnung und die deutlich gestiegenen möglichen Strafen und Geldbußen bei Verstößen waren zur Einführung der EU-Datenschutzgrundverordnung (DSGVO) nicht zu übersehen. Jede Aufsichtsbehörde in der EU darf Geldbußen verhängen, deren Höhe von der Schwere des Verstoßes sowie von der Unternehmensgröße abhängt. Die Obergrenze der möglichen Strafe liegt bei 20 Millionen Euro. Im Falle von Großunternehmen sind es 4% des weltweit erzielten Umsatzes aus dem Vorjahr. Durch die DSGVO gelten seit Mai 2018 dieselben Regeln EU-weit.
Laut Medienberichten drohen dem US-Onlinehändler Amazon wegen mutmaßlich mehrerer Verstöße gegen die europäische Datenschutz – Grundverordnung im Zusammen hang mit der Erhebung und Verwendung personenbezogener Daten, eine bislang höchste DSGVO-Sanktion in der Europäischen Union (EU). Für den US-Onlinehändler ist Luxemburgs Behörde CNPD zuständig, weil sich seine EU-Zentrale im Großherzogtum befindet.
Die Nationale Kommission für den Datenschutz (CNDP) des Großherzogtums Luxemburg hat ein Bußgeld über mehr als 425 Millionen Dollar vorgeschlagen und diese Empfehlung den Datenschutzbehörden in den anderen EU-Ländern vorgelegt. Es kann mehrere Monate dauern, bis der Entscheidungsentwurf rechtskräftig werden kann, zudem können wesentliche Änderungen des Entwurfs zu einer höheren oder niedrigeren Geldbuße führen.
-ck-
Amazon droht bisher höchste Datenschutz-Sanktion in der EU
Heise online - "Datenschutz: Luxemburg plant 350 Millionen Euro Strafe für Amazon"
https://www.heise.de/news/Datenschutz-Luxemburg-plant-350-Millionen-Euro-Strafe-fuer-Amazon-6068245.html
US-Onlinehändler droht Milliarden-Strafe
Wirtschafts Woche online - "Amazon droht EU-Strafe von mehr als 425 Millionen Dollar"
https://www.wiwo.de/medienbericht-amazon-droht-eu-strafe-von-mehr-als-425-millionen-dollar/27275610.html
Fine For Pricacy Violation Amazon
The Wall Street Journal com - "Amazon Faces Possible $425 Million EU Privacy Fine Case relates to alleged violations of Europe’s General Data Protection Regulation"
https://www.wsj.com/articles/amazon-faces-possible-425-million-eu-privacy-fine-11623332987?mod=tech_lead_pos1
Passwortverhalten von Mitarbeitern weltweit schlichtweg als fahrlässig eingestuft
Anmeldeinformationen sind die bevorzugte Strategie der Cyberkriminellen bei Datenschutzverletzungen. Doch trotz aller Warnungen benutzen viele Anwender immer noch die gleichen, einfachen Passwörter. Oft loggen sie sich mit ein und demselben Passwort für mehrere Accounts ein oder benutzen die Zugangsdaten privat und vielleicht auch beruflich für die Firmen-E-Mail-Adresse. Dieser laxe Umgang mit dem Thema Authentifizierung stellt ein hohes Sicherheitsrisiko im Unternehmen dar und lädt unweigerlich zu Cyberkattacken ein. Gerade im Unternehmen sollte stets darauf geachtet werden, dass nicht bei jedem Dienst oder Speicherung der sensiblen Daten immer ein und dasselbe Passwort verwendet wird. Sollte nur ein einziges Kennwort benutzt und dieses geknackt werden, können sehr schnell sämtliche unternehmerische Daten abhandenkommen.
-ck-
Mehr Datensicherheit im Netz
Computerbase online - "8,4 Milliarden Passwörter: Riesige TXT-Datei in Szeneforen aufgetaucht"
https://www.computerbase.de/2021-06/8.4-milliarden-passwoerter-riesige-txt-datei-in-szeneforen-aufgetaucht/
Auflistung der Passwörter von öffentlich gewordenen Datenlecks
Nord Pass com – "Die unglücklichen Passwörter von Fortune-500-Unternehmen"
https://nordpass.com/de/fortune-500-password-study/
Passworthygiene im Unternehmen
Process Vogel online - "Wie Unternehmen ihre Passworthygiene verbessern: Top 10 Passwörter von Angestellten in der Chemieindustrie – und wie es besser geht"
https://www.process.vogel.de/top-10-passwoerter-von-angestellten-in-der-chemieindustrie-und-wie-es-besser-geht-a-1029873/
Nutzer nehmen es mit der Passwortsicherheit nicht so genau
Kurier at - "Fünf Tipps für sicheres Arbeiten im Homeoffice"
https://kurier.at/wirtschaft/karriere/fuenf-tipps-fuer-sicheres-arbeiten-im-homeoffice/401404500
Verwendung eines Universalpassworts lädt Cyberkriminelle ein
Chip online – "Passwort-Sicherheit: Knapp 60 Prozent der Deutschenbegehen diesen schweren Fehler"
https://www.chip.de/news/Begehen-Sie-nicht-diesen-Passwort-Fehler_183642728.html
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. BvD-Blog Beitrag rund um den Datenschutz – Nr. 5
BvD online - "Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 22/2021)"
https://www.bvdnet.de/menschen-daten-sensationen-rudis-bericht-aus-dem-datenzirkus-ergaenzt-um-franks-zugabe-kw-22-2021/
2. Wichtige Updates: Lücken sind bereits im Focus von Hackern
Security Insider online - "Microsoft Patchday Juni 2021: Microsoft schließt 50 Sicherheitslücken
https://www.security-insider.de/microsoft-schliesst-50-sicherheitsluecken-a-1029945/?cmp=nl-36&uuid=
3. WLAN gegen Fremdsurfer und Cyberkriminelle richtig absichern
T Online online - "WLAN sichern: Mit Verschlüsselung mehr Sicherheit im Netzwerk"
https://www.t-online.de/digital/sicherheit/id_16826288/wlan-sichern-sie-haften-fuer-straftaten-aus-ihrem-wlan-netz.html
Deutsche Aufsichtsbehörden überprüfen internationalen Datentransfers im Unternehmen
Am 16.07.2020 hat der EuGH den EU US-Privacy Shield mit sofortiger Wirkung für ungültig erklärt. Bei Datenübermittlungen in die USA gelten ab sofort die Vorgaben für Übermittlungen in Drittländer. EU-Unternehmen müssen als verantwortliche Stellen prüfen, ob ihr Auftragnehmer in den USA die DSGVO-Anforderungen erfüllt. Die EU-Standardvertragsklauseln sind nun zusätzlich zu einem Vertrag über die Auftragsverarbeitung (AVV) abzuschließen.
In vielen Fällen erfordert das Urteil des EuGHs eine grundlegende Umstellung lang praktizierter Geschäftsmodelle und -abläufe mancher Unternehmen. Seit Inkrafttreten des Urteils haben zahlreiche Aufsichtsbehörden Empfehlungen und Hilfestellungen zu den erforderlichen Maßnahmen zwecks Beurteilung des Datentransfers mit personenbezogenen Daten in Drittländern veröffentlicht.
Am 1. Juni 2021 haben Deutsche Aufsichtsbehörden angekündigt, im Rahmen einer bundesländerübergreifenden Kontrolle die Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittländer) zu überprüfen. Die einzelnen Aufsichtsbehörden werden ausgewählte Unternehmen in ihrem Zuständigkeitsbereich, auf der Basis eines gemeinsamen Fragenkatalogs, anschreiben.
-ck-
Länderübergreifende Kontrollen durch die Datenschutzaufsichtsbehörden
Datenschutz Hamburg online – "Koordinierte Prüfung internationaler Datentransfers"
https://datenschutz-hamburg.de/pages/fragebogenaktion/
Einhaltung der DSGVO: Überprüfung internationaler Datenübermittlung
Heise online - "Aufsichtsbehörden überprüfen verstärkt DSGVO-Einhaltung bei Unternehmen"
https://www.heise.de/news/Aufsichtsbehoerden-ueberpruefen-verstaerkt-DSGVO-Einhaltung-bei-Unternehmen-6059123.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag
Cybercrime: Starke Bedrohung für die Wirtschaft
Cyber-Angriffe zeigen wie sich die Risiken für Unternehmen auswirken können. Die Gefahren durch einen Angriff auf das Firmennetzwerk eines Unternehmens sind nicht zu unterschätzen - die Zahl an Hacker-Angriffen nimmt immer weiter zu. Geübte Hacker durchbrechen sämtliche Sicherheitsmechanismen und sind in der Lage durch diese Sabotagemöglichkeit betriebsinterne Informationen abzufischen und/oder das ganze Unternehmen still zu legen.
Wie die Medien in dieser Woche berichteten, meldete der weltgrößte Fleischkonzern JBS eine Hackerattacke auf seine US-Tochterfirma. Der Angriff legte die Systeme lahm und die Schlachtbänder stehen still. Verheerende folgen für das Unternehmen und die Beschäftigten.
Auch Microsoft meldete weltweite Cyberattacken auf etwa 3000 E-Mail-Konten bei mehr als 150 Organisationen in den Sparten internationale Entwicklung, humanitäre Arbeit und Menschenrechte. Nach wie vor ist der Angriff immer noch aktiv, warnte Microsoft.
In dieser Woche erfolgten laut Medienberichten auch Attacken auf das Rechenzentrum eines IT-Dienstleisters bei Volks- und Raiffeisenbanken, danach auf das Rechenzentrum in Münster. Daraufhin waren Bank-Webseiten nicht erreichbar und somit das Onlinebanking zahlreicher Geldhäuser nicht mehr möglich.
Seit Inkrafttreten der Datenschutzgrundverordnung kann bei einem erfolgreichen Hackerangriff ein hoher Verwaltungsaufwand auf das betroffene Unternehmen zukommen: Von der Meldepflicht gegenüber den Datenschutzaufsichtsbehörden und der Anzeigepflicht gegenüber dem Betroffenen, sowie mögliche Sanktionen wie Bußgelder, strafrechtliche Sanktionen, Schadenersatzansprüche und gleichzeitig ein enormer Imageverlust.
-ck-
Angriff legte sämtliche Systeme lahm
N-TV online - "Schlachtbetrieb liegt lahm: Hacker greifen weltgrößten Fleischkonzern an"
https://www.n-tv.de/wirtschaft/Hacker-greifen-weltgroessten-Fleischkonzern-an-article22588572.html
Softwarekonzern warnt vor noch aktiven Hackerangriff
N-TV online - "Hackergruppe Nobelium am Werk?: Microsoft meldet weltweite Cyberattacke"
https://www.n-tv.de/panorama/Microsoft-meldet-weltweite-Cyberattacke-article22583747.html
Online-Banking zahlreicher Geldhäuser nicht mehr möglich
Esslinger Zeitung online – "Hacker am Werk: Sabotageangriff legt Onlinebanking bei Volksbanken lahm"
https://www.esslinger-zeitung.de/inhalt.hacker-am-werk-sabotageangriff-legt-onlinebanking-bei-volksbanken-lahm.10826328-df0c-4d75-9a6d-ec80fec6e5b0.html
Riesiges Hacker-Netzwerk auf Messenger-Dienst entdeckt
Security Insider online - "Cyberkriminalität auf Telegram Messaging-App: Hacker nutzen Telegram um Datenlecks zu teilen"
https://www.security-insider.de/hacker-nutzen-telegram-um-datenlecks-zu-teilen-a-1027214/?cmp=nl-36&uuid=
Bekanntgewordene Datenpannen aus dieser Woche
Die unten aufgeführten Medienberichte über Datenpannen zeigen: Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst. Nicht nur große, auch kleine und mittelständische Unternehmen unterschätzen in der Regel die realen Gefahren im Umgang mit ihren Daten. Dabei lässt sich das Risiko einer Datenpanne oft mit einfachen Mitteln auf ein Minimum senken.
Datenpannen sind längst kein Kavaliersdelikt mehr, wie jüngste Verfahren und Klagen belegen. Wenn personenbezogene Daten wie zum Beispiel Patienten- oder Kundendaten unbemerkt an Dritte gelangen, so müssen Unternehmen mit Bußgeldern oder anderen Maßnahmen nach der Datenschutz – Grundverordnung rechnen. Der mögliche Imageschaden kann jedoch deutlich gravierender sein.
-ck-
Zugang zum internen System der Polizei in Rund-Mail veröffentlicht
Nordkurier online - "Zugriff auf internes Portal: Polizei Neubrandenburg bezieht Stellung zu Daten-Panne"
https://www.nordkurier.de/neubrandenburg/polizei-neubrandenburg-bezieht-stellung-zu-daten-panne-0143739206.html
BRK: Codierte gesundheitsbezogene Daten von interessierten Spendern an Facebook übermittelt
Süddeutsche Zeitung online - "Datenpanne bei Blutspendedienst bestätigt"
https://www.sueddeutsche.de/bayern/bayern-rotes-kreuz-facebook-daten-blutspende-1.5308704
Gesundheits-Apps: Jahrelang konnten Unbefugte Gesundheitsdaten abrufen
Heise online - "c't deckt auf: Gesundheitsdaten populärer Apps waren jahrelang abrufbar"
https://www.heise.de/news/c-t-deckt-auf-Gesundheitsdaten-populaerer-Apps-waren-jahrelang-abrufbar-6058664.html
Ortsdatensammlung ohne Einwilligung seiner Nutzer
Giga online - "Google versteckt wichtige Android-Einstellung – um weiter Daten zu sammeln"
https://www.giga.de/news/google-versteckt-wichtige-android-einstellung-um-weiter-daten-zu-sammeln/
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. BvD-Blog Beitrag rund um den Datenschutz
BvD online - "Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 21/2021)"
https://www.bvdnet.de/menschen-daten-sensationen-rudis-bericht-aus-dem-datenzirkus-ergaenzt-um-franks-zugabe-kw-21-2021/
2. Phishing-Nachrichten: User verbreiten Fake – Kettenbriefe unüberlegt weiter
Online Marketing online - "Phishing-Nachricht auf WhatsApp: Fake-Gewinnspiel sammelt User-Daten"
https://onlinemarketing.de/mobile-marketing/phishing-whatsapp-fake-gewinnspiel
3. Anweisungen aus der Nachricht nicht umsetzen!
T-Online online - "Panikmache als Taktik: Falsche iPhone-Nachricht warnt vor Virusbefall"
https://www.t-online.de/digital/internet/id_88846508/iphone-vorsicht-apple-warnt-vor-falschen-sicherheits-nachrichten.html