Letzte Änderung: 22.01.2023

Datenschutz - Nachrichten 47. Kalenderwoche 2022

.

Neuer kantonale Datenschutz- und Transparenzbeauftragte ist gewählt
Sébastien Fanti, der oberste Datenschutzbeauftragte des Kantons Wallis, legt sein Amt nach 9 Jahren im Dienst Ende dieses Jahres nieder. Der Nachfolger von Sébastien Fanti steht fest: Lauris Loat wird der künftige kantonale Beauftragte für Datenschutz und Transparenz. Der in Trois Torrents wohnhafte Waadtländer Rechtsanwalt wird sein Amt am 1. Januar 2023 antreten.
Laut Medienberichten hat Lauris Loat ein Hintergrundwissen im Datenschutz sowie einige Erfahrungen in der Verwaltung komplexer Datenschutz- und Transparenzakten.
-ck- 

Oberster Datenschützer im Wallis gibt seine Leitung nach neun Jahren im Amt auf
IT-Markt ch – "Cyber-Security-Firma gegründet: Walliser Datenschutzbeauftragter legt sein Amt nieder"
https://www.it-markt.ch/cybersecurity/2022-11-22/walliser-datenschutzbeauftragter-legt-sein-amt-nieder

Neuer Datenschutz- und Transparenzbeauftragter im Wallis
Inside-It ch – "Lauris Loat wird neuer Datenschützer im Wallis"
https://www.inside-it.ch/lauris-loat-wird-neuer-datenschuetzer-im-wallis-20221123


Abmahnung vermeiden: Datenschutzkonformer Einsatz von Web Fonts
Werden aufgrund externer Einbindungen von Web Fonts in eine Internetseite Nutzerdaten, wie zum Beispiel die dynamische IP-Adresse (personenbezogene Daten im Sinne der DSGVO) erfasst und an Drittanbieter übermittelt, ist dies grundsätzlich nur mit einer wirksamen Einwilligung der Webseitenbesucher möglich. Seit ca. Juli diesen Jahres berichten immer mehr Unternehmen und Bürger in Österreich von Anwaltsbriefen, die sie als Betreiber von Webseiten erreichen. Ein niederösterreichischer Anwalt versendet Abmahnungen an Webseitenbetreiber wegen der nicht datenschutzkonformen Verwendung von Google Fonts. Auch in Deutschland rollt eine Abmahnwelle gegen Webseiten-Betreiber. Mittlerweile hätten sich schon über 1.000 Betroffene in Köln gemeldet und weitere tausende Website-Betreiber wurden in Deutschland abgemahnt. Es ist davon auszugehen, dass die Zahl solcher versendeter Abmahnungen bereits mehrere Zehntausend überschritten habe.
Um Schriften auf Websites DSGVO-konform einzubinden, hat der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) auf seiner Webseite eine "Kurz-Information zu externen Schriftarten auf Webseiten bayerischer öffentlicher Stellen" veröffentlicht.
-ck-

Informationen von Google zu derzeitigen Abmahnwelle
Der Standard online – " DSGVO: Google Fonts: Google reagiert auf erneute Abmahnungswelle"
https://www.derstandard.de/story/2000141120376/google-fonts-google-reagiert-auf-erneute-abmahnungswelle

Hilfestellung für Websitebetreiber
LDI NRW online – " Erste Hilfe bei Google-Fonts"
https://www.ldi.nrw.de/erste-hilfe-bei-google-fonts


Steigende Bedrohung: Cyber-Angriffe
Angriffe gegen Computersysteme haben in den letzten Jahren drastisch zugenommen. Themen wie Basisschutz der Hard- und Software stehen somit auch in kleineren Unternehmen an der Tagesordnung um Firmengeheimnisse vor fremden Zugriff oder sensible Kundendaten zu schützen. Oft benötigen Firmen nach einem heftigen Angriff wesentlich länger als einen ganzen Arbeitstag um die IT-Systeme wiederherzustellen. Zudem können deftige Umsatzeinbußen, sowie der Verlust des Kundenvertrauens Unternehmen in eine Krise stürzen.
Der beste Schutz vor einem Angriff besteht darin, bei den Mitarbeitern und dem Management ein entsprechendes Sicherheits-Bewusstsein zu wecken und mit qualifizierten IT-Fachkräften und Datenschutzberatern zusammenzuarbeiten.
-ck-

Teilausfall der IT-System an drei Standorten - gesamte IT-Infrastruktur des Hauses heruntergefahren
Bibliomed Manager online – "Cyberkriminalität: Hackerangriff auf Klinikum Lippe"
https://www.bibliomedmanager.de/news/hackerangriff-auf-klinikum-lippe

Unternehmen zahlte kein Lösegeld
B2B Cyber Security online – "LockBit 3.0 veröffentlicht Daten von Medizintechnik-Unternehmen"
https://b2b-cyber-security.de/lockbit-3-0-veroeffentlicht-daten-von-medizintechnik-unternehmen/

Interna des Zulieferers und seiner Kunden im Darknet angeboten
T-Online online – "40 Terabyte Daten gestohlen: FBI untersucht Cyberangriff auf Continental"
https://www.t-online.de/digital/internet-sicherheit/sicherheit/id_100085972/fbi-eingeschaltet-cyberangriff-auf-continental-zieht-weite-kreise.html

Größte Bedrohung für den Handel
Chip online – "Nach Hackerangriff: Deutscher Großhändler leidet noch immer unter den Folgen"
https://www.chip.de/news/Deutscher-Grosshaendler-von-Hackerangriff-betroffen-Folgen-noch-immer-spuerbar_184540942.html

Kritische Sicherheitslücke: Log4j schnellstmöglich zu schließen
Deutscher Presse Index online – "CISA und FBI warnen vor Log4j"
https://www.deutscherpresseindex.de/2022/11/23/cisa-und-fbi-warnen-vor-log4j/

Website des EU – Parlament lahmgelegt
EURACTIV online – "Nach Anti-Russland-Entscheidung: EU-Parlament wird Opfer von Cyber-Angriff"
https://www.euractiv.de/section/eu-aussenpolitik/news/nach-anti-russland-abstimmung-eu-parlament-wird-opfer-von-cyber-angriff/


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Update noch nicht verfügbar: Unter Umständen friert Remote-Desktop-App ein
Silicon online – "Windows 11 22H2: Microsoft bestätigt Probleme mit Remote Desktop"
https://www.silicon.de/41702786/windows-11-22h2-microsoft-bestaetigt-probleme-mit-remote-desktop

2. Nach Aktualisierung der Firmware funktionieren mehrere Serien der HP-Drucker nicht mehr
T3N online – "HP: Firmware-Update zieht Drucker aus dem Verkehr"
https://t3n.de/news/hp-drucker-firmware-update-probleme-1514341/

3. Aktuelle Warnungen und Maßnahmen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html

 


Datenschutz - Nachrichten 46. Kalenderwoche 2022

.

Schutz personenbezogener Daten nicht gewährleistet
Wie die Medien berichteten wurde Google in den USA zu einer Strafzahlung von fast 392 Millionen Dollar verurteilt. Generalstaatsanwälte von 40 Bundesstaaten kamen zu dem Schluss, dass der Konzern weiter Positionsdaten von Nutzen sammelte, obwohl Nutzer die Speicherung ihrer Ortungsdaten explizit in ihren Einstellungen abgelehnt hatten. Google habe nicht darauf hinwiesen, dass Google-Apps ebenfalls automatisch Positionsdaten erheben.
In der Vereinbarung mit den Generalstaatsanwälten verpflichtete sich der Konzern auch, die Nutzer besser über die Sammlung ihrer Ortungsdaten aufzuklären und Möglichkeiten, dies in den Einstellungen zu deaktivieren.
Laut Medienberichten fanden Sicherheitsforscher heraus, dass auch Apple iPhone-Nutzerdaten sammelt, selbst wenn die Nutzer der Analyse und dem Tracking von Daten in den Datenschutz-Einstellungen widersprechen. Apples eigene Apps wie zum Beispiel Apple Music, Apple TV, Büchern, iTunes Store oder Aktien, senden Daten über das Nutzerverhalten und Gerät weiter an das Unternehmen. Auch Details, die das Gerät identifizieren, mit entsprechenden IDs und der Internetverbindung werden übermittelt. Nun muss sich das Unternehmen, trotz seiner Datenschutz-Zusicherungen, einer Sammelklage des Bundes wegen Verletzung der Privatsphäre, Verletzungen des CIPA und unerlaubten Bereicherung in den eigenen Apps stellen.
-ck-

Ohne Nutzereinwilligung Ortungsdaten automatisch erhoben
Frankfurter Rundschau online – "Google muss in den USA fast 392 Millionen Dollar zahlen"
https://www.fr.de/wissen/google-muss-in-den-usa-fast-392-millionen-dollar-zahlen-zr-91917064.html

Datenübertragung an Apple trotz deaktivierter Analytics?
Golem online – "Tracking: Sammelklage wirft Apple illegale Datensammelei vor"
https://www.golem.de/news/tracking-sammelklage-wirft-apple-illegale-datensammelei-vor-2211-169764.html

Sammelklage wegen Datenschutzproblemen in Apples Apps
Inside-Digital online – "Neue Klage gegen Apple: „Datenschutzgarantien sind völlig illusorisch" 
https://www.inside-digital.de/news/neue-klage-gegen-apple-datenschutzgarantien-sind-voellig-illusorisch

Laut Studie: Von zwei Millionen untersuchten Anwendungen sind nur 10 % DSGVO-konform
Basic thinking online – "Ein Großteil aller Apps verstößt gegen die DSGVO"
https://www.basicthinking.de/blog/2022/11/16/ein-grossteil-aller-apps-verstoesst-gegen-die-dsgvo/


Datenschutz- und Sicherheitsbedenken
Laut einem Bericht der Nachrichtenagentur Reuters, gab sich die russische Software-Firma Pushwoosh als US-Unternehmen aus, doch der tatsächliche Sitz des Unternehmens liegt in der sibirischen Stadt Nowosibirsk, so die Medienberichte. Ein von dem Technologieunternehmen entwickelter Computercode ist in Tausenden Smartphone-Anwendungen in den Online-Shops von Appel und Google enthalten. Auch in den Apps einer Vielzahl internationaler Unternehmen, Regierungsbehörden und einflussreicher gemeinnütziger Organisationen wurde der Pushwoosh-Code installiert.
Schon im März habe die US-Armee eine App mit Pushwoosh-Code, welche Soldaten für Kampfausbildungsbasen des Landes verwenden, wegen Sicherheitsbedenken entfernt.
Eine Vertraulichkeit der Daten ist unter diesen Umständen nicht gegeben, denn das russische Tech-Unternehmen muss seine gesammelten Daten bei Bedarf an die russischen Behörden weiterleiten.
-ck-

Softwarefirma gibt sich als US-Unternehmen aus
ZDF-Heute online – "Softwarefirma mit Russland-Sitz : Pushwoosh gibt sich als US-Unternehmen aus"
https://www.zdf.de/nachrichten/digitales/softwarefirma-pushwoosh-russland-100.html

Widersprüchliche Aussagen zu Firmensitz
N-TV online – "Gab sich als US-Unternehmen aus: Russische Softwarefirma hinterlässt Code in Tausenden Apps"
https://www.n-tv.de/wirtschaft/Russische-Softwarefirma-hinterlaesst-Code-in-Tausenden-Apps-article23723175.html

Liste mit allen betroffenen Apps: Darunter auch zahlreihe deutsche Unternehmen
Internet Safety Labs org – "Reuters Breaks Story on Dangerous SDK PushWoosh Found by ISL"
https://internetsafetylabs.org/blog/news-press/reuters-breaks-story-on-dangerous-sdk-pushwoosh-found-by-isl/

 

Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Patch beseitigt Fehler bei Windows-Server die als Domain-Controller zum Einsatz kommen
Heise online – "Kerberos-Authentifizierung: Microsoft repariert Patch mit Notfall-Patch"
https://www.heise.de/news/Kerberos-Authentifizierung-Microsoft-repariert-Patch-mit-Notfall-Patch-7344159.html

2. Aktuelle Warnungen und Maßnahmen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html

 


Datenschutz - Nachrichten 45. Kalenderwoche 2022

.

IT-Sicherheit: Cyberangriffe frühzeitig erkennen
Betreiber kritischer Infrastrukturen (KRITIS) sowie Betreiber von Energieanlagen und Energieversorgungsnetzen sind in Deutschland ab Mai 2023 gesetzlich verpflichtet, ganzheitliche Systeme zur Angriffserkennung (SzA) nach dem geltenden Stand der Technik einzusetzen und dies gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachzuweisen.
Als Hilfestellung hat das Bundesamt für Sicherheit in der Informationstechnik dazu die "Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung" (pdf) veröffentlicht.
Sicherheitskritische Situationen können in jedem Unternehmen oder Behörden entstehen. Fast täglich berichten die Medien über Cyberattacken und andere IT-Vorfälle. Tritt ein IT-Sicherheitsvorfall ein, gilt es umgehend zu handeln. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor längerer Zeit dazu eine IT-Notfallkarte "Verhalten bei IT-Notfällen" veröffentlicht.
Das Hinweisschild soll Mitarbeitern Verhaltensweisen bei IT-Notfällen, sowie eine individuelle Notfall-Rufnummer als Unterstützung und raschem Handeln aufzeigen. Diese Informationen sollten auch den Mitarbeitern, die außerhalb des Unternehmens arbeiten zu Verfügung stehen. Weitere konkrete Handlungsempfehlungen mit Maßnahmen zur Verbesserung der IT-Sicherheit oder Hilfestellungen wie zum Beispiel: "Ich habe einen Vorfall – Was soll ich tun?", stellt das BSI auf seiner Homepage bereit.
Die unten aufgeführten Medienberichte über erfolgreiche IT-Angriffe zeigen: Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die betroffene Unternehmen selbst.
-ck-

Behörde seit dem Hackerangriff lahmgelegt
SWR online – "Kriminelle Bande meldet sich bei Behörde: Cyberattacke im Rhein-Pfalz-Kreis: Hacker stellen Daten ins Darknet"
https://www.swr.de/swraktuell/rheinland-pfalz/ludwigshafen/hackerangriff-rhein-pfalz-kreis-daten-im-netz-100.html

Auszüge der erbeuteten Daten stehen schon im Darknet
Frankfurter Allgemeine online – "Cyberkriminalität: Intime Gesundheitsdaten von Millionen Australiern gestohlen"
https://www.faz.net/aktuell/wirtschaft/australien-hacker-posten-daten-von-krankenversicherten-18447309.html?utm_source=newsshowcase&utm_medium=gnews&utm_campaign=CDAQg5L9pujJ1ONmGOax_Lnat9H2vQEqKggAIhD5ju8TbEdUDCNy48qFQfPaKhQICiIQ-Y7vE2xHVAwjcuPKhUHz2g&utm_content=rundown&gaa_at=g&gaa_n=ATKjfPHPTk8MYNRKkZkXEBBqge_CvhvcZiSxL_JMh2vrZEag5-osxVRWBjjPTVtBAtUjZM1nK7DsNA%3D%3D&gaa_ts=636bcb55&gaa_sig=jzGSyshc0nrFkRTbexksHRGzNY4XuSOhxoJDseYYI9HxfiSH4Vhfd9DEVcSxeslbwZK6Uljv2QkFVak-QeWo9A%3D%3D

Teilweise Einschränkungen im Zahlungsverkehr und Kundenservice
Heise online – "Energieversorger: Nach Hackerangriff auf Enercity Störungen beim Zahlungsverkehr"
https://www.heise.de/news/Energieversorger-Nach-Hackerangriff-auf-Enercity-Stoerungen-beim-Zahlungsverkehr-7333738.html

Ransomware: 40 TByte interne Daten werden bei Nichtzahlung veröffentlicht
NDR online – "Continental: Hacker erbeuten bei Cyberangriff viele Daten"
https://www.ndr.de/nachrichten/niedersachsen/hannover_weser-leinegebiet/Continental-Hacker-erbeuten-bei-Cyberangriff-viele-Daten,continental868.html

Sensible Mitarbeiterdaten veröffentlicht
PC-Magazin online - "Malware-Angriff: Ransomware-Angriff auf DPA: Daten im Darknet"
https://www.pc-magazin.de/news/ransomware-angriff-deutsche-presse-agentur-malware-attacke-dpa-3203978.html

Gestohlene Kundendaten
ZDF online – "300.000 Mail-Adressen betroffen: Hacker stehlen wohl Daten von Toyota-Kunden"
https://www.zdf.de/nachrichten/wirtschaft/toyota-hacker-kunden-daten-diebstahl-100.html

Erfolgreicher Phishing-Angriff
Der Standard online – "IT-Sicherheit: Cyberangriff: Institute of Science and Technology bestätigt Verschlüsselung von Daten"
https://www.derstandard.de/story/2000140637911/cyberangriff-institute-of-science-and-technology-bestaetigt-verschluesselung-von-daten

Rechtzeitige Prävention: Schutzvorkehrungen der IT-Systeme
BSI-Bund online – "Die „Digitale Rettungskette“ des Cyber-Sicherheitsnetzwerks (pdf)"
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CSN/210927_Digitale_Rettungskette.pdf?__blob=publicationFile&v=4

Maßnahmen rund um den IT-Sicherheitsvorfall
Allianz für Cybersicherheit online - "Erste Hilfe bei einem schweren IT- Sicherheitsvorfall (pdf) Arbeitspapier"
https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Erste-Hilfe-IT-Sicherheitsvorfall.pdf?__blob=publicationFile&v=1


Rechtmäßigkeit der Datenverarbeitung: Beweis per Fotoaufnahmen
Um eine Anzeige zu belegen, dürfen Fotos von falsch geparkten Autos an die Polizei geschickt werden, ohne deswegen Probleme wegen des Datenschutzes zu bekommen, das geht aus den veröffentlichten Grundsatzurteilen (VG Ansbach, Urteile vom 2. November 2022 - AN 14 K 22.00468 und AN 14 K 21.01431) des Verwaltungsgerichts Ansbach hervor.
Gegen die Entscheidungen des Verwaltungsgerichts kann Berufung eingelegt werden.
-ck-

Verwaltungsgericht Ansbach bestätigt rechtmäßige Datenverarbeitung
Beck-Aktuell online – "Bürger dürfen Falschparker für Anzeige fotografieren"
https://rsw.beck.de/aktuell/daily/meldung/detail/vg-ansbach-buerger-duerfen-falschparker-zum-anzeigen-fotografieren

Rechtmäßigkeit der Datenverarbeitung:Beweis mit Fotoaufnahmen
VGH-Bayern online – "Pressemitteilung: Verwaltungsgericht Ansbach gibt Klagen gegen Verwarnungen wegen Ablichtung von Falschparkern statt (pdf
https://www.vgh.bayern.de/media/vgansbach/presse/p-2022-07.pdf

Datenschutz und die Ablichtung von Falschparkern
LDA-Bayern online - "Pressemitteilung: BayLDA zu "Falschparker-Fotografen"- Entscheidung des VG Ansbach vom 03.11.2022
https://www.lda.bayern.de/media/pm/pm2022_06.pdf


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1, Warnung: Online-Banking-Trojaner IcedID sehr aktiv
PC-Tipp Sicherheit ch – "Bankentrojaner IcedID ist zurück"
https://www.pctipp.ch/news/sicherheit/bankentrojaner-icedid-zurueck-2813774.html

2. Updates dringend aufspielen: Schwachstellen werden bereits ausgenutzt
T-Online online - "Jetzt Update installieren: Windows durch kritische Sicherheitslücken gefährdet"
https://www.t-online.de/digital/internet-sicherheit/sicherheit/id_100077708/drei-kritische-windows-luecken-microsoft-bietet-jetzt-updates-an.html

3. Aktuelle Warnungen und Maßnahmen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html