Hilfestellung zur Umsetzung der Datenschutzvorschriften
Unlängst haben mehrere Aufsichtsbehörden gemeinsam ein Dokument mit Handlungsempfehlungen für Microsoft 365 erstellt: "Handreichung für die Verantwortlichen zum Abschluss einer Auftragsverarbeitungsvereinbarung gem. Art. 28 Abs. 3 DSGVO mit Microsoft für den Einsatz von "Microsoft 365".
Der Anlass war eine Vertragsvereinbarung, die anhand der Expertenbewertung nicht der Datenschutz-Grundverordnung (DSGVO) entsprach. Denn schon im vergangenen Jahr hatte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) bemängelt, dass die DPA den Anforderungen des Art. 28 Abs.3 der DSGVO nicht entspricht. Die verantwortlichen Stellen sind nun aufgefordert, eine Vertragsanpassung vorzunehmen.
-ck-

Aufsichtsbehörden veröffentlichen Handreichung zur datenschutzrechtlichen Anforderungen für MS 365
Heise online - "Microsoft 365: Datenschützer geben Tipps zu potenziell rechtskonformem Einsatz"
https://www.heise.de/news/Microsoft-365-Datenschuetzer-geben-Tipps-zu-potenziell-rechtskonformem-Einsatz-9314802.html

Pressemitteilung des LfD Niedersachsen: Handreichung Microsoft 365 
Der Landesbeauftragte für den Datenschutz Niedersachsen online - "Einsatz von Microsoft 365: Praxis-Tipps für Verträge mit Microsoft"
https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/einsatz-von-microsoft-365-praxis-tipps-fur-vertrage-mit-microsoft-225722.html


Bedrohungen durch massive Cyber-Angriffe
Gezielte Angriffe auf Computersysteme haben in den letzten Jahren an Häufigkeit und Intensität deutlich zugenommen. In den letzten 12 Monaten mussten 60 % der befragten Unternehmen aktiv auf einen Angriff reagieren, so ein Cyberangriff Report.
Erfolgreiche Angriffe auf IT-Systeme führen nicht nur zu einem herben Datenverlust führen können, sondern auch zu einem wirtschaftlichen Stillstand führen können. Viel schlimmer als der kurzfristige monetäre Schaden, sind jedoch die negativen Schlagzeilen, die Unternehmen und deren Marken dauerhaft schaden können. Um das Bewusstsein für Cyberrisiken zu stärken, gehört die professionelle und nachhaltige Mitarbeiter-Sensibilisierung, durch ihren Datenschutzbeauftragten, zu den unverzichtbaren Präventionsmaßnahmen in jedem Unternehmen.
-ck-

Produktion lahmgelegt: Wirtschaftlicher Schaden für Unternehmen
In Franken online – "Suche nach Ursache: War es ein Hacker-Angriff? Chaos bei VW - IT-Störung legt Produktion lahm"
https://www.infranken.de/deutschland/war-es-ein-hacker-angriff-chaos-bei-vw-it-stoerung-legt-produktion-lahm-art-5772877

Hackergruppe stellt Konzern Ultimatum
TZ online – "Sony gehackt: Kollektiv klaut etliche Daten – Sony will nicht zahlen"
https://www.tz.de/leben/games/nicht-zahlen-sony-gehackt-kollektiv-klaut-etliche-daten-sony-will-zr-92543951.html

Kunden mehrerer Finanzinstitute betroffen: Vollständige Kundennamen und IBANs im Darknet veröffentlicht
Handelsblatt online – "Hackerangriff: Datenleck trifft mehr Kunden von ING und Deutscher Bank als bislang bekannt"
https://www.handelsblatt.com/finanzen/banken-versicherungen/banken/hackerangriff-datenleck-trifft-mehr-kunden-von-ing-und-deutscher-bank-als-bislang-bekannt/29414894.html

PR-Agentur Opfer eines Hacker-Angriffs
Future Zone at – "Hackerangriff auf österreichische Agentur ikp: Kundendaten gestohlen"
https://futurezone.at/digital-life/hacker-angriff-agentur-ikp-kundendaten-phishing-gestohlen/402604610

Gefälschte Nachrichten mit Standard-Abrechnungsköder
ZDNET online – "Neue Ransomware-Kampagne nimmt deutsche Unternehmen ins Visier"
https://www.zdnet.de/88412014/neue-ransomware-kampagne-nimmt-deutsche-unternehmen-ins-visier/

Krisenmanagement Übung: Fiktive Angreifer und die Bewältigung im Krisenfall
WDR online – "Cyber-Angriffe: Wie Bund und Länder die Katastrophe üben"
https://www1.wdr.de/nachrichten/rheinland/cyber-sicherheit-katastrophe-100.html



Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Zahlreiche Anwendungen haben noch kein Sicherheitsupdate
PC-Welt online – "Höchste Alarmstufe: Sicherheitslücke betrifft Anwendungen wie Telegram und 1Password"
https://www.pcwelt.de/article/2083146/hochste-alarmstufe-sicherheitslucke-betrifft-anwendungen-wie-telegram-und-1password.html

2. Nach Update funktioniert Plug-in GPG Mail nicht: Mac-Nutzer sollten vorerst nicht auf macOS 14 Sonoma aktualisieren
Heise online – "PGP-verschlüsselte E-Mails mit macOS 14: GPGTools warnt vor schnellem Upgrade"
https://www.heise.de/news/PGP-verschluesselte-E-Mails-mit-macOS-14-GPGTools-warnt-vor-schnellem-Upgrade-9318030.html

3. Aktuelle Hinweise und Warnungen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html#ANKERtabelle

Der neuer Landesbeauftragte für Niedersachsen wurde offiziell ernannt
Die Amtszeit als niedersächsische Landesbeauftragte von Barbara Thiel endete nach achteinhalb Jahre Ende Juni 2023. Nach ihrem Ausscheiden hat ihr Stellvertreter Dr. Christoph Lahmann die Behörde geleitet. Der Nachfolger der ausgeschiedenen Amtsinhaberin Barbara Thiels stand schon im Mai fest: Der Jurist Denis Lehmkemper.
Laut Medienberichten verfügt der Volljurist Denis Lehmkemper über die erforderlichen datenschutzrechtlichen Kenntnisse aufgrund seiner langjährigen Tätigkeit in der Landesverwaltung. In der vergangenen Woche wurde er zum neuen Landesbeauftragten für den Datenschutz (LfD) in Niedersachsen ernannt.
-ck-

Niedersächsische Landesregierung ernennt offiziell neuen Landesbeauftragten für den Datenschutz (LfD)
Niedersachsen online – "Denis Lehmkemper zum neuen Landesbeauftragten für den Datenschutz ernannt
https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/denis-lehmkemper-zum-neuen-landesbeauftragten-fur-den-datenschutz-ernannt-225537.html

Ärger über die LfD-Nachfolge in Niedersachsen
lto online – "OVG beendet Personalgerangel in Niedersachsen: Langjährige Datenschutzbeauftragte bekommt keine zweite Chance"
https://www.lto.de/recht/hintergruende/h/datenschutzbeauftragter-niedersachsen-ovg-5me5523-barbara-thiel-denis-lehmkemper/


Datenschutz-Aufsichtsbehörden verhängen Sanktionen
Seit Einführung der anwendungspflichtigen DSGVO, hat sich die Liste aller Bußgelder und Sanktionen, die an Unternehmen von den Datenschutzbehörden innerhalb der EU im Rahmen der allgemeinen Datenschutzverordnung der EU (GDPR, DSGVO) verhängt wurden, stetig erweitert. Die unten aufgeführten Medienberichte über Datenpannen und Sanktionen zeigen: Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die betroffenen Unternehmen selbst.
-ck-

Berliner Datenschutzbeauftragte verhängt Bußgeld für vier verschiedene Fälle in Höhe von 215.000 €
Bund-Verlag online – "Beschäftigtendatenschutz: Sechsstelliges Bußgeld für „Schwarze Liste“ von Probezeit-Beschäftigten"
https://www.bund-verlag.de/betriebsrat/aktuellesbr~Sechsstelliges-Bussgeld-fuer-Schwarze-Liste-von-Probezeit-Beschaeftigten~.html

Datenschutzsanktionen: Datenschutzverstöße innerhalb von 3 Monaten korrigieren und 345 Millionen Euro Bußgeld
Netzpolitik org – "Millionenstrafe gegen TikTok: Irische Datenschutzbehörde kann auch anders"
https://netzpolitik.org/2023/millionenstrafe-gegen-tiktok-irische-datenschutzbehoerde-kann-auch-anders/

Auflistung der verhängten DSGVO-Bußgelder
DSGVO-Portal online – "Geldbußen für DSGVO-Verstöße und für Verletzungen anderer Datenschutzgesetze"
https://www.dsgvo-portal.de/bussgelder/dsgvo-bussgeld-gegen-google-llc-2023-09-17-US-3174.php

Datenschutzabkommen zwischen der EU und den USA
Der Europäische Gerichtshof (EuGH) hat das Datenschutzabkommen Trans-Atlantic Data Privacy Framework im Juli 2023 verabschiedet. Es löst das Vorgängerabkommen "Privacy Shield" ab, das im Sommer 2020 aufgrund von Spähvorwürfen gekippt wurde. Dies hatte zur Folge, dass alle darauf basierenden Datentransfers mit den USA und der EU die rechtliche Voraussetzungen entzogen wurde. Die in Kraft getretene EU-US-Datenschutzrichtlinie soll einen sicheren Datentransfer zwischen Unternehmen auf beiden Seiten des Atlantiks gewährleisten und wirtschaftliche Chancen eröffnen.
Der Bayerische Landesbeauftragte für den Datenschutz, Prof. Dr. Thomas Petri, hatte zu dem Thema eine umfassende Orientierungshilfe (pdf) mit wichtigen Informationen über den Datentransfer in andere Länder veröffentlicht.
In einem weiterem Beitrag (pdf) werden die Eckpunkte des Angemessenheitsbeschlusses erläutert und aufgezeigt, welche Auswirkungen dieser für den bayerischen öffentlichen Dienst bedeutet.
-ck-

Erläuterung der Eckpunkte - Schutzniveau für personenbezogene Daten
Datenschutz-Bayern online – "Aktuelle Kurz-Information 51: Erste Hilfe zum Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework"
https://www.datenschutz-bayern.de/datenschutzreform2018/aki51.html#fuss4

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit
Datenschutz online – "Anwendungshinweise der DSK zum Angemessenheitsbeschluss des EU-U.S. Data Privacy Framework – Der TLfDI weicht vom Votum der DSK ab und nimmt Stellung!"
https://www.datenschutz.de/anwendungshinweise-der-dsk-zum-angemessenheitsbeschluss-des-eu-u-s-data-privacy-framework-der-tlfdi-weicht-vom-votum-der-dsk-ab-und-nimmt-stellung/

Anwendungshinweise zur EU‐US Data Privacy Framework (pdf)
Datenschutz Bayern online – "Anwendungshinweise der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 4. September 2023"
https://www.datenschutz-bayern.de/dsbk-ent/DSK_Z002-EU-US-DPF.pdf


Verletzung des Schutzes personenbezogener Daten
Die Konsequenzen von Datenverlusten sind nicht nur für Kunden und Geschäftspartner, sondern auch für die Unternehmen selbst verheerend. Die unten aufgeführten Medienberichte zeigen, dass große und auch kleine Unternehmen immer wieder mit dem Problem konfrontiert sind, vertrauliche interne Dokumente, wie zum Beispiel sensible Gesundheitsdaten, personenbezogene Kundendaten, nicht an die Öffentlichkeit gelangen. Der beste Schutz sensibler Unternehmensdaten besteht darin, bei den Mitarbeitern und dem Management ein entsprechendes Sicherheitsbewusstsein zu wecken und mit qualifizierten IT-Fachkräften und professionellen Datenschutzbeauftragten zusammenzuarbeiten.
-ck-

KI Forschungsabteilung: Panne anhand falsch konfigurierter URL
Die Presse com - "Datenpanne bei Microsoft: 38 Terabyte an Daten öffentlich im Netz"
https://www.diepresse.com/17140339/datenpanne-bei-microsoft-38-terabyte-an-daten-oeffentlich-im-netz

Immense Datenpanne: Brisante Daten von Beamte und Beschäftigte der Polizei veröffentlicht
Heise online – "Nach verheerender Datenpanne: Nordirlands Polizeichef zurückgetreten"
https://www.heise.de/news/Nach-verheerender-Datenpanne-Nordirlands-Polizeichef-zurueckgetreten-9295007.html

Datenpanne verhindert
Deutsche-Apotheker-Zeitung online – "apotheken.de schließt Sicherheitslücke"
https://www.deutsche-apotheker-zeitung.de/news/artikel/2023/09/12/apotheken-de-schliesst-sicherheitsluecke

Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Angriffe auf Apple Betriebssysteme: Wichtige Sicherheitsupdates veröffentlicht
Heise online – "Neuer Exploit: Apple aktualisiert wichtigste Betriebssysteme –auch iOS 17"
https://www.heise.de/news/Neuer-Exploit-Apple-aktualisiert-wichtigste-Betriebssysteme-auch-iOS-17-9313400.html

2. XSS-Lücke: Einfallstor individuell angelegte Firmenlogos
Heise Security online – "Alert! - Sicherheitsupdate: Passwort-Lücke bedroht Nagios XI"
https://www.heise.de/news/Sicherheitsupdate-Passwort-Luecke-bedroht-Nagios-XI-9312331.html

3. Hinweise und Warnungen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html#ANKERtabelle