Datenpannen und ihre Folgen
Meldungen über Datenpannen – das Spektrum ist weitreichen und weder Unternehmen oder Behörden sind davor gefeit. Datenschutz kann – wie die aktuelle Medienberichterstattung zeigt – erheblichen Einfluss auf das eigentliche Geschäftsfeld eines Unternehmens haben. Seit Mai 2018 kamen europaweit deutlich verschärfte Meldepflichten bei Datenpannen auf die Unternehmen zu: Die zuständige Datenschutzaufsichtsbehörde muss unverzüglich (möglichst binnen 72 Stunden) informiert und zum anderen auch die von der Datenpanne betroffenen Personen benachrichtigt werden. Wenn der Betroffenen-Kreis zu groß ist, muss zudem die Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme, über die Datenpanne unterrichtet werden. Jede Panne/Sicherheitsvorfall muss ausnahmslos, insbesondere ohne Abwägung von Risiken für den Betroffenen, dokumentiert werden.
Die unten aufgeführten Beispiele zeigen: Es lohnt sich, die DSGVO nicht als lästige Pflicht zu betrachten, sondern die Vorgaben zur Sicherheit der Verarbeitung personenbezogener Daten umzusetzen.
-ck-

Aufzählung bisheriger Datenpannen
IT-Business online - "Vermehrt Datenpannen – Meldungen in Rheinland-Pfalz"
Best of Datenschutz 2020: Gehackte Kundendaten und ein abgetrennter Kopf"
https://www.it-business.de/gehackte-kundendaten-und-ein-abgetrennter-kopf-a-961248/

Unbeabsichtigter Faxversand
Apotheke Adhoc online – "Kleine Datenpanne bei Alliance"
https://www.apotheke-adhoc.de/nachrichten/detail/apothekenpraxis/kleine-datenpanne-bei-alliance-grosshaendler-verschickt-kundendaten/

Versehentlicher Scheckversand?
N-TV online - "Amüsante Datenpanne: Trump schenkt Österreichern Corona-Schecks"
https://www.n-tv.de/panorama/Trump-schenkt-Osterreichern-Corona-Schecks-article22021427.html

Nutzerdaten entwendet
PC Welt online - "Warner Music: Hacker klauen Kreditkarten-Daten"
https://www.pcwelt.de/news/Warner-Music-Hacker-klauen-Kreditkarten-Daten-10877582.html


Handlungsanweisungen im Falle eines IT-Notfalls
Fast täglich berichten die Medien über Cyberattacken und andere IT-Vorfälle. Ob KMU oder Konzerne, Unternehmen aller Größen sind davon betroffen. Erfolgreiche Cyber-Attacken können immense Schäden anrichten, wenn die IT stillsteht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor längerer Zeit dazu eine IT-Notfallkarte "Verhalten bei IT-Notfällen" veröffentlicht. Das Hinweisschild soll Mitarbeitern Verhaltensweisen bei IT-Notfällen, sowie eine individuelle Notfall-Rufnummer als Unterstützung und raschem Handeln aufzeigen. Diese Informationen sollten auch den Mitarbeitern, die außerhalb des Unternehmens arbeiten zu Verfügung stehen. Angesichts der aktuellen Situation um das Corona – Virus, arbeiten viele Mitarbeiter zunehmend vom Home-Office aus und das hat auch Einfluss auf die Methoden der Cyberkriminellen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte dazu eine Checkliste mit realisierbaren IT-Sicherheitsmaßnahmen zum Schutz von Unternehmensdaten veröffentlicht.
-ck-

Anpassung der IT-Sicherheitsmaßnahmen an gegebenen Situationen
Bundesamt für Sicherheit in der Informationstechnik online – "Checkliste zur Sicherheit im Home-Office"
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Angebote/Checkliste-Home-Office/checkhomeoffice_node.html

Wichtige Verhaltenshinweise bei IT-Notfällen
Bundesamt für Sicherheit in der Informationstechnik online – "IT-Notfallkarte „Verhalten bei IT-Notfällen"
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Angebote/IT-Notfallkarte/IT-Notfallkarte/it-notfallkarte_node.html



Sicherheit für kritische Infrastrukturen
Bei Ausfall oder Beeinträchtigung von kritischen Infrastrukturen kann es im Extremfall zu erheblichen Störungen wie zum Beispiel zu Versorgungsengpässen, Zusammenbruch der öffentlichen Sicherheit und Ordnung, sowie andere dramatische Auswirkungen kommen. Mit dem IT-Sicherheitsgesetzt wurden unter anderem Betreiber sogenannter KRITIS (kritischer Infrastrukturen) verpflichtet, ein Mindestniveau an IT-Sicherheit einzuhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle zu melden. Anhand gemeinsamer Mindestanforderung an ihre Computersysteme sollen Behörden und Unternehmen das Risiko der Cyberangriffe senken, damit öffentliche Stellen und Bürger besser geschützt sind. Laut den IT- Lageberichten sind bisher Meldungen aus dem Sektor Informationstechnik und Telekommunikation, Energie, Wasser und aus dem Sektor Ernährung beim BSI eingegangen.
-ck-

Cyberattacke auf kritische Infrastruktur
Ärzteblatt online - "IT-Ausfall in Düsseldorfer Uniklinik – Ermittler eingeschaltet"
https://www.aerzteblatt.de/nachrichten/116423/IT-Ausfall-in-Duesseldorfer-Uniklinik-Ermittler-eingeschaltet

Erneute IT-Probleme
Heise online - "Schwerwiegende Computerprobleme an Berliner Gerichten"
https://www.heise.de/news/Schwerwiegende-Computerprobleme-an-Berliner-Gerichten-4889475.html

ZKG: Ermittlungsstrukturen weiter optimiert
Ärzteblatt online - "Bayern schafft Zentralstelle gegen Kriminalität im Gesundheitswesen"
https://www.aerzteblatt.de/nachrichten/116396/Bayern-schafft-Zentralstelle-gegen-Kriminalitaet-im-Gesundheitswesen


Datenschutzkonforme Videoüberwachung
Bei der Anbringung ihrer Videoüberwachungsanlagen vergessen viele Unternehmen und Privatpersonen die deutsche Rechtslage des allgemeinen Persönlichkeitsrechts. Dort wo nicht deutlich auf Videoüberwachung hingewiesen wird, unzulässige Videoüberwachungsanlagen Verwendung finden und Videoaufnahmen mit personenbezogenen Daten - Gesichter von Personen zu sehen sind - und der Videoüberwachung keine schlüssigen Konzepte zugrunde liegen, muss mit einem entsprechend hohen Bußgeld gerechnet werden. Die Datenschutzkonferenz (DSK) - Datenschutzaufsichtsbehörden des Bundes und der Länder - haben einen neuen Leitfaden zur datenschutzkonformen Verwendung von Videoüberwachungsanlagen herausgegeben.
-ck-

Videoüberwachung durch nicht-öffentliche Stellen
Datenschutz Praxis online - "Neue Orientierungshilfe zur Videoüberwachung"
https://www.datenschutz-praxis.de/fachnews/neue-orientierungshilfe-fuer-sichere-videoueberwachung/?newsletter=ds/i/datenschutz-praxis-aktuell/9100/2020/37/02091536/News_1&va=02091536&chorid=02091536&vkgrp=354


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Pass-the-Hash-Angriff
T3n online - "Windows 10: Hintergrundbilder ermöglichen Stehlen von Accountdaten"
https://t3n.de/news/windows-10-hintergrundbilder-1320582/

2. Lücke per Verschlüsselungstechnologien OpenPGP und S/MIME
Security – Insider online - "Sicherheitsrisiko für E-Mail-Verschlüsselung: IT-Sicherheitsexperten entdecken Schwachstellen in Mailto-Links"
https://www.security-insider.de/it-sicherheitsexperten-entdecken-schwachstellen-in-mailto-links-a-961518/

3. Gefälschte Websites greifen Zugangsdaten ab
Ruhr 24 online - "Aufgepasst beim Surfen im Internet: Amazon, Netflix und PayPal: Betrüger nutzen Fake-Websites zum Datendiebstahl"
https://www.ruhr24.de/service/phishing-netflix-amazon-website-paypal-mail-serien-filme-gefahr-warnung-kriminelle-daten-jetzt-13875519.html

− − − − − −
Liebe Leser unserer Datenschutznachrichten

Unser Redaktionsteam nimmt eine kurze Auszeit.
In der 40. Kalenderwoche gibt es unsere News in gewohnter Regelmäßigkeit und Qualität.
Wir bedanken uns für Ihr Verständnis und freuen uns darauf, Sie wieder bei uns begrüßen zu dürfen.
-ck-

− − − − −

Verstöße gegen das Datenschutzgesetz: Fehlversand von E-Mails
Arbeitnehmer werden im Umgang mit personenbezogenen Daten oft nicht sensibilisiert oder scheinen sich der Sensibilität der personenbezogenen Daten, mit denen sie täglich umgehen, nicht bewusst zu sein.
Wie die Medien berichteten, hat das Grazer Gesundheitsamt, durch unachtsames Handeln beim Mail –Versand, eine Datenpanne zu verzeichnen. Anhand eines bestätigten Covid-19 – Falles wurde eine Info-Mail mit dem Zweck der Selbstisolation an alle Besucher von der Gästeliste so versandt, dass jeder Empfänger den kompletten Verteiler, also die Namen, Mailadressen einsehen konnte. Diese Datenpanne wäre nicht entstanden, wenn die Adressdaten lediglich ins BCC-Feld (Blind Carbon Copy – Blindkopie), statt ins CC-Feld (Carbon Copy - Durchschlag/Kopie) eingetragen gewesen wären.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP), Professor Dieter Kugelmann, weist auf datenschutzkonforme Verwendung von Kontakt-Listen hin.
-ck-

"Pandemie braucht Datenschutz" fordert der Landesbeauftragte für den Datenschutz
RLP Datensicherheit online - "DSGVO: Immer mehr Datenpannen und Beschwerden"
https://www.datensicherheit.de/dsgvo-zunahme-datenpannen-beschwerden

Datenschutzpanne per Mail: Empfänger in CC und nicht per BCC versandt
OE24 at - "Tests für 222 Kontakte nach Corona-Fall in Grazer Club"
https://www.oe24.at/coronavirus/tests-fuer-222-kontakte-nach-corona-fall-in-grazer-club/444646501

Hochsensible Personaldaten per Mail verbreitet
Fuldaer Zeitung online - "Unruhe stiften oder Datenpanne? Jacob-da Rosa erhebt schwere Vorwürfe in Richtung Steinauer Stadtverwaltung"
https://www.fuldaerzeitung.de/kinzigtal/steinau-datenpanne-timo-jacob-da-rosa-buergermeisterkandidat-vorwurf-stadtverwaltung-90031637.html


Mitarbeiterdaten im Unternehmensverbund
Eine rechtskonforme Weitergabe von Mitarbeiterdaten im Unternehmensverbund ist häufig datenschutzrechtlich recht heikel. Als Hilfestellung zu diesem Thema hat vor Kurzem die Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD) eine 3. Auflage "Mitarbeiterdaten im Unternehmensverbund" veröffentlicht.
-ck-

Praxisbeispiele zur Datenweitergabe im Unternehmensverbund
GDD online – "GDD-Praxishilfe DS-GVO XVII: Mitarbeiterdaten im Unternehmensverbund"
https://www.gdd.de/downloads/praxishilfen/gdd-praxishilfe-17-mitarbeiterdaten-im-unternehmensverbund


Die unterschätzte Gefahr des Identitätsdiebstahls
Im Internet kursieren immer mehr falsche und betrügerische Job-Angebote. Die Dunkelziffer ist hoch, Betrugsversuche werden nur selten angezeigt und falls doch, sind die Cyber-Täter so gut wie nicht zu greifen da diese oft im Ausland sitzen. Um an die personenbezogenen Daten und das Geld der Arbeits-Suchenden ranzukommen, werden mithilfe von gefälschten Stellenanzeigen in Internet-Börsen oder per E-Mail-Versand Arbeit angeboten. Solche Fake-Anzeigen werden auch mit bekannten Adressen von internationalen Unternehmen versehen.
Momentan warnen Verbraucherzentralen vor gefälschte Stellenanzeigen, in dem die Bewerber im Rahmen einer Video-Legitimation während eines Bewerbungsverfahren dazu aufgefordert werden, sich zu identifizieren. Für die Identitätsüberprüfung verlangen die Kriminellen: Den Personalausweis und ein Foto von sich mit dem Ausweis in die Kamera zu halten und Fragen zu beantworten. In einem zweiten Schritt wird per Video-Ident-Verfahren bei einer angegebenen Bank ein Konto eröffnet. Versichert wird den Bewerben, dass das eröffnete Konto nur zur Feststellung ihrer Identität diene. Ab diesen Moment ist der Missbrauch von Bankkonto und Identität durch die Kriminellen Tür und Tor geöffnet.
Für Opfer und betroffene Unternehmen ist ein Identitätsdiebstahl nicht nur Zeit – Kostenaufwendig, sondern auch Rufschädigend. Behörden, Unternehmen und weitere Organisationen, die ihren Kunden Online-Dienste zur Verfügung stellen, sollten die Identität ihrer Kunden schützen um auch das Grundvertrauen der Kunden zu erhöhen. Doch immer noch besteht dringender Handlungsbedarf für die Einführung geeigneter Schutzmaßnahmen. Hier ist auch der Gesetzgeber gefragt um diese Lücke zu schließen.
-ck-

Warnung vor Betrugsmasche: Bewerbungsgespräch per Video-Ident-Verfahren
LOZ News online - "Datenklau mit falschen Jobangeboten – Vorsicht mit Ausweisfotos und Ident-Verfahren"
https://www.loz-news.de/themenseiten/verbraucher/7585-datenklau-mit-falschen-jobangeboten-vorsicht-mit-ausweisfotos-und-ident-verfahren

Datenmissbrauch anhand Bewerberdaten
RTL online - "Bewerber werden zum Sündenbock für Betrüger: Identitäts-Klau mit Fake Jobs: Von diesen Stellenangeboten sollten Sie die Finger lassen!"
https://www.rtl.de/cms/identitaetsdiebstahl-mit-fake-jobs-von-diesen-stellenangeboten-sollten-sie-die-finger-lassen-4599414.html

Identitätsklau: Unterschätzte Bedrohung
Verbraucherzentrale Schleswig – "Holstein online - Welche Folgen Identitätsdiebstahl im Internet haben kann"
https://www.verbraucherzentrale.sh/wissen/digitale-welt/datenschutz/welche-folgen-identitaetsdiebstahl-im-internet-haben-kann-17750

Cloud – Nutzung: Hochsensible Gesundheitsdaten von verschiedene Gesundheitseinrichtungen entdeckt
Datensicherheit online - "Entwicklerfehler: Medizinische Daten aus der Cloud auf GitHub durchgesickert"
https://www.datensicherheit.de/entwicklerfehler-medizin-daten-cloud-github-leak

Briefdiebstahl aus Briefkästen der Post: Postumleitung mit Daten der Geschädigten
Grenzecho net - "Lokale Polizei warnt: Betrüger fischen Daten aus Briefkästen der Post"
https://www.grenzecho.net/41124/artikel/2020-08-31/lokale-polizei-warnt-betruger-fischen-daten-aus-briefkasten-der-post


Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Sicherheitsrisiko: Veraltete Hardware
Focus online – "Hardware Support-Aus für Fritz Boxen droht: Welche Router bald betroffen sind"
https://www.focus.de/digital/internet/alte-hardware-support-aus-fuer-einige-fritzboxen-droht-welche-modelle-betroffen-sind_id_12316255.html

2. Smartphones sammeln massenhaft geografische Daten
Computerworld ch - "NSA warnt vor Geodaten und gibt Tipps"
https://www.computerworld.ch/security/privatsphaere/nsa-warnt-geodaten-tipps-2569385.html

3. Sicherheit und Datenschutz im Browser richtig einstellen
Chip online - "Privatsphäre im Netz schützen: So hilft Firefox beim sicheren Surfen"
https://www.chip.de/news/Mehr-Sicherheit-fuer-Surfdaten-mit-Firefox-Privatsphaere-schuetzen_175618619.html