secopan Newsletter


Erhalten Sie hier einen Einblick in das secopan gmbh Newsletter Archiv.

Abmahnung wegen Einbindung von Google Fonts
Abmahnung wegen Einbindung von Google Fonts

Webseitenbetreiber werden gegenwärtig wegen der Nutzung von Google Fonts abgemahnt. Die Betreiber erhalten eine Zahlungsaufforderung über ca. 100 € wegen Verstoßes gegen die DSGVO. Erfahren sie was dahinter steckt und wie sie sich wehren können. Tausende Empfänger staunen momentan nicht schlecht, nachdem sie ein Forderungsschreiben im Briefkasten oder E-Mail-Postfach vorfinden. Für das Einbinden von kostenlosen Google Fonts auf der eigenen Website, sollen die Betreiber 100 bis knapp 500 Euro aufbringen. In den Abmahnungen werden den Betreibern „unzulässige Eingriffe in das allgemeine Persönlichkeitsrecht“ sowie ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) vorgeworfen. Das Vergehen: Einbinden von Fonts, welche Google kostenlos anbietet. Die Schriftarten werden auf der eigenen Website über Google direkt eingebunden. Dadurch werden die Fonts beim Besucher von den Servern des US-Konzerns geladen. Und genau das ist ein Problem.

Gerichtsurteil aus München

Im Januar 2022 hat das Landgericht München die Onlinenutzung von Google Webfonts mit der Begründung verboten, dass dabei unerlaubt personenbezogene Daten an Google in die USA weitergegeben werden. Diese Entscheidung bildet seitdem die Grundlage für die versandten Abmahnungen und Forderungsschreiben. Die bei der Nutzung übermittelten dynamischen IP-Adressen, fallen in den Schutzbereich des Datenschutzes, so die Münchener Richter. Der Seitenbetreiber habe das Recht des Klägers auf informationelle Selbstbestimmung verletzt. Für die Weitergabe der dynamischen IP-Adresse des Besuchers an Google, habe es keine Rechtsgrundlage in Form einer Einwilligung oder ein berechtigtes Interesse gegeben. Dem Kläger stehe demnach ein Unterlassungsanspruch zu. Weiter sprach das Landgericht München dem Besucher der Website einen Schadenersatzanspruch in Höhe von 100 Euro zu. Dieser Anspruch kann sich aus Artikel 82 der DSGVO ergeben und steht jeder Person zu, "der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist". Umstritten ist dabei aber, welche Intensität ein solcher Eingriff haben muss, um ein Schmerzensgeld auszulösen. In der Diskussion unter Juristen wird die Entscheidung als überzogen kritisiert.

"Individuelles Unwohlsein"

Ein „individuelles Unwohlsein“ sowie ein „Kontrollverlust“, durch die Übermittlung an Google, sahen die Richter in dem vorliegenden Fall vorliegen. Google sei bekannt dafür, Daten über seine Nutzer zu sammeln. Zudem sei es unstrittig, dass die dynamische IP-Adresse an einen Server in den USA übermittelt wurde. Dort herrsche kein angemessenes Datenschutzniveau. Diese Begründung machen sich momentan die Schreiber der Briefe zu eigen. Man habe die Website des Empfängers besucht und dieser verwende die Onlineversion der Google Fonts. Das dadurch verursachte „individuelle Unwohlsein“ solle mit einer Zahlung von 100 Euro an den Versender beglichen werden. Komplizierter wird es nun aber, wenn ein solches Schreiben vom Anwalt kommt. Juristen vergangener Abmahnwellen haben offenbar ein neues Tätigkeitsfeld gefunden. So fordern sie in dem Schreiben nicht nur eine Begleichung des Schadens ihres Mandanten, sondern auch eine Unterlassungserklärung für die Nutzung der Google Fonts. Die Anwaltsgebühren beziffern sich dabei auf knappe 370,00 Euro.

Was kann getan werden?

Es handelt sich hierbei keinesfalls um „sichere Fälle“ für die Abmahner. Denn es gibt eine ganze Reihe von potenziellen Einwendungen gegen diese Abmahnungen. Einiges spricht dafür, dass diese Schreiben rechtsmissbräuchlich sind, da die angeblich Betroffenen die Website vorsätzlich angesteuert haben dürften. Trotzdem sollten zumindest juristische Laien in diesen Fällen vorsichtshalber einen IT-Anwalt zu Rate ziehen. Als kleineres Risiko anzusehen, ist die Abwehr von Aufforderungsschreiben, welche nicht von einem Anwalt verfasst wurden. Denn nach derzeitigem Stand ist es eher unwahrscheinlich, dass die Mehrheit der Gerichte den Ansichten des LG München hinsichtlich der Zahlung einer Geldentschädigung folgen. Es spricht daher einiges dafür, dass man derartige Schreiben ignorieren darf.

Google Fonts lokal einbinden

Sicherheitshalber sollten die Webseitenbetreiber die Schriften lokal auf dem eigenen Server einbinden. Dazu können die verschiedenen Schriftarten von Google heruntergeladen und dann lokal auf dem Server eingebunden werden. Somit wird eine Abfrage von Google unterbunden und die Schriften können weiterhin auf der Website verwendet werden.

Follina zero-click-Schwachstelle bei Microsoft Office

Der Sommer beginnt dieses Jahr mit gleich zwei relevanten Themen:

Follina zero-click-Schwachstelle bei Microsoft Office

Am 30.05.2022 veröffentlichte Microsoft Details und Mitigationsmaßnahmen zu einer Schwachstelle in Microsofts Support Diagnostic Tool (MSDT) über das Microsoft Security Response Center (siehe [MIC2022a]).

Die Schwachstelle kann mithilfe einer präparierten Word-Datei ausgenutzt werden, wodurch Angreifende womöglich in die Lage versetzt werden, auf Basis der im Dokumentenverarbeitungsprogramm enthaltenen Remote Template-Funktion den Download einer HTML-Datei aus dem Internet anzustoßen. Dies kann zur weiteren Ausführung von PowerShell-Code missbraucht werden, wodurch Angreifende Programme installieren, Daten anzeigen, ändern oder löschen könnten.

Betroffen sind nach bisher gesichteten Medienberichten:
• Office 2013, 2016, 2019, 2021,
• Office Pro Plus und
• Office 365

Sehr problematisch ist dabei das rich Text Format (.rtf). Bei derartigen Dateien wird der Schadcode bereits ausgeführt, wenn man die Datei herunterlädt und im Datei-System auswählt. Hier reicht das Laden der Preview (Vorschau) zum Ausführen des Schadcodes. Bis zum Patch sollten diese Dateien idealerweise vom Spamfilter des E-Mail-Programms geblockt werden.

Betroffen sind die folgenden Dateitypen: .docx, .pptx, .xlsx, aber auch die älteren Formate: .doc, .xls, .ppt. Bei regulären Word-Dateien wird der Schadcode auch dann ausgeführt, wenn Macros deaktiviert sind. Sofern Ihr System also bereits entsprechende Dateien erkennt und blockiert (z.B. .docm), bietet dies leider keinen Schutz.

Aus diesem Grund sollten alle Nutzer darauf hingewiesen werden, Word-Dokumente aus nicht vertrauenswürdigen Quellen bis zum Patch vorerst nicht zu öffnen.

Ansonsten gibt es einen vorläufigen Workaround, der aber gewisse Funktionalitäten von Office ebenfalls beeinträchtigt. Das BSI empfiehlt dringend, bis zur Bereitstellung eines Patches durch den Hersteller, die Umsetzung der genannten Workarounds zu prüfen.

Microsoft rät in seinem Blogbeitrag dazu, den MSDT-URL-Protokollhandler zu deaktivieren (siehe [MIC2022a]). Hiermit gehen jedoch auch Beeinträchtigungen der Problemlösungskomponente einher. Die Deaktivierung des MSDT-URL-Protokollhandlers kann von Ihrer IT/Administration in drei Schritten vorgenommen werden:

1. Eingabeaufforderung als Administrator ausführen.

2. Optional: Durch Eingabe von reg export HKEY_CLASSES_ROOT\ms-msdt kann der aktuelle Registry-Key für ein späteres Wiederherstellen der Ursprungskonfiguration in gespeichert werden.

3. Abschließend durch Eingabe von reg delete HKEY_CLASSES_ROOT\ms-msdt /f den entsprechenden Registry-Key löschen.

Links
[MIC2022a] Guidance for CVE-2022-30190 Microsoft Support Diagnostic Tool Vulnerabilityhttps://msrc-blog.microsoft.com/2022/05/30/guidance-for-cve-2022-30190-microsoft-support-diagnostic-tool-vulnerability/
[MIC2022b] Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerabilityhttps://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-30190


Der Einsatz von Google Analytics ist aktuell rechtswidrig

Derzeit besteht beim Einsatz von Google Analytics ein Compliance-Problem. Aufgrund des Transfers der Daten in die USA ist der Einsatz nicht rechtskonform möglich. In Deutschland gibt es hierzu jedoch bisher noch keinen bekannten Fall, in dem ein Bußgeld verhängt wurde. Sollte dies passieren, würden wir hierauf mit einem weiteren Newsletter zeitnah hinweisen. Die Nutzung des Dienstes können wir auf dieser Basis derzeit nicht empfehlen. Es steht jedoch im Ermessen Ihres Unternehmens das bestehende Compliance-Risiko zu akzeptieren, wenn der Nutzen das Risiko überwiegen sollte. 

Was passiert beim Einsatz von Google Analytics (GA)?

GA ermöglicht verschiedene Analysen zu Nutzerverhalten auf Webseiten (etwa Verweildauer und Interaktion), sowie zum Nutzer selbst (u.a. geographische Informationen, Browser). Dafür werden spezifische Nutzerdaten über einen Trackingcode im Quellcode der Webseite und durch die Platzierung von Cookies im Endgerät des Nutzers selbst gesammelt.

Die Verarbeitung dieser Informationen führt abhängig vom Personenbezug (der Fähigkeit die Informationen einer Person zuzuordnen) zu verschiedenen Anforderungen der DSGVO.

Rechtsgrundlage:

Seit der Einführung des TTDSG ist bereits für die Verwendung des Cookies eine Einwilligung erforderlich. Da es sich ebenfalls um eine Verarbeitung von personenbezogenen Daten handelt und weder ein Vertrag noch berechtigte Interessen des Webseitenbetreibers vorliegen, bleibt auch hierfür derzeit nur die Einwilligung.

Die Einwilligung kann mit einem Cookie-Banner problemlos abgerufen werden.

Transparenz:

Sofern der Dienst eingesetzt wird, hat der Webseitenbetreiber in der Datenschutzerklärung der Webseite hierüber Auskunft zu erteilen. Da die Datenverarbeitung im Drittland stattfindet ist auch dies Transparent darzustellen.

Die Datenschutzerklärung sollte daher aktuell sein.

Drittlandtransfer: (Das eigentliche Problem)

Neben der grundsätzlich problematischen intransparenten Datensammlung durch Google (Möglichkeit des Profiling) besteht das eigentliche Kernproblem solcher Fälle in der Datenübermittlung in die USA. Hierbei müssen aufgrund dieses Datentransfers weitere Anforderungen der DSGVO erfüllt werden. Weil die Daten der europäischen Nutzer in den USA dem potentiell rechtswidrigen Zugriff durch US-Behörden unterliegen, ist die Übermittlung dorthin nach dem Schrems-II-Urteil des EuGH aus dem Jahr 2020 praktisch nicht rechtssicher möglich. Unter Berufung auf diese Rechtsprechung hat die Datenschutzorganisation nyob in nahezu jedem Mitgliedsstaat Beschwerde bei den zuständigen Datenschutzbehörden gegen GA eingereicht. Infolgedessen hat die Datenschutzbehörde Österreichs (DSB) im Dezember 2021 die Nutzung von GA für rechtswidrig erklärt. Da die Beschwerde aufgrund einer DSGVO-Verletzung entschieden wurde und auch bei deutschen Datenschutzbehörden entsprechende Verfahren angestoßen wurden, ist alsbald mit einer ähnlichen Entscheidung für die Bundesrepublik zu rechnen. Die Nutzung der GA-Dienste könnte damit rechtswidrig sein und Bußgelder nach sich ziehen.

Vereinfacht: Derzeit reicht der bloße Abschluss der Standard-Vertragsklauseln mit Google nicht für die „rechtssichere“ Übertragung der Daten. Auch dann nicht, wenn man das vom EUGH seit Schremms II geforderte „Transfer-Impact-Assessment“ (Eine Risikobewertung für die Rechte der Betroffenen im jeweiligen Drittland) zusätzlich durchführt.

Es bleibt derzeit nur eine Option: Die Möglichkeit einer übermittlungsbezogenen Einwilligung nach Art. 49 I lit. a) DSGVO. So könnte die Übermittlung ausnahmsweise und im konkreten Einzelfall zulässig sein, wenn der Nutzer umfassend und ausdrücklich über die bestehenden Risiken informiert wurde. Werden die Einwilligungstexte im Cookie-Banner daher konkret für den Fall von Google Analytics angepasst, wäre zumindest dies eine Möglichkeit. Dies ist aber nur ein Ausnahmetatbestand für einzelne Datenübertragungen und nicht für den Fall der regulären Abfrage im Rahmen von Cookie-Bannern gedacht. Es steht daher zu erwarten, dass auch dieser Weg nicht „rechtssicher“ im Sinne der DSGVO (nach Auffassung der Aufsichtsbehörden) ist. Ebenfalls besteht hier sehr viel Spielraum um über die „Informiertheit des Nutzers“ nach der Bestätigung des Cookie-Banners zu streiten.

Am Ende stellt der Einsatz von Google Analytics derzeit ein Compliance Problem dar. Selbst wenn man die Einwilligungslösung auf den Drittlandtransfer ausweitet, besteht keine abschließende Rechtssicherheit. Bisher wurden für den konkreten Sachverhalt in Deutschland aber noch keine Bußgelder verhängt. Hieraus lässt sich trotzdem keine Garantie für die Zukunft ableiten.

Sofern statistische Analysen über die Webseitennutzung weiterhin für das Unternehmen erforderlich sind, sollten DSGVO-konforme Alternativen (z.B. Matomo) vorgezogen werden.

Langfristig könnte dieses Problem nur behoben werden, wenn die EU ein neues Privacy-Shield-Abkommen mit den USA abschließt. Hierbei müsste das Abkommen den Betroffenen dann auch durchsetzbare Rechte in den USA einräumen. Ein solches Abkommen ist geplant, jedoch kann man über den Stand derzeit noch keine Aussagen treffen. Wir halten Sie hierzu mit unserem Newsletter auf dem Laufenden.

Soll auf Google Analytics zwischenzeitlich nicht verzichtet werden, bleibt nur die Akzeptanz des Compliance Risikos. Hier wäre dann auch noch eine Neubewertung angezeigt, sobald in Deutschland ein erstes Bußgeld wegen der Verwendung von Google Analytics verhängt wird.

Sonstige technische Punkte:

Bei dem Einsatz von GA sollten mindestens die Hinweise von der DSK (Zusammenschluss Datenschutzbeauftragten von Bund und Land) beachtet werden. Diese sind im verlinkten PDF von 2020 abrufbar.

https://www.datenschutzkonferenz-online.de/media/dskb/20200526_beschluss_hinweise_zum_einsatz_von_google_analytics.pdf

Die DSK gibt hier Auskunft darüber, auf welche Weise Google Analytics konfiguriert werden sollte. Da sich die Rechtslage seit 2021 um die Drittlandsproblematik erweitert hat, bestehen die benannten Probleme trotzdem. Die Beachtung des Hinweises ist also der Mindeststandard, um ein etwaiges Bußgeld nicht noch weiter zu verschärfen. 

Hackergruppe greift Costa Rica und Peru an.
Hackergruppe greift Costa Rica und Peru an.

Regierung erklärt den nationalen Notstand, nach der Ransomware-Attacke.

Die Ransomware-Bande Conti hat Costa Rica schwer getroffen. Die USA setzen ein Kopfgeld in Höhe von bis zu 15 Millionen US-Dollar auf die „Cyberterroristen“ aus.

Die Cyberattacke legte neben dem Finanzministerium und mehreren anderen Behörden auch die Zoll- und Steuerplattformen des Landes lahm und brachte sogar den Energieversorger der Stadt Cartago zum Erliegen.

Gemäss der Leak-Site der Ransomware-Gruppe im Darknet wurden dort bereits über 97 Prozent von insgesamt 672 Gigabyte (GB) gestohlener Daten veröffentlicht.

Auch Peru betroffen

Seit Montag ist auf der Leak-Seite auch eine Regierungsorganisation aus Peru als Opfer aufgeführt. Die Hacker versuchen die Betroffenen einzuschüchtern und zur Bezahlung von Lösegeld zu bringen. In fast allen staatlichen Institutionen sollen Hintertüren („Backdoors“) installiert worden sein, so die Kriminellen.
Die Täter haben es laut eigener Aussage nur auf das Geld abgesehen und es stecke kein Angriff eines anderen Staates dahinter.

In Zukunft werde man "definitiv Angriffe von einem ernsteren Format mit einem größeren Team durchführen".

Die US-Regierung hat am vergangenen Freitag eine Belohnung von bis zu 10 Millionen US-Dollar für Informationen ausgesetzt, die zur Identifizierung von Conti-Mitgliedern führen. Eine zusätzliche Belohnung von 5 Millionen Dollar wird für alle Informationen ausgesetzt, die zur Verhaftung oder Verurteilung eines Conti-Mitglieds führen.

Über 150 Millionen US Dollar soll die Hackergruppe bereits erpresst haben. Rund tausend Unternehmen wurden dabei Opfer einer Ransomware-Attacke.

Conti gilt als Ransomware-as-a-Service, das bedeutet, die Kriminellen bieten ihre Hackerwerkzeuge und Server-Infrastruktur gegen finanzielle Beteiligung Dritter an.

Was heißt Ransomware?

Das Wort „ransom“ kommt aus dem Englischen und bedeutet auf Deutsch „Lösegeld“. Genau darum geht es bei der Ransomware. Deshalb wird sie auch als Erpressersoftware bezeichnet. Manchmal sprechen Experten auch von Verschlüsselungstrojanern, da die Erpressung darauf basiert, dass die Daten für den Nutzer unauflöslich codiert werden. Was sich bei diesen alternativen Titeln abzeichnet, ist die Funktionsweise von Ransomware: Sie schleicht sich ins System und der User stellt mit Schrecken fest, dass sein Computer gesperrt ist.

Ransomware sind Schadprogramme, die den Computer sperren oder darauf befindliche Daten verschlüsseln. Die Täter erpressen ihre Opfer, indem sie deutlich machen, dass der Bildschirm oder die Daten nur nach einer Lösegeldzahlung wieder freigegeben werden.
Die Cyberkriminellen werden dabei immer erfinderischer. Sie sperren nicht nur die Produktionssysteme und zerstören Backups, sondern stehlen auch Ihre vertraulichen Daten. Schätzungen zufolge wird der durch Ransomware verursachte Schaden im Jahr 2031 weltweit 256 Milliarden Dollar betragen.

Wie macht sich Ransomware bemerkbar?

In der Regel ist der blockierte Bildschirm oder der Erpresserbrief, der sich nicht mehr schließen lässt, das erste, was der Nutzer von der Ransomware mitbekommt. Einige Ransomware-Varianten haben eine Inkubationszeit. Das heißt, dass die schädliche Wirkung erst eintritt, wenn sich der User nicht mehr daran erinnern kann, wann und wo er sich eventuell einen Erpressungstrojaner eingefangen haben könnte.

Wie kann ich mir womöglich Ransomware eingefangen haben?

Ihre Verbreitungswege unterscheiden sich dabei kaum von denen anderer Malware: Oft gelangt sie über eine manipulierte Website, zu der ein Link aus einer Spam-Mail führt, auf den Rechner. Manchmal verschicken die Täter auch E-Mails, die eine vermeintliche Mahnung oder einen Lieferschein enthalten. In Wirklichkeit verbirgt sich in der angehängten Datei jedoch keine wichtige Information, sondern der Schadcode.

Wie kann ich mich schützen?

Der Beste Schutz ist es, sich die Ransomware gar nicht erst einzufangen. Es ist überaus wichtig, das Sicherheitsbewusstsein von Mitarbeitern ständig zu schulen und zu verbessern, damit sie nicht unbedacht Dateien herunterladen, auf E-Mail-Anhänge klicken oder Weblinks in E-Mails folgen. Dennoch ist der "Faktor Mensch" das schwächste Glied in jeder Sicherheitskette. 

Drei Tipps wie Sie sich vor Phishing-Angriffen schützen können:

Vertrauen Sie nie blind dem Absender der E-Mail Nur weil in der E-Mail steht, sie sei von einer bekannten Person oder einer vertrauenswürdigen Quelle, bedeutet es noch lange nicht, dass dies auch stimmt. Achten Sie auf die E-Mail-Adresse des Absenders.

Lesen Sie, aber klicken Sie nicht Überfliegen Sie den Text der E-Mail ohne irgendetwas anzuklicken. Bei Ungereimtheiten oder ungewöhnlichen Texten und damit verbundenen Links klicken Sie auf keinen Fall auf den Link.

Seien Sie vorsichtig mit Anhängen Widerstehen Sie der Verlockung, vielversprechende Anhänge zu öffnen. Erst recht dann, wenn dies mit dem Absender nicht abgesprochen war.

Einen tiefergehenden Einblick zu den Themen Phishingmails, Informationssicherheit und Datenschutz, ehalten Sie auf unserer secopan e-learning-Plattform. Das kontinuierliche Trainingsprogramm beinhaltet dabei vielfältige Methoden, um unsensibilisierte Mitarbeiter effektiv zu erreichen: Von der Phishing-Simulation über E-Learnings, Kurzvideos bis hin zu Awareness-Materialien.

Das Ergebnis der secopan Awareness Kampagnen sind aufgeklärte Mitarbeiter, die ihre Verantwortung für die Sicherheit des Unternehmens kennen und wahrnehmen.

Bei Fragen zur Plattform, Schulungsinhalten oder Anti-Phishing-Simulationen, kontaktieren Sie uns gerne.


Interne Audits sollen ab sofort auch wieder vor Ort durchgeführt werden

Laut Feststellung eines Zertifizierungsaudits im April 2022, sollen interne Audits ab sofort nicht mehr ausschließlich Remote durchgeführt werden. Lesen Sie dazu den Hinweis des Auditors:

Das interne Audit zum Managementsystem wurde erneut ausschließlich REMOTE ohne Begehungen oder durch Unterstützung mittels alternativer Methoden vom Dienstleister durchgeführt. Der Geltungsbereich des IT-Sicherheitskatalogs (siehe Abschnitt D. des IT-SiKat) „umfasst alle zentralen und dezentralen Anwendungen, Systeme und Komponenten, die für einen sicheren Netzbetrieb notwendig sind.“ Das schließt explizit Gebäude, Leitwarten sowie Stationen und deren technische Umsetzung ein. Eine Prüfung (siehe Abschnitt E I. des IT-SiKat) z.B. nach dem Stand der Technik und der entsprechenden Umsetzung und Wirksamkeitsprüfungen durch Stichproben in u.a. den nicht dauerhaft besetzten Stationen sowie deren Betrieb lässt sich remote nur ungenügend überprüfen. Betroffen davon ist u.a. der „Betrieb der betroffenen IKT-Systeme“ (siehe Abschnitt E III. des IT-SiKat) sowie der „Betrieb“ von Komponenten der exemplarisch aufgeführten Technologiekategorien des Netzstrukturplans (siehe Abschnitt E IV. des IT-SiKat). Das interne Audit spiegelt damit nicht die tatsächliche Umsetzung im Betrieb von Regelungen und technischen Maßnahmen zur Dokumentationslage wider.

Kontaktieren Sie uns, falls bei Ihnen Fragen bezüglich anstehender interner Audits auftauchen sollten.

Hinweisgeberportal für Hinweisgeber und Whistleblower
Hinweisgeberportal für Hinweisgeber und Whistleblower

Hinweisgeber sind für den Erhalt einer offenen und transparenten Gesellschaft besonders wichtig, da sie den Mut aufbringen, mit ihren Meldungen Missstände aufzudecken. Damit sie zukünftig besser vor negativen Konsequenzen und Repressalien, wie beispielsweise einer Kündigung, Versetzung, Degradierung oder Einschüchterung, geschützt sind, ist am 16. Dezember 2019 die EU-Direktive 2019/1937 zum Schutz von Hinweisgebern des EU-Parlaments in Kraft getreten.

Was bedeutet das für den öffentlichen Dienst?

Die Richtlinie schützt verschiedene Personengruppen, so unter anderem auch Tarifbeschäftigte des öffentlichen Dienstes sowie Beamt:innen und Anwärter:innen. Hier ist die Besonderheit, dass die grundsätzlich in nationales Recht umzusetzende Richtline seit dem 18.12.2021 für den öffentlichen Dienst unmittelbar gilt.  Das bedeutet, dass Behörden und Kommunen mit mehr als 10.000 Einwohnern seit Mitte Dezember zur Umsetzung der Vorgaben verpflichtet sind. Es müssen also interne Kanäle und Verfahren für die Übermittlung und Weiterverfolgung von Meldungen über Missstände eingerichtet sein. 

Wir bieten Ihnen eine sichere, digitale und einfach zu verstehende Lösung, mit der Sie die Anforderung zur Meldung von Missständen und Fehlverhalten schnell einsatzbereit machen können.

Das Hinweisgeber-System hilft Ihnen, die Anforderungen  der Hinweisgeber-Richtlinie der EU zu erfüllen.

Ersparen Sie sich die mühsame Bearbeitung und Überwachung von Hinweisen auf unterschiedlichen Meldekanälen. Wir nehmen alle eingehenden Hinweise auf unserer Plattform für Sie entgegen und stellen Ihnen diese Nachrichten digital zur Bearbeitung zur Verfügung.

Mit dem Hinweisgeber-System für Ihre Whistleblower vermeiden Sie öffentliche Bekanntmachungen über Missstände, mögliche Strafzahlungen sowie Reputationsverlust. Sie behalten die volle Kontrolle über eingehende Meldungen.

• Die Meldungen erfolgen per E-Mail oder Telefon an unser Service Personal
• Die Hinweisgeber melden entweder anonym oder per Klarnamen
• Die Kommunikation über das Hinweisgeber-System erfolgt verschlüsselt

Bei Fragen rund um das Hinweisgeber-Portal, kontaktieren Sie uns gerne

Schutz Kritischer Infrastrukturen und Dateiprüfungen bei VirusTotal
Schutz Kritischer Infrastrukturen und Dateiprüfungen bei VirusTotal

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat kürzlich zwei Meldungen verschickt, welche wir Ihnen mit diesem Newsletter weiterleiten.

Um sich für den CERT-Bund-Report zu registrieren, schreiben Sie bitte eine E-mail an kritis-buero@bsi.bund.de
In der Mail geben Sie Ihre Betreiber-ID und den Notfallkontakt an. Das BSI wird sich daraufhin mit Ihnen in Verbindung setzen.

Nachricht vom BSI:

Schutz Kritischer Infrastrukturen

Sehr geehrte Damen und Herren,
wir wenden uns heute, auch vor dem Hintergrund aktueller Ereignisse, an Sie. Wir möchten Sie noch einmal auf ein BSI-Produkt, die CERT-Bund-Reports, und zudem auf ähnliche Angebote anderer Sicherheitsbehörden hinweisen.

CERT-Bund-Reports (CB-Reports) sind auf Ihre Organisation zugeschnittene Berichte, die nur anlassbezogen verschickt werden. Das BSI bittet Sie als KRITIS-Betreiber die Möglichkeit, im BSI eine Kontakt-E-Mail-Adresse und Ihre IP-Adressen/Netzbereiche zu hinterlegen, zu nutzen. Sollten in der täglichen Arbeit unseres CERTs Auffälligkeiten oder die Betroffenheit von bestimmten IP-Adressen festgestellt werden, kann das BSI automatisiert die Kontakte der betreffenden IP-Adressen/Netzbereiche mit einem CB-Report über den Sachverhalt informieren. Wir bieten Ihnen als Betreiber einer Kritischen Infrastruktur diesen kostenlosen Service an. Die Teilnahme ist für Sie freiwillig, wird aber seitens des BSI vor dem Hintergrund der derzeitigen Lage dringend empfohlen.

Neben dem BSI verfügen auch andere deutsche Sicherheitsbehörden, wie das BfV oder der BND über jeweils eigene Möglichkeiten zur Detektion von Cyber-Angriffen. Daher kann der Schutz Ihrer Kritischen Infrastruktur davon profitieren, wenn Sie es diesen Behörden durch Zur-Verfügung-Stellung Ihrer IP-Adressen erlauben, auch deren jeweiligen Möglichkeiten für Sie zu nutzen.

Das BfV wird die IP-Adressen zur frühzeitigen Detektion und Zuordnung von Cyber-Angriffen gegen Unternehmen der Kritischen Infrastruktur nutzen. Ziel ist die Schadensminimierung bzw. vollständige Abwehr eines Cyberangriffs. Das BfV kann die freiwillig gemeldeten IP-Adressen bzw. Adressräume mit dem dort vorliegenden Datenbestand über laufende oder abgeschlossene Angriffe von staatlichen Cyber-Akteuren abgleichen. Durch diesen Abgleich kann das BfV Anhaltspunkte für eine möglicherweise stattgefundene Kompromittierung der IT des Unternehmens zeitnah gewinnen und das Unternehmen zur weiteren Aufklärung bzw. Eindämmung zusammen mit dem BSI benachrichtigen.

Das BSI befindet sich ebenfalls in Kontakt mit dem BND, weil auch dort Auswerte- und Warnmöglichkeiten bestehen. Bitte prüfen Sie daher an dieser Stelle, ob Sie einer Weiterleitung der entsprechenden Daten an den Bundesnachrichtendienst ebenfalls zustimmen, um auch von dessen Möglichkeiten profitieren zu können.

Das BSI empfiehlt dringend, die Angebote des BfV und des BND zum Schutz Ihrer Kritischen Infrastruktur zu nutzen. Dazu können Sie einer Weitergabe der von Ihnen für den Service CB-Report zur Verfügung gestellten Daten zustimmen.

Alle Informationen zum Umgang des BSI mit Ihren personenbezogenen Daten finden Sie unter: www.bsi.bund.de/datenschutz

Zu Ihrer Information: Angesichts der aktuellen Lage hat das BSI heute die Liste der beim BSI registrierten Kritischen Infrastrukturen und der zugehörigen Betreiberunternehmensnamen an das BfV auf Basis der Informationsweiterleitungspflicht des Bundesverfassungsschutz-Gesetzes weitergeleitet.


Datenabfluss im Falle von Dateiprüfungen bei VirusTotal

Sachverhalt

VirusTotal ist ein vom Unternehmen Google Inc. betriebener kostenloser Online-Dienst, bei dem man einzelne Dateien hochladen kann, die dann online durch aktuell über 70 verschiedene Antivirenprogramme und Malwarescanner überprüft werden. Dieser Dienst wird von Privatpersonen und Unternehmen oftmals zur Prüfung von verdächtigen Dateien genutzt, um aufgrund der Vielzahl von Antivirenprogrammen verlässlichere Ergebnisse als mit nur einem Scanner zu erhalten.
VirusTotal bietet diverse Services an, z.B. VirusTotal Intelligence oder VT Enterprise, bei denen man als Kunde Zugriff auf alle beim Online-Dienst hochgeladenen Dateien Dritter erhält. Zu den Kunden dieser Services gehören neben IT-(Security) Dienstleistern auch weitere Unternehmen, Geheimdienste, Forscher und Journalisten.
Im Rahmen eines Vorfalls wurde entdeckt, dass in einer Institution regelmäßig verdächtige E-Mail Anhänge, die in die Quarantäne verschoben werden, teil-automatisiert zu VirusTotal hochgeladen werden. Bei den verdächtigen Dateien handelte es sich in Einzelfällen um vertrauliche interne Dokumente. Die Inhalte dieser Dateien müssen als abgeflossen angesehen werden.
Das BSI stellt darüber hinaus fest, dass vereinzelt auch BSI Cyber-Sicherheitswarnungen und Lageberichte mit TLP:GREEN- oder TLP:AMBER-Markierung von Empfängern bei VirusTotal hochgeladen werden, siehe beigefügten Screenshot. Bei einzelnen Empfängern besteht der Verdacht, dass die Dokumente automatisch an VirusTotal hochgeladen werden.

Bewertung

Während die Prüfung von Datei-Hashwerten auf VirusTotal grundsätzlich unkritisch ist, kann der Upload von verdächtigen Dateien problematisch sein: Beim Upload von verdächtigen Dateien zu Virustotal gibt man die Vertraulichkeit der hochgeladenen Dateien auf und macht diese, aufgrund der Vielzahl und Diversität der VirusTotal-Kunden mit Zugriff auf die hochgeladenen Dateien, de facto öffentlich verfügbar. Man stimmt dieser Datenweitergabe an Dritte mit den Nutzungsbedingungen auch explizit zu. Neben den Kunden können auch alle der über 70 Antivirenhersteller eine Kopie der hochgeladenen Datei erhalten. Viele der AV-Hersteller haben ihren Sitz außerhalb der EU und verarbeiten die Daten auch außerhalb der EU.

Es ist davon auszugehen, dass weltweit Institutionen hochgeladene Dateien im Rahmen von (Wirtschafts-)Spionage auswerten und Filter für Stichwörter, beispielsweise "Verschlusssache" oder "Intern", gesetzt haben, wodurch sie in Echtzeit bei einem Upload solcher Dokumente informiert werden. Oft erfolgt ein Download dieser Dokumente dann automatisiert.

Die Auswirkungen auf die Vertraulichkeit durch einen Upload und die daraus entstehenden Konsequenzen sind den Mitarbeitenden innerhalb der Institution oftmals nicht bekannt.

Durch den Upload von TLP-markierten BSI-Warnungen schaden die Uploader dem Ansehen des Verteilkreises und des BSI. Das BSI muss in solchen Fällen prüfen, ob es mit betroffenen Verteilkreisen noch alle Informationen teilen kann oder zum Schutz der Vertraulichkeit von Informationen ggf. einzelne Sachverhalte, Hinweise und IOCs zurückhalten muss.

Mögliche Auswirkungen auf Kritische Infrastrukturen inkl. Verwaltung

Der geschilderte Vorfall kann in ähnlicher Art auch die Verwaltung und Kritische Infrastrukturen treffen und die dargestellten Konsequenzen haben.

Ein Upload eines gemäß Verschlusssachenanweisung (VSA) eingestuften Dokumentes auf VirusTotal stellt einen meldepflichtigen Verstoß gegen die Geheimhaltungspflicht Der zuständige Geheimschutzbeauftragte ist unverzüglich zu informieren. Es drohen disziplinar- oder arbeitsrechtliche Maßnahmen und eine strafrechtliche Ahndung des Verstoßes. Aus Verstößen gegen die VSA kann sich weiterhin die Ungeeignetheit von Personen zur Arbeit mit Verschlusssachen ergeben. Konsequenz ist der Ausschluss von der Bearbeitung von Verschlusssachen.

Ein Upload eines Dokumentes mit personenbezogen Daten ist eine Verletzung des Schutzes personenbezogener Daten, die gemäß DS-GVO meldepflichtig ist. Der Vorfall ist wie ein Leak dieses Dokumentes zu behandeln und innerhalb der gesetzlichen Meldefristen an die Datenschutz-Aufsichtsbehörde zu melden. Hierzu ist der zuständige behördliche bzw. betriebliche Datenschutzbeauftragte unverzüglich zu informieren. Verstöße können insbesondere mit empfindlichen Bußgeldern geahndet werden.

Ein Upload eines Dokuments mit TLP:GREEN, TLP:AMBER oder TLP:RED Markierung auf VirusTotal stellt einen Verstoß gegen die Traffic Light Protokoll (TLP) Verpflichtung dar und kann zum Ausschluss aus dem jeweiligen TLP-Verteilkreis führen.

Allgemein bedeutet ein Upload eines Dokumentes auf VirusTotal den Verlust der Vertraulichkeit der Inhalte. Hochgeladene Informationen müssen de facto als öffentlich angesehen werden.

In manchen Fällen verweigert VirusTotal Löschanfragen von fälschlicherweise hochgeladenen Dateien. Selbst wenn ein Dokument im Nachhinein doch gelöscht werden kann, sind die Inhalte aufgrund der Möglichkeit von Echtzeit-Filtern vermutlich bereits unmittelbar nach dem Upload an eine Mehrzahl Dritter abgeflossen. Es ist nicht feststellbar, welche VirusTotal-Kunden ein hochgeladenes Dokument im Zugriff hatten.

Fragen an IT-Sicherheitsverantwortliche

Sind Ihre Mitarbeiter, insbesondere IT-Mitarbeiter und Administratoren, bezüglich der Gefahren des Vertraulichkeitsverlustes bei einem Datei-Upload auf Online-Dienste wie VirusTotal sensibilisiert?

Ist der Upload von Dateien auf Online-Dienste zur Malwareprüfung in Ihrer Institution grundsätzlich untersagt und dies kommuniziert? Sind den Mitarbeitern Alternativen bekannt, z.B. die Suche nach Datei-Hashwerten?

Wurden in Ihrer Institution Automatismen zur Prüfung auf Online-Diensten eingerichtet? Beispielsweise ein automatisierter Upload von Dateien aus der E-Mail Quarantäne oder aus Sandboxen?

Sind auch ihre Dienstleister und nachgeordnete Behörden sensibilisiert, denen Sie ggf. BSI-Warnmeldungen weiterleiten?

Sollten in Einzelfällen doch Prüfungen stattfinden: Wird sichergestellt, dass die Dateien insbesondere keine dem Geheimschutz unterliegenden Inhalte, keine personenbezogenen Daten enthalten und auch keine TLP-Markierung höher als TLP:WHITE haben?

Das neue TTDSG, Cookies, Google Fonts – Hinweise für Ihr Unternehmen
Das neue TTDSG, Cookies, Google Fonts – Hinweise für Ihr Unternehmen

Wir hatten bereits im Oktober 2021 über das neue TTDSG informiert. In diesem Newsletter soll es konkret darum gehen, wann ein Tätigwerden Ihrerseits erforderlich ist. Weiterhin möchten wir Sie noch einmal auf die Änderungen bezüglich der Nutzung von Cookies hinweisen.

Arbeitgeber als Telekommunikationsdiensteanbieter

Zahlreiche Rückfragen gingen nach dem letzten Newsletter zu dem folgenden Thema ein:

Sind Sie als Arbeitgeber an das Fernmeldegeheimnis gebunden, wenn Sie Ihren Mitarbeitern die private Nutzung von betrieblichen E-Mail-Konten oder des betrieblichen Internetzugangs gestatten oder dies dulden?

Nach dem TTDSG fallen auch Arbeitgeber unter das Fernmeldegeheimnis, wenn sie geschäftsmäßig Telekommunikationsdienste anbieten.

Ist das schon dann der Fall, wenn Sie Ihren Mitarbeitern beispielswiese die private Nutzung von E-Mail-Konten oder des dienstlichen Internetzugangs gestatten? Unter „geschäftsmäßig“ wird das wiederholte (auch unentgeltliche) Bereitstellen eines Telekommunikationsdienstes gegenüber Dritten verstanden.

Und hier wird es nun spannend. Die Aufsichtsbehörden (Bundesnetzagentur und Datenschutzbeauftragte der Länder) vertreten hier nämliche eine andere Auffassung als Teile der Rechtsprechung. Zum Beispiel ist laut dem Landgericht Erfurt (LG Erfurt, Urt. v. 28.4.2021 – 1 HK O 43/20) der Arbeitnehmer kein Dritter. Hierbei handelt es sich aber noch lange um kein höchstrichterliches Urteil. Damit bleibt die Lage auch weiterhin unklar! Es bleibt damit abzuwarten welche Wendung die Fragestellung durch die E-Privacy-Verordnung der EU nehmen wird.

Folgen für Sie als Arbeitgeber:
Trotzdem besteht schon heute Handlungsbedarf. Wenn Sie Ihren Mitarbeitern die private Nutzung von E-Mail-Konten oder Internetzugang am Arbeitsplatz gestatten, gilt für Sie auch heute schon mindestens die DSGVO! Sie sind dann nämlich gegenüber Ihren Mitarbeitern für die Verarbeitung (Speicherung Versendung) der E-Mails, oder der vertraulichen Handhabung der privaten Internetnutzung oder Telekommunikation verantwortlich!

Empfehlung:
Der einfachste Weg ist daher noch immer die private Nutzung im Rahmen einer Richtlinie / Arbeitsanweisung zu verbieten. Dieses Verbot muss dann stichprobenartig kontrolliert werden. Wobei diese Kontrolle im Idealfall mit dem Datenschutzbeauftragten und ggfs. dem Betriebsrat als Prozess abgestimmt sein sollte. Ohne ein Verbot ist die Nutzung betrieblicher Kommunikationsmittel ausdrücklich zu regeln. Auf keinen Fall sollte die Nutzung lediglich geduldet werden. Erstellen Sie eine Dienstanweisung über die Einrichtung und Benutzung dienstlicher Telekommunikationseinrichtungen. Eine Mustervorlage hierzu können wir Ihnen auf Anfrage zur Verfügung stellen. Diese muss jedoch auf Ihre Organisation individuell angepasst werden. Darüber hinaus sollten Sie schon heute die Vertraulichkeitsverpflichtung der zuständigen Mitarbeiter prüfen. Mitarbeiter die theoretisch die Privatnutzung von anderen Kollegen überprüfen können (z.B. Kollegen der IT-Abteilung, Administratoren, Mitarbeiter der Rechnungsprüfung die Einzelverbindungsnachweise anfordern könnten), sollten nämlich auf die Wahrung des Fernmeldegeheimnisses verpflichtet werden. Auch hierzu haben wir unsere Vorlagen angepasst. Fragen Sie Ihren zuständigen Ansprechpartner.


Cookies

Das TTDSG hat u. a. Auswirkungen auf den sehr praxisrelevanten Einsatz von Cookies und ähnlichen Technologien. Für Cookies, die nicht technisch notwendig sind, wird weiterhin eine Einwilligung benötigt. Hier ändert sich zum Leidwesen vieler zunächst einmal nichts.

Neu kommt aber hinzu, dass die Einwilligung nun auch für die Speicherung von Daten erforderlich ist, die nicht unbedingt personenbezogen sind. In § 25 TTDSG wird nun von Informationen in der Endeinrichtung des Endnutzers gesprochen. Auch wenn die Daten selbst keinen Personenbezug haben (z.B. ein anonymer Hashwert). Auch verdrängt § 25 TTDSG in diesem Fall den Anwendungsbereich der DSGVO. Das Speichern und Auslesen von Daten in Cookies ist damit nur im Falle einer Einwilligung nach dem TTDSG möglich. Hier greifen nur Ausnahmen für technisch notwendige Vorgänge.

Hinweis: Bei der Einholung der Einwilligung für Cookies wird oftmals rechtswidrig getrickst. Beispielsweise durch das auffällige Einfärben des Akzeptieren-Buttons. Auch eine Vorauswahl von bereits angekreuzten Cookies, die beim bloßen weitersurfen als „akzeptiert“ gelten, ist rechtswidrig. Ein weiterer Trick ist, das Ablehnen von Cookies einen Klick vom Akzeptieren zu entfernen. Also beispielsweise auf die Cookie-Einstellungen der Webseite zu verlinken, um diese dann im Zweifel auch noch alle einzeln händisch abzuwählen. Am bequemsten ist es dann natürlich, einfach alles zu akzeptieren. Die Rechtmäßigkeit der Einwilligung ist dann aber fraglich und im Zweifel zu Gunsten der Nutzer auszulegen.

Hoffnungsschimmer am Horizont: PIMS
Viele Nutzer klicken die nervigen Cookie-Banner weg, weil sie es leid sind sich jedes Mal aufs Neue damit auseinanderzusetzen. Insbesondere dann, wenn es darum geht, mal schnell etwas zu googlen. Dabei sollen Cookies doch darüber aufklären, was und welche Daten im Falle einer Einwilligung verarbeitet werden. Hier könnten zukünftig PIMS (Personal Information Management Systeme) Abhilfe schaffen. § 26 TTDSG ermöglicht es der Bundesregierung eine Verordnung zu eben jenen PIMS zu erlassen. Wann und ob diese Verordnung kommt, ist aktuell noch unklar.

Um was es sich bei „PIMS“ handelt steht im § 26 TTDSG. Es handelt sich also um Dienste zur Verwaltung von Einwilligungen. Nutzer sollen mit Hilfe von PIMS befähigt werden, Einwilligungen zu verwalten. Insbesondere können so Einstellungen für viele Webseiten vorab festgelegt werden, so dass dies nicht mehr für jede Webseite einzeln geschehen muss. Cookie-Banner könnten dann vielerorts verschwinden. Aber das ist aktuell noch Zukunftsmusik. Sollten sich neue Entwicklungen in Hinblick auf PIMS ergeben, werden wir Sie darüber informieren.

Landgericht München: Einbindung von Google Fonts verstößt gegen DSGVO

Ausgangslage: Der Nutzer einer Webseite klagte auf Schmerzensgeld, da der Betreiber der Webseite Google Fonts eingebunden hatte. Dem Nutzer wurden vom LG München 100 € Schmerzensgeld zugesprochen. (Urteil des LG München vom 20.01.22 Az. 3 O 17493/20)

Google Fonts – was ist das überhaupt? Es handelt sich bei Google Fonts um eine Bibliothek für Schriftarten, die Google in Form von freien Lizenzen zur Verfügung stellt. Webfonts, so nennen sich diese Schriftarten, haben einen ganz besonderen Vorteil: Sie werden beim Aufrufen der Webseite geladen und liefern die Schriftarten direkt mit zum Abrufgerät. Das wiederum sorgt dafür, dass die Webseiten idealerweise bei allen Nutzern gleich aussieht und nicht von den auf dem Abrufgerät vorhanden Schriftarten gebundene Darstellung abhängig ist. Die Schriftarten können dabei auf zweierlei Art von Webseitenbetreibern eingebunden werden.

Google stellt die Webfonts mittels Verlinkung zur Verfügung. Dabei werden beim Abrufen der Webseite, die Google Fonts nutzt, die Schriftarten vom Google Server abgerufen. Dabei wird jedoch auch die IP-Adresse des Nutzers Ihrer Webseite an Google und damit in ein unsicheres Drittland (USA) übermittelt. Dieses Vorgehen hat zum oben genannten Schmerzensgeld i.H.v. 100 € für den Betroffenen geführt.

Google bietet den Webseitenbetreibern die Möglichkeit an, die Webfonts auf ihre eigenen Server einzubinden. Dann erfolgt beim Aufruf der Webseite durch den Nutzer keine Übermittlung der IP-Adresse an die Google Server. Aktuell ist nur diese Variante DSGVO-Konform.

Handlungsempfehlung:
Wenn sie Google Fonts nutzen und weiterhin nutzen möchten, dann binden Sie die genutzte Webfonts-Bibliothek auf ihrem Server ein.

BSI ruft Warnstufe Rot durch Schwachstelle in weit verbreiteter Java-Bibliothek Log4j aus

BSI ruft Warnstufe Rot durch Schwachstelle in weit verbreiteter Java-Bibliothek Log4j aus

Sie werden es sicherlich schon der Berichterstattung entnommen haben: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Warnstufe Rot ausgerufen.* Das ist auf der vierstufigen Skala die höchste Warnstufe. Aktuell herrscht demnach eine extrem kritische Bedrohungslage durch eine sog. Logging-Bibliothek in Java mit der Bezeichnung Log4j. Normalerweise dient diese als Logbuch für Serveraktivitäten um beispielsweise Fehler auswerten zu können. Durch die jetzt entdeckte Sicherheitslücke ist es potenziellen Angreifern möglich, eigenen Code auf den jeweiligen Hostsystemen auszuführen (Remote Code Execution). So könnten Angreifer zum Beispiel Ihre Serverressourcen dazu nutzen, Kryptowährungen zu schürfen, Backdoors für spätere Angriffe einzurichten oder Ransomware-Angriffe starten.

Sachstand am Montag den 13.12.2021: Die ersten Meldungen zu der Sicherheitslücke erfolgten am 09.12.2021. Die Lücke wird nach übereinstimmenden Berichten der Sicherheitsbehörden bereits über das Wochenende in mehreren Fällen für Angriffe ausgenutzt. Aufgrund der weiten Verbreitung der Schwachstelle sind noch nicht für alle Anwendungen Sicherheitsupdates verfügbar. Die Lücke lässt sich daher nicht so einfach schließen und muss daher vorerst anders behandelt werden. Hierzu gibt es verschiedene Anleitungen (Beispiel Abbildung CERT Schweiz) die sich jedoch immer an IT-Spezialisten richten.**

Behandlung im Informationssicherheitsmanagementsystem: Im Rahmen des ISMS ist die Schwachstelle als „Informationssicherheitsereignis“ iSd. Normpunktes A16 aufzunehmen und im Falle der Betroffenheit als Vorfall zu behandeln. Ob entsprechende Schwachstellen bestehen, kann bereits mit einfachen Tools geprüft werden. (Überlassen Sie dies bitte der IT-Abteilung oder Ihrem Dienstleister)

Sofern Ihr Unternehmen betroffen ist und daher ein Vorfall besteht, müssen Maßnahmen eingeleitet werden. Abhängig von der Kritikalität können Versuche zur einfachen Härtung unternommen werden. Gegebenenfalls müssen betroffene Einrichtungen / Systeme aber sogar vorrübergehend deaktiviert werden (z.B. so geschehen beim elektronischen Anwaltspostfach).

Behandlung im Datenschutz: Im Sinne der DSGVO stellt sich nur die Frage, ob eine Meldung an die Aufsichtsbehörde iSd. Art. 33 DSGVO nötig ist?

Aktuell ist es nicht absehbar, welche Konsequenzen mögliche Angriffe für die Datensicherheit bedeuten. Im Moment handelt es sich theoretisch „nur“ um eine Sicherheitslücke. Solange es zu keinem registrierten Angriff kam, ist keine Meldung nötig. Sie sollten Ihre Ressourcen zunächst darauf konzentrieren, mögliche Lücken umgehend zu schließen und die Systeme auf Kompromittierung hin zu überprüfen. Hierfür bietet ein Artikel auf heise.de** nützliche Tipps.

Erst wenn ein Angriff tatsächlich erfolgt ist und der Schutz personenbezogener Daten gefährdet wurde, muss ein Datenschutzvorfall bei der zuständigen Aufsichtsbehörde gemeldet werden.

Beachten Sie aber auch: Die Lehre aus der Sicherheitslücke der Microsoft-Exchange-Server vom Beginn des Jahres ist, dass die Aufsichtsbehörden bei verspätet gepatchten Systemen von einer Meldepflicht ausgegangen sind. Hierbei ist aber zu berücksichtigen, dass die dort enthaltenen Nachrichten für Angreifer wohl ohne größere Umwege einsehbar waren. Im Falle von Log4j müsste dagegen erst entsprechender Schadcode ausgeführt werden.

Um solchen Problemen zu entgehen, sollten Sie die betroffenen Systeme so schnell wie möglich (und verfügbar) patchen. Wir halten Sie zu Stellungnahmen der Aufsichtsbehörden auf dem Laufenden.

* https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html ** https://heise.de/-6292961

Newsletter zum Datenschutz, November 2021_03

Nachtrag zu 3G im Betrieb

In Ergänzung zu unserem Newsletter vom Dienstag, den 23.11.2021, stellt sich noch die Frage, wie nun im Umgang mit Dienstleistern zu verfahren ist.

Wie gehabt hilft das Gesetz hier nur bedingt weiter. Zumindest im § 28b IfSG werden Sie das Wort Besucher oder Dienstleister vergeblich suchen. Und bis die Corona-Verordnungen der Länder soweit neu gefasst sind dürfte noch einige Zeit verstreichen.

Tatsächlich ist der Umgang mit Daten von „Externen“, also Besuchern, Dienstleistern und Lieferanten derzeit bestenfalls unzureichend geregelt. Wie im Newsletter bereits erklärt, hat das im Umgang mit Gesundheitsdaten gravierende Auswirkungen. Im Zweifel dürfen die Daten nicht verarbeitet werden.

Erliegen Sie also nicht dem Trugschluss, die Externen wie eigene Mitarbeiter zu behandeln.

Wie sind LKW-Fahrer in Hinblick auf 3G in Arbeitsstätten zu behandeln?

Nach § 2 Arbeitsstättenverordnung sind Fahrzeuge keine Arbeitsstätten. Solange Fahrer also keine persönlichen Kontakte haben, ist auch kein 3G-Nachweis erforderlich.

Beim Be- und Entladen sieht das allerdings anders aus. Hierfür werden Betriebe bzw. deren Arbeitsstätten angesteuert, bei denen zumindest die Möglichkeit eines physischen Kontakts besteht – also ein Zusammentreffen mit anderen Personen nicht ausgeschlossen werden kann.

Was ist also zu tun?

Prüfen Sie, was in der aktuellen Corona-Verordnung Ihres Bundeslandes steht. Gilt für den Besuch Ihres Unternehmens 3G, ist die Sachlage eindeutig. Dann ist gemäß der Corona-Verordnung die entsprechende Kontrolle durchzuführen und gemäß der Verordnung auch zu dokumentieren.

Sollte das nicht der Fall sein, müssen Sie bis zur Klärung der Rechtslage tricksen.

Was ist also zu tun?

Der Trick

Warum sich mit dem Externen selbst auseinandersetzen? Schreiben Sie einfach alle relevanten dienstleistenden Unternehmen an und sorgen dafür, dass die dortigen Arbeitgeber bei Ihren Angestellten das sicherstellen, was Sie selbst vielleicht nicht kontrollieren können.


Mögliches Anschreiben an die dienstleistenden Unternehmen


Sehr geehrte Damen und Herren,

Ihre Mitarbeiter leisten für unsere Organisation Dienste, auf deren Erbringung vor Ort durch Ihre Mitarbeiter wir auch in der derzeitigen Pandemielage nicht verzichten können.

Bitte stellen Sie daher zu jeder Zeit sicher, dass Ihre Angestellten in unseren Räumlichkeiten die notwendigen 3G Nachweise mit sich führen. Sobald die Rechtslage geklärt ist, führen wir regelmäßige Kontrollen Ihrer Angestellten durch.

Bis dahin verzichten wir, wo es möglich ist, auf umfangreichere Kontrollen. Allerdings verbieten wir bis auf Weiteres Mitarbeitern ohne einen 3G-Nachweis den Zutritt zu unseren Räumlichkeiten.

Auf Basis unserer Vertragsbeziehung verpflichten wir Sie dieses Verbot im Rahmen Ihrer Tätigkeit umzusetzen.

Bei Fragen und Problemen oder etwaigen Mehrkosten, die hierdurch entstehen, wenden Sie sich an

Mit freundlichen Grüßen

Signatur


Sobald es Neues von der 3G Regelung in Hinblick auf Externe gibt, werden wir Sie informieren.

Newsletter zum Datenschutz, November 2021_02

Handlungsempfehlung 3G im Betrieb

Stand 22.11.2021

Nach dem aufgrund des Wahlkampfs die „4. Welle“ verschlafen wurde, fallen im Herbst die Gesetze aus den Parlamenten. In diesem Fall haben wir das Gesetz über die Beschlussvorlage des Bundesrates abrufen müssen, da die Medienberichterstattung deutlich schneller als das Gesetzgebungsverfahren zu sein scheint. Für Datenverarbeitungsvorgänge lohnt aber immer der Blick in das Gesetz.

Wie das nun aussieht und was Sie zur Wahrung des Datenschutzes beachten müssen, darüber wollen wir mit diesem Newsletter informieren.

Erst einmal ein kleiner Blick ins Gesetz:

„§ 28b IfSG in der zukünftigen Fassung:*

Bundesweit einheitliche Schutzmaßnahmen zur Verhinderung der Verbreitung der Coronavirus-Krankheit2019 (COVID-19), Verordnungsermächtigung

(1) Arbeitgeber und Beschäftigte dürfen Arbeitsstätten, in denen physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können, nur betreten und Arbeitgeber dürfen Transporte von mehreren Beschäftigten zur Arbeitsstätte oder von der Arbeitsstätte nur durchführen, wenn sie geimpfte Personen, genesene Personen oder getestete Personen im Sinne des § 2 Nummer 2, Nummer 4 oder Nummer 6 der COVID-19-Schutzmaßnahmen-Ausnahmenverordnung vom 8. Mai 2021 (BAnz AT 08.05.2021 V1) sind und einen Impfnachweis, einen Genesenennachweis oder einen Testnachweis im Sinne des § 2 Nummer 3, Nummer 5 oder Nummer 7 der COVID-19-Schutzmaßnahmen-Ausnahmenverordnung vom 8. Mai 2021 (BAnz AT 08.05.2021 V1) mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegt haben. Sofern die dem Testnachweis zugrunde liegende Testung mittels Nukleinsäurenachweis (PCR, PoC-PCR oder weitere Methoden der Nukleinsäureamplifikationstechnik) erfolgt ist, darf diese abweichend von § 2 Nummer 7 der COVID-19-Schutzmaßnahmen-Ausnahmenverordnung vom 8. Mai 2021 (BAnz AT 08.05.2021 V1) maximal 48 Stunden zurückliegen. Abweichend von Satz 1 ist Arbeitgebern und Beschäftigten ein Betreten der Arbeitsstätte erlaubt, um

1. unmittelbar vor der Arbeitsaufnahme ein Testangebot des Arbeitgebers zur Erlangung eines Nachweises im Sinne des § 4 Absatz 1 der SARS-CoV-2-Arbeitsschutzverordnung vom 25. Juni 2021 (BAnzAT 28.06.2021 V1), die durch Artikel 1 der Verordnung vom 6. September 2021 (BAnz AT 09.09.2021 V1) geändert worden ist, wahrzunehmen oder

2. ein Impfangebot des Arbeitgebers wahrzunehmen.

Der Arbeitgeber hat seine Beschäftigten bei Bedarf in barrierefrei zugänglicher Form über die betrieblichen Zugangsregelungen zu informieren.

(3) Alle Arbeitgeber sowie die Leitungen der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen sind verpflichtet, die Einhaltung der Verpflichtungen nach Absatz 1 Satz 1 und Absatz 2 Satz 1 durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren. Alle Arbeitgeber und jeder Beschäftigte sowie Besucher der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen sind verpflichtet, einen entsprechenden Nachweis auf Verlangen vorzulegen

Warum war die Gesetzeslektüre jetzt nötig?

Nun, weil es sich bei 3G-Daten nach wie vor um Gesundheitsdaten im Sinne des Art. 9 DSGVO handelt. Die darf ein Arbeitgeber nur verarbeiten, wenn er einen Erlaubnistatbestand hat, der den in Art. 9 II DSGVO genannten Erlaubnistatbeständen entspricht. Wir hatten hierzu in einem vergangenen Newsletter bereits auf die alte Rechtslage hingewiesen.**

Was geht nun nach dem neuen Gesetz und was nicht?

Zunächst einmal taugt der neue § 28b IfSG nicht als eigenständige Rechtsgrundlage zur Datenverarbeitung. Die Anforderungen von Art. 9 II g) DSGVO sind nicht erfüllt.

Die Daten dürfen aber bei der bestehenden Rechtslage nun mindestens nach § 26 III BDSG – also im Überwiegenden berechtigten Interesse – verarbeitet werden. Nur halt eben eingeschränkt!

Nach dem Gesetz liegt die Nachweispflicht beim Arbeitnehmer selbst! Er kann aber seinen Nachweis über eine Impfung oder Genesung bei seinem Arbeitgeber hinterlegen. Er hat den Nachweis auf Verlangen vorzuzeigen.

Die Kontrolle der Nachweise ist zu dokumentieren § 22 IV ff. IfSG.

Wie sieht das jetzt in der Praxis aus?

1. Einlasskontrolle am Werkstor Der Arbeitgeber ist wahrscheinlich verpflichtet, eine Einlasskontrolle vorzunehmen. „Wahrscheinlich“, da sich diese Pflicht nicht direkt aus dem Gesetz ergibt. Dort steht nur, dass auch der Arbeitgeber nicht in die Betriebsstätte darf, wenn er nicht selbst den 3G-Nachweis liefern kann. Da aber ggfs. Bußgelder drohen, wenn ein Mitarbeiter sich ohne Nachweis im Betrieb aufhält, wäre eine Kontrolle ratsam und wohl auch im überwiegenden berechtigten Interesse des Unternehmens nach § 26 III BDSG.

Dies erfolgt wohl nun am besten wie gehabt durch eine bloße Sichtkontrolle im Eingangsbereich. Stellen Sie hier also einen Mitarbeiter hin, der diese Kontrolle vornimmt und in einer geeigneten Liste dokumentiert.

Da es sich hier um Gesundheitsdaten handelt, sollte die Sichtkontrolle am besten von einem verantwortungsbewussten Mitarbeiter durchgeführt werden. Dieser sollte auch noch einmal an die Pflicht zum vertraulichen Umgang mit den Informationen erinnert werden. Im Zweifel macht es ein/e hiermit vertraute/r Mitarbeiter/in der Personalabteilung.

Zulässig ist dabei übrigens auch eine Kontrolle mit der CovPass-Check-App vom RKI (https://play.google.com/store/apps/details?id=de.rki.covpass.checkapp).
Diese kann sowohl auf einem privaten als auch auf einem dienstlichen Mobilfunkgerät installiert werden. Denn es werden bei der Kontrolle der QR-Codes keine Daten gespeichert. Die App zeigt lediglich das Kontrollergebnis des QR-Codes an. - Sinnigerweise sollten die Mitarbeiter hierfür darauf hingewiesen werden, dass sie die Daten über die CovPass-App oder die Corona-Warn-App bereitstellen können (Aber NICHT MÜSSEN!)
https://play.google.com/store/apps/details?id=de.rki.covpass.app
https://play.google.com/store/apps/details?id=de.rki.coronawarnapp

Dies soll keine Werbung sein, sondern einfach der Hinweis, dass man öffentlich bereitgestellte Infrastruktur auch nutzen kann.

2. Umgang mit Testkandidaten und Dokumentation
Bei Testkandidaten ist der Testnachweis am Eingang zu Kontrollieren. Heißt der Test ist vor Ort durchzuführen, oder aber es muss ein Test verwendet werden, der durch eine andere Person bestätigt wurde.
Der Arbeitnehmer sollte den Testnachweis für den Tag selbst aufbewahren. Ein Einlagern des Tests ist schon aufgrund der Infektionsgefahr abzulehnen.
Achten Sie auf die Anforderungen zur Dokumentation.

Die Neufassung von § 22 IVd IfSG lautet:
(4d) Die Testdokumentation muss zu jeder Testung folgende Angaben enthalten:
1. Datum der Testung,
2. Name der getesteten Person und deren Geburtsdatum,
3. Angaben zur Testung, einschließlich der Art der Testung.“

Nutzen Sie hierfür am besten eine Liste die der Vorlage in Anlage 3 entspricht.

3. Einlagerung von Nachweisen
Der Arbeitgeber darf Nachweise lagern. (Wenn man Art. 9 II g) DSGVO ernst nimmt, darf er eigentlich nicht einmal das… Der § 28 IfSG enthält nämlich keinerlei Angaben zu etwaigen Schutzanforderungen und ist damit nicht DSGVO-konform.)
Besser – Der Mitarbeiter ist mit der Einlagerung schriftlich mindestens gem. Art. 9 II a) DSGVO einverstanden (Vorlagentext folgt unten).

Dann der Reihe nach:

• Fragen Sie Mitarbeiter an, ob sie einen Nachweis bei ihrem Arbeitgeber für die reibungslose Einlasskontrolle einlagern wollen.
• Lassen Sie sich die Nachweise der Mitarbeiter nebst der Einwilligung liefern, lagern Sie diese sicher ein.
• Fertigen Sie dabei eine Liste an (wie Anlage 3), von welchem Mitarbeiter ein Nachweis über Impfung bzw. Genesung vorgelegt wurde.
• Behandeln Sie diese Liste vertraulich!
• Der Mitarbeiter, der die Einlasskontrolle macht, kann die Liste dann täglich verwenden – aber nur, wenn er die Liste verdeckt kontrolliert und nicht verliert. Erinnern Sie den kontrollierenden Mitarbeiter daran, dass bei sorglosem Umgang mit der Liste wahrscheinlich eine Abmahnung ausgesprochen werden müsste.

4. Information der Mitarbeiter
Nutzen Sie die nachfolgenden Textbausteine.

Anlage 1 Information der Mitarbeiter und Abfrage einer Einwilligung

Anlage 2 Einwilligungserklärung zur Aufbewahrung

Anlage 3 Kontrollliste für den Eingangsbereich



* https://www.bundesrat.de/SharedDocs/drucksachen/2021/0801-0900/803-21.pdf?__blob=publicationFile&v=1 Dort ab Seite 5 unten

** https://www.secopan.de/newsletter/ Dort August 2021 - Aber jetzt veraltet!

Newsletter zum Datenschutz, November 2021

Handlungsempfehlung Kisters AG

Mit der Kisters AG wurde ein für Energieversorger relevanter Dienstleister Opfer eines Ransomware -Angriffs. Dies hat für die betroffenen Unternehmen gleich mehrseitige Handlungsempfehlungen zur Folge.

1. Prüfen, ob Sie betroffen sind!
An erster Stelle steht die Prüfung, ob es sich bei der Kisters AG um einen Dienstleister Ihres Unternehmens handelt. Die Kisters AG ist bekannt für die Herstellung und den Support zu einer Softwarelösung für Netzleitstellen.
Bei Unsicherheit darüber, ob Sie hier betroffen sind, sollten Sie Ihre Dienstleisterübersicht zur Rate ziehen. Diese finden Sie bei ISO 27001 oder -19-zertifizierten Unternehmen unter dem Prüfungspunkt A15 der Norm.

Die Kisters AG hat aber auch bereits alle betroffenen Unternehmen auf die eine oder andere Weise kontaktiert. Schauen Sie also den E-Mail-Eingang durch.


2. Ausmaß der Betroffenheit klären:
Wenn die Kisters AG ein Dienstleister Ihres Unternehmens ist, besteht nun ein Grund zur weiteren Recherche. Welche Dienstleistungen werden von der Kisters AG übernommen?

• Bestehen Wartungs- bzw. Supportzugriffe?
· Falls ja, wann war der letzte Zugriff und was wurde dort gemacht?
• Sind Daten in jüngerer Zeit an die Kisters AG übermittelt worden?
· Falls ja, welche Daten? Gibt es Login-Daten von Mitarbeitern Ihrer Organisation auf die Infrastruktur der Kisters AG?
• Hat die Kisters AG eventuell Verzeichnisse mit Kontaktdaten Ihrer Mitarbeiter oder Kunden?

3. Erste-Hilfe-Maßnahmen ergreifen.
Sofern noch nicht geschehen, sollten Sie bestehende Zugriffsoptionen der Kisters AG auf Ihr System umgehend abstellen oder blockieren. Sollte der Zugang bisher offen gewesen sein, empfiehlt sich eine Auswertung etwaiger Logdateien über solche Zugriffe.
Bei externen Zugriffen auf das System nach dem 10.11.2021, 21.00 Uhr, sollte das System umgehend komplett geprüft werden.

4. Einleitung von Abhilfemaßnahmen.
In den uns bisher bekannten Fällen waren zwei Maßnahmen empfehlenswert:
1. Alle Mitarbeiter, die Accounts für die Softwareprodukte der Kisters AG hatten, sollten die hier betroffenen Login-Daten zwingend wechseln müssen.

2. Alle Mitarbeiter in Ihrem Unternehmen sollten auf die Möglichkeit von nun eventuell folgenden Phishing-Angriffen vorbereitet werden. Denn alle Mitarbeiter, deren Kontaktdaten bei der Kisters AG hinterlegt waren (Vertrieb, Einkauf, Geschäftsleitung etc.), sind den Angreifern nun möglicherweise bekannt. Mit diesen Informationen können ggfs. im Wege des sogenannten Social Engineering gefälschte E-Mails erschaffen werden, die Ihre Mitarbeiter zum Öffnen von Dateien oder dem Aufruf von schädlichen Verlinkungen verleiten sollen.
Nutzen Sie daher nochmal diese Möglichkeit und erklären Ihren Mitarbeitern, woran gefälschte E-Mails erkennbar sind und was man machen muss, wenn man auf einen schädlichen Link geklickt haben sollte.
Gerne stellen wir unseren Auftraggebern zu diesen Zwecken Awareness-Material kostenfrei zur Verfügung.

5. Bestehende Meldepflichten prüfen – Muss ich melden?
Für diesen Fall gibt es zwei mögliche Meldewege. Rechtlich sind beide voneinander unabhängig zu betrachten.

a.

Meldung an die Datenschutzaufsicht Eine Meldepflicht besteht gemäß Art. 33 DSGVO, wenn ein Risiko für die von der Datenpanne betroffenen Personen nicht ausgeschlossen werden kann.

Wir empfehlen im Zusammenhang mit der Kisters AG eine rein vorsorgliche Meldung an die zuständige Aufsichtsbehörde.

Diese Bewertung unterteilt sich in eine Bewertung der möglichen Auswirkungen und der Wahrscheinlichkeit des Eintritts dieser Auswirkungen.
Für die Bewertung der Auswirkungen kommt es immer auf die Sensibilität der betroffenen Daten an. Und hier liegt für diesen Fall der mögliche Wertungskonflikt. Die betroffenen Daten sind überwiegend dienstliche Kontaktdaten und entsprechende Logins. Da hier weder Zahlungsinformationen noch sensible Informationen über die betroffenen Personen betroffen sind, wäre eine Meldepflicht aus diesem Grund nicht gegeben. Es ist aber auch zu prüfen, was mit den betroffenen Daten angestellt werden kann. Wie oben bereits erwähnt, besteht nun die Möglichkeit, dass mit den Daten neue Ransomware-Angriffe auf die Kunden der Kisters AG erfolgen können. Diese mögliche Folge nehmen wir als Anlass zur vorsorglichen Meldung.

Das war aber nur die Auswirkung. Nachfolgend soll die Eintrittswahrscheinlichkeit betrachtet werden. Bei dem Datenschutzvorfall der Kisters AG kann noch immer nicht geklärt werden, ob auch personenbezogene Daten in Form von Kontakt- und Login-Daten der Mitarbeiter, aber auch ggfs. sogar Kundendaten der betriebenen Stromnetze mit betroffen sind. Die derzeitige Ransomeware-Praxis begnügt sich aber nicht mehr mit der bloßen Verschlüsselung der Daten auf den betroffenen Systemen. Vielmehr werden zu der Verschlüsselung Datenbestände von den betroffenen Systemen gestohlen. Mit der Veröffentlichung dieser Datensätze wird dann zusätzlich gedroht.
Es liegt daher ein Fall vor, bei dem personenbezogene Daten möglicherweise von einer unberechtigten Stelle übernommen / eingesehen wurden. Allein die Möglichkeit reicht im Regelfall bereits für die Meldung aus.

Man kann auf Basis dieser Betrachtung aber auch die gegenteilige Auffassung vertreten. In dem Fall beachten Sie aber die Pflicht zur internen Dokumentation. (siehe dazu unten). Aus unserer Sicht sind Meldungen an die Aufsichtsbehörde nicht schädlich. Ob eine Meldung nicht notwendigerweise hätte erfolgen müssen, ist ein Punkt, den die Aufsichtsbehörde für sich beurteilen kann. Eine aufsichtsbehördliche Maßnahme bis zum Bußgeld kann aber allenfalls für eine fehlende oder unzureichende Meldung erfolgen. (Oder wenn in der Meldung noch ganz andere Schwachstellen oder Verfehlungen offenbart werden müssen.) Für eine vorsorgliche Meldung gibt es kein Bußgeld.

Die Meldung muss im Regelfall durch den Verantwortlichen selbst (also das betroffene Unternehmen) bei der zuständigen Landesdatenschutzaufsicht erfolgen. Hierfür haben alle Aufsichtsbehörden Meldeportale auf ihren Webseiten eingerichtet.
Nehmen Sie eine Meldung am besten immer unter Beteiligung Ihres Datenschutzbeauftragten vor. Als secopan GmbH haben wir hier die nötige Erfahrung und können Ihnen auch durch den unklaren Dschungel der Fragen und Formulierungen helfen.


b.

Meldung an das BSI Die Meldepflicht nach § 8b IV BSIG besteht derzeit formell für alle Energieversorgungsnetzbetreiber. Zu klären ist aber, wie es in diesem Einzelfall aussieht.

Nach unserer Auffassung wäre eine Meldung an das BSI dann erforderlich, wenn es zusätzliche Umstände hierfür gibt.

Kriterium ist gem. § 8b IV Nr. 2 BSIG, ob ein möglicher Ausfall von Systemen oder Prozessen zur Versorgungsicherheit eintreten könnte. Theoretisch könnte man annehmen, dass aufgrund der Eigenschaft der Kisters AG als Dienstleister für kritische Infrastrukturen bereits ein versorgungssicherheitsrelevantes System betroffen ist. Praktisch ist laut Angaben der Kisters AG das BSI bereits informiert, sodass eine Meldung aus diesem Grund keinen Mehrwert bieten würde.

Wenn es aber einen unmittelbar mit dem Vorfall im Zusammenhang stehenden Zugriff der Kisters AG auf die eigenen Systeme gab (z.B. jeder Supportzugriff nach dem 10.11.2021), dann wäre dies ein Umstand, der für eine mögliche Kompromittierung der eigenen Systeme sprechen würde. In diesem Fall wäre eine Meldung sinnvoll. Andere mögliche Gründe sollten mit dem Informationssicherheitsbeauftragten abgestimmt werden.

Ohne Meldung an das BSI geht es unten weiter.

Eine gute Übersicht zur Meldung beim BSI finden Sie auf der nachfolgenden Webseite https://www.bsi.bund.de/DE/Themen/KRITIS-und-regulierte-Unternehmen/Kritische-Infrastrukturen/KRITIS-FAQ/FAQ-zur-Meldepflicht/faq-zur-meldepflicht_node.html


c.

Keine Meldung Sofern die Meldung nicht erfolgt, ist jedoch noch nicht alles erledigt!

So läuft im Rahmen des eigenen ISMS der Prozess des Incidentmanagements nach A16 der ISO 27001 weiter. Erfolgt eine Meldung an das BSI oder die Datenschutzaufsicht nicht, dann wäre im Rahmen der internen Dokumentation auch mindestens ein Satz zur Begründung der Nichtmeldung an diese Behörden aufzunehmen.
Es sollte daher dokumentiert werden, aus welchen Gründen eine Meldepflicht nach Auffassung des ISMS-Teams nicht bestanden hat. Im Regelfall sollte man sich hier zu dem erkannten oder vermuteten Risiko äußern. Besteht kein relevantes Risiko kann man nach der erfolgten Dokumentation dann endlich die Füße hochlegen.

Anbei ein schneller Beispielsatz für die eigene Dokumentation:
Eine Meldung an das BSI ist nicht erfolgt.
Eine Meldepflicht besteht nach Auffassung des ISMS-Teams in Abstimmung mit dem ISB nicht. Die Voraussetzungen des § 8b IV BSIG liegen nicht vor. Weder sind relevante Systeme ausgefallen, noch besteht ein erhebliches Risiko für die Versorgungssicherheit.

6. Fristen beachten

Im Falle der Datenschutzaufsicht besteht eine Meldepflicht von 72h ab dem Zeitpunkt der Kenntnisnahme des Vorfalls. Die Information der Kisters AG über die mögliche Betroffenheit von personenbezogenen Daten erfolgte am 17.11.2021 nachmittags.
Eine spätere Meldung ist möglich, sollte aber begründet werden.

Im Falle des BSI müsste die Meldung umgehend erfolgen.

Newsletter zum Datenschutz, Oktober 2021
Was ist das TTDSG und wann tritt es in Kraft?

datenschutz Newsletter Oktober 2021Mit dem TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) werden die Datenschutzbestimmungen des TMG (Telemediengesetz) und TKG (Telekommunikationsgesetz) zusammengeführt. Zugleich wird durch das TTDSG die ePrivacy-Richtlinie der EU in deutsches Recht umgesetzt. Dadurch soll das bestehende gesetzliche Durcheinander aufgelöst und ein einheitliches Stammgesetz für den Datenschutz bei der Nutzung von Telekommunikationsdiensten und Telemedien geschaffen werden. Das TTDSG tritt am 01.12.2021 in Kraft. Parallel dazu tritt am 01.12.2021 auch eine Neufassung des TKG in Kraft.




Was kommt neu dazu?
  • Natürlich neu ist die Bußgeldregelung des Gesetzes in § 28 TTDSG. Verstöße können bis zu 300.000 € kosten. Einfallstore für diese Verstöße dürften bei den meisten Unternehmen demnächst fehlende oder nicht nachweisbare Einwilligungen oder Datenschutzhinweise sein.
  • Nicht wirklich neu, aber immer wieder einen Hinweis wert, ist die Ausdehnung des Fernmeldegeheimnisses auf „geschäftsmäßige Anbieter“. Geschäftsmäßig meint im juristischen Sprachgebrauch „auf Wiederholung ausgelegt“, ob ein Entgelt verlangt wird, ist dabei unerheblich. Damit ist der Arbeitgeber, der seinem Angestellten ein Mobiltelefon zum auch privaten Gebrauch bereitstellt, ein Anbieter und zur Wahrung des Fernmeldegeheimnisses § 3 I und III TTDSG verpflichtet.
  • Durch die Neufassung des TKG werden auch OTT (Over-the-Top)-Dienste als Telekommunikationsdienste erfasst. Bei OTT-Diensten handelt es sich um Kommunikationsdienste, die Messaging und Telefonie über das Internet ermöglichen (z. B. WhatsApp, Skype). Da das TTDSG zum Begriff des Telekommunikationsdienstes auf das TKG verweist, ergeben sich damit für die Diensteanbieter gegenüber der bisherigen Rechtslage strengere Vorschriften, wodurch das Schutzniveau der Nutzer steigt.
  • § 4 TTDSG festigt die Rechtsstellung des Erben / einer anderen berechtigten Person gegenüber dem Anbieter des Telekommunikationsdienstes.
  • Einwilligungserfordernis bei der Verwendung von Standortdaten gem. § 13 TTDSG. Auch wenn das eigentlich nur in der Konstellation des Dienstes mit Zusatznutzen gilt, sollten Standortdaten zukünftig besser immer transparent und unter Einwilligung verarbeitet werden.
  • Regelungen zur Rufnummerunterdrückung bei Anbietern von Kommunikationsdiensten nach § 15 TTDSG (insbesondere bei Werbeanrufen).
  • Für die Speicherung von Informationen in der Endeinrichtung des Nutzers (z. B. Cookies) ist gem. § 24 TTDSG eine Einwilligung zwingend notwendig. Die Wirksamkeit der Einwilligung richtet sich dabei nach den engen Vorgaben der DSGVO. Dadurch findet die bisher bestehende, durch die Rechtsprechung geprägte Rechtslage gesetzliche Fixierung.
    Ausnahmen: Die Speicherung bzw. der Zugriff auf die Informationen ist einzig zur Übertragung einer Nachricht über ein öffentliches TK-Netz notwendig oder zur Bereitstellung eines vom Nutzer ausdrücklich gewünschten Telemediendienstes unbedingt erforderlich.
Was ändert sich im Vergleich zum TMG TKG?
  • Bei Bereitstellung von OTT-Diensten stellt sich für den Betreiber ein möglicherweise erhöhter Aufwand zur Gewährleistung des Telekommunikationsdatenschutzes.
  • Hinsichtlich des Setzens von Cookies ergeben sich rein praktisch keine Änderungen, da bisher ein durch die Rechtsprechung aufgestellter, dem TTDSG entsprechender Maßstab galt. Sofern keine Ausnahme gem. § 24 Abs. 2 TTDSG vorliegt, ist eine Einwilligung zwingend notwendig.
Was passiert nun mit den Cookie-Bannern?

Für die Praxis ergeben sich keine Änderungen, da die Wirksamkeit der Einwilligung bisher bereits am Maßstab der DSGVO gemessen wurde. In § 24 Abs. 1 TTDSG findet die bisherige Rechtsprechung lediglich ihren gesetzlichen Niederschlag.

Neu werden die Treuhänder bzw. „anerkannte Dienste zur Einwilligungsverwaltung“ nach § 26 TTDSG hinzukommen. Es fehlt aber noch an der Rechtsverordnung nach § 26 II TTDSG; hier hat sich die alte Bundesregierung einfach nur Zeit erkauft. Wie sich diese Dienste in der Praxis auswirken, ist derzeit noch nicht absehbar. Auch ist fraglich, ob die Idee von Datentreuhändern wirklich die Lösung für die Einwilligungsprobleme ist. Die Praxis hat bisher gezeigt, dass sich viele Unternehmen nicht durch das Erfordernis der Abfrage einer Einwilligung von der Datenverarbeitung abhalten lassen. Die Treuhänder (wenn sie denn wie geplant funktionieren) vereinfachen hier nur das Vorgehen, lösen aber nicht das Problem.

Newsletter zum Datenschutz, August 2021

3G und der Datenschutz

Wie ist mit den 3 G umzugehen?

Fangen wir vorne an. 3 G bedeutet, dass bestimmte Einrichtungen den Zutritt nur für solche Personen erlauben dürfen, die entweder (G)eimpft, (G)etestet oder (G)enesen sind (3G). Das Ganze wird in Deutschland über eine Änderung der Corona-Verordnungen der Bundesländer umgesetzt.

Was ist das Problem im Datenschutz?

Sowohl die Information über den Impfstatus oder eine Genesung als auch ein aktuelles negatives Testergebnis sind Gesundheitsdaten im Sinne des Art. 9 I DSGVO. Das ist wichtig, denn so sensible Informationen wie Gesundheitsdaten lassen sich nicht so einfach verarbeiten wie andere personenbezogene Informationen.
Das Hauptproblem liegt nun in einer ungünstigen gesetzlichen Umsetzung des Ziels der 3G-Regeln. Und zwar wäre gem. Art. 9 II g) DSGVO (höherrangiges EU-Recht) eine konkrete gesetzliche Regelung für die Handhabung der Statusinformationen (geimpft, getestet, genesen) erforderlich. Eine solche Regelung ist aber in den Corona-Verordnungen (einfaches nationales Recht) der Bundesländer oft nur unzureichend enthalten. Auszugsweise für einige Bundesländer: Baden-Württemberg:

• 6 der Verordnung erlaubt nur eine Sichtkontrolle der Nachweise. Das wird durch § 8 sogar noch konkretisiert, der eine weitergehende Verarbeitung oder Speicherung nur von Kontaktdaten, nicht aber von Nachweisen vorsieht.

Bayern:
• 4 BayIfSMV regelt den Umgang mit Tests. Hierdurch ist die Abfrage eines negativen Testergebnisses durch einzelne Stellen §§ 6 ff. BayIfSMV vorgeschrieben. Hiervon ausgenommen sind gem. § 4 Nr. 2 BayIfSMV geimpfte oder getestete Personen, sofern ein Nachweis mitgeführt wird.
Bedeutet: eine Sichtkontrolle der Nachweise ist erlaubt.

NRW:
• 4 V CoronaSchVO, gültig ab dem 20.08.2021: nur Sichtkontrolle der Nachweise.

Thüringen:
• In Thüringen ergibt sich keine echte Rechtsgrundlage aus der Verordnung. Ein Nachweis über den Status ist lediglich „mitzuführen“ (bei enger Auslegung wäre jede Kontrolle damit eigentlich rechtswidrig). Nach telefonischer Auskunft der Aufsichtsbehörde (Thüringer Landesbeauftragter für Datenschutz und Informationsfreiheit) ist die Verordnung aber so zu verstehen, dass eine bloße Sichtkontrolle durch die verantwortlichen Stellen zulässig ist.
Die Regelungen erfüllen also den strengen Maßstab des Art. 9 II g) DSGVO entweder nicht oder nur unzureichend. Denn in keiner der hier benannten Regelungen werden die Grenzen der Verarbeitung der Statusdaten zum Nachweis klar benannt oder aufgezählt.

Im Wesentlichen dürfen länderübergreifend nur solche Stellen, die in der jeweiligen Verordnung benannt sind, die Nachweise im Rahmen einer Sichtprüfung (also Ansehen und Nicken) verarbeiten.

Wie gehen Sie nun datenschutzkonform hiermit um?
Anbei wollen wir Ihnen für einzelne Fälle eine Handlungsempfehlung geben:

Wie frage ich nun den G-Status der Besucher ab?
Wenn Sie zu den Stellen gehören, die Besucher laut der Verordnung kontrollieren / erfassen müssen (und nur dann), sollten Sie sich im Eingangsbereich den Nachweis vorzeigen lassen (Das war`s schon. Mehr nicht.) Jede Verarbeitung darüber hinaus (speichern, versenden, fotokopieren) sollte vermieden oder mit dem Datenschutzbeauftragten abgestimmt werden.

Darf ich den G-Status oder Impfstatus meiner Mitarbeiter wissen?
Grundsätzlich nein, außer Sie arbeiten in Betrieben oder Einrichtungen, wo besondere Gesetze es Ihnen auch aus anderen Gründen erlauben, Gesundheitsinformationen Ihrer Mitarbeiter abzufragen (Beispiel Schlachthöfe oder ähnliche Einrichtungen der Lebensmittelindustrie, oder die Gesundheitsbranche). Die einzige Rechtsgrundlage hierfür wäre § 26 III BDSG, der nur bei Vorliegen solcher Spezialgesetze für einzelne Branche einschlägig wäre. Eine Einwilligung der Mitarbeiter wäre wegen § 26 II BDSG unzulässig.
Die Informationen sollten daher weder abgefragt noch anders verarbeitet werden.

Darf ich andere Unternehmen nach dem Status der anreisenden Mitarbeiter / Besucher fragen?
Dies wäre unzulässig. Sie dürfen die Nachweise der Mitarbeiter maximal im Rahmen einer Sichtkontrolle und nur durch Abfrage bei dem Betroffenen selbst prüfen. Jede Kopie, E-Mail oder sonstige Übertragung wäre wegen der (auch nur vorübergehenden) Speicherung auf den Geräten unzulässig. Die Daten müssten jeweils umgehend gelöscht werden.

Darf ich anderen Unternehmen im Vorfeld von Terminen den Status der anreisenden Kollegen mitteilen?
Dies wäre eine unzulässige Verarbeitung. Zum einen dürfen Sie die Informationen bei Ihren Mitarbeitern nicht abfragen, zum andern wäre eine Weitergabe der Informationen auch dann unzulässig, wenn Sie diese Informationen auf anderen Wegen erhalten haben sollten.

In unserem Unternehmen sind dokumentierte Informationen über den Impf- oder Test- bzw. Genesungsstatus unserer Mitarbeiter in Bezug auf Covid 19 vorhanden. Was mache ich mit diesen Daten?
Gemäß Art. 17 der DSGVO sind Daten, die ein Unternehmen ohne Rechtsgrundlage verarbeitet, umgehend zu löschen. Wie bereits erwähnt existiert die Rechtsgrundlage nur in Ausnahmefällen. Kontaktieren Sie vor der Löschung erst Ihren Datenschutzbeauftragten und klären Sie ab, ob eine Rechtsgrundlage in Ihrem Fall vorhanden ist.

Newsletter zum Datenschutz, Mai 2021

Sehr geehrte Damen und Herren,
wie immer erhalten Sie mit unserem Newsletter eine Information zu aktuellen Themen des Datenschutzes und der Informationssicherheit.
Dieses Mal erhalten Sie neben unserer Orientierungshilfe für den Einsatz von Kontaktnachverfolgungs-Apps noch einen weiteren wichtigen Hinweis zum Drittlandstransfer von Daten. Wenn Sie Fragen zu den Themen haben, stehen Ihnen unsere Ansprechpartner wie immer mit Rat und Tat zur Seite. Behalten Sie Ihren Datenaustausch mit den USA im Auge und bleiben Sie gesund!

Pandemiebekämpfung: Kontaktnachverfolgung mit Software

Ein wichtiger Baustein im derzeitigen Kampf gegen die Coronapandemie ist die Nachverfolgung persönlicher Kontakte. Diese Option wird wohl auch bei sinkenden Inzidenzwerten noch übergangsweise relevant bleiben. Um diese für Privatpersonen, Unternehmen und Gesundheitsämter so einfach wie möglich zu gestalten, gibt es inzwischen verschiedene digitale Möglichkeiten. Eine davon ist die Warn-App „Luca“, eine weitere ist die Corona Warn App 2.0 „CWA“. Darüber hinaus gibt es noch einzelne Anbieter mit Sonderlösungen.
Wie diese Apps funktionieren, ob Sie die Apps einsetzen können und was Sie für den Datenschutz bei der Arbeit mit diesen Apps beachten müssen, erfahren Sie in diesem Newsletter.

Was können die Apps und was nicht?

Mit dem Luca-App-Einsatz führen Sie eine Kontaktnachverfolgungsliste digital, ohne dass sie diese Daten lesen könnten.
Die Luca-App lässt sich einfach auf dem Smartphone installieren und es muss ein Nutzerprofil erstellt werden. Aufenthaltsort und Zeit (und die hieraus resultierenden möglichen Kontakte) werden dann über einen QR-Code registriert und gespeichert. Die QR-Codes können sowohl von anderen Nutzern der App bei privaten Treffen als auch von Unternehmen, Veranstaltungsorten etc. bereitgestellt werden. Im Infektionsfall leitet die infizierte Person ihre in der App gesammelten Kontakte an das zuständige Gesundheitsamt weiter, das wiederum alle möglichen Betroffenen über das Auftreten einer Infektion informiert. Dabei kann einzig das Gesundheitsamt die übersandten Nutzerdaten entschlüsseln. Der Zugriff anderer Parteien – auch des App-Betreibers oder des Veranstaltungsorts – auf personenbezogene Daten soll so ausgeschlossen sein. Anders arbeitet hier die CWA 2.0. Auch diese App kann in der neuen Version QR-Codes erfassen. Anders als die Luca-App werden hier aber keine personenbezogenen Daten erfasst. Weder die App selbst noch der Veranstalter noch das Gesundheitsamt erfahren über die App, wer der Nutzer ist. Das ist dann zwar datenschutzkonform, aber hierdurch kann die von den Bundesländern geforderte Kontaktnachverfolgbarkeit nicht durchgeführt werden. Also muss der CWA 2.0-Nutzer sich in die analoge Kontaktnachverfolgungsliste eintragen.

Verbietet der Datenschutz den Einsatz der App?

Die hauptsächliche Kritik an der Luca-App bezieht sich auf möglichen Missbrauch sowie die technischen Schwachstellen einer Speicherung der Daten in einer zentralen Datenbank. Eine solche Datenbank mit einer Vielzahl personenbezogener Daten ist für Hackerangriffe ein besonders lohnendes Ziel. Gerade diese Woche gibt es ein Video, in dem gezeigt wird, wie ein Cyberkrimineller über die Luca-App ein Gesundheitsamt angreifen kann.

Gerade hier verfügt die Corona-Warn-App über eine dezentrale, datenschutzkonforme und sichere Lösung. Die Luca-App kann zudem auch von Anwendern missbräuchlich verwendet werden, indem beispielsweise beim Besuch in einem Restaurant erfundene Daten oder gar die persönlichen Daten einer anderen Person eingetragen oder nach Besuch verändert werden. Im Extremfall kann dies etwa eine erzwungene Quarantäne für jemanden zur Folge haben, der sich gar nicht wirklich in der Nähe einer infizierten Person aufgehalten hat. Dieselbe Schwachstelle liegt aber ähnlich auch bei der Kontaktnachverfolgung auf Papier vor.
Bei einem öffentlich ausgehängten QR-Code, z. B. in einem Restaurant oder an einem Veranstaltungsort, besteht überdies die theoretische Gefahr, dass auch in größerem Umfang Personen eingetragen werden könnten, die den Ort gar nicht besucht haben.
Insgesamt ist der Einsatz der Apps möglich. Gerade im Falle der Luca-App wurde dieser Einsatz auf politischen Druck hin von den Datenschutzaufsichtsbehörden trotz Bedenken gebilligt.

Wie lassen sich nun die Apps datenschutzkonform verwenden?

Bei der Corona-Warn-App bestehen keine Probleme. Sie kann einfach verwendet werden. Wenn Sie die Luca-App in Ihrem Unternehmen oder bei Veranstaltungen verwenden wollen, ist dies grundsätzlich möglich. Sie sollten jedoch einige Punkte beachten:

• Die Nutzung muss freiwillig erfolgen! Damit die Nutzung wirklich freiwillig erfolgt, muss es eine alternative Möglichkeit zur Kontaktnachverfolgung geben, z. B. durch Notieren der Daten auf Papier. Damit verbietet sich auch die verpflichtende Installation auf dienstlichen Telefonen. Auch bei Zutrittsbeschränkungen „nur mit Luca-App“ besteht ein Datenschutzverstoß.

• Die Luca-App sollte im Idealfall nur dann verwendet werden, wenn Sie aufgrund einer aktuellen Corona-Verordnung zur Führung von Kontaktlisten verpflichtet sind. Sofern keine rechtliche Verpflichtung besteht, kann der Einsatz nur auf Basis einer Interessenabwägung erfolgen. Diese muss schriftlich vorliegen und gegenüber der Datenschutzaufsichtsbehörde vorlegbar sein. Hierfür sollten Sie in jedem Fall Rücksprache mit Ihrem Datenschutzbeauftragten halten.

• Um missbräuchliche Masseneintragungen zu verhindern, sollte der QR-Code ausschließlich tatsächlichen Besuchern Ihres Unternehmens/Ihrer Veranstaltung zugänglich sein.

• Sofern die Luca-App (oder ähnliche Lösungen) Verwendung finden soll, sind Sie in dem Moment, in dem Sie den QR-Code aushängen und den theoretischen Zugriff auf die durch die App verarbeiteten Daten haben, Verantwortlicher im Sinne der DSGVO. Und zwar auch dann, wenn Sie die Daten aufgrund der Verschlüsselung nicht selbst lesen können. Hierdurch gelten die regulären Pflichten, wobei Sie insbesondere auf die Transparenzpflicht nach Art. 13 DSGVO achten sollten. Geben Sie also nach Möglichkeit in einer kurzen Datenschutzerklärung immer an, welche Daten Sie aus welchen Gründen verarbeiten, und vor allem: Welches Gesetz / Corona-Verordnung Sie hierzu verpflichtet bzw. warum Ihrerseits ein überwiegendes berechtigtes Interesse besteht. Für die Luca-App gilt aber auch: Sie erhalten als Veranstalter / Betreiber einen digitalen Schlüssel als Datei. Dieser Schlüssel darf nicht verloren gehen. Es würde sich um einen meldepflichtigen Datenschutzvorfall handeln, wenn Ihr Schlüssel verloren geht. Auch muss diese Datei vor dem Zugriff Dritter geschützt werden.

• (Generell bei Kontaktnachverfolgung auch in Papierform:) Bei begründeten Zweifeln an der Richtigkeit der angegebenen Daten kann ein Vergleich der Daten mit dem Personalausweis durchgeführt werden. Für einen allgemeinen Abgleich ohne zusätzliche Verdachtsmomente ist dies allerdings zu aufwändig und zudem eine zusätzliche Datenverarbeitung, die aus datenschutzrechtlichen Gründen nicht unproblematisch ist.

Sollten Sie unsicher sein, ob und wie Sie die Luca-App in Ihrem Unternehmen datenschutzkonform einsetzen können, stehen wir Ihnen als Ihr Datenschutzbeauftragter selbstverständlich für Rückfragen zur Verfügung. Gleiches gilt für eine Bewertung von anderen digitalen Angeboten für eine Kontaktnachverfolgung.

Drittlandtransfer und Schremms II

Das klingt jetzt wie kalter Kaffee - immerhin ist das Urteil Schremms II vom EUGH schon im letzten Jahr ergangen – ist es aber nicht.

Der Datenaustausch mit unsicheren Drittländern (hierzu zählen auch die USA) bleibt weiter ein spannendes Feld. Schon im letzten Jahr hatten wir hierzu empfohlen, erst einmal eine Übersicht zu erstellen, an welchen Stellen welche Daten in ein Drittland übertragen werden bzw. werden könnten. Nun gibt es Hinweise, dass hierzu demnächst deutschlandweit Rückfragen von Aufsichtsbehörden erfolgen könnten.

Zwar handelt es sich bisher nur um eine Ankündigung, es gab aber schon in der Vergangenheit erste Versuche zur Kontrolle der Umsetzung, z. B. von dem Hamburger Landesbeauftragten für Datenschutz. Ob solche Anfragen nun in großem Stil erfolgen werden, ist noch nicht klar. Aber beachten Sie die folgenden Erwägungen:

1. Das Urteil wird demnächst ein Jahr alt. Es gab also genug Zeit, sich mit der Umsetzung zu befassen. Es gibt auch schon Handlungsempfehlungen 2 - auch wenn diese nicht wirklich einfach umzusetzen sind.
2. Selbst bei stichprobenartigen Kontrollen mit entsprechenden Fragebögen wäre dies ein weiterer erheblicher Aufwand für die bereits ausgelasteten Datenschutzaufsichtsbehörden. Es scheint also fragwürdig, inwieweit die Behörden diese zusätzliche Last auf sich nehmen.
3. Große Unternehmen stellen gerade mit Blick auf dieses Thema ihre Auftragsverarbeitungsverträge um.
4. Namhafte Dienstleister und Anbieter beugen sich dem Druck und ziehen mit ihren Servern in den europäischen Wirtschaftsraum.
5. Dienstleister werden zunehmend von ihren Auftraggebern gerade auch mit Blick auf Schremms II kontrolliert.

Nach unserer Einschätzung ist es nur eine Frage der Zeit, bis spezifische Kontrollen kommen werden. Die Vergangenheit zeigt, es mangelt den Aufsichtsbehörden nicht an der Motivation, nur manchmal an den Mitteln.

Unsere neue Homeoffice Schulung ist ab sofort verfügbar.

Nicht erst seit der Corona-Krise bieten viele Unternehmen ihren Mitarbeitern Homeoffice, mobiles Arbeiten und andere flexible Arbeitsplatzmodelle an. Diese haben viele Vorteile, sind aber auch mit zahlreichen arbeitsrechtlichen Herausforderungen verbunden.

Vergessen Sie nicht, dass Sie insoweit verpflichtet sind, Ihre Mitarbeiter für den Einsatz im Homeoffice gezielt datenschutzrechtlich zu sensibilisieren.

Das Datenschutzrecht fordert eine auf die jeweilige Gefahrenlage gerichtete Sensibilisierung der Mitarbeiter. Wie verhalten sich Mitarbeiter im Homeoffice richtig, um den hohen Anforderungen an Datenschutz, Datensicherheit und Berufsgeheimnisschutz gerecht zu werden? Welche Gefahren lauern im häuslichen Arbeitsumfeld? Was sind „No Goes“, was ist „Best Practice“.

Die Schulung richtet sich konkret an Mitarbeiter im Homeoffice, mit vielen Empfehlungen und Informationen.

Sie haben noch keinen Zugang? Kontaktieren Sie uns gerne.

Datenschutz konforme Handlungsempfehlung zu Corona Schnelltests

Derzeit werden bundesweit Corona Schnelltests verkauft und kommen zur Anwendung. Die datenschutzrechtliche Einordnung hierzu ist schwierig und nicht ohne Fallstricke.

Handlungsempfehlungen der Datenschutzbehörden stehen noch aus. Aus diesem Grunde haben wir eine nach unserer Ansicht datenschutzkonforme Vorgehensweise für die Verwendung von Corona Schnelltests für Sie entworfen.

Sobald die ersten Datenschutzbehörden entsprechende Handlungsempfehlungen bereitgestellt haben, werden wir unsere Vorgehensweise hieran anpassen. Bis dahin empfehlen wir die im Anhang ersichtliche Vorgehensweise.

Auf keinen Fall sollten Sie Schnelltests im Unternehmen / in der Kommune / in der Behörde verwenden, ohne einen entsprechenden Prozess initiiert zu haben.


Handlungsempfehlung_Corona_Schnelltest.docx

Handlungsempfehlung_Corona_Schnelltest.pdf
secopan – Newsletter März 2021

Update zum Datenschutz

Im Datenschutz ist auch in Pandemiezeiten immer Bewegung. Daher erhalten Sie im Folgenden nützliche Informationen.

Derzeit werden die Jahresberichte der Aufsichtsbehörden veröffentlicht. Die Auswertung wird noch dauern, aber schon jetzt gibt es einige interessante Anhaltspunkte:

• Fiebermessen am Werkstor: Laut dem Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg für das Jahr 2020 sind solche Corona-Maßnahmen nahezu nicht datenschutzkonform durchführbar. Bei der Körpertemperatur handelt es sich um Gesundheitsdaten. Da die Messmethode ungenau ist und das Ergebnis hinsichtlich der Corona-Gefährdung damit unklar bleibt, ist dieses Vorgehen regelmäßig unzulässig. • Nehmen Sie diesen Hinweis vor allem für die demnächst möglichen Corona-Tests auf. Gehen Sie schon jetzt davon aus, dass es sich auch bei den Testergebnissen der Schnelltests um Gesundheitsdaten handelt. Stimmen Sie daher also schon jetzt Teststrategien für Ihr Unternehmen mit Ihrem Datenschutzbeauftragten ab!

• Infektionsfall: Ebenfalls spannend bleibt die Information, über die Infektion eines Mitarbeiters mit COVID-19. Hier ist der Status immer noch unverändert! Der Name des erkrankten Mitarbeiters darf nicht einfach so im Kollegenkreis frei herausgegeben werden. Die Preisgabe des Namens ist und bleibt das letzte Mittel – und zwar auch dann, wenn der „Flurfunk“ im Unternehmen schon wieder alle Grenzen des Datenschutzes hinter sich gelassen hat. • Stimmen Sie auch hier das Vorgehen mit Ihrem Datenschutzbeauftragten ab. Für solche Fälle sind wir telefonisch erreichbar. Versuchen Sie immer erst auf allen anderen Wegen die möglicherweise ebenfalls gefährdeten Kollegen des Mitarbeiters zu identifizieren. Die Infektionsnachverfolgung ist normalerweise die Aufgabe des Gesundheitsamtes. Als Arbeitgeber müssen Sie hier jedoch Ihre Fürsorgepflicht gegenüber den Arbeitnehmern wahren.

Aktuelle Entwicklungen bei den Bußgeldern

Das Rekordbußgeld gegen die Deutsche Wohnen wurde vom zuständigen Landgericht kassiert. Die Aufsichtsbehörde regt derzeit Rechtsmittel gegen die Entscheidung an. Einerseits war der Bescheid wohl fehlerhaft, andererseits hat das Gericht hier eine andere Auffassung von der Verantwortlichkeit im Unternehmen.

• Die Angelegenheit ist noch nicht vom Tisch. Wir halten Sie auf dem Laufenden. Gerade an den Rekordbußgeldern wird wahrscheinlich das Verfahren für die „kleineren“ Fälle für die Zukunft optimiert. Die Aufsichtsbehörden werden garantiert aus einzelnen Fehlern lernen. Gleichwohl ist derzeit ein Trend gegen die Rekordbußgelder erkennbar. Die Gerichte sind scheinbar nicht bereit, diese großen Summen ohne Weiteres zu bestätigen. Im Falle von 1und1 wurden z. B. aus 9,55 Millionen Euro nun 900.000 Euro.

Die letzten größeren Bußgelder lassen sich derzeit auf zwei wesentliche Verstöße einkreisen:

1. Rechtswidrige Videoüberwachung Hier gab es nun ein neues Rekordbußgeld von 10,4 Millionen Euro gegen das Unternehmen Notebooksbilliger.de. Das Unternehmen hatte seine Mitarbeiter ohne vertragliche Grundlage in einem Zeitraum von mindestens zwei Jahren mit Videokameras überwacht. Problematisch war die überlange Speicherdauer von 60 Tagen sowie die pauschale und anlasslose Überwachung von Mitarbeitern und Kunden. • Nutzen Sie die Hinweise und stimmen Sie eine Videoüberwachung immer mit Ihrem Datenschutzbeauftragten ab! Gehen Sie davon aus, dass Sie hier kein Nachsehen der Aufsichtsbehörden bei Verstößen erwarten können. Es gibt keinen “Bestandsschutz” bei den Überwachungskameras! Auch uralte Videoüberwachungen können gegen geltendes Datenschutzrecht verstoßen und zu Bußgeldern führen.

2. Unzulässige Werbung / Werbeanrufe
Die Verstöße sind immer identisch: Unzulässige Werbeanrufe ohne Einwilligung oder erneute Anrufe, obwohl ein Widerspruch erteilt wurde. Hierzu gibt es derzeit auch ein neues Urteil des Saarländischen OVG, welches die Thematik der Einwilligung aufnimmt und klarstellt. In dem dortigen Fall wurde im Rahmen der Double Opt-In-Einwilligung als E-Mail auch eine Telefonnummer abgefragt und bestätigt. Blöd nur, dass die Inhaber der Rufnummer die E-Mail-Adresse nachweisbar nicht kannten. Die erteilte Einwilligung war also nicht nachweisbar von den Betroffenen erteilt worden und damit gab es keine Einwilligung.

Achtung: Das OVG stellte in dem Zusammenhang auch noch einmal unmissverständlich klar, dass bereits der erste Anruf, um eine Einwilligung für Werbeanrufe telefonisch abzufragen, ohne Einwilligung unzulässig ist!

Beachten Sie im Falle der Werbung immer auch den § 7 UWG. Dessen Regelungen werden als Maßstab für die Bewertung der Einwilligung herangezogen. Ohne eine solide Einwilligung ist Werbung nur für Bestandskunden unter den dortigen Voraussetzungen möglich. Hier ist es erforderlich, schon im Moment der Vertragsaufnahme mit dem Kunden die richtigen Hinweise für zukünftige Werbung zu geben. Auch hier gibt es keinen Bestandsschutz! Alte Listen von Werbungsempfängern sind fast immer unwirksam. Ohne eine DSGVO-konforme Einwilligung müssen selbst die alten Werbekundenverzeichnisse gelöscht werden.

secopan – Newsletter Januar 2021 - 02

Office 2 Go

Ganz egal ob Sie Home-Office nun positiv oder negativ gegenüberstehen, Telearbeit wird kommen … und bleiben. Bereiten Sie sich also schon jetzt langsam darauf vor. Je mehr Sie heute schon richtig machen, desto weniger müssen Sie später nacharbeiten.

Unabhängig von den Vor- und Nachteilen von Home-Office hier nochmal ein paar wesentliche Informationen:

Home-Office bezeichnet den Teil der Telearbeit der in den eigenen vier Wänden erbracht wird.

Wo fange ich beim Home-Office an?

• Vorweg Vertraglich:
Schließen Sie ergänzende vertragliche Vereinbarung mit den Mitarbeitern. Stellen Sie zuallererst vertraglich sicher, wie Sie Ihren Mitarbeiter in das Home-Office schicken, unter welchen Bedingungen und vor allem wie Sie ihn wieder zurückrufen können. Wenn es irgendwo Probleme gibt ist der mögliche Rückruf Ihre beste Option um die Sache zu regeln. Vereinbaren Sie ein Kontrollrecht des Arbeitgebers im Home-Office. Und regeln Sie vor allem die Rückgabe von Arbeitsgerät, Papier und Datenträgern aus dem Home-Office nach der Beendigung. Schließen Sie Zurückbehaltungsrechte aus.

• Technisch:
Stellen Sie dienstliches Arbeitsgerät bereit und regeln Sie die private Nutzung (sofern noch nicht geschehen). Nutzen Sie eine VPN Software für die gesicherte Datenübertragung. Legen Sie die Anwendungen fest, welche verwendet werden sollen. (Videokonferenz Tool, VPN Software, E-Mail Client, Telefonsoftware, Virenschutz) Achten Sie bei der Festlegung der Tools auf Verschlüsselungsoptionen! Z.B. Telefonsoftware muss das anbieten sonst ist sie nicht Datenschutzkonform.

• Organisatorisch:
Auch im Home-Office gelten die bisherigen Richtlinien zum Umgang mit Hard und Software weiter. Ergänzen Sie diese Regelungen mit einer Richtlinie zum Home-Office. Vermeiden Sie unnötige Widersprüche zwischen den Regelungen. Alle vorhandenen Richtlinien sollten auch im Home-Office unverändert fortgelten (sofern diese anwendbar sind). Die Home-Office Richtlinie sollte daher nur alle „neuen“ Punkte regeln.

Regeln Sie folgende Punkte:
Arbeitsschutz im Home-Office, Papier und Akten im Home-Office, Sicherheit des Arbeitsplatzes (offenes Fenster 1. Stock falsches Stadtviertel), Verbieten Sie Sicherheitsrelevante Vorgänge im Home-Office, (Das Coca-Cola Rezept zuhause) Vermeiden Sie es nach Möglichkeit, dass Unternehmensdaten auf privaten Geräten landen oder umgekehrt private Daten auf Unternehmensgeräten.

Das sind leider schon eine ganze Menge Punkte. Je mehr Sie umsetzen können, desto weniger Risiken trägt Ihr Unternehmen. Gerne steht Ihnen Ihr Ansprechpartner bei der secopan GmbH für die Umsetzung beratend zur Verfügung.

secopan – Newsletter Januar 2021

SolarWinds-Hack - Ein Angriff, der um die Welt geht

Zehntausende Firmen könnten betroffen sein, es gilt als größter Hack seit Jahren. Wieso ist der SolarWinds-Hack so gefährlich? Um welche Schwachstelle handelt es sich und sind vielleicht auch deutsche Firmen und Forschungsinstitute betroffen?

SolarWinds bietet als Dienstleister Softwarelösungen für das IT- und Netzwerkmanagement an. Kunden können so Datenbanken und Systeme verwalten. Das Unternehmen zählt weltweit mehr als 300.000 Kunden, etwa 18.000 Kunden hätten im Zeitraum zwischen März und Juni 2020 das kompromittierte Update installiert. Dadurch wurde den Angreifern eine Hintertür namens „Sunburst“ in die Systeme und Netzwerke der Kunden geöffnet.

Die Liste der Betroffenen wächst täglich. Softwareentwickler wie Microsoft und VMware gehören zu den Opfern, ebenso der Finanzdienstleister Equifax, die Wirtschaftsprüfer von Deloitte sowie die Tech-Firmen Nvidia, Belkin, Intel und Cisco.

Wie ließe sich die Hintertür schließen?

Die Sicherheitslücke wurde nach bekannt werden schnell geschlossen. So kann über diesen Weg kein weiterer Schaden angerichtet werden. Es ist aber denkbar, dass die Angreifer weitere Schadsoftware eingeschleust haben und es so möglich ist, neue Hintertüren zu öffnen. Den SolarWinds-Kunden kann man deshalb nur raten, die Schutzmaßnahmen zu verstärken.

Der IT-Experte Hartmut Pohl formuliert noch drastischere Maßnahmen: „Eigentlich muss man sofort alle betroffenen Systeme abschalten. Das klingt überzogen, aber unter dem Aspekt, dass die Angreifer Ihnen die ganze IT stilllegen können, muss man das riskieren.“ Entscheidend seien die unbekannten Sicherheitslücken, die es noch im System geben könne. „Sonst lebt Ihr Unternehmen mit einer Hintertür, über die Angreifer jederzeit reinkommen“, sagt Pohl.

Warum sind die Angriffe bedenklich?

Solche Angriffe sind nur schwer zu erkennen, weil sich der Schadcode in Software versteckt, der man als Unternehmen vertraut. Solange die Sicherheitslücke unentdeckt bleibt, können auch Antiviren-Software und Firewall wenig ausrichten. Die Software verfügt von Haus aus über weitreichende Rechte, um Systeme und Netzwerke zu verwalten und zu analysieren. So gelangen die Hacker schnell in das ganze Netzwerk hinein und können hohen Schaden anrichten.

Was bedeutet das für die Nutzerinnen und Nutzer?

Im schlimmsten Fall könnten die Hacker bereits sämtliche Daten Ihres Systems kopiert haben. Dazu gehören E-Mails, Adressbücher, aber auch Passwörter und vertrauliche Dokumente, Datenbanken, Baupläne und Firmengeheimnisse. Es könnten aber auch Maschinen und Computer manipuliert und sabotiert werden.

Welche Daten wurden gestohlen oder verändert?

Bei fast allen Opfern laufen noch Untersuchungen. Microsoft berichtet, dass sich unbekannte Angreifer Einblicke in den Quellcode von Produkten verschafft hatten. In dem Statement gibt das Unternehmen zu, dass die Hacker einen Teil des internen Quellcodes der Firma einsehen konnten. Nach einer Untersuchung ist Microsoft jetzt zu dem Ergebnis gekommen, dass im Rahmen der Attacke kein interner Code modifiziert werden konnte. Den Angreifern sei es nicht gelungen, Zugang zu den ProduktionsSystemen zu erlangen. Darüber hinaus gebe es keine Hinweise darauf, dass die Hacker auf Daten von Kunden zugreifen konnten oder die Microsoft-Systeme dafür verwendet haben, um andere Unternehmen anzugreifen.

Der SolarWinds-Hack ist vom Ausmaß her einer der größten Cyberangriffe der vergangenen Jahre. Und der genaue Schaden muss sich erst noch zeigen.

Unsere aktuellen Empfehlungen zu diesem Thema:

Verwenden Sie die betroffene Software? Wenn ja, sollten wir zeitnah ein Ereignis hierzu dokumentieren. Als Maßnahmen müssen sodann erfolgen:

• Update von SolarWind einspielen
• Netzwerke und Systeme auf Hintertüren prüfen
o Firewall-Datenverkehr kritisch überwachen, Regeln überarbeiten
o Welche Prozesse haben welche Verbindungen?
o Wer hat worauf Zugriff?
o Ändern Sie die Passwörter
o Rechte von Orion nach Möglichkeit auf ein Minimum reduzieren

Bei weiteren Fragen wenden Sie sich bitte an Ihren zuständigen ISB (Informationssicherheitsbeauftragten) per E-Mail unter datenschutz@secopan.de

secopan – Newsletter September 2020

Durchstarten in den Herbst

Wir hoffen Sie hatten trotz der widrigen Umstände dieses Jahr einen angenehmen Sommer. Damit der Herbst etwas angenehmer wird erhalten Sie hier unseren Newsletter mit ein paar relevanten Neuerungen und Hinweisen. Dieser Newsletter steht dabei ganz im Zeichen der Awareness.

Awareness bedeutet übersetzt so viel wie Bewusstsein bzw. Wahrnehmung. In der IT-Sicherheit und damit auch im Datenschutz geht es also um die Achtsamkeit Ihrer Mitarbeiter im Umgang mit den eigenen Systemen und die Fähigkeit Unregelmäßigkeiten erkennen und melden zu können.

Ein Mitarbeiter, der die Phishingmail erkennt, den Link nicht anklickt und den Vorgang der IT-Abteilung meldet, spart ihrem Unternehmen mitunter mehr Geld ein, als er Sie das ganze Jahr kostet. Das ist eine immense Wertsteigerung Ihres Humankapitals!

Awareness-Poster *Neu zur Verfügung*
Damit das funktioniert, schauen Sie mal rein unter https://www.secopan.de/awareness/ und nutzen Sie einfach die hier bereitgestellten Materialien. Die Poster können unsere Kunden auf Wunsch auch in Druckqualität (Ohne Wasserzeichen) erhalten und innerhalb Ihres Unternehmens verteilen.

Schulung *Jetzt in besser*
Unter https://awareness.secopan.de/ können Sie unsere neu überarbeitete Datenschutzschulung nebst einem Schulungsvideo für Phishing E-Mails und der IT-Sicherheitsschulung absolvieren. Ihre Mitarbeiter erhalten nach dem erfolgreichen Abschluss des jeweils zugehörigen Tests ein Zertifikat für die Datenschutz- und IT-Sicherheitsschulung. Die Anmeldung kann jeder Mitarbeiter selbst erledigen. Zum Einschreiben in die jeweiligen Kurse ist ein Einschreibeschlüssel zur Zuordnung des Mitarbeiters zu Ihrem Unternehmen / Ihrer Behörde erforderlich. Diesen Schlüssel erhalten Sie von dem für Sie zuständigen Mitarbeiter der secopan.
Eine Schulung im Datenschutz sollte mindestens einmal pro Jahr oder aber zur Einstellung eines neuen Mitarbeiters erfolgen. Die Schulungen dauern nebst Test zusammen ca. 1h Zeit. Geschult werden sollte zumindest jeder Mitarbeiter der Kundenkontakt oder einen PC-Arbeitsplatz hat.
Die neue Plattform ermöglicht es den Datenschutzkoordinatoren selbst auf die Zertifikate der Mitarbeiter zuzugreifen. Sollten Sie hiervon Gebrauch machen wollen, wenden Sie sich an uns.

EUGH Schremms II Privacy Shield
Wer Nachrichten im Datenschutz verfolgt oder aber hin und wieder unter https://www.secopan.de/blog/ unsere Hinweise einsieht, der hat mitbekommen, dass der Datenaustausch mit den USA leider schwieriger geworden ist. Was Sie nun tun müssen können Sie unserem beiliegenden Hinweisblatt entnehmen.

Mitarbeiterwechsel
Leider müssen wir Ihnen ebenfalls mitteilen, dass die Kollegen Herr Salfeld und Herr Maa zum August hin die secopan GmbH auf eigenen Wunsch hin verlassen haben. Sollte Ihnen der Wechsel des für Sie zuständigen Mitarbeiters noch nicht aufgefallen sein, schicken Sie bitte eine E-Mail an datenschutz@secopan.de Sie erhalten eine Rückmeldung des nun für Sie zuständigen Kollegen.

secopan – Newsletter September 2020 Hinweisblatt

Haben Sie schon von dem Urteil Schrems II des EUGH gehört?

Im Wesentlichen geht es darum das der EUGH das Privacy Shield-Abkommen mit den USA für ungültig erklärt hat. Begründung: Die USA können aufgrund der dortigen Gesetzeslage und den zu neugieren Geheimdiensten die Sicherheit der in Ihr Land übertragenen Daten nicht gewährleisten.

Das war keine Überraschung. Um ehrlich zu sein war allen Beteiligten klar, dass die bisherige Situation aus Datenschutzgesichtspunkten unzureichend und eher fragwürdig gewesen ist.

Was ist also nun zu tun?

Es gibt keine Übergangsfristen und daher müssen wir handeln. Folgen Sie daher unserer kurzen Anleitung:

1. Identifizieren Sie alle Verarbeitungstätigkeiten bei denen personenbezogene Daten in die USA übermittelt werden.
a. Wer ein Verzeichnis der Verarbeitungstätigkeiten hat, schaut einfach dort rein. Dort steht unter der Spalte Drittland ob es Daten gibt, welche die Europäische Union verlassen.
b. Wer kein Verzeichnis der Verarbeitungstätigkeiten hat, muss sich auf die Suche nach entsprechenden Verarbeitungsvorgängen begeben. Liegen z.B. Verträge mit Dienstleistern in den USA vor?
c. Beachten Sie auch Ihre Dienstleister und deren Subunternehmer. Soweit ein Auftragsverarbeitungsvertrag vorliegt, steht dort meistens drin ob es einen Subunternehmer in den USA gibt.
2. Haben Sie einen Datentransfer in die USA gefunden? Falls ja nehmen Sie eine Bewer-tung des Vorgangs vor und binden Sie hierbei ihren Datenschutzbeauftragten ein. Welche Daten werden hier warum übermittelt?
3. Nun werden wir Ihnen eine Empfehlung aussprechen. Als Lösung gibt es im Wesentlichen 3 Möglichkeiten:
a. Beendigung der Verarbeitungstätigkeit. (Hier können Sie unter Umständen Sonderkündigungsrechte haben)
b. Abschluss von Standardvertragsklauseln als neue Transfergrundlage
c. Rückfrage bei der Aufsichtsbehörde, weil weder a) noch b) taugliche Optionen sind.

secopan – Newsletter August 2020

Was macht Ihr mit meinen Daten?

Die Betroffenenanfrage. Genauer die Geltendmachung von dem Recht auf Auskunft aus Art. 15 DSGVO. – Ja da steht ein Gesetz, das heißt aber nicht, dass Sie hier schon aufhören sollten zu Lesen :) der Text geht auch für Nichtjuristen – versprochen - Der grundsätzliche Gedanke hinter diesem Recht ist, dass Herr Müller (als betroffene Person) von der Meier GmbH (dem für die Datenverarbeitung Verantwortlichen) immer erfahren können muss, was mit seinen Daten gemacht wird. Das ist also in erster Linie ein Recht des Herrn Müller. Für den Verantwortlichen ist das natürlich eine mittlere Katastrophe. Da kommt jetzt ein Herr Müller und muss eine Leistung bekommen, für die er nicht einmal bezahlen muss.

Schlimmer noch: Die Erfahrung zeigt, dass die Betroffenenanfragen fast ausschließlich querulatorisch gestellt werden. Sollten Sie z.B. demnächst mit einer Kündigungsschutzklage eines Mitarbeiters zu tun haben, so grenzt es an einen Verfahrensfehler des Anwalts, wenn er vergessen hat auch noch das Auskunftsrecht aus Art. 15 DSGVO geltend zu machen. Das gibt Munition für den Rechtsstreit und schafft eine angenehmere Basis für Abfindungsan-sprüche aus Vergleichsverhandlungen. Auch Reichsbürger lieben dieses Recht aus einer von Ihnen abgelehnten Rechtsordnung. Unzufriedene Kunden klicken gerne jeden Datenschutz-hinweis weg aber Stellen im Falle einer Meinungsverschiedenheit auch gerne mal eine Anfrage, um bei der Zuverlässigkeit des Unternehmens im Umgang mit Daten auf Nummer sicher zu gehen.

Das ist ärgerlich. Lässt sich aber nicht vermeiden. Da es sich um ein Recht des Betroffenen handelt, wird der Nachweis über eine rechtsmissbräuchliche Anfrage meist nicht gelingen. Es bleibt nur die Chance diese Anfrage souverän und schnell zu beantworten.

Schritt Eins: Erkennen
Sollten Ihre Mitarbeiter nicht in der Lage sein eine solche Anfrage zu identifizieren haben Sie die Schlacht meist schon an dieser Stelle verloren. Sie haben nur einen Monat Zeit und sollen die Anfrage eigentlich unverzüglich beantworten (das steht so in Art. 12 III DSGVO). Ver-streicht diese Frist ohne Antwort oder Bitte um Fristverlängerung, leuchtet schon der DSGVO Bußgeldalarm. Es gibt übrigens auch Abmahnanwälte die diesen Verstoß mit bis zu 1000€ abmahnen.
Informieren Sie also solche Mitarbeiter, die eine solche Anfrage erkennen müssen. Das sind alle Mitarbeiter in der Kundenbetreuung und auch die Mitarbeiter der Personalabteilung.

Schritt Zwei: Schweigen ist Silber, richtig Antworten ist Gold, falsch Antworten ist…ungünstig
Wenn Sie nun schon Ihre Mitarbeiter Informieren, ist der zweite Schritt der „Maulkorb“. Kein Mitarbeiter sollte ohne Rücksprache mit dem Datenschutzbeauftragten zu einer Betroffe-nenanfrage mehr sagen als folgenden Mustertext:

Sehr geehrter Herr/Frau vielen Dank für Ihre Anfrage vom … wir haben diese intern an die zuständigen Stellen weiter-geleitet und melden uns so schnell wie wir die Anfrage inhaltlich zutreffend beantworten können. Bitte beachten Sie das uns hierfür je nach Umfang der Datenverarbeitung bis zu einem Monat ab Eingang der Anfrage zur Verfügung steht.

Mit freundlichen Grüßen

Jede unqualifizierte Antwort auf so eine Anfrage richtet meist mehr Schaden an, als wenn man geschwiegen hätte. Das gilt auch wenn man von einem lästigen Kunden mit Anfragen und Drohungen zugespammt wird. Im Zweifel nutzt man halt den vollen Monat.

Schritt drei: die Feuerwehr
Nun ist es an der Zeit Ihren Datenschutzbeauftragten zu verständigen. Antworten müssen zwar Sie als Verantwortlicher, aber niemand sagt, dass Sie hierbei nicht auf Mustertexte zurückgreifen dürfen.
Nachdem Sie also eine Anfrage an datenschutz@secopan.de geschickt haben, und auf die Rückmeldung eines fachkundigen Kollegen warten, können Sie schonmal die Informationen sammeln, welche wir zur Beantwortung der Frage benötigen.

Wer ist Herr Müller?
Welche Daten haben Sie über Herrn Müller gespeichert?
Wer hat von Ihnen Daten über Herrn Müller bekommen?


Sollte die Sammlung größer werden, dann sprechen Sie auch dies mit Ihrem Datenschutzbeauftragten ab.

Schritt vier: die Antwort
Zusammen mit Ihnen werden wir den Betroffenen Identifizieren und Anhand von Muster-texten eine Antwort erstellen die Nachfragen einer Aufsichtsbehörde verhindert. Sollten wir hierbei auf Abweichungen im Bereich Datenschutz stoßen, werden wir natürlich auch diese zusammen mit Ihnen beheben. Eine Betroffenenanfrage wird übrigens meist mit dem Begehren auf Löschung nach Art. 17 DSGVO verbunden. Die Schritte bleiben dabei identisch. Am Ende löscht man dann aber noch alles.

Ausblick: Betroffenen DDoS
Es ist derzeit theoretisch möglich ein Unternehmen mit mehreren hundert simultanen Anfragen lahmzulegen. - Verraten Sie das nicht Greenpeace und Co. - Das nennt man in der IT-Welt DDoS Distributed Denial of Sevice. Möglich wäre das, wenn Sie mit Ihrem Unterneh-men ungünstige Mediale Aufmerksamkeit oder aber den Zorn einer größeren Gruppe auf sich ziehen.
Sollte das Passieren wird kein Weg daran vorbeiführen, im Rahmen einer kurzen Schulung mehrere Mitarbeiter in die Lage zu versetzen die Anfragen selbstständig zu beantworten. Mit einem Mustertext und ca. zwei Schulungen der Mitarbeit lässt sich hier einiges machen. Bei größeren Datenbanken muss aber auch die IT-Abteilung in der Lage sein hier die notwendige Zuarbeit zu leisten.

secopan – Newsletter Juli 2020 - 02

BSI Warnmeldung - Kritische wurmartige Schwachstelle im Windows DNS-Server

Sachverhalt
In der Implementierung des DNS-Dienstes des Windows Servers besteht die kritische Schwachstelle CVE-2020-1350, auch genannt "SIGRed". Die Schwachstelle besteht in der Verarbeitung von präparier-ten DNS-Anfragen und -Antworten und kann dafür ausgenutzt werden, durch einen Heap-basierten Speicherüberlauf Schadcode mit Rechten des Lokalen System-Nutzers auszuführen. Die Schwachstelle kann laut Microsoft wurmartig ausgenutzt werden. Da der DNS-Dienst üblicherweise auf Domain Controllern aktiviert ist, kann eine Kompromittierung zu erheblichen Betriebsunterbrechungen und Übernahme von Domain-Accounts führen [MIC2020a].
Betroffen sind alle Windows Server-Versionen von 2003 bis 2019, welche den DNS-Dienst anbieten.
DNS-Server, die nicht von Microsoft bereitgestellt werden, sind nicht betroffen.

Bewertung
Da diese Schwachstelle wurmartig ausgenutzt werden kann, ist diese Schwachstelle als sehr kritisch zu bewerten.
Bisher ist zwar noch keine Ausnutzung bekannt, jedoch hat eine IT-Sicherheitsfirma sehr detaillierte Informationen veröffentlicht [CHE2020], wodurch es relativ einfach sein dürfte einen funktionieren-den Exploit-Code zu erstellen. Microsoft schätzt die Ausnutzung als "eher wahrscheinlich" ein [MIC2020a].

Maßnahmen
Es wird dringend empfohlen die betroffenen Windows Server Systeme zeitnah zu aktualisieren. Sollte ein Update kurzfristig nicht möglich sein, besteht die Möglichkeit die Schwachstelle mit einem Workaround zu mitigieren. Hierzu muss ein Registry-Key angelegt werden. Anschließend muss der DNS-Dienst neu gestartet werden. Dies kann mit dem folgenden Befehl durchgeführt werden [CHE2020]: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpRe-ceivePacketSize" /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS Das beschränkt die maximale Länge einer DNS-Anfrage über TCP auf 0xFF00 (255 Bytes weniger als die Voreinstellung) und sollte die Ausnutzung der Schwachstelle unterbinden [MIC2020b].

Sachlage und Bewertung:
Es wurde eine extrem bedrohliche Sicherheitslücke bei allen Windows Servern mit aktivem DNS-Service festgestellt. Diese Schwachstelle lässt sich zur automatischen, wurmartigen Verbreitung nutzen und wurde mit dem CVSS-Höchstwert von 10,0 (auf einer Skala von 0 bis 10) eingestuft. Ein nicht authentifizierter, entfernter Angreifer kann durch die Schwachstelle die Rechte eines Domänen-Administrators erlangen und die Kontrolle über die gesamte IT-Infrastruktur des Betreibers überneh-men. Hierfür muss lediglich eine modifizierte DNS-Anfrage an den DNS-Server gesandt werden. Der Angreifer ist weiterhin in der Lage eine Remote-Code-Execution auszuführen, sowie Netzwerkverkehr zu modifizieren, abzufangen und somit auch vertrauliche Daten zu stehlen.
In jeder Kommune dürfte (mindestens) ein DNS-Server im Einsatz sein und diese extreme Kritikalität erfordert Ihr umgehendes Handeln!

Betroffene Produkte:
- alle Windows Serversysteme mit aktivem DNS-Service

Sicherheitsempfehlung:
Für die Schwachstelle existiert Patch von Microsoft. Bitte installieren Sie umgehend das entsprechen-de Security Update von Microsoft. Falls dies aus betrieblichen Gründen nicht sofort möglich sein sollte, setzen Sie bitte den von Microsoft als Workaround beschriebenen Registry-Key und vollziehen einen Restart des DNS Dienstes.

secopan – Newsletter Juli 2020

Hilfe (zum) Datenschutz

Haben Sie unseren Newsletter schon vermisst? Im Verlauf der Corona-Zeit hatten wir Ihnen schon im März und April hilfreiche Hinweise und Dokumente bereitgestellt. Nach der Rück-sprache mit einigen Kunden war uns schnell klar, dass Datenschutz in Corona Zeiten eine untergeordnete Rolle hat. Vereinfacht gesagt: Wenn die Hütte brennt muss erstmal gelöscht werden. Über die Farbe und die Geschmacksrichtung des Löschwassers kann man sich später streiten. Das der Datenschutz dennoch wichtig ist, dass sollte Ihnen die Debatte um die Corona-App gezeigt haben. Sie erhalten daher mit diesem Newsletter ein paar allgemeine Hinweise und dann kommt ein Überblick zum Spezialthema der Betroffenenanfrage.

Allgemeine Hinweise

Darf ich die Corona App verpflichtend auf die Diensttelefone meiner Mitarbeiter installieren? • Klares Nein. Ihr Mitarbeiter sollte in dem Fall einfach die GPS und Bluetooth Funktion des Handys deaktivieren.

Darf ich im Eingangsbereich meines Unternehmens mit einer Infrarot-Videokamera über die Wärmeabstrahlung des Gesichts Fiebermessen?

• Nicht solange wir Datenschutzbeauftragter sind und Sie für diese Maßnahme nicht ernsthaft gute Gründe vorweisen können. Die Erhebung von Gesundheitsdaten iSd. Art. 9 DSGVO lässt sich nicht so einfach aus einem sehr führsorglichen Sicherheitsinteresse heraus begründen.

Wir haben eine GPS-Fahrzeugverfolgung für Dienstwagen. Was müssen wir beachten?

• Haben Sie eine Datenschutzfolgeabschätzung für den Prozess vorgenommen? Aufgrund der möglichen Kontrolle des Mitarbeiters ist eine solche erforderlich. Außerdem sollten Sie in der zugehörigen Datenschutzerklärung für Ihre Mitarbeiter klar Regeln, wofür Sie die Daten nutzen. Eine pauschale anlasslose Überprüfung auf Arbeitszeit- oder sonstige Verstöße ist unzulässig. Haben Sie in der Datenschutzerklärung nicht auf Überprüfungen hingewiesen, droht sogar, dass Sie Ergebnisse aus Überprüfungen nicht als Beweis vor Gericht vorlegen dürfen.

Wir arbeiten mit Unternehmen z.B. in den USA und müssen Sanktionslisten beachten. Darf ich diese Daten in einer Bewerbung abfragen?

• Grundsätzlich sollten Sie in diesem Fall nach den konkreten Nationalitäten fragen. Sie laufen hier schnell in die Gefahr einer Klage gegen die Bewerbung aufgrund einer Diskriminierung. Daten-schutztechnisch sollten Sie hier nicht mehr Daten erheben als unbedingt erforderlich. Manche US-Firmen bestehen sogar auf einen selbst durchgeführten Mitarbeitercheck und wollen hierfür eine Liste der Mitarbeiter haben. In diesem Fall können Sie die Liste schonmal nur auf die tatsächlich für die US-Firma tätigen Mitarbeiter beschränken. Hier ist dann aber immer noch eine Einwilligung der Mitarbeiter erforderlich. Eine solche ist im Arbeitsverhältnis aber schwierig zu bekommen. Ohne einen positiven Nutzen für die Mitarbeiter ist die Einwilligung sogar meistens hinfällig, § 26 BDSG.
Schließen Sie hier am besten eine Betriebsvereinbarung ab. Eine solche stellt eine Rechtsgrundlage für diese Datenübermittlung dar. Ihre Mitarbeiter werden meistens Verständnis dafür haben, dass die Kooperation mit der US-Firma und damit indirekt der eigene Arbeitsplatz davon abhängt. Ohne Betriebsrat sollte eine Zustimmung der Mitarbeitervertretung eingeholt werden.

Wir prüfen bei Bewerbern deren öffentliches Profil bei Facebook (in sozialen Medien) – das macht doch jeder.

• Jaein. Die Lemming Argumentation mit „macht doch jeder“ mal ausgeklammert.
Grundsätzlich handelt es sich um offensichtlich selbst veröffentlichte Inhalte. Diese wurden vom Betroffenen offenbart und können unter Umständen berücksichtigt werden.
• Die Facebookseite darf aber nicht einfach pauschal als Zusatzinformation mit verwendet wer-den. Nur bei Unstimmigkeiten im Lebenslauf darf auch mit der Suchmaschine recherchiert werden. Dafür müssen zunächst Zweifel am Lebenslauf oder den Informationen aus dem Bewerbungsge-spräch bestehen.
• Wenn man das nun macht gilt aber in diesem Fall Art. 14 DSGVO. Auf Deutsch - Wir brauchen eine Datenschutzerklärung für die Bewerber, die diesen Umstand mit Erfasst. Facebook ist ein Dritter bei dem Daten erhoben werden.

Bei Widererkennungswert unter den obigen Punkten, wenden Sie sich einfach vertrauensvoll an uns.

 

Melden Sie sich zu unserem Newsletter an!


Wir senden Ihnen in regelmäßigen Abständen neue Informationen zu aktuellen Datenschutz-Themen.
Ja, ich habe die zur Kenntnis genommen und erteile die Einwilligung in die Erhebung und Nutzung meiner vorstehend eingegebenen Daten. *