secopan Newsletter


Erhalten Sie hier einen Einblick in das secopan gmbh Newsletter Archiv.

Unsere neue Homeoffice Schulung ist ab sofort verfügbar.

Nicht erst seit der Corona-Krise bieten viele Unternehmen ihren Mitarbeitern Homeoffice, mobiles Arbeiten und andere flexible Arbeitsplatzmodelle an. Diese haben viele Vorteile, sind aber auch mit zahlreichen arbeitsrechtlichen Herausforderungen verbunden.

Vergessen Sie nicht, dass Sie insoweit verpflichtet sind, Ihre Mitarbeiter für den Einsatz im Homeoffice gezielt datenschutzrechtlich zu sensibilisieren.

Das Datenschutzrecht fordert eine auf die jeweilige Gefahrenlage gerichtete Sensibilisierung der Mitarbeiter. Wie verhalten sich Mitarbeiter im Homeoffice richtig, um den hohen Anforderungen an Datenschutz, Datensicherheit und Berufsgeheimnisschutz gerecht zu werden? Welche Gefahren lauern im häuslichen Arbeitsumfeld? Was sind „No Goes“, was ist „Best Practice“.

Die Schulung richtet sich konkret an Mitarbeiter im Homeoffice, mit vielen Empfehlungen und Informationen.

Sie haben noch keinen Zugang? Kontaktieren Sie uns gerne.

Datenschutz konforme Handlungsempfehlung zu Corona Schnelltests

Derzeit werden bundesweit Corona Schnelltests verkauft und kommen zur Anwendung. Die datenschutzrechtliche Einordnung hierzu ist schwierig und nicht ohne Fallstricke.

Handlungsempfehlungen der Datenschutzbehörden stehen noch aus. Aus diesem Grunde haben wir eine nach unserer Ansicht datenschutzkonforme Vorgehensweise für die Verwendung von Corona Schnelltests für Sie entworfen.

Sobald die ersten Datenschutzbehörden entsprechende Handlungsempfehlungen bereitgestellt haben, werden wir unsere Vorgehensweise hieran anpassen. Bis dahin empfehlen wir die im Anhang ersichtliche Vorgehensweise.

Auf keinen Fall sollten Sie Schnelltests im Unternehmen / in der Kommune / in der Behörde verwenden, ohne einen entsprechenden Prozess initiiert zu haben.


Handlungsempfehlung_Corona_Schnelltest.docx

Handlungsempfehlung_Corona_Schnelltest.pdf
secopan – Newsletter März 2021

Update zum Datenschutz

Im Datenschutz ist auch in Pandemiezeiten immer Bewegung. Daher erhalten Sie im Folgenden nützliche Informationen.

Derzeit werden die Jahresberichte der Aufsichtsbehörden veröffentlicht. Die Auswertung wird noch dauern, aber schon jetzt gibt es einige interessante Anhaltspunkte:

• Fiebermessen am Werkstor: Laut dem Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg für das Jahr 2020 sind solche Corona-Maßnahmen nahezu nicht datenschutzkonform durchführbar. Bei der Körpertemperatur handelt es sich um Gesundheitsdaten. Da die Messmethode ungenau ist und das Ergebnis hinsichtlich der Corona-Gefährdung damit unklar bleibt, ist dieses Vorgehen regelmäßig unzulässig. • Nehmen Sie diesen Hinweis vor allem für die demnächst möglichen Corona-Tests auf. Gehen Sie schon jetzt davon aus, dass es sich auch bei den Testergebnissen der Schnelltests um Gesundheitsdaten handelt. Stimmen Sie daher also schon jetzt Teststrategien für Ihr Unternehmen mit Ihrem Datenschutzbeauftragten ab!

• Infektionsfall: Ebenfalls spannend bleibt die Information, über die Infektion eines Mitarbeiters mit COVID-19. Hier ist der Status immer noch unverändert! Der Name des erkrankten Mitarbeiters darf nicht einfach so im Kollegenkreis frei herausgegeben werden. Die Preisgabe des Namens ist und bleibt das letzte Mittel – und zwar auch dann, wenn der „Flurfunk“ im Unternehmen schon wieder alle Grenzen des Datenschutzes hinter sich gelassen hat. • Stimmen Sie auch hier das Vorgehen mit Ihrem Datenschutzbeauftragten ab. Für solche Fälle sind wir telefonisch erreichbar. Versuchen Sie immer erst auf allen anderen Wegen die möglicherweise ebenfalls gefährdeten Kollegen des Mitarbeiters zu identifizieren. Die Infektionsnachverfolgung ist normalerweise die Aufgabe des Gesundheitsamtes. Als Arbeitgeber müssen Sie hier jedoch Ihre Fürsorgepflicht gegenüber den Arbeitnehmern wahren.

Aktuelle Entwicklungen bei den Bußgeldern

Das Rekordbußgeld gegen die Deutsche Wohnen wurde vom zuständigen Landgericht kassiert. Die Aufsichtsbehörde regt derzeit Rechtsmittel gegen die Entscheidung an. Einerseits war der Bescheid wohl fehlerhaft, andererseits hat das Gericht hier eine andere Auffassung von der Verantwortlichkeit im Unternehmen.

• Die Angelegenheit ist noch nicht vom Tisch. Wir halten Sie auf dem Laufenden. Gerade an den Rekordbußgeldern wird wahrscheinlich das Verfahren für die „kleineren“ Fälle für die Zukunft optimiert. Die Aufsichtsbehörden werden garantiert aus einzelnen Fehlern lernen. Gleichwohl ist derzeit ein Trend gegen die Rekordbußgelder erkennbar. Die Gerichte sind scheinbar nicht bereit, diese großen Summen ohne Weiteres zu bestätigen. Im Falle von 1und1 wurden z. B. aus 9,55 Millionen Euro nun 900.000 Euro.

Die letzten größeren Bußgelder lassen sich derzeit auf zwei wesentliche Verstöße einkreisen:

1. Rechtswidrige Videoüberwachung Hier gab es nun ein neues Rekordbußgeld von 10,4 Millionen Euro gegen das Unternehmen Notebooksbilliger.de. Das Unternehmen hatte seine Mitarbeiter ohne vertragliche Grundlage in einem Zeitraum von mindestens zwei Jahren mit Videokameras überwacht. Problematisch war die überlange Speicherdauer von 60 Tagen sowie die pauschale und anlasslose Überwachung von Mitarbeitern und Kunden. • Nutzen Sie die Hinweise und stimmen Sie eine Videoüberwachung immer mit Ihrem Datenschutzbeauftragten ab! Gehen Sie davon aus, dass Sie hier kein Nachsehen der Aufsichtsbehörden bei Verstößen erwarten können. Es gibt keinen “Bestandsschutz” bei den Überwachungskameras! Auch uralte Videoüberwachungen können gegen geltendes Datenschutzrecht verstoßen und zu Bußgeldern führen.

2. Unzulässige Werbung / Werbeanrufe
Die Verstöße sind immer identisch: Unzulässige Werbeanrufe ohne Einwilligung oder erneute Anrufe, obwohl ein Widerspruch erteilt wurde. Hierzu gibt es derzeit auch ein neues Urteil des Saarländischen OVG, welches die Thematik der Einwilligung aufnimmt und klarstellt. In dem dortigen Fall wurde im Rahmen der Double Opt-In-Einwilligung als E-Mail auch eine Telefonnummer abgefragt und bestätigt. Blöd nur, dass die Inhaber der Rufnummer die E-Mail-Adresse nachweisbar nicht kannten. Die erteilte Einwilligung war also nicht nachweisbar von den Betroffenen erteilt worden und damit gab es keine Einwilligung.

Achtung: Das OVG stellte in dem Zusammenhang auch noch einmal unmissverständlich klar, dass bereits der erste Anruf, um eine Einwilligung für Werbeanrufe telefonisch abzufragen, ohne Einwilligung unzulässig ist!

Beachten Sie im Falle der Werbung immer auch den § 7 UWG. Dessen Regelungen werden als Maßstab für die Bewertung der Einwilligung herangezogen. Ohne eine solide Einwilligung ist Werbung nur für Bestandskunden unter den dortigen Voraussetzungen möglich. Hier ist es erforderlich, schon im Moment der Vertragsaufnahme mit dem Kunden die richtigen Hinweise für zukünftige Werbung zu geben. Auch hier gibt es keinen Bestandsschutz! Alte Listen von Werbungsempfängern sind fast immer unwirksam. Ohne eine DSGVO-konforme Einwilligung müssen selbst die alten Werbekundenverzeichnisse gelöscht werden.

secopan – Newsletter Januar 2021 - 02

Office 2 Go

Ganz egal ob Sie Home-Office nun positiv oder negativ gegenüberstehen, Telearbeit wird kommen … und bleiben. Bereiten Sie sich also schon jetzt langsam darauf vor. Je mehr Sie heute schon richtig machen, desto weniger müssen Sie später nacharbeiten.

Unabhängig von den Vor- und Nachteilen von Home-Office hier nochmal ein paar wesentliche Informationen:

Home-Office bezeichnet den Teil der Telearbeit der in den eigenen vier Wänden erbracht wird.

Wo fange ich beim Home-Office an?

• Vorweg Vertraglich:
Schließen Sie ergänzende vertragliche Vereinbarung mit den Mitarbeitern. Stellen Sie zuallererst vertraglich sicher, wie Sie Ihren Mitarbeiter in das Home-Office schicken, unter welchen Bedingungen und vor allem wie Sie ihn wieder zurückrufen können. Wenn es irgendwo Probleme gibt ist der mögliche Rückruf Ihre beste Option um die Sache zu regeln. Vereinbaren Sie ein Kontrollrecht des Arbeitgebers im Home-Office. Und regeln Sie vor allem die Rückgabe von Arbeitsgerät, Papier und Datenträgern aus dem Home-Office nach der Beendigung. Schließen Sie Zurückbehaltungsrechte aus.

• Technisch:
Stellen Sie dienstliches Arbeitsgerät bereit und regeln Sie die private Nutzung (sofern noch nicht geschehen). Nutzen Sie eine VPN Software für die gesicherte Datenübertragung. Legen Sie die Anwendungen fest, welche verwendet werden sollen. (Videokonferenz Tool, VPN Software, E-Mail Client, Telefonsoftware, Virenschutz) Achten Sie bei der Festlegung der Tools auf Verschlüsselungsoptionen! Z.B. Telefonsoftware muss das anbieten sonst ist sie nicht Datenschutzkonform.

• Organisatorisch:
Auch im Home-Office gelten die bisherigen Richtlinien zum Umgang mit Hard und Software weiter. Ergänzen Sie diese Regelungen mit einer Richtlinie zum Home-Office. Vermeiden Sie unnötige Widersprüche zwischen den Regelungen. Alle vorhandenen Richtlinien sollten auch im Home-Office unverändert fortgelten (sofern diese anwendbar sind). Die Home-Office Richtlinie sollte daher nur alle „neuen“ Punkte regeln.

Regeln Sie folgende Punkte:
Arbeitsschutz im Home-Office, Papier und Akten im Home-Office, Sicherheit des Arbeitsplatzes (offenes Fenster 1. Stock falsches Stadtviertel), Verbieten Sie Sicherheitsrelevante Vorgänge im Home-Office, (Das Coca-Cola Rezept zuhause) Vermeiden Sie es nach Möglichkeit, dass Unternehmensdaten auf privaten Geräten landen oder umgekehrt private Daten auf Unternehmensgeräten.

Das sind leider schon eine ganze Menge Punkte. Je mehr Sie umsetzen können, desto weniger Risiken trägt Ihr Unternehmen. Gerne steht Ihnen Ihr Ansprechpartner bei der secopan GmbH für die Umsetzung beratend zur Verfügung.

secopan – Newsletter Januar 2021

SolarWinds-Hack - Ein Angriff, der um die Welt geht

Zehntausende Firmen könnten betroffen sein, es gilt als größter Hack seit Jahren. Wieso ist der SolarWinds-Hack so gefährlich? Um welche Schwachstelle handelt es sich und sind vielleicht auch deutsche Firmen und Forschungsinstitute betroffen?

SolarWinds bietet als Dienstleister Softwarelösungen für das IT- und Netzwerkmanagement an. Kunden können so Datenbanken und Systeme verwalten. Das Unternehmen zählt weltweit mehr als 300.000 Kunden, etwa 18.000 Kunden hätten im Zeitraum zwischen März und Juni 2020 das kompromittierte Update installiert. Dadurch wurde den Angreifern eine Hintertür namens „Sunburst“ in die Systeme und Netzwerke der Kunden geöffnet.

Die Liste der Betroffenen wächst täglich. Softwareentwickler wie Microsoft und VMware gehören zu den Opfern, ebenso der Finanzdienstleister Equifax, die Wirtschaftsprüfer von Deloitte sowie die Tech-Firmen Nvidia, Belkin, Intel und Cisco.

Wie ließe sich die Hintertür schließen?

Die Sicherheitslücke wurde nach bekannt werden schnell geschlossen. So kann über diesen Weg kein weiterer Schaden angerichtet werden. Es ist aber denkbar, dass die Angreifer weitere Schadsoftware eingeschleust haben und es so möglich ist, neue Hintertüren zu öffnen. Den SolarWinds-Kunden kann man deshalb nur raten, die Schutzmaßnahmen zu verstärken.

Der IT-Experte Hartmut Pohl formuliert noch drastischere Maßnahmen: „Eigentlich muss man sofort alle betroffenen Systeme abschalten. Das klingt überzogen, aber unter dem Aspekt, dass die Angreifer Ihnen die ganze IT stilllegen können, muss man das riskieren.“ Entscheidend seien die unbekannten Sicherheitslücken, die es noch im System geben könne. „Sonst lebt Ihr Unternehmen mit einer Hintertür, über die Angreifer jederzeit reinkommen“, sagt Pohl.

Warum sind die Angriffe bedenklich?

Solche Angriffe sind nur schwer zu erkennen, weil sich der Schadcode in Software versteckt, der man als Unternehmen vertraut. Solange die Sicherheitslücke unentdeckt bleibt, können auch Antiviren-Software und Firewall wenig ausrichten. Die Software verfügt von Haus aus über weitreichende Rechte, um Systeme und Netzwerke zu verwalten und zu analysieren. So gelangen die Hacker schnell in das ganze Netzwerk hinein und können hohen Schaden anrichten.

Was bedeutet das für die Nutzerinnen und Nutzer?

Im schlimmsten Fall könnten die Hacker bereits sämtliche Daten Ihres Systems kopiert haben. Dazu gehören E-Mails, Adressbücher, aber auch Passwörter und vertrauliche Dokumente, Datenbanken, Baupläne und Firmengeheimnisse. Es könnten aber auch Maschinen und Computer manipuliert und sabotiert werden.

Welche Daten wurden gestohlen oder verändert?

Bei fast allen Opfern laufen noch Untersuchungen. Microsoft berichtet, dass sich unbekannte Angreifer Einblicke in den Quellcode von Produkten verschafft hatten. In dem Statement gibt das Unternehmen zu, dass die Hacker einen Teil des internen Quellcodes der Firma einsehen konnten. Nach einer Untersuchung ist Microsoft jetzt zu dem Ergebnis gekommen, dass im Rahmen der Attacke kein interner Code modifiziert werden konnte. Den Angreifern sei es nicht gelungen, Zugang zu den ProduktionsSystemen zu erlangen. Darüber hinaus gebe es keine Hinweise darauf, dass die Hacker auf Daten von Kunden zugreifen konnten oder die Microsoft-Systeme dafür verwendet haben, um andere Unternehmen anzugreifen.

Der SolarWinds-Hack ist vom Ausmaß her einer der größten Cyberangriffe der vergangenen Jahre. Und der genaue Schaden muss sich erst noch zeigen.

Unsere aktuellen Empfehlungen zu diesem Thema:

Verwenden Sie die betroffene Software? Wenn ja, sollten wir zeitnah ein Ereignis hierzu dokumentieren. Als Maßnahmen müssen sodann erfolgen:

• Update von SolarWind einspielen
• Netzwerke und Systeme auf Hintertüren prüfen
o Firewall-Datenverkehr kritisch überwachen, Regeln überarbeiten
o Welche Prozesse haben welche Verbindungen?
o Wer hat worauf Zugriff?
o Ändern Sie die Passwörter
o Rechte von Orion nach Möglichkeit auf ein Minimum reduzieren

Bei weiteren Fragen wenden Sie sich bitte an Ihren zuständigen ISB (Informationssicherheitsbeauftragten) per E-Mail unter datenschutz@secopan.de

secopan – Newsletter September 2020

Durchstarten in den Herbst

Wir hoffen Sie hatten trotz der widrigen Umstände dieses Jahr einen angenehmen Sommer. Damit der Herbst etwas angenehmer wird erhalten Sie hier unseren Newsletter mit ein paar relevanten Neuerungen und Hinweisen. Dieser Newsletter steht dabei ganz im Zeichen der Awareness.

Awareness bedeutet übersetzt so viel wie Bewusstsein bzw. Wahrnehmung. In der IT-Sicherheit und damit auch im Datenschutz geht es also um die Achtsamkeit Ihrer Mitarbeiter im Umgang mit den eigenen Systemen und die Fähigkeit Unregelmäßigkeiten erkennen und melden zu können.

Ein Mitarbeiter, der die Phishingmail erkennt, den Link nicht anklickt und den Vorgang der IT-Abteilung meldet, spart ihrem Unternehmen mitunter mehr Geld ein, als er Sie das ganze Jahr kostet. Das ist eine immense Wertsteigerung Ihres Humankapitals!

Awareness-Poster *Neu zur Verfügung*
Damit das funktioniert, schauen Sie mal rein unter https://www.secopan.de/awareness/ und nutzen Sie einfach die hier bereitgestellten Materialien. Die Poster können unsere Kunden auf Wunsch auch in Druckqualität (Ohne Wasserzeichen) erhalten und innerhalb Ihres Unternehmens verteilen.

Schulung *Jetzt in besser*
Unter https://awareness.secopan.de/ können Sie unsere neu überarbeitete Datenschutzschulung nebst einem Schulungsvideo für Phishing E-Mails und der IT-Sicherheitsschulung absolvieren. Ihre Mitarbeiter erhalten nach dem erfolgreichen Abschluss des jeweils zugehörigen Tests ein Zertifikat für die Datenschutz- und IT-Sicherheitsschulung. Die Anmeldung kann jeder Mitarbeiter selbst erledigen. Zum Einschreiben in die jeweiligen Kurse ist ein Einschreibeschlüssel zur Zuordnung des Mitarbeiters zu Ihrem Unternehmen / Ihrer Behörde erforderlich. Diesen Schlüssel erhalten Sie von dem für Sie zuständigen Mitarbeiter der secopan.
Eine Schulung im Datenschutz sollte mindestens einmal pro Jahr oder aber zur Einstellung eines neuen Mitarbeiters erfolgen. Die Schulungen dauern nebst Test zusammen ca. 1h Zeit. Geschult werden sollte zumindest jeder Mitarbeiter der Kundenkontakt oder einen PC-Arbeitsplatz hat.
Die neue Plattform ermöglicht es den Datenschutzkoordinatoren selbst auf die Zertifikate der Mitarbeiter zuzugreifen. Sollten Sie hiervon Gebrauch machen wollen, wenden Sie sich an uns.

EUGH Schremms II Privacy Shield
Wer Nachrichten im Datenschutz verfolgt oder aber hin und wieder unter https://www.secopan.de/blog/ unsere Hinweise einsieht, der hat mitbekommen, dass der Datenaustausch mit den USA leider schwieriger geworden ist. Was Sie nun tun müssen können Sie unserem beiliegenden Hinweisblatt entnehmen.

Mitarbeiterwechsel
Leider müssen wir Ihnen ebenfalls mitteilen, dass die Kollegen Herr Salfeld und Herr Maa zum August hin die secopan GmbH auf eigenen Wunsch hin verlassen haben. Sollte Ihnen der Wechsel des für Sie zuständigen Mitarbeiters noch nicht aufgefallen sein, schicken Sie bitte eine E-Mail an datenschutz@secopan.de Sie erhalten eine Rückmeldung des nun für Sie zuständigen Kollegen.

secopan – Newsletter September 2020 Hinweisblatt

Haben Sie schon von dem Urteil Schrems II des EUGH gehört?

Im Wesentlichen geht es darum das der EUGH das Privacy Shield-Abkommen mit den USA für ungültig erklärt hat. Begründung: Die USA können aufgrund der dortigen Gesetzeslage und den zu neugieren Geheimdiensten die Sicherheit der in Ihr Land übertragenen Daten nicht gewährleisten.

Das war keine Überraschung. Um ehrlich zu sein war allen Beteiligten klar, dass die bisherige Situation aus Datenschutzgesichtspunkten unzureichend und eher fragwürdig gewesen ist.

Was ist also nun zu tun?

Es gibt keine Übergangsfristen und daher müssen wir handeln. Folgen Sie daher unserer kurzen Anleitung:

1. Identifizieren Sie alle Verarbeitungstätigkeiten bei denen personenbezogene Daten in die USA übermittelt werden.
a. Wer ein Verzeichnis der Verarbeitungstätigkeiten hat, schaut einfach dort rein. Dort steht unter der Spalte Drittland ob es Daten gibt, welche die Europäische Union verlassen.
b. Wer kein Verzeichnis der Verarbeitungstätigkeiten hat, muss sich auf die Suche nach entsprechenden Verarbeitungsvorgängen begeben. Liegen z.B. Verträge mit Dienstleistern in den USA vor?
c. Beachten Sie auch Ihre Dienstleister und deren Subunternehmer. Soweit ein Auftragsverarbeitungsvertrag vorliegt, steht dort meistens drin ob es einen Subunternehmer in den USA gibt.
2. Haben Sie einen Datentransfer in die USA gefunden? Falls ja nehmen Sie eine Bewer-tung des Vorgangs vor und binden Sie hierbei ihren Datenschutzbeauftragten ein. Welche Daten werden hier warum übermittelt?
3. Nun werden wir Ihnen eine Empfehlung aussprechen. Als Lösung gibt es im Wesentlichen 3 Möglichkeiten:
a. Beendigung der Verarbeitungstätigkeit. (Hier können Sie unter Umständen Sonderkündigungsrechte haben)
b. Abschluss von Standardvertragsklauseln als neue Transfergrundlage
c. Rückfrage bei der Aufsichtsbehörde, weil weder a) noch b) taugliche Optionen sind.

secopan – Newsletter August 2020

Was macht Ihr mit meinen Daten?

Die Betroffenenanfrage. Genauer die Geltendmachung von dem Recht auf Auskunft aus Art. 15 DSGVO. – Ja da steht ein Gesetz, das heißt aber nicht, dass Sie hier schon aufhören sollten zu Lesen :) der Text geht auch für Nichtjuristen – versprochen - Der grundsätzliche Gedanke hinter diesem Recht ist, dass Herr Müller (als betroffene Person) von der Meier GmbH (dem für die Datenverarbeitung Verantwortlichen) immer erfahren können muss, was mit seinen Daten gemacht wird. Das ist also in erster Linie ein Recht des Herrn Müller. Für den Verantwortlichen ist das natürlich eine mittlere Katastrophe. Da kommt jetzt ein Herr Müller und muss eine Leistung bekommen, für die er nicht einmal bezahlen muss.

Schlimmer noch: Die Erfahrung zeigt, dass die Betroffenenanfragen fast ausschließlich querulatorisch gestellt werden. Sollten Sie z.B. demnächst mit einer Kündigungsschutzklage eines Mitarbeiters zu tun haben, so grenzt es an einen Verfahrensfehler des Anwalts, wenn er vergessen hat auch noch das Auskunftsrecht aus Art. 15 DSGVO geltend zu machen. Das gibt Munition für den Rechtsstreit und schafft eine angenehmere Basis für Abfindungsan-sprüche aus Vergleichsverhandlungen. Auch Reichsbürger lieben dieses Recht aus einer von Ihnen abgelehnten Rechtsordnung. Unzufriedene Kunden klicken gerne jeden Datenschutz-hinweis weg aber Stellen im Falle einer Meinungsverschiedenheit auch gerne mal eine Anfrage, um bei der Zuverlässigkeit des Unternehmens im Umgang mit Daten auf Nummer sicher zu gehen.

Das ist ärgerlich. Lässt sich aber nicht vermeiden. Da es sich um ein Recht des Betroffenen handelt, wird der Nachweis über eine rechtsmissbräuchliche Anfrage meist nicht gelingen. Es bleibt nur die Chance diese Anfrage souverän und schnell zu beantworten.

Schritt Eins: Erkennen
Sollten Ihre Mitarbeiter nicht in der Lage sein eine solche Anfrage zu identifizieren haben Sie die Schlacht meist schon an dieser Stelle verloren. Sie haben nur einen Monat Zeit und sollen die Anfrage eigentlich unverzüglich beantworten (das steht so in Art. 12 III DSGVO). Ver-streicht diese Frist ohne Antwort oder Bitte um Fristverlängerung, leuchtet schon der DSGVO Bußgeldalarm. Es gibt übrigens auch Abmahnanwälte die diesen Verstoß mit bis zu 1000€ abmahnen.
Informieren Sie also solche Mitarbeiter, die eine solche Anfrage erkennen müssen. Das sind alle Mitarbeiter in der Kundenbetreuung und auch die Mitarbeiter der Personalabteilung.

Schritt Zwei: Schweigen ist Silber, richtig Antworten ist Gold, falsch Antworten ist…ungünstig
Wenn Sie nun schon Ihre Mitarbeiter Informieren, ist der zweite Schritt der „Maulkorb“. Kein Mitarbeiter sollte ohne Rücksprache mit dem Datenschutzbeauftragten zu einer Betroffe-nenanfrage mehr sagen als folgenden Mustertext:

Sehr geehrter Herr/Frau vielen Dank für Ihre Anfrage vom … wir haben diese intern an die zuständigen Stellen weiter-geleitet und melden uns so schnell wie wir die Anfrage inhaltlich zutreffend beantworten können. Bitte beachten Sie das uns hierfür je nach Umfang der Datenverarbeitung bis zu einem Monat ab Eingang der Anfrage zur Verfügung steht.

Mit freundlichen Grüßen

Jede unqualifizierte Antwort auf so eine Anfrage richtet meist mehr Schaden an, als wenn man geschwiegen hätte. Das gilt auch wenn man von einem lästigen Kunden mit Anfragen und Drohungen zugespammt wird. Im Zweifel nutzt man halt den vollen Monat.

Schritt drei: die Feuerwehr
Nun ist es an der Zeit Ihren Datenschutzbeauftragten zu verständigen. Antworten müssen zwar Sie als Verantwortlicher, aber niemand sagt, dass Sie hierbei nicht auf Mustertexte zurückgreifen dürfen.
Nachdem Sie also eine Anfrage an datenschutz@secopan.de geschickt haben, und auf die Rückmeldung eines fachkundigen Kollegen warten, können Sie schonmal die Informationen sammeln, welche wir zur Beantwortung der Frage benötigen.

Wer ist Herr Müller?
Welche Daten haben Sie über Herrn Müller gespeichert?
Wer hat von Ihnen Daten über Herrn Müller bekommen?


Sollte die Sammlung größer werden, dann sprechen Sie auch dies mit Ihrem Datenschutzbeauftragten ab.

Schritt vier: die Antwort
Zusammen mit Ihnen werden wir den Betroffenen Identifizieren und Anhand von Muster-texten eine Antwort erstellen die Nachfragen einer Aufsichtsbehörde verhindert. Sollten wir hierbei auf Abweichungen im Bereich Datenschutz stoßen, werden wir natürlich auch diese zusammen mit Ihnen beheben. Eine Betroffenenanfrage wird übrigens meist mit dem Begehren auf Löschung nach Art. 17 DSGVO verbunden. Die Schritte bleiben dabei identisch. Am Ende löscht man dann aber noch alles.

Ausblick: Betroffenen DDoS
Es ist derzeit theoretisch möglich ein Unternehmen mit mehreren hundert simultanen Anfragen lahmzulegen. - Verraten Sie das nicht Greenpeace und Co. - Das nennt man in der IT-Welt DDoS Distributed Denial of Sevice. Möglich wäre das, wenn Sie mit Ihrem Unterneh-men ungünstige Mediale Aufmerksamkeit oder aber den Zorn einer größeren Gruppe auf sich ziehen.
Sollte das Passieren wird kein Weg daran vorbeiführen, im Rahmen einer kurzen Schulung mehrere Mitarbeiter in die Lage zu versetzen die Anfragen selbstständig zu beantworten. Mit einem Mustertext und ca. zwei Schulungen der Mitarbeit lässt sich hier einiges machen. Bei größeren Datenbanken muss aber auch die IT-Abteilung in der Lage sein hier die notwendige Zuarbeit zu leisten.

secopan – Newsletter Juli 2020 - 02

BSI Warnmeldung - Kritische wurmartige Schwachstelle im Windows DNS-Server

Sachverhalt
In der Implementierung des DNS-Dienstes des Windows Servers besteht die kritische Schwachstelle CVE-2020-1350, auch genannt "SIGRed". Die Schwachstelle besteht in der Verarbeitung von präparier-ten DNS-Anfragen und -Antworten und kann dafür ausgenutzt werden, durch einen Heap-basierten Speicherüberlauf Schadcode mit Rechten des Lokalen System-Nutzers auszuführen. Die Schwachstelle kann laut Microsoft wurmartig ausgenutzt werden. Da der DNS-Dienst üblicherweise auf Domain Controllern aktiviert ist, kann eine Kompromittierung zu erheblichen Betriebsunterbrechungen und Übernahme von Domain-Accounts führen [MIC2020a].
Betroffen sind alle Windows Server-Versionen von 2003 bis 2019, welche den DNS-Dienst anbieten.
DNS-Server, die nicht von Microsoft bereitgestellt werden, sind nicht betroffen.

Bewertung
Da diese Schwachstelle wurmartig ausgenutzt werden kann, ist diese Schwachstelle als sehr kritisch zu bewerten.
Bisher ist zwar noch keine Ausnutzung bekannt, jedoch hat eine IT-Sicherheitsfirma sehr detaillierte Informationen veröffentlicht [CHE2020], wodurch es relativ einfach sein dürfte einen funktionieren-den Exploit-Code zu erstellen. Microsoft schätzt die Ausnutzung als "eher wahrscheinlich" ein [MIC2020a].

Maßnahmen
Es wird dringend empfohlen die betroffenen Windows Server Systeme zeitnah zu aktualisieren. Sollte ein Update kurzfristig nicht möglich sein, besteht die Möglichkeit die Schwachstelle mit einem Workaround zu mitigieren. Hierzu muss ein Registry-Key angelegt werden. Anschließend muss der DNS-Dienst neu gestartet werden. Dies kann mit dem folgenden Befehl durchgeführt werden [CHE2020]: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpRe-ceivePacketSize" /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS Das beschränkt die maximale Länge einer DNS-Anfrage über TCP auf 0xFF00 (255 Bytes weniger als die Voreinstellung) und sollte die Ausnutzung der Schwachstelle unterbinden [MIC2020b].

Sachlage und Bewertung:
Es wurde eine extrem bedrohliche Sicherheitslücke bei allen Windows Servern mit aktivem DNS-Service festgestellt. Diese Schwachstelle lässt sich zur automatischen, wurmartigen Verbreitung nutzen und wurde mit dem CVSS-Höchstwert von 10,0 (auf einer Skala von 0 bis 10) eingestuft. Ein nicht authentifizierter, entfernter Angreifer kann durch die Schwachstelle die Rechte eines Domänen-Administrators erlangen und die Kontrolle über die gesamte IT-Infrastruktur des Betreibers überneh-men. Hierfür muss lediglich eine modifizierte DNS-Anfrage an den DNS-Server gesandt werden. Der Angreifer ist weiterhin in der Lage eine Remote-Code-Execution auszuführen, sowie Netzwerkverkehr zu modifizieren, abzufangen und somit auch vertrauliche Daten zu stehlen.
In jeder Kommune dürfte (mindestens) ein DNS-Server im Einsatz sein und diese extreme Kritikalität erfordert Ihr umgehendes Handeln!

Betroffene Produkte:
- alle Windows Serversysteme mit aktivem DNS-Service

Sicherheitsempfehlung:
Für die Schwachstelle existiert Patch von Microsoft. Bitte installieren Sie umgehend das entsprechen-de Security Update von Microsoft. Falls dies aus betrieblichen Gründen nicht sofort möglich sein sollte, setzen Sie bitte den von Microsoft als Workaround beschriebenen Registry-Key und vollziehen einen Restart des DNS Dienstes.

secopan – Newsletter Juli 2020

Hilfe (zum) Datenschutz

Haben Sie unseren Newsletter schon vermisst? Im Verlauf der Corona-Zeit hatten wir Ihnen schon im März und April hilfreiche Hinweise und Dokumente bereitgestellt. Nach der Rück-sprache mit einigen Kunden war uns schnell klar, dass Datenschutz in Corona Zeiten eine untergeordnete Rolle hat. Vereinfacht gesagt: Wenn die Hütte brennt muss erstmal gelöscht werden. Über die Farbe und die Geschmacksrichtung des Löschwassers kann man sich später streiten. Das der Datenschutz dennoch wichtig ist, dass sollte Ihnen die Debatte um die Corona-App gezeigt haben. Sie erhalten daher mit diesem Newsletter ein paar allgemeine Hinweise und dann kommt ein Überblick zum Spezialthema der Betroffenenanfrage.

Allgemeine Hinweise

Darf ich die Corona App verpflichtend auf die Diensttelefone meiner Mitarbeiter installieren? • Klares Nein. Ihr Mitarbeiter sollte in dem Fall einfach die GPS und Bluetooth Funktion des Handys deaktivieren.

Darf ich im Eingangsbereich meines Unternehmens mit einer Infrarot-Videokamera über die Wärmeabstrahlung des Gesichts Fiebermessen?

• Nicht solange wir Datenschutzbeauftragter sind und Sie für diese Maßnahme nicht ernsthaft gute Gründe vorweisen können. Die Erhebung von Gesundheitsdaten iSd. Art. 9 DSGVO lässt sich nicht so einfach aus einem sehr führsorglichen Sicherheitsinteresse heraus begründen.

Wir haben eine GPS-Fahrzeugverfolgung für Dienstwagen. Was müssen wir beachten?

• Haben Sie eine Datenschutzfolgeabschätzung für den Prozess vorgenommen? Aufgrund der möglichen Kontrolle des Mitarbeiters ist eine solche erforderlich. Außerdem sollten Sie in der zugehörigen Datenschutzerklärung für Ihre Mitarbeiter klar Regeln, wofür Sie die Daten nutzen. Eine pauschale anlasslose Überprüfung auf Arbeitszeit- oder sonstige Verstöße ist unzulässig. Haben Sie in der Datenschutzerklärung nicht auf Überprüfungen hingewiesen, droht sogar, dass Sie Ergebnisse aus Überprüfungen nicht als Beweis vor Gericht vorlegen dürfen.

Wir arbeiten mit Unternehmen z.B. in den USA und müssen Sanktionslisten beachten. Darf ich diese Daten in einer Bewerbung abfragen?

• Grundsätzlich sollten Sie in diesem Fall nach den konkreten Nationalitäten fragen. Sie laufen hier schnell in die Gefahr einer Klage gegen die Bewerbung aufgrund einer Diskriminierung. Daten-schutztechnisch sollten Sie hier nicht mehr Daten erheben als unbedingt erforderlich. Manche US-Firmen bestehen sogar auf einen selbst durchgeführten Mitarbeitercheck und wollen hierfür eine Liste der Mitarbeiter haben. In diesem Fall können Sie die Liste schonmal nur auf die tatsächlich für die US-Firma tätigen Mitarbeiter beschränken. Hier ist dann aber immer noch eine Einwilligung der Mitarbeiter erforderlich. Eine solche ist im Arbeitsverhältnis aber schwierig zu bekommen. Ohne einen positiven Nutzen für die Mitarbeiter ist die Einwilligung sogar meistens hinfällig, § 26 BDSG.
Schließen Sie hier am besten eine Betriebsvereinbarung ab. Eine solche stellt eine Rechtsgrundlage für diese Datenübermittlung dar. Ihre Mitarbeiter werden meistens Verständnis dafür haben, dass die Kooperation mit der US-Firma und damit indirekt der eigene Arbeitsplatz davon abhängt. Ohne Betriebsrat sollte eine Zustimmung der Mitarbeitervertretung eingeholt werden.

Wir prüfen bei Bewerbern deren öffentliches Profil bei Facebook (in sozialen Medien) – das macht doch jeder.

• Jaein. Die Lemming Argumentation mit „macht doch jeder“ mal ausgeklammert.
Grundsätzlich handelt es sich um offensichtlich selbst veröffentlichte Inhalte. Diese wurden vom Betroffenen offenbart und können unter Umständen berücksichtigt werden.
• Die Facebookseite darf aber nicht einfach pauschal als Zusatzinformation mit verwendet wer-den. Nur bei Unstimmigkeiten im Lebenslauf darf auch mit der Suchmaschine recherchiert werden. Dafür müssen zunächst Zweifel am Lebenslauf oder den Informationen aus dem Bewerbungsge-spräch bestehen.
• Wenn man das nun macht gilt aber in diesem Fall Art. 14 DSGVO. Auf Deutsch - Wir brauchen eine Datenschutzerklärung für die Bewerber, die diesen Umstand mit Erfasst. Facebook ist ein Dritter bei dem Daten erhoben werden.

Bei Widererkennungswert unter den obigen Punkten, wenden Sie sich einfach vertrauensvoll an uns.