secopan Newsletter


Erhalten Sie hier einen Einblick in das secopan gmbh Newsletter Archiv.

Newsletter zum Datenschutz, Mai 2021

Sehr geehrte Damen und Herren,
wie immer erhalten Sie mit unserem Newsletter eine Information zu aktuellen Themen des Datenschutzes und der Informationssicherheit.
Dieses Mal erhalten Sie neben unserer Orientierungshilfe für den Einsatz von Kontaktnachverfolgungs-Apps noch einen weiteren wichtigen Hinweis zum Drittlandstransfer von Daten. Wenn Sie Fragen zu den Themen haben, stehen Ihnen unsere Ansprechpartner wie immer mit Rat und Tat zur Seite. Behalten Sie Ihren Datenaustausch mit den USA im Auge und bleiben Sie gesund!

Pandemiebekämpfung: Kontaktnachverfolgung mit Software

Ein wichtiger Baustein im derzeitigen Kampf gegen die Coronapandemie ist die Nachverfolgung persönlicher Kontakte. Diese Option wird wohl auch bei sinkenden Inzidenzwerten noch übergangsweise relevant bleiben. Um diese für Privatpersonen, Unternehmen und Gesundheitsämter so einfach wie möglich zu gestalten, gibt es inzwischen verschiedene digitale Möglichkeiten. Eine davon ist die Warn-App „Luca“, eine weitere ist die Corona Warn App 2.0 „CWA“. Darüber hinaus gibt es noch einzelne Anbieter mit Sonderlösungen.
Wie diese Apps funktionieren, ob Sie die Apps einsetzen können und was Sie für den Datenschutz bei der Arbeit mit diesen Apps beachten müssen, erfahren Sie in diesem Newsletter.

Was können die Apps und was nicht?

Mit dem Luca-App-Einsatz führen Sie eine Kontaktnachverfolgungsliste digital, ohne dass sie diese Daten lesen könnten.
Die Luca-App lässt sich einfach auf dem Smartphone installieren und es muss ein Nutzerprofil erstellt werden. Aufenthaltsort und Zeit (und die hieraus resultierenden möglichen Kontakte) werden dann über einen QR-Code registriert und gespeichert. Die QR-Codes können sowohl von anderen Nutzern der App bei privaten Treffen als auch von Unternehmen, Veranstaltungsorten etc. bereitgestellt werden. Im Infektionsfall leitet die infizierte Person ihre in der App gesammelten Kontakte an das zuständige Gesundheitsamt weiter, das wiederum alle möglichen Betroffenen über das Auftreten einer Infektion informiert. Dabei kann einzig das Gesundheitsamt die übersandten Nutzerdaten entschlüsseln. Der Zugriff anderer Parteien – auch des App-Betreibers oder des Veranstaltungsorts – auf personenbezogene Daten soll so ausgeschlossen sein. Anders arbeitet hier die CWA 2.0. Auch diese App kann in der neuen Version QR-Codes erfassen. Anders als die Luca-App werden hier aber keine personenbezogenen Daten erfasst. Weder die App selbst noch der Veranstalter noch das Gesundheitsamt erfahren über die App, wer der Nutzer ist. Das ist dann zwar datenschutzkonform, aber hierdurch kann die von den Bundesländern geforderte Kontaktnachverfolgbarkeit nicht durchgeführt werden. Also muss der CWA 2.0-Nutzer sich in die analoge Kontaktnachverfolgungsliste eintragen.

Verbietet der Datenschutz den Einsatz der App?

Die hauptsächliche Kritik an der Luca-App bezieht sich auf möglichen Missbrauch sowie die technischen Schwachstellen einer Speicherung der Daten in einer zentralen Datenbank. Eine solche Datenbank mit einer Vielzahl personenbezogener Daten ist für Hackerangriffe ein besonders lohnendes Ziel. Gerade diese Woche gibt es ein Video, in dem gezeigt wird, wie ein Cyberkrimineller über die Luca-App ein Gesundheitsamt angreifen kann.

Gerade hier verfügt die Corona-Warn-App über eine dezentrale, datenschutzkonforme und sichere Lösung. Die Luca-App kann zudem auch von Anwendern missbräuchlich verwendet werden, indem beispielsweise beim Besuch in einem Restaurant erfundene Daten oder gar die persönlichen Daten einer anderen Person eingetragen oder nach Besuch verändert werden. Im Extremfall kann dies etwa eine erzwungene Quarantäne für jemanden zur Folge haben, der sich gar nicht wirklich in der Nähe einer infizierten Person aufgehalten hat. Dieselbe Schwachstelle liegt aber ähnlich auch bei der Kontaktnachverfolgung auf Papier vor.
Bei einem öffentlich ausgehängten QR-Code, z. B. in einem Restaurant oder an einem Veranstaltungsort, besteht überdies die theoretische Gefahr, dass auch in größerem Umfang Personen eingetragen werden könnten, die den Ort gar nicht besucht haben.
Insgesamt ist der Einsatz der Apps möglich. Gerade im Falle der Luca-App wurde dieser Einsatz auf politischen Druck hin von den Datenschutzaufsichtsbehörden trotz Bedenken gebilligt.

Wie lassen sich nun die Apps datenschutzkonform verwenden?

Bei der Corona-Warn-App bestehen keine Probleme. Sie kann einfach verwendet werden. Wenn Sie die Luca-App in Ihrem Unternehmen oder bei Veranstaltungen verwenden wollen, ist dies grundsätzlich möglich. Sie sollten jedoch einige Punkte beachten:

• Die Nutzung muss freiwillig erfolgen! Damit die Nutzung wirklich freiwillig erfolgt, muss es eine alternative Möglichkeit zur Kontaktnachverfolgung geben, z. B. durch Notieren der Daten auf Papier. Damit verbietet sich auch die verpflichtende Installation auf dienstlichen Telefonen. Auch bei Zutrittsbeschränkungen „nur mit Luca-App“ besteht ein Datenschutzverstoß.

• Die Luca-App sollte im Idealfall nur dann verwendet werden, wenn Sie aufgrund einer aktuellen Corona-Verordnung zur Führung von Kontaktlisten verpflichtet sind. Sofern keine rechtliche Verpflichtung besteht, kann der Einsatz nur auf Basis einer Interessenabwägung erfolgen. Diese muss schriftlich vorliegen und gegenüber der Datenschutzaufsichtsbehörde vorlegbar sein. Hierfür sollten Sie in jedem Fall Rücksprache mit Ihrem Datenschutzbeauftragten halten.

• Um missbräuchliche Masseneintragungen zu verhindern, sollte der QR-Code ausschließlich tatsächlichen Besuchern Ihres Unternehmens/Ihrer Veranstaltung zugänglich sein.

• Sofern die Luca-App (oder ähnliche Lösungen) Verwendung finden soll, sind Sie in dem Moment, in dem Sie den QR-Code aushängen und den theoretischen Zugriff auf die durch die App verarbeiteten Daten haben, Verantwortlicher im Sinne der DSGVO. Und zwar auch dann, wenn Sie die Daten aufgrund der Verschlüsselung nicht selbst lesen können. Hierdurch gelten die regulären Pflichten, wobei Sie insbesondere auf die Transparenzpflicht nach Art. 13 DSGVO achten sollten. Geben Sie also nach Möglichkeit in einer kurzen Datenschutzerklärung immer an, welche Daten Sie aus welchen Gründen verarbeiten, und vor allem: Welches Gesetz / Corona-Verordnung Sie hierzu verpflichtet bzw. warum Ihrerseits ein überwiegendes berechtigtes Interesse besteht. Für die Luca-App gilt aber auch: Sie erhalten als Veranstalter / Betreiber einen digitalen Schlüssel als Datei. Dieser Schlüssel darf nicht verloren gehen. Es würde sich um einen meldepflichtigen Datenschutzvorfall handeln, wenn Ihr Schlüssel verloren geht. Auch muss diese Datei vor dem Zugriff Dritter geschützt werden.

• (Generell bei Kontaktnachverfolgung auch in Papierform:) Bei begründeten Zweifeln an der Richtigkeit der angegebenen Daten kann ein Vergleich der Daten mit dem Personalausweis durchgeführt werden. Für einen allgemeinen Abgleich ohne zusätzliche Verdachtsmomente ist dies allerdings zu aufwändig und zudem eine zusätzliche Datenverarbeitung, die aus datenschutzrechtlichen Gründen nicht unproblematisch ist.

Sollten Sie unsicher sein, ob und wie Sie die Luca-App in Ihrem Unternehmen datenschutzkonform einsetzen können, stehen wir Ihnen als Ihr Datenschutzbeauftragter selbstverständlich für Rückfragen zur Verfügung. Gleiches gilt für eine Bewertung von anderen digitalen Angeboten für eine Kontaktnachverfolgung.

Drittlandtransfer und Schremms II

Das klingt jetzt wie kalter Kaffee - immerhin ist das Urteil Schremms II vom EUGH schon im letzten Jahr ergangen – ist es aber nicht.

Der Datenaustausch mit unsicheren Drittländern (hierzu zählen auch die USA) bleibt weiter ein spannendes Feld. Schon im letzten Jahr hatten wir hierzu empfohlen, erst einmal eine Übersicht zu erstellen, an welchen Stellen welche Daten in ein Drittland übertragen werden bzw. werden könnten. Nun gibt es Hinweise, dass hierzu demnächst deutschlandweit Rückfragen von Aufsichtsbehörden erfolgen könnten.

Zwar handelt es sich bisher nur um eine Ankündigung, es gab aber schon in der Vergangenheit erste Versuche zur Kontrolle der Umsetzung, z. B. von dem Hamburger Landesbeauftragten für Datenschutz. Ob solche Anfragen nun in großem Stil erfolgen werden, ist noch nicht klar. Aber beachten Sie die folgenden Erwägungen:

1. Das Urteil wird demnächst ein Jahr alt. Es gab also genug Zeit, sich mit der Umsetzung zu befassen. Es gibt auch schon Handlungsempfehlungen 2 - auch wenn diese nicht wirklich einfach umzusetzen sind.
2. Selbst bei stichprobenartigen Kontrollen mit entsprechenden Fragebögen wäre dies ein weiterer erheblicher Aufwand für die bereits ausgelasteten Datenschutzaufsichtsbehörden. Es scheint also fragwürdig, inwieweit die Behörden diese zusätzliche Last auf sich nehmen.
3. Große Unternehmen stellen gerade mit Blick auf dieses Thema ihre Auftragsverarbeitungsverträge um.
4. Namhafte Dienstleister und Anbieter beugen sich dem Druck und ziehen mit ihren Servern in den europäischen Wirtschaftsraum.
5. Dienstleister werden zunehmend von ihren Auftraggebern gerade auch mit Blick auf Schremms II kontrolliert.

Nach unserer Einschätzung ist es nur eine Frage der Zeit, bis spezifische Kontrollen kommen werden. Die Vergangenheit zeigt, es mangelt den Aufsichtsbehörden nicht an der Motivation, nur manchmal an den Mitteln.

Unsere neue Homeoffice Schulung ist ab sofort verfügbar.

Nicht erst seit der Corona-Krise bieten viele Unternehmen ihren Mitarbeitern Homeoffice, mobiles Arbeiten und andere flexible Arbeitsplatzmodelle an. Diese haben viele Vorteile, sind aber auch mit zahlreichen arbeitsrechtlichen Herausforderungen verbunden.

Vergessen Sie nicht, dass Sie insoweit verpflichtet sind, Ihre Mitarbeiter für den Einsatz im Homeoffice gezielt datenschutzrechtlich zu sensibilisieren.

Das Datenschutzrecht fordert eine auf die jeweilige Gefahrenlage gerichtete Sensibilisierung der Mitarbeiter. Wie verhalten sich Mitarbeiter im Homeoffice richtig, um den hohen Anforderungen an Datenschutz, Datensicherheit und Berufsgeheimnisschutz gerecht zu werden? Welche Gefahren lauern im häuslichen Arbeitsumfeld? Was sind „No Goes“, was ist „Best Practice“.

Die Schulung richtet sich konkret an Mitarbeiter im Homeoffice, mit vielen Empfehlungen und Informationen.

Sie haben noch keinen Zugang? Kontaktieren Sie uns gerne.

Datenschutz konforme Handlungsempfehlung zu Corona Schnelltests

Derzeit werden bundesweit Corona Schnelltests verkauft und kommen zur Anwendung. Die datenschutzrechtliche Einordnung hierzu ist schwierig und nicht ohne Fallstricke.

Handlungsempfehlungen der Datenschutzbehörden stehen noch aus. Aus diesem Grunde haben wir eine nach unserer Ansicht datenschutzkonforme Vorgehensweise für die Verwendung von Corona Schnelltests für Sie entworfen.

Sobald die ersten Datenschutzbehörden entsprechende Handlungsempfehlungen bereitgestellt haben, werden wir unsere Vorgehensweise hieran anpassen. Bis dahin empfehlen wir die im Anhang ersichtliche Vorgehensweise.

Auf keinen Fall sollten Sie Schnelltests im Unternehmen / in der Kommune / in der Behörde verwenden, ohne einen entsprechenden Prozess initiiert zu haben.


Handlungsempfehlung_Corona_Schnelltest.docx

Handlungsempfehlung_Corona_Schnelltest.pdf
secopan – Newsletter März 2021

Update zum Datenschutz

Im Datenschutz ist auch in Pandemiezeiten immer Bewegung. Daher erhalten Sie im Folgenden nützliche Informationen.

Derzeit werden die Jahresberichte der Aufsichtsbehörden veröffentlicht. Die Auswertung wird noch dauern, aber schon jetzt gibt es einige interessante Anhaltspunkte:

• Fiebermessen am Werkstor: Laut dem Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg für das Jahr 2020 sind solche Corona-Maßnahmen nahezu nicht datenschutzkonform durchführbar. Bei der Körpertemperatur handelt es sich um Gesundheitsdaten. Da die Messmethode ungenau ist und das Ergebnis hinsichtlich der Corona-Gefährdung damit unklar bleibt, ist dieses Vorgehen regelmäßig unzulässig. • Nehmen Sie diesen Hinweis vor allem für die demnächst möglichen Corona-Tests auf. Gehen Sie schon jetzt davon aus, dass es sich auch bei den Testergebnissen der Schnelltests um Gesundheitsdaten handelt. Stimmen Sie daher also schon jetzt Teststrategien für Ihr Unternehmen mit Ihrem Datenschutzbeauftragten ab!

• Infektionsfall: Ebenfalls spannend bleibt die Information, über die Infektion eines Mitarbeiters mit COVID-19. Hier ist der Status immer noch unverändert! Der Name des erkrankten Mitarbeiters darf nicht einfach so im Kollegenkreis frei herausgegeben werden. Die Preisgabe des Namens ist und bleibt das letzte Mittel – und zwar auch dann, wenn der „Flurfunk“ im Unternehmen schon wieder alle Grenzen des Datenschutzes hinter sich gelassen hat. • Stimmen Sie auch hier das Vorgehen mit Ihrem Datenschutzbeauftragten ab. Für solche Fälle sind wir telefonisch erreichbar. Versuchen Sie immer erst auf allen anderen Wegen die möglicherweise ebenfalls gefährdeten Kollegen des Mitarbeiters zu identifizieren. Die Infektionsnachverfolgung ist normalerweise die Aufgabe des Gesundheitsamtes. Als Arbeitgeber müssen Sie hier jedoch Ihre Fürsorgepflicht gegenüber den Arbeitnehmern wahren.

Aktuelle Entwicklungen bei den Bußgeldern

Das Rekordbußgeld gegen die Deutsche Wohnen wurde vom zuständigen Landgericht kassiert. Die Aufsichtsbehörde regt derzeit Rechtsmittel gegen die Entscheidung an. Einerseits war der Bescheid wohl fehlerhaft, andererseits hat das Gericht hier eine andere Auffassung von der Verantwortlichkeit im Unternehmen.

• Die Angelegenheit ist noch nicht vom Tisch. Wir halten Sie auf dem Laufenden. Gerade an den Rekordbußgeldern wird wahrscheinlich das Verfahren für die „kleineren“ Fälle für die Zukunft optimiert. Die Aufsichtsbehörden werden garantiert aus einzelnen Fehlern lernen. Gleichwohl ist derzeit ein Trend gegen die Rekordbußgelder erkennbar. Die Gerichte sind scheinbar nicht bereit, diese großen Summen ohne Weiteres zu bestätigen. Im Falle von 1und1 wurden z. B. aus 9,55 Millionen Euro nun 900.000 Euro.

Die letzten größeren Bußgelder lassen sich derzeit auf zwei wesentliche Verstöße einkreisen:

1. Rechtswidrige Videoüberwachung Hier gab es nun ein neues Rekordbußgeld von 10,4 Millionen Euro gegen das Unternehmen Notebooksbilliger.de. Das Unternehmen hatte seine Mitarbeiter ohne vertragliche Grundlage in einem Zeitraum von mindestens zwei Jahren mit Videokameras überwacht. Problematisch war die überlange Speicherdauer von 60 Tagen sowie die pauschale und anlasslose Überwachung von Mitarbeitern und Kunden. • Nutzen Sie die Hinweise und stimmen Sie eine Videoüberwachung immer mit Ihrem Datenschutzbeauftragten ab! Gehen Sie davon aus, dass Sie hier kein Nachsehen der Aufsichtsbehörden bei Verstößen erwarten können. Es gibt keinen “Bestandsschutz” bei den Überwachungskameras! Auch uralte Videoüberwachungen können gegen geltendes Datenschutzrecht verstoßen und zu Bußgeldern führen.

2. Unzulässige Werbung / Werbeanrufe
Die Verstöße sind immer identisch: Unzulässige Werbeanrufe ohne Einwilligung oder erneute Anrufe, obwohl ein Widerspruch erteilt wurde. Hierzu gibt es derzeit auch ein neues Urteil des Saarländischen OVG, welches die Thematik der Einwilligung aufnimmt und klarstellt. In dem dortigen Fall wurde im Rahmen der Double Opt-In-Einwilligung als E-Mail auch eine Telefonnummer abgefragt und bestätigt. Blöd nur, dass die Inhaber der Rufnummer die E-Mail-Adresse nachweisbar nicht kannten. Die erteilte Einwilligung war also nicht nachweisbar von den Betroffenen erteilt worden und damit gab es keine Einwilligung.

Achtung: Das OVG stellte in dem Zusammenhang auch noch einmal unmissverständlich klar, dass bereits der erste Anruf, um eine Einwilligung für Werbeanrufe telefonisch abzufragen, ohne Einwilligung unzulässig ist!

Beachten Sie im Falle der Werbung immer auch den § 7 UWG. Dessen Regelungen werden als Maßstab für die Bewertung der Einwilligung herangezogen. Ohne eine solide Einwilligung ist Werbung nur für Bestandskunden unter den dortigen Voraussetzungen möglich. Hier ist es erforderlich, schon im Moment der Vertragsaufnahme mit dem Kunden die richtigen Hinweise für zukünftige Werbung zu geben. Auch hier gibt es keinen Bestandsschutz! Alte Listen von Werbungsempfängern sind fast immer unwirksam. Ohne eine DSGVO-konforme Einwilligung müssen selbst die alten Werbekundenverzeichnisse gelöscht werden.

secopan – Newsletter Januar 2021 - 02

Office 2 Go

Ganz egal ob Sie Home-Office nun positiv oder negativ gegenüberstehen, Telearbeit wird kommen … und bleiben. Bereiten Sie sich also schon jetzt langsam darauf vor. Je mehr Sie heute schon richtig machen, desto weniger müssen Sie später nacharbeiten.

Unabhängig von den Vor- und Nachteilen von Home-Office hier nochmal ein paar wesentliche Informationen:

Home-Office bezeichnet den Teil der Telearbeit der in den eigenen vier Wänden erbracht wird.

Wo fange ich beim Home-Office an?

• Vorweg Vertraglich:
Schließen Sie ergänzende vertragliche Vereinbarung mit den Mitarbeitern. Stellen Sie zuallererst vertraglich sicher, wie Sie Ihren Mitarbeiter in das Home-Office schicken, unter welchen Bedingungen und vor allem wie Sie ihn wieder zurückrufen können. Wenn es irgendwo Probleme gibt ist der mögliche Rückruf Ihre beste Option um die Sache zu regeln. Vereinbaren Sie ein Kontrollrecht des Arbeitgebers im Home-Office. Und regeln Sie vor allem die Rückgabe von Arbeitsgerät, Papier und Datenträgern aus dem Home-Office nach der Beendigung. Schließen Sie Zurückbehaltungsrechte aus.

• Technisch:
Stellen Sie dienstliches Arbeitsgerät bereit und regeln Sie die private Nutzung (sofern noch nicht geschehen). Nutzen Sie eine VPN Software für die gesicherte Datenübertragung. Legen Sie die Anwendungen fest, welche verwendet werden sollen. (Videokonferenz Tool, VPN Software, E-Mail Client, Telefonsoftware, Virenschutz) Achten Sie bei der Festlegung der Tools auf Verschlüsselungsoptionen! Z.B. Telefonsoftware muss das anbieten sonst ist sie nicht Datenschutzkonform.

• Organisatorisch:
Auch im Home-Office gelten die bisherigen Richtlinien zum Umgang mit Hard und Software weiter. Ergänzen Sie diese Regelungen mit einer Richtlinie zum Home-Office. Vermeiden Sie unnötige Widersprüche zwischen den Regelungen. Alle vorhandenen Richtlinien sollten auch im Home-Office unverändert fortgelten (sofern diese anwendbar sind). Die Home-Office Richtlinie sollte daher nur alle „neuen“ Punkte regeln.

Regeln Sie folgende Punkte:
Arbeitsschutz im Home-Office, Papier und Akten im Home-Office, Sicherheit des Arbeitsplatzes (offenes Fenster 1. Stock falsches Stadtviertel), Verbieten Sie Sicherheitsrelevante Vorgänge im Home-Office, (Das Coca-Cola Rezept zuhause) Vermeiden Sie es nach Möglichkeit, dass Unternehmensdaten auf privaten Geräten landen oder umgekehrt private Daten auf Unternehmensgeräten.

Das sind leider schon eine ganze Menge Punkte. Je mehr Sie umsetzen können, desto weniger Risiken trägt Ihr Unternehmen. Gerne steht Ihnen Ihr Ansprechpartner bei der secopan GmbH für die Umsetzung beratend zur Verfügung.

secopan – Newsletter Januar 2021

SolarWinds-Hack - Ein Angriff, der um die Welt geht

Zehntausende Firmen könnten betroffen sein, es gilt als größter Hack seit Jahren. Wieso ist der SolarWinds-Hack so gefährlich? Um welche Schwachstelle handelt es sich und sind vielleicht auch deutsche Firmen und Forschungsinstitute betroffen?

SolarWinds bietet als Dienstleister Softwarelösungen für das IT- und Netzwerkmanagement an. Kunden können so Datenbanken und Systeme verwalten. Das Unternehmen zählt weltweit mehr als 300.000 Kunden, etwa 18.000 Kunden hätten im Zeitraum zwischen März und Juni 2020 das kompromittierte Update installiert. Dadurch wurde den Angreifern eine Hintertür namens „Sunburst“ in die Systeme und Netzwerke der Kunden geöffnet.

Die Liste der Betroffenen wächst täglich. Softwareentwickler wie Microsoft und VMware gehören zu den Opfern, ebenso der Finanzdienstleister Equifax, die Wirtschaftsprüfer von Deloitte sowie die Tech-Firmen Nvidia, Belkin, Intel und Cisco.

Wie ließe sich die Hintertür schließen?

Die Sicherheitslücke wurde nach bekannt werden schnell geschlossen. So kann über diesen Weg kein weiterer Schaden angerichtet werden. Es ist aber denkbar, dass die Angreifer weitere Schadsoftware eingeschleust haben und es so möglich ist, neue Hintertüren zu öffnen. Den SolarWinds-Kunden kann man deshalb nur raten, die Schutzmaßnahmen zu verstärken.

Der IT-Experte Hartmut Pohl formuliert noch drastischere Maßnahmen: „Eigentlich muss man sofort alle betroffenen Systeme abschalten. Das klingt überzogen, aber unter dem Aspekt, dass die Angreifer Ihnen die ganze IT stilllegen können, muss man das riskieren.“ Entscheidend seien die unbekannten Sicherheitslücken, die es noch im System geben könne. „Sonst lebt Ihr Unternehmen mit einer Hintertür, über die Angreifer jederzeit reinkommen“, sagt Pohl.

Warum sind die Angriffe bedenklich?

Solche Angriffe sind nur schwer zu erkennen, weil sich der Schadcode in Software versteckt, der man als Unternehmen vertraut. Solange die Sicherheitslücke unentdeckt bleibt, können auch Antiviren-Software und Firewall wenig ausrichten. Die Software verfügt von Haus aus über weitreichende Rechte, um Systeme und Netzwerke zu verwalten und zu analysieren. So gelangen die Hacker schnell in das ganze Netzwerk hinein und können hohen Schaden anrichten.

Was bedeutet das für die Nutzerinnen und Nutzer?

Im schlimmsten Fall könnten die Hacker bereits sämtliche Daten Ihres Systems kopiert haben. Dazu gehören E-Mails, Adressbücher, aber auch Passwörter und vertrauliche Dokumente, Datenbanken, Baupläne und Firmengeheimnisse. Es könnten aber auch Maschinen und Computer manipuliert und sabotiert werden.

Welche Daten wurden gestohlen oder verändert?

Bei fast allen Opfern laufen noch Untersuchungen. Microsoft berichtet, dass sich unbekannte Angreifer Einblicke in den Quellcode von Produkten verschafft hatten. In dem Statement gibt das Unternehmen zu, dass die Hacker einen Teil des internen Quellcodes der Firma einsehen konnten. Nach einer Untersuchung ist Microsoft jetzt zu dem Ergebnis gekommen, dass im Rahmen der Attacke kein interner Code modifiziert werden konnte. Den Angreifern sei es nicht gelungen, Zugang zu den ProduktionsSystemen zu erlangen. Darüber hinaus gebe es keine Hinweise darauf, dass die Hacker auf Daten von Kunden zugreifen konnten oder die Microsoft-Systeme dafür verwendet haben, um andere Unternehmen anzugreifen.

Der SolarWinds-Hack ist vom Ausmaß her einer der größten Cyberangriffe der vergangenen Jahre. Und der genaue Schaden muss sich erst noch zeigen.

Unsere aktuellen Empfehlungen zu diesem Thema:

Verwenden Sie die betroffene Software? Wenn ja, sollten wir zeitnah ein Ereignis hierzu dokumentieren. Als Maßnahmen müssen sodann erfolgen:

• Update von SolarWind einspielen
• Netzwerke und Systeme auf Hintertüren prüfen
o Firewall-Datenverkehr kritisch überwachen, Regeln überarbeiten
o Welche Prozesse haben welche Verbindungen?
o Wer hat worauf Zugriff?
o Ändern Sie die Passwörter
o Rechte von Orion nach Möglichkeit auf ein Minimum reduzieren

Bei weiteren Fragen wenden Sie sich bitte an Ihren zuständigen ISB (Informationssicherheitsbeauftragten) per E-Mail unter datenschutz@secopan.de

secopan – Newsletter September 2020

Durchstarten in den Herbst

Wir hoffen Sie hatten trotz der widrigen Umstände dieses Jahr einen angenehmen Sommer. Damit der Herbst etwas angenehmer wird erhalten Sie hier unseren Newsletter mit ein paar relevanten Neuerungen und Hinweisen. Dieser Newsletter steht dabei ganz im Zeichen der Awareness.

Awareness bedeutet übersetzt so viel wie Bewusstsein bzw. Wahrnehmung. In der IT-Sicherheit und damit auch im Datenschutz geht es also um die Achtsamkeit Ihrer Mitarbeiter im Umgang mit den eigenen Systemen und die Fähigkeit Unregelmäßigkeiten erkennen und melden zu können.

Ein Mitarbeiter, der die Phishingmail erkennt, den Link nicht anklickt und den Vorgang der IT-Abteilung meldet, spart ihrem Unternehmen mitunter mehr Geld ein, als er Sie das ganze Jahr kostet. Das ist eine immense Wertsteigerung Ihres Humankapitals!

Awareness-Poster *Neu zur Verfügung*
Damit das funktioniert, schauen Sie mal rein unter https://www.secopan.de/awareness/ und nutzen Sie einfach die hier bereitgestellten Materialien. Die Poster können unsere Kunden auf Wunsch auch in Druckqualität (Ohne Wasserzeichen) erhalten und innerhalb Ihres Unternehmens verteilen.

Schulung *Jetzt in besser*
Unter https://awareness.secopan.de/ können Sie unsere neu überarbeitete Datenschutzschulung nebst einem Schulungsvideo für Phishing E-Mails und der IT-Sicherheitsschulung absolvieren. Ihre Mitarbeiter erhalten nach dem erfolgreichen Abschluss des jeweils zugehörigen Tests ein Zertifikat für die Datenschutz- und IT-Sicherheitsschulung. Die Anmeldung kann jeder Mitarbeiter selbst erledigen. Zum Einschreiben in die jeweiligen Kurse ist ein Einschreibeschlüssel zur Zuordnung des Mitarbeiters zu Ihrem Unternehmen / Ihrer Behörde erforderlich. Diesen Schlüssel erhalten Sie von dem für Sie zuständigen Mitarbeiter der secopan.
Eine Schulung im Datenschutz sollte mindestens einmal pro Jahr oder aber zur Einstellung eines neuen Mitarbeiters erfolgen. Die Schulungen dauern nebst Test zusammen ca. 1h Zeit. Geschult werden sollte zumindest jeder Mitarbeiter der Kundenkontakt oder einen PC-Arbeitsplatz hat.
Die neue Plattform ermöglicht es den Datenschutzkoordinatoren selbst auf die Zertifikate der Mitarbeiter zuzugreifen. Sollten Sie hiervon Gebrauch machen wollen, wenden Sie sich an uns.

EUGH Schremms II Privacy Shield
Wer Nachrichten im Datenschutz verfolgt oder aber hin und wieder unter https://www.secopan.de/blog/ unsere Hinweise einsieht, der hat mitbekommen, dass der Datenaustausch mit den USA leider schwieriger geworden ist. Was Sie nun tun müssen können Sie unserem beiliegenden Hinweisblatt entnehmen.

Mitarbeiterwechsel
Leider müssen wir Ihnen ebenfalls mitteilen, dass die Kollegen Herr Salfeld und Herr Maa zum August hin die secopan GmbH auf eigenen Wunsch hin verlassen haben. Sollte Ihnen der Wechsel des für Sie zuständigen Mitarbeiters noch nicht aufgefallen sein, schicken Sie bitte eine E-Mail an datenschutz@secopan.de Sie erhalten eine Rückmeldung des nun für Sie zuständigen Kollegen.

secopan – Newsletter September 2020 Hinweisblatt

Haben Sie schon von dem Urteil Schrems II des EUGH gehört?

Im Wesentlichen geht es darum das der EUGH das Privacy Shield-Abkommen mit den USA für ungültig erklärt hat. Begründung: Die USA können aufgrund der dortigen Gesetzeslage und den zu neugieren Geheimdiensten die Sicherheit der in Ihr Land übertragenen Daten nicht gewährleisten.

Das war keine Überraschung. Um ehrlich zu sein war allen Beteiligten klar, dass die bisherige Situation aus Datenschutzgesichtspunkten unzureichend und eher fragwürdig gewesen ist.

Was ist also nun zu tun?

Es gibt keine Übergangsfristen und daher müssen wir handeln. Folgen Sie daher unserer kurzen Anleitung:

1. Identifizieren Sie alle Verarbeitungstätigkeiten bei denen personenbezogene Daten in die USA übermittelt werden.
a. Wer ein Verzeichnis der Verarbeitungstätigkeiten hat, schaut einfach dort rein. Dort steht unter der Spalte Drittland ob es Daten gibt, welche die Europäische Union verlassen.
b. Wer kein Verzeichnis der Verarbeitungstätigkeiten hat, muss sich auf die Suche nach entsprechenden Verarbeitungsvorgängen begeben. Liegen z.B. Verträge mit Dienstleistern in den USA vor?
c. Beachten Sie auch Ihre Dienstleister und deren Subunternehmer. Soweit ein Auftragsverarbeitungsvertrag vorliegt, steht dort meistens drin ob es einen Subunternehmer in den USA gibt.
2. Haben Sie einen Datentransfer in die USA gefunden? Falls ja nehmen Sie eine Bewer-tung des Vorgangs vor und binden Sie hierbei ihren Datenschutzbeauftragten ein. Welche Daten werden hier warum übermittelt?
3. Nun werden wir Ihnen eine Empfehlung aussprechen. Als Lösung gibt es im Wesentlichen 3 Möglichkeiten:
a. Beendigung der Verarbeitungstätigkeit. (Hier können Sie unter Umständen Sonderkündigungsrechte haben)
b. Abschluss von Standardvertragsklauseln als neue Transfergrundlage
c. Rückfrage bei der Aufsichtsbehörde, weil weder a) noch b) taugliche Optionen sind.

secopan – Newsletter August 2020

Was macht Ihr mit meinen Daten?

Die Betroffenenanfrage. Genauer die Geltendmachung von dem Recht auf Auskunft aus Art. 15 DSGVO. – Ja da steht ein Gesetz, das heißt aber nicht, dass Sie hier schon aufhören sollten zu Lesen :) der Text geht auch für Nichtjuristen – versprochen - Der grundsätzliche Gedanke hinter diesem Recht ist, dass Herr Müller (als betroffene Person) von der Meier GmbH (dem für die Datenverarbeitung Verantwortlichen) immer erfahren können muss, was mit seinen Daten gemacht wird. Das ist also in erster Linie ein Recht des Herrn Müller. Für den Verantwortlichen ist das natürlich eine mittlere Katastrophe. Da kommt jetzt ein Herr Müller und muss eine Leistung bekommen, für die er nicht einmal bezahlen muss.

Schlimmer noch: Die Erfahrung zeigt, dass die Betroffenenanfragen fast ausschließlich querulatorisch gestellt werden. Sollten Sie z.B. demnächst mit einer Kündigungsschutzklage eines Mitarbeiters zu tun haben, so grenzt es an einen Verfahrensfehler des Anwalts, wenn er vergessen hat auch noch das Auskunftsrecht aus Art. 15 DSGVO geltend zu machen. Das gibt Munition für den Rechtsstreit und schafft eine angenehmere Basis für Abfindungsan-sprüche aus Vergleichsverhandlungen. Auch Reichsbürger lieben dieses Recht aus einer von Ihnen abgelehnten Rechtsordnung. Unzufriedene Kunden klicken gerne jeden Datenschutz-hinweis weg aber Stellen im Falle einer Meinungsverschiedenheit auch gerne mal eine Anfrage, um bei der Zuverlässigkeit des Unternehmens im Umgang mit Daten auf Nummer sicher zu gehen.

Das ist ärgerlich. Lässt sich aber nicht vermeiden. Da es sich um ein Recht des Betroffenen handelt, wird der Nachweis über eine rechtsmissbräuchliche Anfrage meist nicht gelingen. Es bleibt nur die Chance diese Anfrage souverän und schnell zu beantworten.

Schritt Eins: Erkennen
Sollten Ihre Mitarbeiter nicht in der Lage sein eine solche Anfrage zu identifizieren haben Sie die Schlacht meist schon an dieser Stelle verloren. Sie haben nur einen Monat Zeit und sollen die Anfrage eigentlich unverzüglich beantworten (das steht so in Art. 12 III DSGVO). Ver-streicht diese Frist ohne Antwort oder Bitte um Fristverlängerung, leuchtet schon der DSGVO Bußgeldalarm. Es gibt übrigens auch Abmahnanwälte die diesen Verstoß mit bis zu 1000€ abmahnen.
Informieren Sie also solche Mitarbeiter, die eine solche Anfrage erkennen müssen. Das sind alle Mitarbeiter in der Kundenbetreuung und auch die Mitarbeiter der Personalabteilung.

Schritt Zwei: Schweigen ist Silber, richtig Antworten ist Gold, falsch Antworten ist…ungünstig
Wenn Sie nun schon Ihre Mitarbeiter Informieren, ist der zweite Schritt der „Maulkorb“. Kein Mitarbeiter sollte ohne Rücksprache mit dem Datenschutzbeauftragten zu einer Betroffe-nenanfrage mehr sagen als folgenden Mustertext:

Sehr geehrter Herr/Frau vielen Dank für Ihre Anfrage vom … wir haben diese intern an die zuständigen Stellen weiter-geleitet und melden uns so schnell wie wir die Anfrage inhaltlich zutreffend beantworten können. Bitte beachten Sie das uns hierfür je nach Umfang der Datenverarbeitung bis zu einem Monat ab Eingang der Anfrage zur Verfügung steht.

Mit freundlichen Grüßen

Jede unqualifizierte Antwort auf so eine Anfrage richtet meist mehr Schaden an, als wenn man geschwiegen hätte. Das gilt auch wenn man von einem lästigen Kunden mit Anfragen und Drohungen zugespammt wird. Im Zweifel nutzt man halt den vollen Monat.

Schritt drei: die Feuerwehr
Nun ist es an der Zeit Ihren Datenschutzbeauftragten zu verständigen. Antworten müssen zwar Sie als Verantwortlicher, aber niemand sagt, dass Sie hierbei nicht auf Mustertexte zurückgreifen dürfen.
Nachdem Sie also eine Anfrage an datenschutz@secopan.de geschickt haben, und auf die Rückmeldung eines fachkundigen Kollegen warten, können Sie schonmal die Informationen sammeln, welche wir zur Beantwortung der Frage benötigen.

Wer ist Herr Müller?
Welche Daten haben Sie über Herrn Müller gespeichert?
Wer hat von Ihnen Daten über Herrn Müller bekommen?


Sollte die Sammlung größer werden, dann sprechen Sie auch dies mit Ihrem Datenschutzbeauftragten ab.

Schritt vier: die Antwort
Zusammen mit Ihnen werden wir den Betroffenen Identifizieren und Anhand von Muster-texten eine Antwort erstellen die Nachfragen einer Aufsichtsbehörde verhindert. Sollten wir hierbei auf Abweichungen im Bereich Datenschutz stoßen, werden wir natürlich auch diese zusammen mit Ihnen beheben. Eine Betroffenenanfrage wird übrigens meist mit dem Begehren auf Löschung nach Art. 17 DSGVO verbunden. Die Schritte bleiben dabei identisch. Am Ende löscht man dann aber noch alles.

Ausblick: Betroffenen DDoS
Es ist derzeit theoretisch möglich ein Unternehmen mit mehreren hundert simultanen Anfragen lahmzulegen. - Verraten Sie das nicht Greenpeace und Co. - Das nennt man in der IT-Welt DDoS Distributed Denial of Sevice. Möglich wäre das, wenn Sie mit Ihrem Unterneh-men ungünstige Mediale Aufmerksamkeit oder aber den Zorn einer größeren Gruppe auf sich ziehen.
Sollte das Passieren wird kein Weg daran vorbeiführen, im Rahmen einer kurzen Schulung mehrere Mitarbeiter in die Lage zu versetzen die Anfragen selbstständig zu beantworten. Mit einem Mustertext und ca. zwei Schulungen der Mitarbeit lässt sich hier einiges machen. Bei größeren Datenbanken muss aber auch die IT-Abteilung in der Lage sein hier die notwendige Zuarbeit zu leisten.

secopan – Newsletter Juli 2020 - 02

BSI Warnmeldung - Kritische wurmartige Schwachstelle im Windows DNS-Server

Sachverhalt
In der Implementierung des DNS-Dienstes des Windows Servers besteht die kritische Schwachstelle CVE-2020-1350, auch genannt "SIGRed". Die Schwachstelle besteht in der Verarbeitung von präparier-ten DNS-Anfragen und -Antworten und kann dafür ausgenutzt werden, durch einen Heap-basierten Speicherüberlauf Schadcode mit Rechten des Lokalen System-Nutzers auszuführen. Die Schwachstelle kann laut Microsoft wurmartig ausgenutzt werden. Da der DNS-Dienst üblicherweise auf Domain Controllern aktiviert ist, kann eine Kompromittierung zu erheblichen Betriebsunterbrechungen und Übernahme von Domain-Accounts führen [MIC2020a].
Betroffen sind alle Windows Server-Versionen von 2003 bis 2019, welche den DNS-Dienst anbieten.
DNS-Server, die nicht von Microsoft bereitgestellt werden, sind nicht betroffen.

Bewertung
Da diese Schwachstelle wurmartig ausgenutzt werden kann, ist diese Schwachstelle als sehr kritisch zu bewerten.
Bisher ist zwar noch keine Ausnutzung bekannt, jedoch hat eine IT-Sicherheitsfirma sehr detaillierte Informationen veröffentlicht [CHE2020], wodurch es relativ einfach sein dürfte einen funktionieren-den Exploit-Code zu erstellen. Microsoft schätzt die Ausnutzung als "eher wahrscheinlich" ein [MIC2020a].

Maßnahmen
Es wird dringend empfohlen die betroffenen Windows Server Systeme zeitnah zu aktualisieren. Sollte ein Update kurzfristig nicht möglich sein, besteht die Möglichkeit die Schwachstelle mit einem Workaround zu mitigieren. Hierzu muss ein Registry-Key angelegt werden. Anschließend muss der DNS-Dienst neu gestartet werden. Dies kann mit dem folgenden Befehl durchgeführt werden [CHE2020]: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpRe-ceivePacketSize" /t REG_DWORD /d 0xFF00 /f net stop DNS && net start DNS Das beschränkt die maximale Länge einer DNS-Anfrage über TCP auf 0xFF00 (255 Bytes weniger als die Voreinstellung) und sollte die Ausnutzung der Schwachstelle unterbinden [MIC2020b].

Sachlage und Bewertung:
Es wurde eine extrem bedrohliche Sicherheitslücke bei allen Windows Servern mit aktivem DNS-Service festgestellt. Diese Schwachstelle lässt sich zur automatischen, wurmartigen Verbreitung nutzen und wurde mit dem CVSS-Höchstwert von 10,0 (auf einer Skala von 0 bis 10) eingestuft. Ein nicht authentifizierter, entfernter Angreifer kann durch die Schwachstelle die Rechte eines Domänen-Administrators erlangen und die Kontrolle über die gesamte IT-Infrastruktur des Betreibers überneh-men. Hierfür muss lediglich eine modifizierte DNS-Anfrage an den DNS-Server gesandt werden. Der Angreifer ist weiterhin in der Lage eine Remote-Code-Execution auszuführen, sowie Netzwerkverkehr zu modifizieren, abzufangen und somit auch vertrauliche Daten zu stehlen.
In jeder Kommune dürfte (mindestens) ein DNS-Server im Einsatz sein und diese extreme Kritikalität erfordert Ihr umgehendes Handeln!

Betroffene Produkte:
- alle Windows Serversysteme mit aktivem DNS-Service

Sicherheitsempfehlung:
Für die Schwachstelle existiert Patch von Microsoft. Bitte installieren Sie umgehend das entsprechen-de Security Update von Microsoft. Falls dies aus betrieblichen Gründen nicht sofort möglich sein sollte, setzen Sie bitte den von Microsoft als Workaround beschriebenen Registry-Key und vollziehen einen Restart des DNS Dienstes.

secopan – Newsletter Juli 2020

Hilfe (zum) Datenschutz

Haben Sie unseren Newsletter schon vermisst? Im Verlauf der Corona-Zeit hatten wir Ihnen schon im März und April hilfreiche Hinweise und Dokumente bereitgestellt. Nach der Rück-sprache mit einigen Kunden war uns schnell klar, dass Datenschutz in Corona Zeiten eine untergeordnete Rolle hat. Vereinfacht gesagt: Wenn die Hütte brennt muss erstmal gelöscht werden. Über die Farbe und die Geschmacksrichtung des Löschwassers kann man sich später streiten. Das der Datenschutz dennoch wichtig ist, dass sollte Ihnen die Debatte um die Corona-App gezeigt haben. Sie erhalten daher mit diesem Newsletter ein paar allgemeine Hinweise und dann kommt ein Überblick zum Spezialthema der Betroffenenanfrage.

Allgemeine Hinweise

Darf ich die Corona App verpflichtend auf die Diensttelefone meiner Mitarbeiter installieren? • Klares Nein. Ihr Mitarbeiter sollte in dem Fall einfach die GPS und Bluetooth Funktion des Handys deaktivieren.

Darf ich im Eingangsbereich meines Unternehmens mit einer Infrarot-Videokamera über die Wärmeabstrahlung des Gesichts Fiebermessen?

• Nicht solange wir Datenschutzbeauftragter sind und Sie für diese Maßnahme nicht ernsthaft gute Gründe vorweisen können. Die Erhebung von Gesundheitsdaten iSd. Art. 9 DSGVO lässt sich nicht so einfach aus einem sehr führsorglichen Sicherheitsinteresse heraus begründen.

Wir haben eine GPS-Fahrzeugverfolgung für Dienstwagen. Was müssen wir beachten?

• Haben Sie eine Datenschutzfolgeabschätzung für den Prozess vorgenommen? Aufgrund der möglichen Kontrolle des Mitarbeiters ist eine solche erforderlich. Außerdem sollten Sie in der zugehörigen Datenschutzerklärung für Ihre Mitarbeiter klar Regeln, wofür Sie die Daten nutzen. Eine pauschale anlasslose Überprüfung auf Arbeitszeit- oder sonstige Verstöße ist unzulässig. Haben Sie in der Datenschutzerklärung nicht auf Überprüfungen hingewiesen, droht sogar, dass Sie Ergebnisse aus Überprüfungen nicht als Beweis vor Gericht vorlegen dürfen.

Wir arbeiten mit Unternehmen z.B. in den USA und müssen Sanktionslisten beachten. Darf ich diese Daten in einer Bewerbung abfragen?

• Grundsätzlich sollten Sie in diesem Fall nach den konkreten Nationalitäten fragen. Sie laufen hier schnell in die Gefahr einer Klage gegen die Bewerbung aufgrund einer Diskriminierung. Daten-schutztechnisch sollten Sie hier nicht mehr Daten erheben als unbedingt erforderlich. Manche US-Firmen bestehen sogar auf einen selbst durchgeführten Mitarbeitercheck und wollen hierfür eine Liste der Mitarbeiter haben. In diesem Fall können Sie die Liste schonmal nur auf die tatsächlich für die US-Firma tätigen Mitarbeiter beschränken. Hier ist dann aber immer noch eine Einwilligung der Mitarbeiter erforderlich. Eine solche ist im Arbeitsverhältnis aber schwierig zu bekommen. Ohne einen positiven Nutzen für die Mitarbeiter ist die Einwilligung sogar meistens hinfällig, § 26 BDSG.
Schließen Sie hier am besten eine Betriebsvereinbarung ab. Eine solche stellt eine Rechtsgrundlage für diese Datenübermittlung dar. Ihre Mitarbeiter werden meistens Verständnis dafür haben, dass die Kooperation mit der US-Firma und damit indirekt der eigene Arbeitsplatz davon abhängt. Ohne Betriebsrat sollte eine Zustimmung der Mitarbeitervertretung eingeholt werden.

Wir prüfen bei Bewerbern deren öffentliches Profil bei Facebook (in sozialen Medien) – das macht doch jeder.

• Jaein. Die Lemming Argumentation mit „macht doch jeder“ mal ausgeklammert.
Grundsätzlich handelt es sich um offensichtlich selbst veröffentlichte Inhalte. Diese wurden vom Betroffenen offenbart und können unter Umständen berücksichtigt werden.
• Die Facebookseite darf aber nicht einfach pauschal als Zusatzinformation mit verwendet wer-den. Nur bei Unstimmigkeiten im Lebenslauf darf auch mit der Suchmaschine recherchiert werden. Dafür müssen zunächst Zweifel am Lebenslauf oder den Informationen aus dem Bewerbungsge-spräch bestehen.
• Wenn man das nun macht gilt aber in diesem Fall Art. 14 DSGVO. Auf Deutsch - Wir brauchen eine Datenschutzerklärung für die Bewerber, die diesen Umstand mit Erfasst. Facebook ist ein Dritter bei dem Daten erhoben werden.

Bei Widererkennungswert unter den obigen Punkten, wenden Sie sich einfach vertrauensvoll an uns.