Datenschutz und IT- Neuigkeiten
Latest News
April 2024
EUGH: Datenschutzaufsicht z.B. Landesdatenschutzbeauftragte(r) muss bei einem Verstoß gegen DSGVO einschreiten:
Eine betroffene Person hatte beim Verwaltungsgericht Wiesbaden beantragt, den Landesdatenschutzbeauftragten zum Eingreifen gegen
den Verursacher des Datenschutzverstoßes zu verpflichten.
Der Generalanwalt führt dazu nun aus, dass die hessische Behörde Maßnahmen in Betracht ziehen müsse, die zur Behebung des
Verstoßes und zur Durchsetzung der Rechte der betroffenen Person am besten geeignet seien.
Die Aufsichtsbehörde ist gehalten, "eine geeignete, erforderliche und verhältnismäßige Maßnahme"
zu ergreifen. Das kann eine Geldbuße sein, oder die Behörde könnte es mit einer Verwarnung bewenden lassen.
Ein Beschwerdeverfahren wäre "völlig nutzlos", wenn "die Aufsichtsbehörde angesichts einer unionsrechtswidrigen Rechtslage
passiv bleiben würde.
März 2024
Videokonferenzen:
Video- und Audio- Konferenzen sollten immer mit einem PIN gegen unberechtigte Zuhörer bzw. Zuseher geschützt sein!
Datenschutzrechtlich verantwortlich ist der Arbeitgeber. Er muss nicht nur Sicherungsmaßnahmen vorgeben, sondern ihre Einhaltung und Wirksamkeit auch kontrollieren.
Ein grundsätzliches Sicherheitsproblem ist das bei Einwahl per Telefon oder über einen Browser es keine Ende-zu-Ende-Verschlüsselung gibt!
Aus Sicht der DSGVO sollten für Video-Konferenzen europäische Cloud-Anbieter verwendet werden.
Februar 2024
Weitere Sicherheitslücke bei Fernwartungssoftware:
Eine Schwachstelle im Teamviewer-Client (älter als Version 15.51.5) ermöglicht die Umgehung von Sicherheitsvorkehrungen
(BSI ID: WID-SEC-2024-0492)
Es ist ein Update verfügbar welches das Problem behebt.
Mehrere Fernwartungssoftware Varianten fielen zuletzt ebenfalls mit Sicherheitsproblemen auf, z.B.: Anydesk, Rustdesk.
Meine Empfehlungen: Immer nur die aktuelle Version verwenden „unbeaufsichtigten Zugriff“ deaktivieren, Zwei-Faktor- bzw. Multi-Faktor-Authentifizierung verwenden.
Januar 2024
Das Arbeitsgericht Suhl hat jetzt betont, dass eine angemessene Sicherheit personenbezogener Daten bei unverschlüsselten E-Mails nicht gegeben ist.
Unverschlüsselte E-Mails mit personenbezogenen Inhalten, insbesondere wenn Inhalte gem. Artikel 9 DSGVO enthalten sind, verstoßen somit gegen die DSGVO!
Wenn Sie bzgl. Verschlüsselungstechniken in ihrem Unternehmen Fragen haben, bitte melden ...
Immer noch sind ca. 1,8 Mio. PCs mit einem veralteten Windows (XP, W7, W8) in Deutschland mit dem Internet verbunden.
Kommt es zu Schäden durch Hackerangriffe, ist unklar ob Cyber-Versicherungen einspringen, denn veraltete Windows-PCs entsprechen
nicht mehr dem Stand der Technik, da diese nicht mehr mit Sicherheitsupdates aktualisiert werden.
Siehe Art.25 DSGVO „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ (s.a. Erwägungsgrund 91).
Fragen: Gehe zu Kontaktdaten
Dezember 2023; EuGH Urteile C-683/21 und C-807/21, Haftung für Unternehmen
Der EuGH hat aktuell mit zwei Entscheidungen klargestellt, dass Verantwortliche (also z.B. ihr Unternehmen) nicht nur für eigene Verstöße haftet,
sondern auch für Verstöße, die in deren Namen begangen werden.
Das bedeutet das auch dann ein Bußgeld verhängt wird, wenn der Verstoß von einem Mitarbeiter, einer Mitarbeiterin oder von einem externen Auftragsverarbeiter begangen wurde.
Eine Ausnahme von diesem Grundsatz gilt lediglich, wenn die betreffende Person ihrerseits gegen Weisungen verstoßen hat.
Denn Geldbuße soll nur dann verhängt werden, wenn das Unternehmen vorsätzlich oder fahrlässig gegen die DSGVO verstoßen hat.
Was können wir tun: a) Überprüfung der Anforderungen an unsere Auftragsverarbeiter (Aktualität), b) Check ob unsere internen Prozesse DSGVO konform sind.
Fragen: Gehe zu Kontaktdaten
Oktober 2023; Die 10 häufigsten Fehler, die Cyberkriminellen Tür und Tor öffnen
die US-amerikanischen Sicherheitsbehörden haben letzte Woche eine Mitteilung zur IT-Sicherheit veröffentlicht,
in der die zehn häufigsten Fehler im Bereich der IT-Sicherheit genannt werden.
Gesamten Bericht der "Cybersecurity & Infrastructure Security Agency USA" lesen
Fragen: Gehe zu Kontaktdaten
Oktober 2022; Massive Abmahnwelle wegen Google Fonts
Massive Abmahnwelle bzgl. falsch eingesetzter Google Fonts auf Webseiten. Sie sollten ihre WebSite nochmal intensiv überprüfen, ob eine versteckte oder vielleicht vergessene Funktion auf nicht benötigte Google Dienste verweist. Diese Verweise sollten dringend entfernt bzw. in ein Zustimmungs-Banner eingebunden werden!
Fragen: Gehe zu Kontaktdaten
Februar 2022; Urteil des LG München zu US-CDN Anbietern (Az. 3 O 17493/20 v. 20.01.22)
Das Landgericht München hat in dem Urteil (Az. 3 O 17493/20) entschieden das die Einbindung dynamischer Webinhalten z.B. Google Fonts, Trusted-Shop-Badges uvm. ohne Einwilligung der Besucher rechtswidrig ist! Das betrifft alle Content-Delivery-Network Anbieter aus Drittländern.
Fragen: Gehe zu Kontaktdaten
Dezember 2021; Datenschutz und Compliance bei der Kommunikation per E-Mail
Fragen: Gehe zu Kontaktdaten
September 2021; „keep it simple“. Die IT regelmäßig ausmisten, die Systeme sauber halten.
Kontakt / Impressum
Stefan Krumbhorn
IT Auditor IDW
Certified Information Systems Auditor (CISA)
Zertifizierter Datenschutzbeauftragter
