Neue BfDI,neue Phishing-E-Mails, Cyberangriffe im September und vieles mehr...
DATENSCHUTZ
Neue EDSA-Leitlinien zur Interessenabwägung
Der Europäische Datenschutzausschuss (EDSA) hat am 8. Oktober 2024 neue Leitlinien angenommen und damit die Interessenabwägung nach Art. 6 Abs.1 lit.f DSGVO festgelegt. Diese neuen Leitlinien der EDSA geben anhand konkreter Beispiele detaillierte Anleitungen, wie die Verarbeitung personenbezogener Daten von Kindern oder zum Zweck des Direktmarketings durchgeführt werden können. Zudem werden die Betroffenenrechte in Bezug auf Art.6 Abs.1 lit.f DSGVO beleuchtet.
INFORMATIONSSICHERHEIT
NIS2-Betroffenheitsprüfung des BSI wurde aktualisiert
Das BSI hat die NIS2-Betroffenheitsprüfung auf seiner Webseite entsprechend dem aktuellen Stand des deutschen Gesetzesentwurfs (NIS2UmsuCG) angepasst. Sobald das finale Umsetzungsgesetz, voraussichtlich im März 2025, in Kraft tritt, wird eine weitere Anpassung und Aktualisierung erfolgen. Sie erhalten mit dem Checker eine erste Orientierungshilfe zur Feststellung der eigenen Betroffenheit.
Datenschutz
US-Konzerne Meta und LinkedIn müssen Bußgeld in Millionenhöhe zahlen
Die beiden kürzlich veröffentlichten Entscheidungen der irischen Aufsichtsbehörde (DPC) zeigen, dass selbst die größten Unternehmen weltweit nicht vor Fehlern und Strafen gefeit sind. So muss Meta, Mutterkonzern von Facebook, für einen vermeidbaren Vorfall aus dem Jahr 2019 ein Bußgeld in Höhe von 91 Millionen Euro zahlen. Der Grund dafür ist eine unverschlüsselte Speicherung von Millionen von User-Passwörtern im Klartext. Die Entscheidung der Behörde beruhte auf einer Verletzung der Meldepflicht und einer nicht ausreichenden internen Dokumentation. Die DPC hätte umgehend über das Datenleck informiert werden müssen. Besorgniserregend ist hierbei, dass nicht nur tausende Meta-Mitarbeitende Zugriff auf die sensiblen Daten hatten, sondern das auch viele Nutzer andere Online-Dienste mit ihren Meta-Accounts verknüpft haben.
Außerdem verhängte die DPC eine 310 Millionen Euro Strafe gegen die Netzwerk-Plattform LinkedIn, da die Behörde verschiedene Verstöße gegen die Grundsätze der DSGVO und die Rechtmäßigkeit der Datenverarbeitung festgestellt hat. Laut DPC wurden personenbezogene Daten ohne rechtmäßige Grundlage analysiert und mit Drittdaten zusammengeführt.
Diese Datenverarbeitung wurde durch LinkedIn auf eine Einwilligung gestützt, die nach Auffassung der DPC weder freiwillig noch ausreichend informativ war. Auch die durch LinkedIn eingebrachte Berufung auf berechtigte Interessen und die notwendige Datenverarbeitung zur Erfüllung eines Vertrags, wurden als unzulässig eingestuft. Darüber hinaus sah die DPC Verstöße gegen die Informationspflichten gemäß Artikel 13 und 14 DSGVO sowie gegen den Grundsatz der Fairness. Die DPC ist die zuständige Aufsichtsbehörde, weil LinkedIn und Meta ihren europäischen Hauptsitz in Irland haben.
Informationssicherheit
Verbraucherumfrage zeigt: Login-Option Passkeys findet Zuspruch, doch Bekanntkeit ist noch gering
Wir weisen immer wieder darauf hin, dass ein gutes Passwortmanagement heutzutage keine Kür sondern Pflicht ist. Leicht entschlüsselbare Nutzernamen-Passwort-
Die Ergebnisse der Studie zeigen unter anderem, dass 18% der Befragten dieses Anmeldeverfahren bereits als nutzerfreundliche Alternative zu Passwörtern nutzen. Gleichzeitig offenbart die Studie aber auch, dass den meisten Verbrauchern die Vorteile von Passkeys noch nicht bekannt sind und der Begriff noch als fremd empfunden wird. Online-Dienste und Technologie-Anbieter sollten die Passkeys daher stärker bewerben. Bei Fragen rund um das Thema Passwortmanagement oder Passkeys können Sie jederzeit auf uns zukommen.
DATENSCHUTZ
Ergebnis der umfassenden Webseitenprüfung durch Datenschutzaufsicht Sachsen im Juni 2024
In unserer Juni-Ausgabe haben wir Sie über die unangekündigte Prüfung von 30.000 Webauftritten durch die Datenschutzaufsicht Sachsen informiert. Nun wurde Ende Oktober 2024 das Prüfergebnis veröffentlicht. Gerade die Information, dass zwei Drittel der betroffenen Webauftritte zukünftig auf Google Analytics verzichten bzw. den Dienst jetzt konform einbinden zeigt, dass die verantwortlichen Stellen bisher vermutlich nur unzureichend über den Status ihrer Analysedienste informiert waren.
Ein zuverlässiger Report des eigenen Webauftritts ist ein wichtiger Baustein, um Risiken zu erkennen und bewusste Risikoentscheidungen zu treffen.
Gerne helfen wir Ihnen weiter!
INFORMATIONSSICHERHEIT
BSI veröffentlicht neues Management-Blitzlicht zum
"Cyber Resilience Act"
Die neue Publikation des BSI fasst wissenswerte Informationen über den voraussichtlich Ende 2024 in Kraft tretenden "Cyber Resilience Act" prägnant auf drei Seiten zusammen. Häufig gestellte Fragen zur Betroffenheit und zur Vorgehensweise bei der Umsetzung werden darin - nicht nur für Führungskräfte - leicht verständlich beantwortet. Wir sprechen eine klare Empfehlung für diese Publikationsreihe aus, da sie diverse Aspekte aktueller Cybersicherheits-Themen kompakt auf den Punkt bringt.
DATENSCHUTZ
Urteil des EuGH in der Rechtssache C-21/23 – Lindenapotheke
Mit seinem Urteil vom 4. Oktober 2024 bestätigt der EuGH in der Rechtssache Lindenapotheke das Recht von Wettbewerbern, Verstöße gegen die DSGVO abzumahnen und definiert zudem, was unter Gesundheitsdaten zu verstehen ist.
Zum Hintergrund dieses Falls: Eine Apotheke verkaufte rezeptfreie, aber apothekenpflichtige Medikamente über die Online-Plattform Amazon. Ein Wettbewerber reichte Klage ein, da nach seiner Auffassung ein Datenschutzverstoß vorlag. Die bei der Bestellung notwendigen Daten wie Name, Lieferadresse und Medikamente stellen aus Sicht der klagenden Apotheke Gesundheitsdaten im Sinne des Art. 9 DSGVO dar, die ohne Einwilligung der Kunden verarbeitet wurden.
Der EuGH stellte klar, dass Wettbewerber, die durch einen Verstoß benachteiligt werden, gegen den mutmaßlichen Täter rechtliche Schritte einleiten können, auch wenn sie in Bezug auf die Verarbeitungsvorgänge Dritte sind. Neben Betroffenen und Aufsichtsbehörden können Wettbewerber damit zivilrechtliche Verfahren einleiten. Weiter stellte der EuGH fest, dass die beim Kauf von nicht verschreibungspflichtigen Medikamenten erhobenen Daten wie Name, Lieferadresse und Produktdetails im Sinne der DSGVO als Gesundheitsdaten nach Art. 9 DSGVO gelten. Eine Rechtsgrundlage kann damit nur über eine ausdrückliche Einwilligung des Kunden geschaffen werden.
INFORMATIONSSICHERHEIT
Cyberangriffe im Oktober
Viele Internetnutzer vertrauen beim privaten E-Mailverkehr auf die Anbieter Web.de oder GMX.de. Die unerwünschte Spam-Flut hat auch bei diesen Portalen in den letzten Jahren enorm zugenommen. In einer Mitteilung gaben sie bekannt, dass mithilfe von KI im dritten Quartal 2024 wöchentlich rund 1,9 Milliarden potenziell gefährliche Mails aus dem Nachrichtenstrom herausgefiltert werden konnten. Die sogenannte verschärfte "Reject and Defer Policy" ermöglicht es, verdächtige E-Mails bereits beim Verbindungsaufbau abzulehnen. So gelingt es ihnen beeindruckende 99,9% Prozent der Spam-Mails im Vorfeld abzufangen.
Diesen Monat erfolgte ein Cyberangriff auf die Verbandsgemeinde Elbe-Heide im Landkreis Börde. Die Systeme der Verwaltung wurden vorsorglich umgehend heruntergefahren. Aufgrund des Offline-Modus waren die digitalen Dienste der Gemeinde nicht nutzbar. Es konnte nur telefoniert und Formulare analog ausgefüllt werden. Das Infrastrukturministerium Sachsen-Anhalt kündigte an, sich bei den Kosten zur Behebung des Problems zu beteiligen.
Ein Cyberangriff hat den weltweit bekannten Präzisionsteilhersteller Schumag AG aus Aachen in die Knie gezwungen. Das bereits angeschlagene Traditionsunternehmen musste Insolvenz anmelden, da es sich nicht mehr von dem Cyberangriff am 22. September 2024 erholen konnte. Die dadurch unerwarteten Produktionsausfälle und Verzögerungen bei den Einnahmen führten zu Liquiditätslücken, die in der kurzen Zeit neben den laufenden Reparaturprozessen nicht geschlossen werden konnten.
Die Johannisstift Diakonie, die deutschlandweit zahlreiche Gesundheits- und Sozialeinrichtungen betreibt, wurde diesen Monat auch Opfer eines Angriffs. Der Crypto-Überfall fand in den frühen Morgenstunden des 13. Oktober statt. Alle zentralen Server wurden dabei verschlüsselt. Dank der vorhandenen Notfallkonzepte konnte der Betrieb aber weitgehend weiterlaufen. Auf der eigenen Webseite informiert das Unternehmen detailliert und transparent über den aktuellen Stand der Bewältigung.
Auch den weltweit führenden Druckfarbenhersteller Hubergroup hat es diesen Monat getroffen. Der Malware-Angriff führte zu Beeinträchtigungen einzelner, regionaler IT-Systeme. Die vorhandenen Sicherheitssysteme konnten aufgrund sofortiger Reaktion schlimmeres verhindern. Zeitweise kommt es zu Einschränkungen und Verzögerungen bei der Produktion und der Auslieferung.
Ein Datenleck bei dem deutschen Online-Discounter Brillen.de führte dazu, dass europaweit mehr als 3,5 Millionen Kundendaten ungeschützt im Netz zugänglich waren. Die Ursache hierfür war eine unzureichende Authentifizierung für den Zugriff auf ein Elasticsearch-Cluster. Nach der Kenntnisnahme des Lecks sperrte das Unternehmen den Datenzugang sofort. Es bleibt aber unklar, wie lange die Daten allgemein zugänglich waren.
Bereits seit mehreren Wochen wird das Internet Archive, das kurzlebige Daten wie Webseiten oder Apps für die Nachwelt aufbewahrt, von Unbekannten attackiert. Diese konnten sich Zugriff auf die Systeme verschaffen und dadurch 30 Millionen Nutzerdaten entwenden sowie massenhaft E-Mails an die Kontakte versenden. Während das bekannteste Tool, die "Wayback Machine" inzwischen wieder verfügbar ist, sind andere Angebote weiterhin offline.
DATENSCHUTZ
Datenschutz bei der barrierefreien Gestaltung von Webseiten mitbeachten
Mit dem Barrierefreiheitsstärkungsgese
Dies betrifft alle Unternehmen, die eine eigene Unternehmenswebseite unterhalten und darüber elektronische Dienstleistungen anbieten, wie zum Beispiel etwa über einen Webshop oder über die elektronische Möglichkeit, für ein Kundengespräch Kontakt aufzunehmen oder einen Termin zu buchen.
Hierbei gibt es durchaus auch Schnittmengen mit dem Thema Datenschutz. Beides – sowohl die Barrierefreiheit wie auch der Datenschutz, sind wichtige Themen, um die Sicherheit und Gleichheit aller Webseitenbenutzer zu gewährleisten. Auf Webseiten bedeutet dies konkret, dass die jeweilige Seite so gestaltet sein muss, dass sie von allen Personengruppen, ob mit körperlicher oder geistiger Einschränkung oder ohne – wahrnehmbar, bedienbar, verständlich und robust ist, ohne dabei die Datenschutzprinzipien der Transparenz und Datenminimierung sowie Zweckbindung aus den Augen zu verlieren.
Hier sind Lösungen vorzugswürdig, die zwar im Sinne der Barrierefreiheit effektiv sind, aber ohne Datenerhebungen von den jeweiligen Webseitenbesuchern auskommen.
Beispiele hierfür sind etwa:
- klare Gliederung der Webseite mit deutlicher Unterscheidung bzw. Markierung von interaktiven und nicht interaktiven Elementen,
- Gestaltung der Webseitentexte, dass diese auch für Webseitenbesucher mit Sehbeeinträchtigungen und deren eingesetzten Screenreader gut lesbar sind,
- Ausstattung von Bildern und Videos auf der Webseite mit entsprechend hinterlegten Bildbeschreibungen bzw. Untertiteln
- Abrufbarkeit einer zusätzlichen Vertonung wichtiger Rechtstexte auf der Seite, wie etwa Datenschutzerklärung, Impressum oder AGB,
Diese Beispiele sind nicht abschließend. Ein barrierearmer Basis-Modus der Webseite ohne zusätzlich erforderliche Einstellungen durch den Webseitenbesucher selbst kann helfen, die notwendige Datenschutzkonformität zu wahren. Soweit individuell anpassbare Nutzungs-Modi für Video-, Audio- oder Textausgaben erforderlich sind, sollten diese so datensparsam wie möglich sein, während die einhergehende Datenverarbeitung einer strengen Zweckbindung unterliegt.
Internationale Standards machen dabei die Umsetzung von Barrierefreiheit leichter. Für Webseiten maßgeblich sind vor allem die beiden wichtigen internationalen Standards W3C Web Content Accessibility Guidelines 2.2 (in der Fassung von 2023) und die Barrierefreie-
WIR UNTERSTÜTZEN SIE GERNE
Die digitale Bedrohungslage verschärft sich kontinuierlich, wie die jüngsten Angriffe in diesem Monat erneut eindrücklich zeigen. Angreifer organisieren sich immer professioneller und nutzen Sicherheitslücken immer schneller aus. Expert:innen sind sich einig: Es ist keine Frage, ob der Cyberangriff kommt, sondern eigentlich nur, wann! |