Letzte Änderung: 15.11.2024
Anspruch auf Schadenersatz nach Artikel 82 Abs.1 der DSGVO
Personen haben nach Artikel 82 Abs. 1 der EU-Datenschutzgrundverordnung einen Anspruch auf Schadenersatz, wenn ihnen durch einen Datenschutzverstoß ein Schaden entstanden ist. Betroffene haben somit das Recht Schadensersatz gegenüber dem Verursacher einzufordern, wenn ihnen ein materieller und auch immaterieller Schaden entstanden ist.
In den letzten Monaten wurden immer mehr Gerichtsurteile zum Schadenersatzanspruch nach Ar. 82 DSGVO bekannt. Die unten aufgeführten Medienberichte enthalten eine Übersicht zur aktuellen Rechtsprechung.
-ck-
Urteil zur verzögerten Erteilung der Datenauskunft
ITM – NRW online – "OLG Köln (15. Zivilsenat), Urteil vom 14.07.2022 – 15 U 137/21(pdf)"
https://www.itm.nrw/wp-content/uploads/OLG-Koeln_15-U-13721-v.-14.07.2022.pdf
Unternehmen haftet für Datenleck
Frankfurter Allgemeine online – "Scalable Capital : Mit Daten geschludert"
https://www.faz.net/aktuell/finanzen/scalable-capital-muss-2500-euro-schadensersatz-zahlen-18251062.html
Datenschutzkonformer Einsatz von Web Fonts
Werden aufgrund externer Einbindungen von Web Fonts in eine Internetseite Nutzerdaten, wie zum Beispiel die dynamische IP-Adresse (personenbezogene Daten im Sinne der DSGVO) erfasst und an Drittanbieter übermittelt, ist dies grundsätzlich nur mit einer wirksamen Einwilligung der Webseitenbesucher möglich.
Seit ca. Juli diesen Jahres berichten immer mehr Unternehmen und Bürger in Österreich von Anwaltsbriefen, die sie als Betreiber von Webseiten erreichen. Ein niederösterreichischer Anwalt versendet Abmahnungen an Webseitenbetreiber wegen der nicht datenschutzkonformen Verwendung von Google Fonts. Auch in Deutschland rollt eine Abmahnwelle gegen Webseiten-Betreiber. Mittlerweile hätten sich schon über 1.000 Betroffene in Köln gemeldet. Es ist davon auszugehen, dass die Zahl solcher versendeter Abmahnungen bereits mehrere Zehntausend überschritten habe.
Um Schriften auf Websites DSGVO-konform einzubinden, hat der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) auf seiner Webseite eine "Kurz-Information zu externen Schriftarten auf Webseiten bayerischer öffentlicher Stellen" veröffentlicht.
-ck-
Abmahnungen: Google Fonts Einsatz auf Webseiten
Technik News net – "Datenschutzverletzung wegen Google Fonts: Datenschutzanwalt versendet Abmahnungen"
https://www.techniknews.net/news/datenschutzverletzung-wegen-google-fonts-datenschutzanwalt-mahnt-ab/
Schadensersatzanspruch ist gerechtfertigt
Rewis io - "Redaktioneller Leitsatz"
https://rewis.io/urteile/urteil/lhm-20-01-2022-3-o-1749320/
Dynamische Einbindung von Google Fonts ohne Einwilligung
RA Putte online - "LG München: Einbindung von Google Fonts ohne Einwilligung"
https://www.ra-plutte.de/lg-muenchen-dynamische-einbindung-google-web-fonts-ist-dsgvo/
Weitergabe von IP-Adressen an Google
Bayerische Staatskanzlei online – "Verletzung des Persönlichkeitsrechts durch Datenschutzverstoß"
https://www.gesetze-bayern.de/Content/Document/Y-300-Z-GRURRS-B-2022-N-612?hl=true
Verletzung des Schutzes personenbezogener Daten: Sanktionen und Datenpannen aus dieser Woche
Seit dem Inkrafttreten der Datenschutzgrundverordnung kann bei Datenschutzpannen oder einem erfolgreichen Cyberangriff ein hoher Verwaltungsaufwand auf das betroffene Unternehmen zukommen: Von der Meldepflicht gegenüber den Datenschutzaufsichtsbehörden und der Anzeigepflicht gegenüber dem Betroffenen, sowie mögliche Sanktionen wie Bußgelder, strafrechtliche Sanktionen, Schadenersatzansprüche und gleichzeitig ein enormer Imageverlust. Die unten aufgeführten Medienberichte über Datenpannen und Sanktionen zeigen: Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die betroffenen Unternehmen selbst.
-ck-
Sensible persönliche Daten von mehr als 15 Millionen Usern erbeutet
Heise online – "Einbruch bei Plex: Daten abgezogen, Passwortänderung nötig"
https://www.heise.de/news/Einbruch-bei-Plex-Daten-abgezogen-Passwortaenderung-noetig-7241975.html
Chaos beim Zensus! Versand rechtsungültiger Mahnbescheide
Life PR online – "Schwerwiegende Zensus-Datenpanne beim Statistischen Landesamt - Haus & Grund Kiel beklagt "Reputationsschaden""
https://www.lifepr.de/inaktiv/haus-wohnungs-und-grundeigentuemerverein-von-kiel-und-umgegend-ev/schwerwiegende-zensus-datenpanne-beim-statistischen-landesamt-haus-grund-kiel-beklagt-reputationsschaden/boxid/913109
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. User können nach Update KB5012170 ihren PC nicht mehr starten
Mein-MMO online – "Das neueste Windows-Sicherheitsupdate sperrt Benutzer von ihren PCs aus – Das solltet ihr unbedingt beachten"
https://mein-mmo.de/neueste-windows-sicherheitsupdate-sperrt-benutzer-pcs-aus-unbedingt-beachten/
2. Neue Version von Firefox schließt Sicherheitslücken
Heise online – "Firefox 104: Stromverbrauch-Profiler und Fixes für Sicherheitslücken"
https://www.heise.de/news/Firefox-104-Verbesserungen-am-PDF-Viewer-und-Stromverbrauch-Profiler-7240408.html
3. Aktuelle Hinweise und Warnungen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html#ANKERtabelle
Bundesregierung soll Missbrauch der Online-Daten im offenen Handelsregister verhindern
Alle Eintragungsdaten im Handelsregister, Vereinsregister und weiteren Katasterwerken sind seit dem 1. August 2022 öffentlich und ohne Einschränkungen für jedermann einsehbar. Bisher war für den Zugriff auf die Daten des Handelsregisters eine Registrierung beim Amtsgericht erforderlich. Doch die Registerauskunft wurden vereinheitlicht und die Zugangsbeschränkungen entfielen mit dem Gesetz zur Umsetzung der Digitalisierungsrichtlinie (DiRUG) aus dem Jahr 2019.
Die Deutsche Vereinigung für Datenschutz (DVD) fordert nun das Einschreiten von Politik sowie Regulierungs- und Aufsichtsbehörden, die Online-Plattform unverzüglich abzuschalten oder zumindest den Zugang auf Teile der Daten weiter zu beschränken. Nach Ansicht des DVD-Vorsitzenden, verletzt die Plattform die EU-Digitalisierungs-Richtlinie, so die Medienberichte. Denn sensible Daten wie Geburtsdaten, Adressen und sogar Bankverbindungen und teilweise sogar Unterschriften von Verantwortlichen aus Unternehmen und Vereinen liegen nun ungeschützt und für jedermann zugänglich im Webportal und laden zum Datenmissbrauch ein.
-ck-
EU-Digitalisierungs-Richtlinie: Registerauskunft nicht datenschutzkonform umgesetzt
Opera News com – "Datenschutzaktivisten: Handelsregister-Portal abschalten oder einschränken"
https://www.operanewsapp.com/de/de/share/detail?news_id=7be663db4fa4c418e438bdfa8e4018e5&news_entry_id=13d36261220816de_de&open_type=transcoded&from=opera&request_id=share_request
Missbrauch von Online-Daten verhindern
Heise online – "Datenschutzaktivisten: Handelsregister-Portal abschalten oder einschränken"
https://www.heise.de/news/Datenschutzaktivisten-Handelsregister-Portal-abschalten-oder-einschraenken-7222240.html
Einsichtnahme in sensiblen Daten
Handelsregister online – "Gemeinsames Registerportal der Länder"
https://www.handelsregister.de/rp_web/welcome.xhtml
Datenschutzkonforme Übermittlung personenbezogener Daten
Galt ein Telefax noch vor einigen Jahren als relativ sichere Methode um auch sensible personenbezogene Daten zu übertragen, so hat sich diese Situation grundlegend geändert: Sowohl bei den Endgeräten als auch den Transportwegen gab es weitreichende Änderungen. Bisher wurden beim Versand von Faxen exklusive Ende-zu-Ende-Telefonleitungen genutzt. Technische Änderungen in den Telefonnetzen sorgen jetzt dafür, dass keine exklusiven Leitungen mehr genutzt werden, sondern die Daten paketweise in Netzen transportiert werden, die auf Internet-Technologie beruhen. Zudem kann nicht mehr davon ausgegangen werden, dass an der Gegenstelle der Faxübertragung auch ein reales Fax-Gerät existiert.
Meist werden Systeme genutzt, die ankommende Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten. Aufgrund dieser Umstände hat ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail (welche oftmals mit der offen einsehbaren Postkarte verglichen wird). Fax-Dienste enthalten keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet.
Schon im Jahr 2020 hat das Oberverwaltungsgericht Lüneburg entschieden, das der unverschlüsselte Versand sensibler Informationen per Fax durch eine Behörde gegen die Datenschutzregeln verstößt. Für den Versand personenbezogener Daten müssen daher alternative, sichere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder – im Zweifel – auch die herkömmliche Post oder per Boten genutzt werden.
Der Bayerische Landesbeauftragte für den Datenschutz, Prof. Dr. Thomas Petri, hatte dazu ein Arbeitspapier: "Datenschutz bei der Nutzung von Telefax-Diensten" veröffentlicht. Das Arbeitspapier gibt Nutzer des Telefax für den Faxversand sowie für den Faxempfang datenschutzkonforme Hilfestellungen. Typische Risikoszenarien werden beschrieben und allgemeine Maßnahmen zur Risikominderung bei Nutzung eines Telefax aufgeführt. Auch wie die Verantwortlichen ihren Rechenschaftspflichten nachkommen können, wird in dem Arbeitspapier aufgezeigt.
-ck-
Datenschutz bei der Nutzung von Telefax-Diensten
Datenschutz Bayern online – "Arbeitspapier: Datenschutz bei der Nutzung von Telefax-Diensten" pdf"
https://www.datenschutz-bayern.de/datenschutzreform2018/AP_Telefax.pdf
Risikominderung bei Nutzung eines Telefax
Datenschutz Bayern online – "Arbeitspapier: Datenschutz bei der Nutzung von Telefax-Diensten (pdf)"
https://www.datenschutz-bayern.de/datenschutzreform2018/AP_Telefax.pdf
Faxeinsatz weiterhin in vielen Geschäftsprozessen
Clooudcomputing-Insider online – "Umfrage von Consensus Cloud Solutions: Bei Unternehmen und Verbrauchern: Das Fax ist noch da"
https://www.cloudcomputing-insider.de/bei-unternehmen-und-verbrauchern-das-fax-ist-noch-da-a-e8e31543e7d827e39992bd31ed578408/
Bundesamt für Gesundheit (BAG) sendet weiterhin Gesundheitsdaten per Fax
IT-Markt ch – "Stockende Digitalisierung: Der Fax ist beim BAG weiterhin König"
https://www.it-markt.ch/news/2022-07-22/der-fax-ist-beim-bag-weiterhin-koenig
Deutsche Behörden haben noch eine Vielzahl von Faxgeräten im Einsatz
ZDF online – ""Moderne" Kommunikation : Bundestag und Ministerien faxen noch"
https://www.zdf.de/nachrichten/panorama/bundestag-bundesregierung-kommunikationsmittel-fax-100.html
Gerichtlich bestätigt: Faxen ist unzeitgemäß
Legal Tribune online – " OLG Frankfurt am Main zu anwaltlichen Schriftsätzen Übermittlung per Fax wahrt keine Frist mehr"
https://www.lto.de//recht/juristen/b/olgfrankfurt-az26w422-anwaltliche-antraege-per-fax-unzulaessig-elektronische-uebermittlung/
Router-Schwachstellen: Gefahr für Unternehmensnetzwerke
In den meisten Unternehmen wird der genutzte Router nicht angerührt, solange er funktioniert, die Internetverbindung reibungslos läuft – eine trügerische Sicherheit. Router mit veralteter Software oder mit noch vorhandener Werkseinstellung - Beispielsweise voreingestelltes Passwort - stellen ein Sicherheitsrisiko im Unternehmen dar. Meist sind in den Routern Zugangsdaten zum Beispiel für Mail-Konten oder andere Internet-Dienste gespeichert. Sollten Cyberkriminelle sich Zugang über ein WLAN – Netz verschafft haben, können sie den gesamten Internetverkehr des gekaperten Routers heimlich überwachen, Schadsoftware einschleusen usw. – ein Desaster für jede IT - Security im Unternehmen.
-ck-
Router-Schwachstelle mit Risiko hoch eingestuft
Heise online – "Alert! - TP-Link: Schadcode-Schmuggel durch Sicherheitslücke in Routern"
https://www.heise.de/news/Remote-Code-Exploit-in-TP-Link-Routern-7224392.html
Schadcode-Attacken: Benutzereingabe unzureichend überprüft
Trojaner-Info online – "Kritische Sicherheitslücke bei Cisco Routern der RV-Serie"
https://www.trojaner-info.de/sicher-anonym-im-internet/aktuelles/kritische-sicherheitsluecke-bei-cisco-routern-der-rv-serie.html
Router: Deutlich steigende Sicherheitslücken
It-Daily net – "Rekordverdächtige Anzahl von Sicherheitslücken in Routern in den letzten Jahren"
https://www.it-daily.net/shortnews/rekordverdaechtige-anzahl-von-sicherheitsluecken-in-routern-in-den-letzten-jahren
Netzwerk richtig absichern
Im Test online - "5-Minuten-Check:wurde Ihr Router gekapert?"
https://www.imtest.de/266000/ratgeber/5-minuten-check-wurde-ihr-router-gekapert-ratgeber-fritzbox-sicherherheit/
Kompromittierte Router ermöglichen Zugriff zum Unternehmensnetzwerk
IT-Daily net – "Kleine Unternehmen, große Angriffsfläche: Schwachstelle in DrayTek-Routern"
https://www.it-daily.net/it-sicherheit/cloud-security/schwachstelle-in-draytek-routern
Einfallstor Fernzugriff ins Netzwerk
Finanznachrichten online – "Wenn Ransomware auf IoT trifft: Warum IoT-Geräte einen anderen Sicherheitsansatz brauchen"
https://www.finanznachrichten.de/nachrichten-2022-08/56825334-wenn-ransomware-auf-iot-trifft-warum-iot-geraete-einen-anderen-sicherheitsansatz-brauchen-007.htm
Datenschutzverletzung: Sanktionen und Datenpannen aus dieser Woche
Seit dem Inkrafttreten der Datenschutzgrundverordnung kann bei Datenschutzpannen oder einem erfolgreichen Cyberangriff ein hoher Verwaltungsaufwand auf das betroffene Unternehmen zukommen: Von der Meldepflicht gegenüber den Datenschutzaufsichtsbehörden und der Anzeigepflicht gegenüber dem Betroffenen, sowie mögliche Sanktionen wie Bußgelder, strafrechtliche Sanktionen, Schadenersatzansprüche und gleichzeitig ein enormer Imageverlust. Die unten aufgeführten Medienberichte über Datenpannen und Sanktionen zeigen: Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die betroffenen Unternehmen selbst.
-ck-
Daten veröffentlicht: Tatsächliche Ausmaß des Zugriffs offen
Der Standard online - "Panne: Hacker greifen britischen Wasserversorger an, erpressen danach aber die falsche Firma"
https://www.derstandard.de/story/2000138323565/hacker-greifen-britischen-wasserversorger-an-erpressen-danach-aber-die-falsche
Patientendaten einsehbar: Sicherheitslücken in der Praxissoftware
Apotheke-Adhoc online – " Hackerkollektiv „Zerforschung“: Datenpanne bei Doc Cirrus"
https://www.apotheke-adhoc.de/nachrichten/detail/e-rezept/datenpanne-bei-doc-cirrus/
Login und Passwort im bankeigenen Sparkassen-Programm problemlos einsehbar
Finanz-Szene online – "Datenpanne bei Haspa: Passwörter unverschlüsselt gespeichert"
https://finanz-szene.de/digital-banking/datenpanne-bei-haspa-passwoerter-unverschluesselt-gespeichert/
Maildienstleister kämpft wiederholt mit dem Verlust von Kundendaten
Heise online – "Datenleck bei MailChimp betrifft Krypto- und Cloud-Kunden"
https://www.heise.de/news/Datenleck-bei-MailChimp-betrifft-Krypto-und-Cloud-Kunden-7221177.html
Deutlich mehr Datenschutzverstöße Verstöße
Presseportal online - "Datenschutzverstöße sind keine Kavaliersdelikte: Datenschutz auch vier Jahre nach Inkrafttreten der DSGVO oft mangelhaft - E-Learnings verbessern den Umgang von Mitarbeitenden mit Daten"
https://www.presseportal.de/pm/164764/5299026
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Daten werden nicht wirklich geschützt übertragen
Der Standard online - "Seit Jahren unsicher – und Apple weiß davon: "VPNs am iPhone sind ein Betrug""
https://www.derstandard.de/story/2000138354475/seit-jahren-unsicher-und-apple-weiss-davon-vpns-am-iphone
2. Systemeinstellungen verhindern Installation
Futurezone online – "Wichtiges Windows-Update bricht immer wieder ab – das kannst du dagegen tun"
https://www.futurezone.de/digital-life/article378166/wichtiges-windows-update-bricht-immer-wieder-ab-das-kannst-du-dagegen-tun.html
3. Sicherheitsrisiko per Update beseitigen
Heise Security online – "UEFI Secure Boot: Microsoft sperrt unsichere Bootloader per Windows-Update"
https://www.heise.de/news/UEFI-Secure-Boot-Microsoft-sperrt-unsichere-Bootloader-per-Windows-Update-7220634.html
Reichweite des Auskunftsanspruchs
Das Auskunftsrecht ist in Art. 15 DSGVO geregelt und steht der betroffenen Person anhand der Betroffenenrechte zu, also derjenigen Person, deren Daten verwendet werden. Danach hat die betroffene Person das Recht, vom Verantwortlichen Auskunft darüber zu erhalten, ob personenbezogene Daten von ihr verarbeitet werden. Die Betroffenenrechte umfassen das Recht auf Information woher die personenbezogene Daten stammen, das Recht auf Auskunft und Kopie der Daten, das Recht auf Berichtigung und Einschränkung, sowie das Recht auf Datenübertragbarkeit, Löschung und auf Widerspruch.
Das nicht jedes Auskunftsersuchen berechtigt ist, zeigen die unten aufgeführten Urteile auf.
-ck-
Daten-Auskunftsverlangen über einen zu langen Zeitraum
Berliner Vorschriften- und Rechtsprechungsdatenbank online – "Betroffenenrechte aus der DSGVO gegenüber dem Finanzamt nach Datenerhebung bei Dritten - Ermöglichung der Überprüfung der Rechtmäßigkeit der eine betroffene Person betreffenden Datenverarbeitung"
https://gesetze.berlin.de/bsbe/document/STRE202270182
Kein Recht auf Akteneinsicht Landesrechtsprechung
Baden-Württemberg online – "Kein Anspruch des Steuerpflichtigen auf Einsicht in die Prüfer-Handakte während einer laufenden Betriebsprüfung - Sachlicher Anwendungsbereich der DSGVO"
http://lrbw.juris.de/cgi-bin/laender_rechtsprechung/document.py?Gericht=bw&nr=35692
Zweck des Auskunftsbegehrens zur Überprüfung von Prämienanpassungen
Datenrecht ch - "OLG Hamm: Rechtsmissbräuchlichkeit des zweckwidrigen Auskunftsanspruchs"
https://datenrecht.ch/olg-hamm-rechtsmissbraeuchlichkeit-des-zweckwidrigen-auskunftsanspruchs/
Kein Auskunftsanspruch des Klägers
Gesetze Bayern online - "OLG Nürnberg, Endurteil v. 14.03.2022 – 8 U 2907/21"
https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2022-N-7415?hl=true
IoT-Sicherheitsprobleme im Unternehmen
Das Internet der Dinge (Internet of Things, oder kurz IoT) ist auf dem Vormarsch, immer stärker werden IoT-Geräte in das Netzwerk der Unternehmen eingebunden. Vernetzte Geräte sind mittlerweile überall, ob Smart Car, Überwachungsgeräte zum Beispiel am Fließband, Smart Everything oder das komplett vernetzte Unternehmen mit Sicherheitssystemen wie Kameras und digitale Türöffner, Bürogeräte wie Drucker. Netzwerkgeräte, die untereinander kommunizieren und eigenständig mitdenken sind praktisch, können die Produktivität von Unternehmen erheblich steigern, bergen jedoch erhebliche Risiken. Wie sieht der Sicherheitsstandard für das IoT aus?
Aufsichtsbehörden aus der ganzen Welt haben bei Prüfaktionen mehrfach smarte Geräte im IoT unter die Lupe genommen und schwere datenschutzrechtliche Defizite erkannt. Die meisten Geräte sammeln zu viele sensible Daten, individuelle Nutzungsverhalten lassen sich erfassen und auswerten, der Datenhunger der Industrien aber auch der Cyberkriminellen auf sensible Unternehmerdaten wächst.
-ck-
Internet der Dinge: Vorsicht statt Nachsicht
Der Standard online – "Lauschangriff: Warum Amazon unsere Häuser mit Robotern und smarten Spionen vollstopft"
https://www.derstandard.de/story/2000138144442/warum-amazon-unsere-haeuser-mit-robotern-und-smarten-spionen-vollstopft
Privatsphäre ade
Reuters com – "Reuters Sonderbericht: Amazon wages secret war on Americans' privacy, documents show"
https://www.reuters.com/investigates/special-report/amazon-privacy-lobbying/#:~:text=Seven%20Reuters%20reporters%20obtained%20and,reporter's%20family%20members%20since%202017.
BSI warnt vor Nutzung eines Funk-Türschlosses: Schwachstelle kann nicht behoben werden
BSI Bund online – "Warnung vor Funk-Türschlossantrieb Home Tec Pro CFA3000 des Herstellers ABUS nach §7 BSIG"
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Technische-Sicherheitshinweise-und-Warnungen/Warnungen-nach-Par-7/ABUS/abus_node.html
Wirtschaftskriminalität: Täter im eigenen Unternehmen
Unternehmer sehen IT-Risiken oft an der falschen Stelle und verbinden mit Datensicherheit nur Viren- und Hacker-Angriffe. Doch der Diebstahl von unternehmerischem Know-how, Verletzung von Betriebsgeheimnissen und die absichtliche Löschung oder Manipulation der Unternehmensdaten, ist auch bei Tätern im eigenen Unternehmen zu finden.
-ck-
Details von Nutzerkonten herausgegeben
N-TV online – "Mann verkaufte Nutzerdaten: US-Gericht verurteilt Ex-Twitter-Mitarbeiter für Spionage"
https://www.n-tv.de/panorama/US-Gericht-verurteilt-Ex-Twitter-Mitarbeiter-fuer-Spionage-article23516306.html
Straftaten von eigenem Mitarbeiter
Spiegel online – "Spionage für Saudi-Arabien : Twitter-Mitarbeiter hat Nutzerdaten verraten"
https://www.faz.net/aktuell/wirtschaft/digitec/twitter-mann-hat-saudi-arabien-nutzerdaten-verraten-18233521.html
Untreue mit typischen Warnhinweisen
Wirtschafts Woche online – " Wie man erkennt, ob Manager die eigene Company betrügen und wie sie dabei vorgehen"
https://blog.wiwo.de/management/2022/08/08/wie-man-erkennt-ob-manager-die-eigene-company-betruegen/
Firmendaten vom früheren Arbeitgeber entwendet und für neue Tätigkeit genutzt
BR online – "Betriebsgeheimnisse verraten? Erfinder-Duo vor Gericht"
https://www.br.de/nachrichten/wirtschaft/betriebsgeheimnisse-verraten-erfinder-duo-vor-gericht,SzUiGEd
Sicherheitsprobleme bei einigen Identifikationsverfahren
Bei dem Video-Ident-Verfahren können sich Nutzer ausweisen, indem sie ihre Ausweispapiere per Computer- oder Handykamera erfassen und parallel dazu ihr Gesicht zeigen. Die Angaben werden dann von einem entsprechenden Anbieter verifiziert.
Anhand sicherheitstechnischen Schwachstellen hat der Video-Ident-Anbieter Gematik jetzt die Nutzung dieser Identifizierungsmethode gestoppt und als nicht mehr zulässig erklärt. Sämtliche Krankenkassen müssen nun die Video-Identifizierung abschalten.
Auch das von Verimi verwendete Foto-Ident-Verfahren für den digitalen Führerschein war nicht fälschungssicher und ließ sich einfach manipulieren. Diese Sicherheitsmängel bedeuten ein "Vorläufiges Aus" für die Nutzung des Videoident-Verfahrens.
-ck-
Sicherheitslücke im Video- und Robo-Ident – Verfahren: Sämtlichen Krankenkassen ist der weitere Einsatz untersagt
Spiegel online – "Sicherheitslücke Krankenkassen müssen Video-Identifizierung abschalten"
https://www.spiegel.de/netzwelt/krankenkassen-muessen-video-identifizierung-abschalten-a-2aed6892-55cd-4aab-aa33-a8e6dee848df
Digitaler Führerschein: Verifikationsverfahren mit gravierenden Sicherheitsmängeln
Spiegel online – "Verimi App Eklatante Schwächen beim digitalen Führerschein aufgedeckt"
https://www.spiegel.de/netzwelt/apps/verimi-eklatante-schwaechen-beim-digitalen-fuehrerschein-aufgedeckt-a-bad5aef3-b498-426e-a8dc-1a928d7d8d62
Online Bewerbungen per Video-Ident-Verfahren mit gravierenden Folgen
BR 24 online – "Cyberkriminalität: Identitätsdatenklau auf Online-Jobbörsen"
https://www.br.de/nachrichten/deutschland-welt/cyberkriminalitaet-identitaetsdatenklau-auf-online-jobboersen,TDGHWxB
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Sicherheitsupdates installieren: Möglicher Datenverlust mit aktuellen CPU`s
Golem online - "Microsoft: "Bug in Windows 11 und Server 2022 führt zu Datenschäden"
https://www.golem.de/news/microsoft-bug-in-windows-11-und-server-2022-fuehrt-zu-datenschaeden-2208-167506.html
2. Unerwartete Probleme könnten auftreten
Silicon online – "Office 2016 und 2019: Microsoft stellt ab 2023 Support für Microsoft 365 ein"
https://www.silicon.de/41699574/office-2016-und-2019-microsoft-stellt-ab-2023-support-fuer-microsoft-365-ein
3. Aktuelle Hinweise und Warnungen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html#ANKERtabelle
Identitätsdiebstahl: Missbrauch personenbezogener Daten
Dritte eignen sich persönliche Daten anderer Personen in der Regel zu dem Zweck an, diese zu ihrem Vorteil – und damit zum Nachteil des Betroffenen – zu verwenden. Verwendet ein Täter widerrechtlich diese Daten, kann er sich mit dem Datensatz im Rechtsverkehr identifizieren, um zum Beispiel ein Konto zu eröffnen oder Bestellungen aufzugeben - nimmt somit die Identität des Betroffenen an.
Für Opfer und betroffene Unternehmen ist ein Identitätsdiebstahl nicht nur Zeit- und Kostenaufwendig, sondern auch Rufschädigend. Behörden, Unternehmen und weitere Organisationen, die ihren Kunden Online-Dienste zur Verfügung stellen, sollten die Identität ihrer Kunden schützen und somit auch das Unternehmen. Denn oftmals werden Waren mit den gestohlenen personenbezogenen Daten der Opfer z. B. für einen Warenkreditbetrug verwendet. Für das betroffene Unternehmen scheint zunächst eine echte Kundenbestellung vorzuliegen. Die meisten Identitätsmissbrauchs-Opfer können jedoch nachweisen, dass ihre personenbezogene Daten missbraucht wurden und somit bleibt das betroffene Unternehmen am Ende auf die so entstandenen Kosten sitzen.
-ck-
Betrüger nutzen bekannten Markennamen als Lockmittel
Ruhrnachrichten online – " Coca-Cola: Kriminelle streben durch dubioses Gewinnspiel Datenklau an"
https://www.ruhr24.de/service/coca-cola-betrug-kriminelle-masche-verbraucher-daten-gewinnspiel-facebook-impressum-getraenke-91698125.html
Bei Identitätsdiebstahl drohen Ermittlungen der Polizei gegen die eigene Person
BR 24 online – "Cyberkriminalität: Identitätsdatenklau auf Online-Jobbörsen Cyberkriminalität: Identitätsdatenklau auf Online-Jobbörsen"
https://www.br.de/nachrichten/deutschland-welt/cyberkriminalitaet-identitaetsdatenklau-auf-online-jobboersen,TDGHWxB
Gefälschte Website vom echten Unternehmen für Identitätsdiebstahl genutzt
ARD Mediathek online – "Falsche Stellenanzeigen im Internet"
https://www.ardmediathek.de/video/report-muenchen/falsche-stellenanzeigen-im-internet/das-erste/Y3JpZDovL2Rhc2Vyc3RlLmRlL3JlcG9ydCBtw7xuY2hlbi9mNGM5ZDBlNy0xZWFjLTRmOWUtYjUyOS03MTliNmIyMGJjZWI
Im Namen der Telekom: Achtung, die verlinkte Webseite ist eine Fälschung
Netzwelt online - "Sicherheitskontrolle": Identitätsdiebstahl mit Telekom-Phishing"
https://www.netzwelt.de/news/206513-sicherheitskontrolle-identitaetsdiebstahl-telekom-phishing.html
2,5 Millionen Doller Strafe: Programme zur Verhinderung von Identitätsdiebstahl nicht ausreichend umgesetzt
Finews ch – "UBS zahlt Buße an US-Börsenaufsicht"
https://www.finews.ch/news/banken/52603-ubs-sec-vergleich-identitaetsdiebstahl
Sicherheit für kritische Infrastrukturen
Bei Ausfall oder Beeinträchtigung von kritischen Infrastrukturen kann es im Extremfall zu erheblichen Störungen im staatlichen Gemeinwesen wie zum Beispiel: Versorgungsengpässe, Zusammenbruch der öffentlichen Sicherheit und Ordnung, medizinische Versorgung sowie weitere dramatische Auswirkungen kommen.
Mit dem IT-Sicherheitsgesetzt wurden unter anderem Betreiber sogenannter KRITIS (kritischer Infrastrukturen) zu Cyber Security ihrer KRITIS-Anlagen verpflichtet, ein Mindestniveau an IT-Sicherheit einzuhalten. Sicherheitsvorfälle müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Anhand gemeinsamer Mindestanforderung an ihren IT-Systemen sollen Behörden und Unternehmen das Risiko der Cyberangriffe senken, damit öffentliche Stellen und Bürger besser geschützt sind.
Laut den IT- Lageberichten (pdf) sind bisher Meldungen aus dem Sektor Informationstechnik und Telekommunikation, Energie, Wasser und aus dem Sektor Ernährung beim BSI eingegangen.
-ck-
Glimpflich ausgegangen: Betrieb Kläranlage nicht betroffen
Braunschweiger Zeitung online – "Attacke Stadt Gifhorn: Cyberangriff auf ASG Gifhorn: Krisenstab arbeitet an Lösung"
https://www.braunschweiger-zeitung.de/gifhorn/article236005405/Cyberangriff-Hacker-legen-EDV-des-ASG-in-Gifhorn-lahm.html
Gesundheitswesen besonders verwundbar
DUP-Magazin online - "Ransomware: Mehr Cyberangriffe im Gesundheitssektor"
https://dup-magazin.de/technologie/cybersecurity/ransomware-mehr-cyberangriffe-im-gesundheitssektor/
Unternehmen derzeit nur eingeschränkt arbeitsfähig
T-Online online – "Ermittlungen laufen Cyberangriff auf deutschen Elektronikkonzern Semikron"
https://www.t-online.de/digital/internet-sicherheit/sicherheit/id_100034778/deutscher-elektronikkonzern-semikron-wurde-opfer-eines-cyberangriffs.html
Gesamte IT-Netzwerk der IHK lahmgelegt
T-Online online – "Deutschlandweite Ausfälle: Massiver Cyberangriff auf die IHK"
https://www.t-online.de/digital/internet-sicherheit/sicherheit/id_100035378/massiver-cyberangriff-auf-die-ihk-deutschlandweite-ausfaelle.html
Nutzer sollten schnellstmöglich ich Passwort ändern
Chip online – " Datendiebstahl bei beliebter Online-Plattform: Sensible Daten von fast 70 Millionen Nutzern erbeutet"
https://www.chip.de/news/Bei-beliebter-Online-Plattform-Angreifer-erbeuten-Daten-von-70-Millionen-Nutzern_184355804.html
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Updates verhindern nicht authentifizierte Aktionen
Heise online – "Alert!: Kritische Lücken in Ciscos SMB-Routern"
https://www.heise.de/news/Kritische-Luecken-in-Ciscos-SMB-Routern-7203891.html
2. Android: Betroffene Apps unbedingt löschen
Focus online – " Smartphone-Betrug: Millionen Nutzer könnten Opfer werden: Diese Apps sollten Sie schnell löschen"
https://www.focus.de/digital/smartphone-betrug-millionen-nutzer-koennten-opfer-werden-diese-apps-sollten-sie-schnell-loeschen_id_124237346.html
3. Aktuelle Hinweise und Warnungen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html#ANKERtabelle
Orientierungshilfe zum Recht auf Löschung
Für alle EU-Mitgliedsstaaten gilt die Datenschutz-Grundverordnung (DS-GVO) mit einheitlichen Regelungen für die Erhebung, Speicherung und Verarbeitung personenbezogener Daten. Alle, egal ob zum Beispiel Unternehmen, Krankenhäusern, Behörden benötigen eindeutige Hilfestellungen um die DSGVO datenschutzkonform umzusetzen. Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD), Prof. Dr. Thomas Petri, hatte vor länger Zeit eine Orientierungshilfe (pdf) veröffentlicht und nun dazu auch eine Orientierungshilfe "Das Recht auf Löschung nach der Datenschutz- Grundverordnung" (pdf) veröffentlicht. Weiter Hilfestellungen mit praxisnahen Tipps, Beispielen und Checklisten werden nach und nach auf der Homepage des bayerischen LfD zur Verfügung gestellt.
-ck-
Informationen und Hilfestellungen zur Datenschutz-Grundverordnung
BayLFD online – "Datenschutzreform 2018"
https://www.datenschutz-bayern.de/datenschutzreform2018/
Aktualisierungen und Neues
BayLFD online – "Änderungen"
https://www.datenschutz-bayern.de/inhalte/aenderung_t.htm
DS-GVO Sanktionen und Datenpannen aus dieser Woche
Seit Inkrafttreten der Datenschutzgrundverordnung kann bei Datenschutzpannen oder einem erfolgreichen Cyberangriff ein hoher Verwaltungsaufwand auf das betroffene Unternehmen zukommen: Von der Meldepflicht gegenüber den Datenschutzaufsichtsbehörden und der Anzeigepflicht gegenüber dem Betroffenen, sowie mögliche Sanktionen wie Bußgelder, strafrechtliche Sanktionen, Schadenersatzansprüche und gleichzeitig ein enormer Imageverlust. Die unten aufgeführten Medienberichte über Datenpannen und Sanktionen zeigen: Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die betroffenen Unternehmen selbst.
-ck-
Datenabgleich mit der Schufa: Bußgeld in Höhe von 900.000 €
Heise online – "Profilbildung für Werbung: Hohes DSGVO-Bußgeld für Hannoversche Volksbank"
https://www.heise.de/news/Profilbildung-fuer-Werbung-900-000-Euro-Bussgeld-fuer-Hannoversche-Volksbank-7192864.html
Datenschutzverstöße beim Test von Assistenzsystemen
T-Online online – "Datenschutzverstöße: Volkswagen muss Millionenstrafe zahlen"
https://www.t-online.de/digital/internet-sicherheit/internet/id_100032124/millionenstrafe-fuer-vw-volkswagen-muss-bussgeld-zahlen.html
Sensible Dokumente und Verschlusssachen nicht datenschutzkonform entsorgt
Focus online – "Vertrauliche Dokumente: Scholz-Papiere im Hausmüll: „Jeder einfache Beamte bekäme ein Disziplinarverfahren“
https://www.focus.de/politik/deutschland/bericht-scholz-nachbarn-finden-vertrauliche-regierungspapiere-im-hausmuell_id_121321778.html
Vorwurf: Unzureichender Schutz der Nutzerdaten
Nau.ch – "T-Mobile US will Nutzern Millionen-Summe zahlen"
https://www.nau.ch/news/amerika/t-mobile-us-will-nutzern-millionen-summe-zahlen-66230150
Schwachstelle schon im Januar gemeldet
MAC Tech News online - "Datenpanne bei Twitter: Millionen von Nutzerdaten stehen zum Verkauf"
https://www.mactechnews.de/news/article/Datenpanne-bei-Twitter-Millionen-von-Nutzerdaten-stehen-zum-Verkauf-180639.html
Beamte missachteten wiederholt Vorschriften zum Umgang mit personenbezogenen Daten
Polizei Berlin online – " Personenbezogene Daten fordern einen verantwortungsvollen Umgang: Datenschutzkontrollen der Polizei Berlin"
https://www.berlin.de/polizei/polizeimeldungen/2022/pressemitteilung.1228662.php
Sicherheitsprobleme jahrelang unentdeckt
Computerbild online - "Personalausweis auf dem Handy: Verimi: Datenskandal bei der Ausweis-App?"
https://www.computerbild.de/artikel/cb-News-Handy-Verimi-Sicherheit-33125349.html
Zulässigkeit einer Videoüberwachung
Bei der Anbringung einer Videoüberwachungsanlage vergessen viele Unternehmen und Privatpersonen die Rechtslage des allgemeinen Persönlichkeitsrechts. Das allgemeine Persönlichkeitsrecht wird aus den Grundrechten der Unantastbarkeit der Würde des Menschen (Art. 1 Abs. 1 GG) und der freien Entfaltung seiner Persönlichkeit abgeleitet. Eine Verletzung des Persönlichkeitsrechts mittels einer heimlichen Videoüberwachung wird als Datenschutzverstoß gewertet. Wenn nicht deutlich auf Videoüberwachung hingewiesen wird, unzulässige Videoüberwachungsanlagen Verwendung finden und Videoaufnahmen mit personenbezogenen Daten - Gesichter von Personen zu sehen sind - und der Videoüberwachung keine schlüssigen Konzepte zugrunde liegen, muss mit einem entsprechend hohen Bußgeld gerechnet werden.
-ck-
Privatsphäre verletzt: Barbetreiber filmte heimlich auf der Toilette
Spiegel online – "Bis zu 5000 Aufnahmen Barbesitzer auf Mallorca soll Frauen auf Toilette gefilmt haben"
https://www.spiegel.de/panorama/justiz/mallorca-barbesitzer-in-palma-soll-frauen-auf-toilette-gefilmt-haben-a-dcacfaeb-1f60-4145-9795-6189ce475f26
Kameras in Wasserflaschen versteckt
Levante-emv com – "Detenido por grabar al menos a 38 mujeres cuando iban al baño de su bar en Palma"
https://www.levante-emv.com/sucesos/2022/07/27/detenido-grabar-38-mujeres-iban-71889319.html
Nachrichtenticker
Weitere Nachrichten im Kurzüberblick
1. Malware Ducktail übernimmt Facebook Business-Zugang
Netzwelt online - "Aktuelle Betrugswarnungen: Facebook: Malware übernimmt Business-Accounts"
https://www.netzwelt.de/news/206357-facebook-malware-uebernimmt-business-accounts.html
2. Sicherheitslücke in mehreren Produkten von F-Secure und der Business-Variante WithSecure
Chip Online – "Nutzer müssen updaten: Sicherheitslücken in beliebten Antivirus-Programmen entdeckt"
https://www.chip.de/news/Update-noetig-Beliebte-Antivirus-Programmen-mit-Sicherheitsproblemen_184359045.html
3. Experten Rat: Gespräch sofort beenden und Polizeidienststelle benachrichtigen
T-Online online – "Immer mehr Fälle: Europol warnt vor Betrugsmasche mit Fake-Anrufen"
https://www.t-online.de/digital/internet-sicherheit/sicherheit/id_100031788/europol-warnt-vor-telefon-betrugsmasche-die-leute-spielen-mit-der-angst-.html
4. Mehrere Bugs nach Update KB5015807
Golem online – "Microsoft: Windows-10-Update macht Drucker unbenutzbar"
https://www.golem.de/news/microsoft-windows-10-update-macht-drucker-unbenutzbar-2207-167183.html