− − − − − −

Liebe Leser unserer Datenschutznachrichten
In dieser Woche fanden keine relevanten Datenschutz-Themen für eine umfangreiche Berichterstattung zu IT-Security und Datenschutz im Unternehmen statt. Aus diesen Gründen können wir Ihnen eine Berichterstattung durch unser Redaktionsteam in dieser Woche nicht anbieten.
Wir bedanken uns für Ihre Leser-Treue und freuen uns darauf, Sie nächste Woche wieder bei uns begrüßen zu dürfen.
-ck-

− − − − − −

Nachrichtenticker
Weitere Nachrichten im Kurzüberblick

1. BSI Warnung mit Risikostufe: 4 (hoch): Update für IT-Sicherheitswarnung
News online – "IT-Sicherheit: Linux und Windows gefährdet - IT-Sicherheitslücke bei Oracle Java SE mit hohem Risiko! Warnung erhält Update"
https://www.news.de/technik/857905942/oracle-java-se-gefaehrdet-bsi-meldung-zur-it-sicherheit-update-zu-bekannten-schwachstellen-bei-linux-und-windows-vom-22-07-2024/1/

2. Ohne Bitlocker-Wiederherstellungsschlüssel muss Backup des Systems aufspielt werden
Heise online – "Windows-Update kann Nachfrage nach Bitlocker-Schlüssel auslösen"
https://www.heise.de/news/Windows-Update-kann-Nachfrage-nach-Bitlocker-Schluessel-ausloesen-9813997.html

3. Aktuelle Hinweise und Warnungen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html#ANKERtabell

KI-Verordnung (EU) 2024/1689 ("AI Act") im Amtsblatt der EU veröffentlicht
Am 12. Juli 2024 wurde die Richtlinie zur künstlichen Intelligenz (KI-VO) offiziell im Amtsblatt der Europäischen Union veröffentlicht und tritt am 1. August 2024 in Kraft. Folgende Übergangsfristen gelten bis zum Inkrafttreten der KI-Verordnung: Ab dem 02.02.2025 gelten Regelungen zu verbotenen KI-Systemen. Anhand dessen besteht eine umfassende Schulungsverpflichtung für die Mitarbeiter.
Ab dem 02.08.2025 gelten auch neue Regelungen zu Künstlicher Intelligenz für allgemeine Zwecke und über Sanktionen. Sämtliche übrigen Bestimmungen der KI-Verordnung gelten ab dem 02.08.2026.
Datenschutz-Aufsichtsbehörden und die nationale Behörde für Cybersicherheit (BSI) stellen notwendige, nützliche und datenschutzkonforme Informationen zur sicheren Nutzung von KI-Systemen schon bereit.
Fragen und Antworten zur KI beantwortet die Europäische Kommission auf ihrer Homepage.
-ck-

Datenschutzkonformer Einsatz der Künstlichen Intelligenz im Unternehmen
Bayerisches Landesamt für Datenschutzaufsicht online – "Datenschutzkonforme Künstliche Intelligenz: Checkliste mit Prüfkriterien nach DS-GVO (pdf)"
https://www.lda.bayern.de/media/ki_checkliste.pdf

Informationen zur künstlichen Intelligenz (KI) und zum Datenschutz
BayLDA online – "Künstliche Intelligenz: Mehr vertrauen mit Datenschutz"
https://www.lda.bayern.de/de/ki.html


Nachlässiger Umgang mit Patientendaten
Vertrauliche Informationen werden anhand Passwörter und Verschlüsselungstechnik auf dem Firmenserver geschützt, doch sensible Papierdokumente liegen in manchen Unternehmen ungeschützt herum oder landen in den Papierkorb.
Laut Medienberichten wurden in dieser Woche Patientendaten einer Arztpraxis im Papiermüll gefunden. Den Berichten zufolge waren seitenweise Laborergebnisse, Krankschreibungen, Rezepte usw. mit hochsensiblen Gesundheitsdaten unter den Unterlagen.
Diese massive Datenpanne zeigt, wie Unternehmen und Organisationen immer wieder damit zu kämpfen haben, dass hochsensible interne Dokumente nicht an die Öffentlichkeit gelangen. Die Sicherheit personenbezogener Daten hängt ganz wesentlich davon ab, dass nicht nur mit technischen Mitteln hochsensible Informationen gesichert werden, sondern auch eine nachhaltige Mitarbeiter-Sensibilisierung, durch ihren Datenschutzbeauftragten, zu den unverzichtbaren Präventionsmaßnahmen in jedem Unternehmen gehört.
-ck-

Probleme mit dem Datenschutz
Ruhrnachrichten online – "Nach Patientendaten im Müll in Lünen: Ähnliche Fälle sorgten für großes Aufsehen"
https://www.ruhrnachrichten.de/luenen/patientendaten-luenen-datenschutz-muell-grob-zerrissen-sensible-daten-polizei-w907238-2001282707/

Datenschutzvorgaben missachtet
WDR online – ""Lost Places"-Sucher entdecken Patientenakten in Vlotho"
https://www1.wdr.de/nachrichten/westfalen-lippe/vlotho-patientenakten-cafe-lostplace-100.html


Medienberichte über Datenschutzverstößen aus dieser Woche
Seit dem Inkrafttreten der Datenschutzgrundverordnung kann bei Datenschutzpannen oder einem erfolgreichen Cyberangriff ein hoher Verwaltungsaufwand auf das betroffene Unternehmen zukommen: Von den Meldepflichten gegenüber der betroffenen Datenschutzaufsichtsbehörde und der Anzeigepflicht gegenüber dem Betroffenen, sowie mögliche Sanktionen wie Bußgelder, strafrechtliche Sanktionen, Schadenersatzansprüche und gleichzeitig ein enormer Imageverlust. Die unten aufgeführten Medienberichte über Datenpannen und Sanktionen zeigen: Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die betroffenen Unternehmen selbst.
-ck-

Unternehmen ins Visier von Cyberkriminellen geraten
ZDNet online – "Datenleck: AT&T verliert Daten von 109 Millionen Kunden"
https://www.zdnet.de/88417019/datenleck-att-verliert-daten-von-109-millionen-kunden/

US-Telefonanbieters AT&T verhandelte scheinbar mit den Cyberkriminellen
Heise online – "AT&T soll Hacker 370.000 Dollar zum Löschen gestohlener Daten gezahlt haben"
https://www.heise.de/news/AT-T-soll-Hacker-370-000-Dollar-zum-Loeschen-gestohlener-Daten-gezahlt-haben-9800743.html

Fehlerhafte Softwarekonfiguration vom Berliner IT-Dienstleister (ITDZ)
Tagesspiegel online – "Datenpanne bei Berlins IT-Dienstleister: Hunderte Anträge auf Einbürgerung gelöscht"
https://www.tagesspiegel.de/berlin/datenpanne-bei-berlins-it-dienstleister-hunderte-antrage-auf-einburgerung-geloscht-12043205.html

Dauerhaftes Tracking der Nutzer war möglich
Golem online – "Datenpanne bei der Telekom: API ermöglicht Tracking von Festnetzanschlüssen"
https://www.golem.de/news/datenpanne-bei-der-telekom-api-ermoeglicht-tracking-von-festnetzanschluessen-2407-187066.html

Gravierende Sicherheitslücke: Hunderttausende Kundendaten öffentlich zugänglich
Hardware News – "Datenleck bei MSI: Keine Sicherheitsbarrieren im Internet"
https://www.hardware-news.de/datenleck-bei-msi-keine-sicherheitsbarrieren-im-internet/

Daten scheinbar schon im Netz
Heise online – "Disney prüft Datenleak"
https://www.heise.de/news/Disney-prueft-Datenleak-9802065.html

Nachrichtenticker
Weitere Nachrichten im Kurzüberblick

1. Weltweiter IT-Ausfall: Fehler scheinbar in Aktualisierung der Crowdstrike-Software für Windows-Computer gesteckt
Focus online - "Live: Gewaltiges Microsoft-Problem: "Bluescreen des Todes" legt weltweit Flughäfen, Banken, Supermärkte lahm - Klinik sagt OPs ab"
https://www.focus.de/panorama/welt/chaos-zum-ferienbeginn-serverausfall-aktuell-kein-flugverkehr-am-ber_id_260151405.html

2. Phishing-Fall per E-Mail: Daten nicht eingeben!
Ruhr 24 online - Warnung an Telekom-Kunden: Millionen Nutzer müssen jetzt Abzocke befürchten
https://www.ruhr24.de/service/phishing-mail-kriminelle-nutzer-opfer-verbraucherzentrale-warnung-telekom-kunden-abzocke-daten-93175969.html

3. Aktuelle Hinweise und Warnungen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html#ANKERtabell

Datenschutz-Aufsichtsbehörden verhängen Sanktionen
Seit Einführung der anwendungspflichtigen DSGVO, hat sich die Liste aller Sanktionen und Strafen, die an Unternehmen von den Datenschutzbehörden innerhalb der EU im Rahmen der allgemeinen Datenschutzverordnung der EU (GDPR, DSGVO) verhängt wurden, stetig erweitert.
Die unten aufgeführten Medienberichte über Datenschutzpannen und Sanktionen zeigen: Die Folgen von Datenverlusten - gleich welcher Natur - sind verheerend und das nicht nur für Kunden und Geschäftspartner, sondern auch für die betroffenen Unternehmen selbst.
-ck-

Bußgeld: 6.419.631 € für unangekündigte Telefonwerbung
GPDP it – "IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI"
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10029424

120.000 Euro Bußgeld für Anwesenheits- und Leistungskontrolle der Mitarbeiter per Gesichtserkennungssystem
GPDP it – "IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI"
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/10029424

42.000 € Sanktion: Videoaufnahmen der Angestellten in eine Chatgruppe gestellt
AEPD es – "RESOLUCIÓN DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO VOLUNTARIO"
https://www.aepd.es/documento/ps-00435-2023.pdf

Tätigkeitsbericht über Entwicklungen und Fragen des Datenschutzes
Die Datenschutz-Grundverordnung erfordert ein aufeinander abgestimmtes und einheitliches Vorgehen der Datenschutz – Aufsichtsbehörden. Jede Aufsichtsbehörde erstellt einen Jahresbericht über ihre Tätigkeit, welche an Parlament, Regierung, Behörden übermittelt und auch der Öffentlichkeit zugänglich gemacht wird. Nach und nach wurden und werden die Tätigkeitsberichte der Bundes- und der Landesdatenschutzbeauftragten sowie der Aufsichtsbehörden für den Datenschutz für das Jahr 2023 veröffentlicht.
In dieser Woche stellte Frau Bettina Gayk , die Landesbeauftragte für den Datenschutz und Informationsfreiheit in Nordrhein-Westfalen (LDI NRW), ihren 29. Tätigkeitsbericht für das Jahr 2023 vor.
Im aktuellen Berichtszeitraum der Behörde wurden ca. 11.050 Datenschutz-Beschwerden bearbeitetet und 2.039 Datenschutzverletzungen gemeldet. Insgesamt wurden im Jahr 2023 111 Bußgeldverfahren eingeleitet und 65 Bußgeldbescheide erlassen worden und Sanktionen in Höhe von 64.650 Euro gegen Unternehmen und Privatpersonen verhängt.
Alle Tätigkeitsberichte der Datenschutzbehörden hält das Neue Datenschutz-Archiv (Als Nachfolger von ZAfTDa, dem ZentralArchiv für Tätigkeitsberichte im Datenschutz) im PDF-Format zum Download bereit.
-ck-

LDI Nordrhein-Westfalen stellt neuen Datenschutz Bericht für das Jahr 2023 vor
GMX net - "Düsseldorf: NRW-Datenschutzbericht: Immer mehr gemeldete Datenpannen"
https://www.gmx.net/magazine/regio/nordrhein-westfalen/nrw-datenschutzbericht-gemeldete-datenpannen-39862666

29. Tätigkeitsbericht der LDI NRW für das Jahr 2023
LDI NRW online – "29. Bericht der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (pdf)"
https://www.ldi.nrw.de/system/files/media/document/file/29_bericht_2024_2.pdf

Aufstellung der seit 1971 erschienenen Tätigkeitsberichte
LDI NRW LDI NRW online – "Berichte"
https://www.ldi.nrw.de/berichte

Datenschutzkonform mobil Arbeiten
Seit Corona arbeiten mehr Mitarbeiter im Home-Office als jemals zuvor und in vielen Unternehmen ist dies zum Standard geworden. Doch die meisten Unternehmen vergessen die IT-Sicherheitsrisiken anhand der Nutzung digitaler Technik außerhalb ihres Unternehmens. Risiko im Homeoffice stellen beispielsweise Smart-Home-Anwendungen dar, wie etwa anhand ungeschützter Geräte mit immer noch voreingestellten Passwörtern. Dies kann ein einfaches Einfallstor für Hackerangriffe sein. Auch die private und geschäftliche Nutzung privater Endgeräte stellt ein hohes Sicherheitsrisiko dar. Diese Bring Your Own Device (BYOD) kann für jedes Unternehmen ein großes Datenschutz - Problem darstellen.
Um ein sicheres Arbeiten aus dem Home-Office gemäß den datenschutzrechtlichen Vorgaben gewährleisten zu können, hat unter anderem der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) eine Handreichung zum datenschutzkonformen mobilen Arbeiten veröffentlicht.
-ck-

Leitfaden mit Tipps und weiterführenden Informationen
Datenschutz Hessen online – "Handreichung zum datenschutzkonformen "mobilen Arbeiten""
https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/2024-01/handreichung_zum_mobilen_arbeiten_231221.pdf

Regelungen der DS-GVO und des BDSG gelten auch für das mobile Arbeiten
DattaAgenda online – "Handreichung: Datenschutzkonformes und mobiles Arbeiten"
https://dataagenda.de/handreichung-datenschutzkonformes-und-mobiles-arbeiten/


Wachsende Bedrohung: Geziehlte Cyberattacken
Gezielte Angriffe auf Computersysteme haben in den letzten Jahren an Häufigkeit und Intensität deutlich zugenommen. In den letzten 12 Monaten mussten laut Cyber-Angriffsberichten 60 % der befragten Unternehmen aktiv auf einen Angriff reagieren. Erfolgreiche Angriffe auf IT-Systeme können sowohl zu einem Datenverlust als auch zu einem wirtschaftlichen Stillstand führen.
Negative Schlagzeilen vermögen einem Unternehmen und seiner Marke jedoch einen weitaus größeren dauerhaften Schaden zufügen als ein kurzfristiger finanzieller Schaden.
Um das Bewusstsein für Cyber-Risiken zu stärken, gehört die professionelle und nachhaltige Mitarbeiter-Sensibilisierung, durch ihren Datenschutzbeauftragten, zu den unverzichtbaren Präventionsmaßnahmen in jedem Unternehmen.
-ck-

Cybersicherheitsexperten raten: Passwörter sofort ändern und Zwei-Faktor-Authentifizierung einrichten
Frankfurter Rundschau online – "Gewaltiger Hackerangriff: 10 Milliarden Passwörter geleakt – Verbraucher sollten direkt handeln"
https://www.fr.de/verbraucher/passwoerter-geleakt-verbraucher-rockyou2024-leak-gewaltiger-hackerangriff-10-milliarden-93177074.html

"Cybersicherheit und IT-Compliance im Unternehmen"
Versicherungsmagazin online – "Juristischer Leitfaden zur IT-Compliance"
https://www.versicherungsmagazin.de/rubriken/branche/juristischer-leitfaden-zur-it-compliance-3437054.html

Nachrichtenticker
Weitere Nachrichten im Kurzüberblick


1. Vidar-Malware statt Sicherheitsupdates
Futurezone online – "Vorsicht, Malware: Windows-Update lockt Nutzer in diese perfide Falle"
https://www.futurezone.de/digital-life/article560814/windows-update-hacker-nutzen-schwachstellen.html

2. Aktuell Angriffe auf Apple-Kunden
Heise online – "SMS, iMessage, Anrufe: Apple erklärt, wie man nicht zum Phishing-Opfer wird"
https://www.heise.de/news/SMS-iMessage-Anrufe-Apple-erklaert-wie-man-nicht-zum-Phishing-Opfer-wird-9796316.html

3. Aktuelle Hinweise und Warnungen
Bundesnetzagentur online – "Aktuelles"
https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Aktuelles/start.html#ANKERtabell

Liebe Leser unserer Datenschutznachrichten

Aus organisatorischen Gründen können wir Ihnen eine Berichterstattung durch unser Redaktionsteam in dieser Woche nicht anbieten. Entsprechende datenschutzrelevante Aspekte werden in den Datenschutznachrichten 28. KW einbezogen.
Wir bedanken uns für Ihr Verständnis und freuen uns darauf, Sie in der 28. Kalenderwoche wieder bei uns begrüßen zu dürfen.

-ck-

----------------------