Löschung von 3G-Daten

DSGVO News

Um keine rechtswidrige Datenfriedhöfe anzulegen, müssen Sie ab sofort die gespeicherten Daten zu den registrierten Impf- und Teststatus löschen. Wer es noch nicht gemacht hat, sollte es spätestens jetzt tun den, Niedersachsens Datenschutzbeauftragte Barbara Thiel hat darauf hingewiesen das Sie in diesem Jahr (2022) unangekündigt Kontrollen in Unternehmen und Einrichtungen durchführen will. Es geht hier also um die Zugangsbeschränkung am Arbeitsplatz nach der 3G-Regel. Für die Erfassung und Speicherung der Daten zur Impf- und Teststatus der Mitarbeiter gibt es, außer im Gesundheitsbereich, keine gesetzliche Grundlage mehr. Obwohl bisher nur die Landesdatenschutzbehörde Niedersachsen Kontrollen in Unternehmen und Einrichtungen angekündigt haben, werden vermutlich alle Landesdatenschutzbehörden ein wachsames Auge auf diese Löschpflicht haben.   Ich empfehle die Löschung der Daten zu dokumentieren. Am...

Weiterlesen

Die DS-GVO – eine Herausforderung für kleine Unternehmen?

DSGVO News

Die Datenschutz Grundverordnung. Stellt die DS-GVO kleine Unternehmen vor große Probleme? Dieses Gesetz, die Datenschutz Grundverordnung, ist jetzt schon eine ganze Weile in Kraft und es wurde schon viel – sehr viel – darüber gesprochen und geschrieben. Es hat sich auch schon einiges getan, vor allem bei den größeren mittelständischen Unternehmen. Selbständige, die allein oder in einem losen Netzwerk arbeiten, aber auch kleine Organisationen mit nur wenigen Mitarbeitern sowie Vereine haben nach wie vor erhebliche Probleme DS-GVO Konform aufzutreten. Die Größe eines Unternehmens sagt nicht immer etwas darüber aus, wie viele personenbezogene Daten erhoben werden und wie sensibel diese sind.  Denken Sie zum Beispiel an Finanzberater, Versicherungs- und Immobilienmakler, unabhängige Psychologen, Physiotherapeuten aber auch an Handwerker und den Onlinehandel. Neben...

Weiterlesen

Entwarnung von Log4J bei WordPress und Shopware

DSGVO News

Am Freitag, den 10.12.2021, wurde eine Sicherheitslücke bei Log4j, ein weltweit verwendetes Framework zum Logging in Java, veröffentlicht. Die IT-Sicherheitsbehörde (BSI) hat eine Cyber-Sicherheitswarnung der Alarmstufe Rot herausgegeben. Diese Sicherheitslücke ermöglicht es Hackern ohne großen Aufwand beliebigen Schadcode auszuführen.  Betreiber einer WordPress Website oder Shopware Onlineshops müssen sich hier allerdings ausnahmsweise erst einmal keine Sorgen machen. Bei Log4J handelt es sich um ein Java-Komponente.  WordPress und Shopware sind in PHP geschrieben. Dieses trifft auch auf deren Plugins und Themes zu, sofern sie denn in PHP geschrieben sind. Also erstmal Entwarnung? Obwohl Website- / Shopsysteme, geschrieben in PHP, erstmal nicht weiter betroffen sind, müssen Betreiber von Wordpress Webseiten oder Shopware Onlineshops sich dennoch um weiteres kümmern, denn…. …. Sie und Ihre...

Weiterlesen

BSI warnt vor Sicherheitslücke in Software-Modul Log4j

DSGVO News

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt Alarm wegen einer neu entdeckte Sicherheitslücke in Server-Software, welcher weltweit Server, Open-Source- und kommerzieller Softwareprodukte im Netz bedroht. Diese Sicherheitslücke wird inzwischen auch mit der CVE-Nummer CVE-2021-44228 bezeichnet. Die Sicherheitslücke, in einem auf vielen Computern verbreiteten Software-Modul Log4j, führt nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer "extrem kritischen Bedrohungslage". Log4j ist dafür da, diverse Ereignisse wie z.B. die Auswertung von Fehlern im Server-Betrieb wie in einem Logbuch festzuhalten. Die Schwachstelle kann schon durch die Speicherung einer bestimmten Zeichenfolge aktiviert werden. Letzteres bereitet den Experten große Sorge.Aber nicht nur Server und viele Online-Systeme sind von dieser Sicherheitslücke betroffen - auch QR-Scanner, kontaktlose Türschlosser und ähnliche Systeme könnten...

Weiterlesen

Datenschutzprüfungen – Ransomware Prävention

DSGVO News

Zu den Aufgaben der Landesdatenschutzbehörden gehören auch regelmäßige anlassbezogene und anlasslose Datenschutzprüfungen. Mit der Datenschutzprüfung "Ransomware Prävention" gibt die neu gegründete Stabstelle Prüfverfahren des BayLDA den Startschuss für eine Reihe anlassloser fokussierter Kontrollen in seinem Bundesland. Hier werden In kurzen Abständen werden künftig standardisierte schriftliche und auch automatisiert über das Internet ausgeführte Prüfungen mit klarer Schwerpunktsetzung durchgeführt. Es ist zu erwarten das die Datenschutzprüfung "Ransomware Prävention" nicht die einzige sein wird und in den kommenden Jahre intensiviert wird.Sicher ist auch das die Datenschutzbehörden der übrigen 15 Bundesländer diese Datenschutzprüfungen in gleicher oder ähnlicher Weise übernehmen werden. Zielgruppe der Prüfung sind u.a. kleinere und mittlere Unternehmen sowie Arztpraxen.Geprüft wird, ob technische und organisatorische Maßnahmen nach DS-GVO Art. 32 getroffen sind, um...

Weiterlesen

Kritische Lücken bei HP Bürodruckern

DSGVO News

Forschern der finnischen IT-Sicherheitsfirma F-Secure haben zwei Datensicherheit/ Datenschutz Lücken bei HP Bürodruckern entdeckt. HP bezeichnet diese Lücken als „kritisch“! Lücke 1: Der Angreifende versucht über ein Datenschutz-Sicherheitsvorfall, wie z.B. eine Phishingmail seine Opfer auf eine bestimmte Website zu locken. Wenn der Drucker direkt verbunden ist, druckt dieser automatisch ein bestimmtes Dokument aus. Lücke 2: Der Angreifende bringt das Opfer dazu eine Seite über eine entsprechenden Mail-Anhang oder eine Datei von einem USB-Stick auszudrucken. Durch eine manipulierte Schriftart in dem Dokument kann er dabei einen Speicherfehler im Drucker erzwingen und erlangt hiermit die Möglichkeit einen weiteren Code auszuführen um damit das Gerät zu kapern. Sobald der Datenschutz-Sicherheitsvorfall zu einem Erfolg geführt hat, kann der Angreifer jede Datei, die gedruckt, gescannt...

Weiterlesen

3G am Arbeitsplatz

DSGVO News

Arbeitgeber müssen den 3G-Status ihrer Mitarbeiter kontrollieren und dokumentieren. Aber worauf muss hier in Bezug auf Datenschutz geachtet werden? Die nachfolgende Regelung gilt vorerst bis zum 19. März 2022.Arbeitgeber müssen ihren Mitarbeiten täglich auf das Vorhandensein einer aktuelle Bescheinigung über einen negativen Coronatest kontrollieren und dieses dokumentieren.Bei Geimpften ist einmalig der Impfstatus zu kontrollieren. Die Gültigkeitsdauer muss nicht erfasst werden.Bei Genesenen ist einmalig auch der Genesenenstatus und bei Ablauf vor dem 19. März 2022 die Gültigkeitsdauer des Zertifikats zu dokumentieren. Die bei der Kontrolle verarbeitete Gesundheitsdaten gehören zu den besonderer Kategorien personenbezogener Daten welche nach DS-GVO Art. 9 besonders zu schützen sind. Stellen Sie daher unbedingt sicher, dass diese Informationen entsprechend geschützt abgelegt werden (entweder digital oder in Papierform).Jede Verarbeitung...

Weiterlesen

Telefax ist wie eine unverschlüsselte E-Mail

DSGVO News

Die Bremer Landesdatenschutzbeauftragte Imke Sommer hat festgestellt dass das Telefax heutzutage nicht mehr Datenschutzkonform ist. Besonders im Finanzbereich, dem Gesundheitswesen oder bei rechtsverbindlichen Anliegen werden jeden Tag über 17 Milliarden Faxnachrichten versendet.  Da es sich beim Telefax um eine Art offener Zustellung handelt müssen bei einem Versand von personenbezogenen Daten per Fax Maßnahmen getroffen werden, die verhindern, dass bei der Übertragung diese Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können.Solange für das Telefax eine analoge Verbindung mit einer exklusive Ende-zu-Ende-Telefonleitungen benutzt wurde, war die Welt noch einigermaßen in Ordnung. Aber mit der stetig wachsende Digitalisierung werden die Faxe immer mehr in E-Mails umgewandelt und dann weitergeleitet. Ein Faxbericht hat hinsichtlich der Vertraulichkeit inzwischen nur noch das Sicherheitsniveau einer unverschlüsselten...

Weiterlesen

Kritische Schwachstellen in Exchange-Servern

DSGVO News

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt sofortiges Handeln! Zur Zeit findet ein großer Cyberangriff auf E-Mail-Konten von Microsoft statt. Nach US Medienberichte sollen Insidern zufolge Zehntausende Unternehmen, Regierungsstellen und Schulen in den USA von einem Cyberangriff auf Exchange E-Mail-Konten betroffen sein. Die Angreifer haben für den Angriff eine Sicherheitslücke im E-Mail-Dienst „Exchange“ des Softwarekonzerns Microsoft ausgenutzt. Microsoft hat bereits neue Sicherheits-Updates für den „Exchange-Server“ veröffentlicht, mit dem vier Schwachstellen geschlossen werden. Das BSI geht aktuell von ein sehr hohes Angriffsrisiko, auch in Deutschland, aus und empfiehlt dringend das Einspielen der von Microsoft bereitgestellten Sicherheitsupdates. Bei Systemen, die bisher noch nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden. Betroffene Organisationen finden hier Informationen. Informationen zur Warnung finden...

Weiterlesen

Kein Datenschutzbeauftragter

DSGVO News

Kein Datenschutzbeauftragter benannt! Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verhängt 10.000.- Euro Geldbuße gegen Kleinstunternehmen. Der Telekommunikationsanbieter Rapidata GmbH kam trotz mehrmaliger Aufforderung seitens der BfDI seiner Verpflichtung zur Benennung eines betrieblichen Datenschutzbeauftragten nicht nach. Bei der Höhe der Geldbuße von 10.000 Euro berücksichtigte die Datenschutz-Behörde, dass es sich bei Rapidata um ein Unternehmen aus der Kategorie Kleinstunternehmen handelt. Quelle: Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Sollten Sie unsicher sein, ob Ihr Unternehmen einen Datenschutzbeauftragten benötigt, prüfen Sie dieses nach meinem Beitrag „Wer braucht einen Datenschutzbeauftragten?" oder senden Sie mir eine Rückrufanfrage für ein unverbindliches Informationsgespräch.

Weiterlesen