Aktuelle Datenpannen & Ereignisse

Stand: 30.01.2023 Die DS-GVO verpflichtet verantwortliche Stellen und Auftragsverarbeiter, personenbezogene Daten ausreichend vor unberechtigtem Zugriff bzw. Offenlegung (Vertraulichkeit), vor unberechtigter Veränderung (Integrität) sowie vor Verlust (Verfügbarkeit) zu schützen. Wird eines dieser Schutzziele nicht erreicht, handelt es sich um eine Datenschutzverletzung - auch Datenpanne genannt. Datenschutz- und Sicherheitsvorfälle können verschiedenste Ursachen haben und sind oft Ausdruck menschlicher Fehler im Arbeitsalltag. In den meisten Fällen sind die Vorfälle nach Art. 33 DS-GVO der zuständigen Aufsichtsbehörde zu melden. Je nach Risiko besteht sogar eine Informationspflicht der betroffenen Personen. Dieser Artikel gibt einen Überblick über aktuell bekannt gewordene Datenpannen und Ereignisse, die relevant für datenschutzrechtliche Fragestellungen sind, wie ein Update zum Hackerangriff auf Continental, eine Sicherheitslücke durch die Rechtschreibprüfung im Browser, die Notwendigkeit des Abschlusses eines AV mit den [...]

Cybersicherheit in der Adventszeit

Stand: 03.11.2022 Mit der Advents- und Weihnachtszeit beginnt für Unternehmen der „Jahresendspurt“, der ihre Beschäftigten in der Regel noch einmal besonders fordert. Im (Einzel-)Handel herrscht Hochsaison für die zahlreichen Weihnachtseinkäufe und auch in anderen Bereichen gilt es, Projekte abzuschließen und die letzten To-Do's für das Jahr 2022 abzuarbeiten. Allerdings machen sich auch Cyberkriminelle die Advents- und Weihnachtssaison zu Nutze, um im Trubel Daten von Personen und datenverarbeitenden Stellen abzugreifen oder durch Schadsoftware-Angriffe und Fake-Shops Geld einzunehmen. Insbesondere auch durch den Ukraine-Krieg hat die Cyberkriminalität in den letzten Jahren stark zugenommen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt in seinem „Bericht zur Lage der IT-Sicherheit in Deutschland“ (Lagebericht 2022) fest: „Die Bedrohung im Cyber-Raum ist damit so hoch wie nie“. Beispielsweise hat innerhalb [...]

Vorsicht Sicherheitsrisiko: aktuelle Warnungen des BSI

Stand: 07.06.2022 In der aktuellen Polizeilichen Kriminalstatistik (PKS) für das Jahr 2021 wurden 146.363 Cyberdelikte verzeichnet – dies bedeutet eine Zunahme um mehr als zwölf Prozent gegenüber dem Jahr 2020. Diese Entwicklung macht deutlich, dass die Cyberkriminalität weiter zunimmt. So waren die Schäden durch Cyberangriffe, die nach offiziellen Zahlen im Jahr 2021 allein für Deutschland auf 223,5 Milliarden Euro beziffert wurden, doppelt so hoch wie im Jahr 2019. Aus diesem Grund soll dieser Artikel einen Überblick über aktuellen Warnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geben. Bedrohliche Schwachstelle bei Microsoft Office Ende Mai veröffentlichte Microsoft Informationen zu einer Schwachstelle in Microsofts Support Diagnostic Tool (MSDT). Das BSI stuft die Bedrohungslage durch diese Schwachstelle mit 3 (orange) ein. Die Sicherheitslücke kann über [...]

TOMs – welche Maßnahmen gehören zum „angemessenen Schutzniveau“?

Stand: 28.04.2022 Werden personenbezogene Daten unbefugt offengelegt, verändert oder gehen verloren, kann dies für betroffene Personen je nach Sensibilität der Informationen teilweise enorme negative Auswirkungen haben. Ein wichtiger Bestandteil des Datenschutzes ist deshalb die Sicherheit der Datenverarbeitung nach Art. 24 Abs. 1, 32 DS-GVO. Danach sind sowohl Verantwortliche als auch Auftragsverarbeiter verpflichtet, personenbezogene Daten ausreichend zu schützen, insbesondere im Hinblick auf die Vertraulichkeit, die Integrität sowie die Verfügbarkeit und die Belastbarkeit der Systeme. Sie müssen unter Berücksichtigung bestimmter Faktoren Vorkehrungen treffen, um ein angemessenes Schutzniveau sicherzustellen. Die Schutzmaßnahmen können technischer Natur (z. B. Vergabe von Benutzerrechten, Verschlüsselung von Notebooks/Tablets) oder organisatorischer Natur (z. B. Empfang/Rezeption, Mitarbeiterschulung und Verpflichtung zur Vertraulichkeit) sein. Werden keine i. S. v. Art. 32 DS-GVO ausreichenden Maßnahmen getroffen, stellt dies [...]

Achtung, Virus: Nicht nur Corona-Viren sind gefährlich

Stand: 04.03.2022 Sasser, Stuxnet, Nimda – was aussieht wie eine harmlose Aneinanderreihung von Buchstaben, kann in Wahrheit für Unternehmen ziemlich gefährlich werden. Bei den genannten Begriffen handelt es sich um drei der berüchtigtsten Computerviren. Viele Computer, egal ob privat oder geschäftlich genutzt, sind nicht ausreichend gegen die Risiken der Onlinewelt geschützt und somit ein gefundenes Fressen für Kriminelle. Diese infizieren ebensolche Rechner mit Viren und sorgen so für erhebliche Schäden mit gravierenden, teils existenzgefährdenden Folgen für die Betroffenen. Häufig werden Daten gelöscht, ausspioniert oder verschlüsselt, Onlinebanking-Transaktionen zugunsten der Kriminellen manipuliert oder Bestellungen im Namen der Betroffenen getätigt. Teilweise werden sogar die infizierten PCs für Cyberangriffe auf andere Personen oder Unternehmen eingesetzt – ein finanzielles und datenschutzrechtliches Fiasko für betroffene Unternehmen. Ein solider Schutz ist [...]

Datenschutz in Krankenhäusern und Arztpraxen

In Krankenhäusern und anderen Gesundheitseinrichtungen werden täglich große Mengen an verschiedenen personenbezogenen Daten verarbeitet. Den größten Anteil haben hierbei Gesundheitsdaten, die als hochsensible Daten unter Art. 9 DS-GVO fallen und damit besonders geschützt werden müssen. Die Verarbeitung von Informationen zum Gesundheitszustand von Patientinnen und Patienten birgt insbesondere bei mangelnden Schutzmaßnahmen ein mitunter enormes Risiko für die betroffenen Personen, weshalb dem Datenschutz und der (IT-)Sicherheit im Gesundheitssektor eine wichtige Bedeutung zukommt. Trotz des besonderen Schutzbedarfs in Gesundheitseinrichtungen kommt es in Krankenhäusern und Arztpraxen erstaunlich oft zu Datenpannen, insbesondere durch Verletzungen der Vertraulichkeit. Untersuchungen verschiedener deutscher Datenschutzbehörden zeigten teilweise erhebliche Defizite bei der Umsetzung des Datenschutzes in Krankenhäusern und Arztpraxen. Auch der Datenrisiko-Report des amerikanischen IT-Sicherheitsanbieters Varonis Systems deckte enorme Lücken bei der Datensicherheit auf. Zusätzlich [...]

Emotet – Malware mit dem Potenzial zum Totalschaden

Die Gefahr durch Schadsoftware ist sowohl für Privatpersonen als auch für Unternehmen und Behörden in den letzten Jahren immer mehr gestiegen. Cyberkriminelle entwickeln ständig neue Programme, um andere Internetuser auszuspionieren, Daten zu sammeln oder sich auf andere Weise zu bereichern. Dass sie dabei immer kreativer werden, macht es sowohl für Virenscanner und SPAM-Filter als auch für die Empfänger gefälschter E-Mails schwierig, Schadprogramme zu erkennen. Werden Systeme von Schadsoftware befallen, kann dies erhebliche finanzielle Schäden zur Folge haben, die zum Teil existenzbedrohend sind. Eine der seit Jahren gefährlichsten Schadsoftware war Emotet. Der Banking-Trojaner wurde im Jahr 2014 erstmals von Experten entdeckt und bedroht seitdem Privatpersonen, Unternehmen und Behörden. Einer der wohl bekanntesten Fälle ist der Befall mit Emotet beim Kammergericht Berlin im September des vergangenen [...]

Hackerangriff auf Universitätsklinikum Düsseldorf – so wichtig sind die TOMs

In den letzten Jahren häufen sich immer mehr Meldungen von Unternehmen und öffentlichen Einrichtungen, die Opfer einer Cyberattacke geworden sind. Die Täter suchen in der Regel gezielt nach bestehenden Sicherheitslücken und nutzen diese aus, um die betreffenden Computersysteme mit Schadsoftware zu infizieren. Die derzeit wohl am weitesten verbreitete Methode der Hacker ist der Einsatz von Verschlüsselungstrojanern, die beispielsweise in manipulierten E-Mails versteckt sind. Mithilfe der Schadsoftware (engl.: Malware) werden Daten, die auf den infizierten Computern gespeichert sind, verschlüsselt. Anschließend fordern die Hacker Lösegeld (engl.: ransom), gegen dessen Bezahlung sie den Schlüssel zur Wiederherstellung der Daten herausgeben wollen. Eine Studie der US-amerikanischen Temple University kam zu dem Ergebnis, dass die Frequenz an (öffentlich bekannten) Ransomware-Attacken dieses Jahr auf dem Höchststand seit 2013 liegt. Je nach [...]

Gewinnspieldaten für Werbezwecke genutzt: 1,2 Millionen Bußgeld

Das Wichtigste in Kürze: Eine Krankenkasse in Baden-Württemberg veranstaltete von 2015 bis 2019 mehrere Gewinnspiele. Dabei wurden die klassischen Informationen der Teilnehmer erfasst. Die personenbezogenen Daten wurden später für Werbezwecke verwendet. Die Krankenkasse nutzte dabei auch personenbezogene Daten von Personen, von denen keine Einwilligung vorlag. Der Landesdatenschutzbeauftragte verhängte ein Bußgeld von 1,2 Millionen Euro. Ziel der Aufsichtsbehörde sei es nach Herrn Brink aber nicht, besonders hohe Bußgelder zu verhängen, sondern ein besonders gutes und angemessenes Datenschutzniveau zu gewährleisten. Die Aufsichtsbehörde betonte, dass der Datenschutz eine Daueraufgabe sei. Wirksamer Datenschutz erfordere daher regelmäßige Kontrollen und Anpassungen. Der Fall im Detail Eine Krankenkasse in Baden-Württemberg veranstaltete von 2015 bis 2019 eine Reihe von Gewinnspielen, um damit fleißig persönliche Informationen der Teilnehmer – wie bspw. Kontaktdaten oder [...]

Frankreich: Bußgeld wegen unangemessener Informationen im CRM-System

Systeme zum Customer-Relationship-Management (CRM) sind für die meisten Unternehmen heute gar nicht mehr wegzudenken. Das Angebot an CRM-Software ist vielfältig und die Funktionen der Systeme werden stets verbessert und ausgebaut. Was bei vielen Produkten und bei der Arbeit mit CRM-Systemen allerdings nur wenig oder gar nicht beachtet wird, ist der Datenschutz. Die datenschutzrechtlichen Vorgaben sind nämlich nicht nur mit einem gewissen technischen und arbeitsintensiven Aufwand verbunden, sie widersprechen zum Teil auch den Zielen der Unternehmen. Aus Sicht der Unternehmen sollen nämlich möglichst viele Informationen über die eigenen Kunden und die Kundenhistorie an einer Stelle gesammelt werden und bei Bedarf abrufbar sein. Das gilt nicht nur für Kontaktdaten oder Angaben mit Bezug auf die Geschäftsbeziehung. In vielen Fällen werden auch über die Dauer des Geschäftsverhältnisses [...]

Nach oben