Achtung, Virus: Nicht nur Corona-Viren sind gefährlich

Stand: 13.10.2023 Sasser, Stuxnet, Nimda – was aussieht wie eine harmlose Aneinanderreihung von Buchstaben, kann in Wahrheit für Unternehmen ziemlich gefährlich werden. Bei den genannten Begriffen handelt es sich um drei der berüchtigtsten Computerviren. Viele Computer, egal ob privat oder geschäftlich genutzt, sind nicht ausreichend gegen die Risiken der Onlinewelt geschützt und somit ein gefundenes Fressen für Kriminelle. Diese infizieren ebensolche Rechner mit Viren und sorgen so für erhebliche Schäden mit gravierenden, teils existenzgefährdenden Folgen für die Betroffenen. Häufig werden Daten gelöscht, ausspioniert oder verschlüsselt, Onlinebanking-Transaktionen zugunsten der Kriminellen manipuliert oder Bestellungen im Namen der Betroffenen getätigt. Teilweise werden sogar die infizierten PCs für Cyberangriffe auf andere Personen oder Unternehmen eingesetzt – ein finanzielles und datenschutzrechtliches Fiasko für betroffene Unternehmen. Ein solider Schutz ist [...]

TOMs – welche Maßnahmen gehören zum „angemessenen Schutzniveau“?

Stand: 08.09.2023 Werden personenbezogene Daten unbefugt offengelegt, verändert oder gehen verloren, kann dies für betroffene Personen je nach Sensibilität der Informationen teilweise enorme negative Auswirkungen haben. Ein wichtiger Bestandteil des Datenschutzes ist deshalb die Sicherheit der Datenverarbeitung nach Art. 24 Abs. 1, 32 DS-GVO. Danach sind sowohl Verantwortliche als auch Auftragsverarbeiter verpflichtet, personenbezogene Daten ausreichend zu schützen, insbesondere im Hinblick auf die Vertraulichkeit, die Integrität sowie die Verfügbarkeit und die Belastbarkeit der Systeme. Sie müssen unter Berücksichtigung bestimmter Faktoren Vorkehrungen treffen, um ein angemessenes Schutzniveau sicherzustellen. Die Schutzmaßnahmen können technischer Natur (z. B. Vergabe von Benutzerrechten, Verschlüsselung von Notebooks/Tablets) oder organisatorischer Natur (z. B. Empfang/Rezeption, Mitarbeiterschulung und Verpflichtung zur Vertraulichkeit) sein. Werden keine i. S. v. Art. 32 DS-GVO ausreichenden Maßnahmen getroffen, stellt dies [...]

ChatGPT & Co. – Datenschutz und künstliche Intelligenz (KI)

Stand: 16.08.2023 War künstliche Intelligenz (KI) vor einigen Jahren für die meisten noch eher eine abstrakte Zukunftsvision, haben insbesondere KI-basierte Chatbots in letzter Zeit merklich an Bekanntheit gewonnen. Die Diskussion um KI-Software wurde zuletzt durch die sprachbasierte Anwendung ChatGPT des US-Unternehmens OpenAI OpCo, LLC wieder verstärkt. Zwar stellen KI-Anwendungen an vielen Stellen ein leistungsstarkes Werkzeug dar und bieten viel Zukunftspotenzial – ChatGPT kann Nutzer beispielsweise beim effektiven Marketing, bei der Erstellung von Texten, bei IT-Projekten (Analyse von Codes) oder bei der Bestimmung von Kennzahlen unterstützen. Bei einer kommerziellen Version können Unternehmen ChatGPT mittels einer Programmierschnittstelle (API) in die eigene Infrastruktur einbinden. Allerdings bergen solche Technologien auch Risiken im Hinblick auf das Urheberrecht und den Datenschutz sowie in Bezug auf Geheimhaltungspflichten bei Betriebs- und Geschäftsgeheimnissen. [...]

Cybersicherheit: Gefahr durch Phishing

Stand: 26.07.2023 Dass Cyberkriminelle versuchen, durch gefälschte E-Mails oder Internetseiten, Zugangsdaten oder andere sensible Informationen von Usern abzugreifen, ist keine neue Entwicklung. Allerdings haben sie ihre Methoden in den letzten Jahren immer weiter verfeinert, was es für User immer schwerer macht, betrügerische Nachrichten und Websites zu erkennen. Nach dem „Bericht zur Lage der IT-Sicherheit in Deutschland“ (Lagebericht 2022) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) handelte es sich bei 69 Prozent der Spam-Mails um Cyberangriffe, wobei 90 Prozent den Eindruck erweckten, von Banken und Sparkassen versendet worden zu sein (sog. Phishing-Mails). Die geschätzten volkswirtschaftlichen Schäden von Cyber-Delikten, die mit gezielten Phishing-Attacken beginnen, liegen in Deutschland pro Jahr mindestens im zweistelligen Millionenbereich. Diese Zahlen zeigen, dass die Gefahr durch Phishing-Attacken nicht zu unterschätzen ist. [...]

Vorsicht Sicherheitsrisiko: aktuelle Warnungen des BSI

Stand: 19.06.2023 In der aktuellen Polizeilichen Kriminalstatistik (PKS) für das Jahr 2021 wurden 146.363 Cyberdelikte verzeichnet – dies bedeutet eine Zunahme um mehr als zwölf Prozent gegenüber dem Jahr 2020. Diese Entwicklung macht deutlich, dass die Cyberkriminalität weiter zunimmt. So waren die Schäden durch Cyberangriffe, die nach offiziellen Zahlen im Jahr 2021 allein für Deutschland auf 223,5 Milliarden Euro beziffert wurden, doppelt so hoch wie im Jahr 2019. Aus diesem Grund soll dieser Artikel einen Überblick über aktuellen Warnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geben. Kritische Schwachstelle in Microsoft SharePoint Server Im Rahmen seinen monatlichen Patchdays hat Microsoft Mitte Juni zahlreiche, teils kritische Schwachstellen veröffentlicht. Darunter ist unter anderem der Patch für eine „Microsoft SharePoint Server Elevation of Privilege Vulnerability“. [...]

5 Jahre DS-GVO: Faktencheck und Highlights zum Jubiläum der DS-GVO

Stand: 25.05.2023 Fünf Jahre ist es nun her, dass die Regelungen der europäischen Datenschutzgrundverordnung (kurz DS-GVO) die Anforderungen an den Datenschutz massiv verändert haben. Die Euphorie oder "Panik" hat damals dazu geführt, dass viele Maßnahmen zur Umsetzung der "neuen" gesetzlichen Pflichten ergriffen worden sind. Inzwischen hat sich viel getan: während der Elan bei einigen Unternehmen wieder etwas eingeschlafen ist, wurden durch die Behörden und Gerichte viele zentrale Grundsatzfragen geklärt oder zumindest Orientierungshilfen geschaffen. So manche Vorgehensweise hat sich bei genauerem Betrachten als unnötig aufwendig erwiesen. Gleichzeitig haben gerade verärgerte Mitarbeiter oder Kunden gelernt, ihre Datenschutzrechte effektiv auszunutzen. Es wird auch immer klarer, dass der Datenschutz gesetzlich verpflichtet, unternehmerische Prozesse aus bestimmten Perspektiven zu betrachten, die sonst allzu oft vernachlässigt werden. So gaben 2022 bereits [...]

Schulung und Sensibilisierung von Mitarbeitern – Standardpflicht für alle Unternehmen

Stand: 27.03.2023 Im Betriebsalltag werden die meisten Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden und Datenschutzpflichten verletzt werden könnten, von Beschäftigten der verantwortlichen Stellen durchgeführt. Eine direkte Pflicht zur Schulung, Sensibilisierung und Verpflichtung der Mitarbeiter ergibt sich für Verantwortliche aus der DS-GVO zwar nicht. Die Wichtigkeit der Mitarbeitersensibilisierung sollte dennoch nicht unterschätzt werden, denn eine der größten Gefahrenquellen für Datenschutzverletzungen ist der Mensch – und dies nicht zwingend aus bösem Willen oder Vorsatz. Bereits eine kleine Unachtsamkeit oder Unwissenheit kann zu einer Verletzung des Schutzes personenbezogener Daten („Datenpanne“) führen. Aus diesem Grund ist es unerlässlich, Beschäftigten klare Vorgaben zum Umgang mit Daten im Arbeitsalltag zu geben sowie sie regelmäßig zu schulen und zu sensibilisieren. Die Schulung und Sensibilisierung von Mitarbeitern ist eine der wichtigsten [...]

Vorsicht Sicherheitsrisiko: aktuelle Warnungen des BSI

Stand: 27.02.2023 In der aktuellen Polizeilichen Kriminalstatistik (PKS) für das Jahr 2021 wurden 146.363 Cyberdelikte verzeichnet – dies bedeutet eine Zunahme um mehr als zwölf Prozent gegenüber dem Jahr 2020. Diese Entwicklung macht deutlich, dass die Cyberkriminalität weiter zunimmt. So waren die Schäden durch Cyberangriffe, die nach offiziellen Zahlen im Jahr 2021 allein für Deutschland auf 223,5 Milliarden Euro beziffert wurden, doppelt so hoch wie im Jahr 2019. Aus diesem Grund soll dieser Artikel einen Überblick über aktuellen Warnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geben. Schwachstelle in VMware ESXi Laut einer BSI-Meldung aus dem Februar 2023 wurden bei einem weltweiten Angriff tausende Server, auf dem die Virtualisierungslösung ESXi des Anbieters VMware eingesetzt wird, mit Ransomware infiziert und verschlüsselt. Dabei haben [...]

Jahresrückblick 2022

Das Jahr 2022 geht bald zu Ende. Auch dieses Jahr war aus Sicht des Datenschutzes wieder sehr ereignisreich. Mit dem Auslaufen der 3G-Regel mussten sich die Arbeitgeber aus datenschutzrechtlicher Sicht gleich zu Beginn des Jahres mit Löschpflichten auseinandersetzen und die Frage nach weiterhin zulässigen Coronamaßnahmen in Betrieben ist stark in den Vordergrund gerückt. Aber nicht nur das hat uns im Datenschutz dieses Jahr beschäftigt. Von neuen Urteilen und Veröffentlichungen der Aufsichtsbehörden zum Einsatz von Cookies auf Websites über den Anstieg von Cyberangriffen, insbesondere Phishing- und Ransomware-Attacken, bis hin zu zunehmenden Schadensersatzforderungen wegen (vermeintlicher) Datenschutzverstöße, gab es viele weitere wichtige Themen, die im Datenschutz bedeutsam waren. Gerade deshalb wollen wir auch dieses Jahr wieder auf die wichtigsten Datenschutzthemen zurückblicken. Datenschutz und [...]

Videoüberwachung und Datenschutz – auf glattem Eis mit etlichen Stolperfallen

Stand: 25.07.2022 Videokameras sind in der heutigen Zeit kaum mehr wegzudenken. Ob an Bahnhöfen, Tankstellen oder in Verkaufsräumen – überall werden Kunden und Besucher aufgezeichnet, ein Hinweisschild am Eingang wird fast schon erwartet. Trotzdem sind Videoüberwachung und Videoaufzeichnung datenschutzrechtlich ein wahres Minenfeld, da auch hier die technische Weiterentwicklung nicht Halt macht. Videokameras mit heutiger Technik sind deutlich effizienter als noch vor einigen Jahren und bieten deutlich mehr Funktionen. So können gefilmte Personen beispielsweise auch aus größerer Entfernung identifiziert werden und auch die Speicherkapazität aktueller Systeme hat extrem zugenommen. Dieser Artikel soll deshalb einen Überblick über die wichtigsten datenschutzrechtlichen Aspekte beim Einsatz von Videokameras geben und die dringendsten praktischen Fragen beantworten. Datenschutz: Welche Aspekte müssen beim Einsatz von Kameras beachtet werden? Auch wenn die DS-GVO [...]

Nach oben