Wir haben wieder das Neueste aus dem Datenschutz und der Informationssicherheit im Monat Februar für Sie zusammengefasst.
- Event | Webinar “NIS-2 & IT-Sicherheitsrecht”
- Informationssicherheit | NIS-2 Richtlinie: Wer ist betroffen und welche Anforderungen sind umzusetzen?
- Informationssicherheit | Verlängerung des Förderprogramms und Erfolgmodells “Digitalbonus Bayern”
- Informationssicherheit | Förderung von KMU bei der NIS-2 Umsetzung in Österreich
- Datenschutz | Unangekündigte Prüfung von Websites bayerischer Verantwortlicher
- Datenschutz | Künstliche Intelligenz (KI) & Datenschutz
- Datenschutz | Veröffentlichung Tätigkeitsbericht Datenschutz 2023
- Datenschutz | Keine privaten E-Mail-Adressen für Gemeinderatsarbeit
- Datenschutz | Digitales Kommunenangebot: Mängelmelder-Portal
- Datenschutz | Datenschutz im Verein: Weitergabe von Mitgliederlisten
- Datenschutz | Urteil OLG Thüringen: Private E-Mail-Nutzung unterliegt dem Fernmeldegeheimnis
- Datenschutz | EuGH-Urteil zur Sanktionspraxis deutscher Aufsichtsbehörden
- Informationssicherheit | Cyberangriffe im Februar
UNSER EVENT
Webinar “NIS2 & IT-Sicherheitsrecht”
Im Jahr 2024 treten wichtige Regelungen in Kraft, darunter das Gesetz zur Umsetzung der NIS-2 Richtlinie, das KRITIS-Dachgesetz sowie der Cyber-Resilience-Act für Hersteller und Vertriebsunternehmen zur Verbesserung der Sicherheit von Produkten mit digitalen Komponenten. Wir laden Sie herzlich zu unserem Live-Webinar ein, bei dem wir Sie umfassend über das aktuelle IT-Sicherheitsrecht informieren möchten.
Nach unserem Webinar in Zusammenarbeit mit LiiDU am Dienstag, den 19. März 2024 um 11-12 Uhr, wissen Sie:
- wie die aktuelle Rechtslage zur IT-Sicherheit aussieht,
- wen die NIS-2 Richtlinie betrifft, und welche Anforderungen umzusetzen sind,
- welche gesetzlichen Regelungen zur IT-Sicherheit in Organisationen bestehen,
- welche Compliance-Anforderungen daraus für Ihre Organisation entstehen und welche Maßnahmen erforderlich sind.
IT-SICHERHEIT WIRD 2024 ZUR CHEFSACHE
NIS-2-Richtlinie: Wer ist betroffen und welche Anforderungen Anforderungen sind umzusetzen?
Der Countdown läuft: Am 17. Oktober 2024 tritt die neue EU-Richtlinie NIS-2 in Kraft. In unserem neuesten Artikel erfahren Sie alles Wissenswerte zur kommenden NIS-2-Richtlinie. Sie erhalten Einblicke in die Hintergründe und essenziellen Anforderungen dieser Richtlinie, einschließlich praxisbezogene Handlungsempfehlungen. Sämtliche Aspekte werden kompakt erläutert, um Ihnen ein umfassendes Verständnis der NIS-2-Richtlinie zu vermitteln.
INFORMATIONSSICHERHEIT
Verlängerung des Förderprogramms und Erfolgmodells “Digitalbonus Bayern”
Der Digitalbonus richtet sich an Unternehmen aller Branchen in Bayern, die Ihre Unternehmensprozesse digitalisieren oder Ihre IT-Sicherheit angesichts der verschärften Bedrohungslage verbessern möchten. Seit 2016 gingen bereits über 23.000 Anträge im bayerischen Wirtschaftsministerium ein, die mit insgesamt 300 Millionen Euro gefördert wurden.
Ursprünglich sollte dieser Bonus im Dezember 2023 auslaufen, er wurde aber nun bis zum 30. Juni 2024 verlängert. Für die zweite Jahreshälfte ist der Start eines überarbeiteten Programms geplant. Das Bayerische Wirtschaftsministerium hat in einem Flyer FAQs zum Förderprogramm beantwortet.
Diese Förderung kann Unternehmen finanziell bei der Umsetzung eines umfangreichen Informationssicherheits-Managementsystems (ISMS) unterstützen. Die Umsetzungmaßnahmen sind zuwendungsfähig, vorausgesetzt, es wird am Ende ein entsprechendes Zertifikat (z.B. nach ISO 27001) eingereicht. Wir stehen Ihnen bei einer Zertifizierung gerne zur Seite. Mehr Informationen zur Implementierung eines ISMS finden Sie hier auf unserer Website. An dieser Stelle sei noch erwähnt, dass die Förderprogramme zur Implementierung von CISIS12 für Kommunen am 31. Dezember 2023 ausgelaufen sind und derzeit keine Fördermöglichkeiten vorliegen. Über etwaige Aktualisierungen halten wir Sie in unserem Newsletter auf dem Laufenden.
INFORMATIONSSICHERHEIT
Förderung von KMU bei NIS-2 Umsetzung in Österreich
Der sogenannte „Cyber Security Scheck“ bietet österreichischen Unternehmen, die in den Anwendungsbereich von NIS-2 fallen, finanzielle Unterstützung bei der technischen Umsetzung erforderlicher IT-Sicherheitsmaßnahmen. Gefördert werden beispielsweise Kosten für Technologien oder Beratungsleistungen, die für die technische Umsetzung notwendig sind. Die Ausschreibung wurde bis zum 15. April 2024 (12:00 Uhr) verlängert.
Das Nationale Koordinierungszentrum für Cybersicherheit (NCC-AT) erhofft sich durch diese Förderung eine Sensibilisierung für die im nationalen Recht verpflichtenden Sicherheitsmaßnahmen und möchte betroffenen KMU die Vorbereitung auf NIS-2 erleichtern. Ein detaillierter Leitfaden zur Ausschreibung ist auf Homepage der österreichischen Forschungsförderungsgesellschaft (FFG) zu finden.
DATENSCHUTZ
Unangekündigte Prüfung von Websites bayerischer Verantwortlicher
Im Rahmen seiner Überwachungsaufgaben hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) die Websites von bayerischen Betreibern einer Prüfung unterzogen. Hier wurde ein eigens entwickeltes Tool verwendet, dass unter anderem die Einbindung eines Buttons „Alles Ablehnen“ im Cookie-Consent-Tool prüfte. Dabei wurde festgelegt, dass dieser Button auf gleicher Ebene wie der „Alles Akzeptieren“-Button platziert sein muss. Etwa 350 Websites wurden in dieser ersten Überprüfung identifiziert, die den datenschutzrechtlichen Anforderungen nicht genügten. Die betroffenen Betreiber werden von der Aufsichtsbehörde kontaktiert.
In dieser initialen Prüfung fokussierte sich der Geltungsbereich auf einen sehr verbreiteten Hersteller von Consent-Management-Tools. Zukünftige Kontrollen werden den Geltungsbereich auf weitere Hersteller erweitern, wodurch mehr Websites in den Prüfbereich fallen. Mehr Informationen zu den laufenden und abgeschlossenen Überprüfungen sind auf der Website des BayLDA verfügbar.
Hinweis zu Website-Prüfungen in eigener Sache
Unser INES IT-Datenschutzteam nutzt ein eigenes Tool für die Prüfung und das Monitoring von Kundenwebseiten, das kontinuierlich weiterentwickelt wird. Anfang Februar hat der Hersteller darüber informatiert, dass ein umfassendes Update eingespielt wurde, welches das Verfahren zur Überprüfung von externen Diensten und Cookies verbessert, erweitert und feiner abgestimmt hat. Das kann Auswirkungen auf den Risikoscore haben. Bei Fragen zu den Prüfberichten stehen wir Ihnen jederzeit gerne zur Verfügung.
DATENSCHUTZ
Künstliche Intelligenz (KI) & Datenschutz
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat auf seiner Website der Künstlichen Intelligenz (KI) einen eigenen Themenbereich gewidmet. Es steht eine aktualisierte Checkliste mit dem Titel “KI & Datenschutz” zur Verfügung, die als Grundlage für Datenschutzprüfungen in Ihrer eigenen Organisation genutzt werden kann.
Die Datenschutzaufsichtsbehörde Baden-Württemberg bietet im Rahmen der “KI-Woche” ein weiteres Online-Angebot als zusätzliche Wissensquelle zum Thema. Das Ziel besteht darin, Informationen aus unterschiedlichen Blickwinkeln zu sammeln, zu veröffentlichen und damit das notwendige Wissen zu schaffen, um die Zukunft der Künstlichen Intelligenz in den verantwortlichen Stellen positiv zu beeinflussen.
DATENSCHUTZ
Veröffentlichung Tätigkeitsbericht Datenschutz 2023
Die Publikation mit dem Titel “Zukunft mit Datenschutz gestalten” repräsentiert den Tätigkeitsbericht der Aufsichtsbehörde Baden-Württemberg (BW) für das Jahr 2023. Die Veröffentlichung dieser Jahresberichte durch Behörden ermöglicht uns wertvolle Einblicke in vergangene Entscheidungen. Diese gebündelten Informationen erweisen sich als äußerst nützlich für unsere tägliche Arbeit und haben bei einer vergleichbaren Auslegung auch Bestand gegenüber anderen Aufsichtsbehörden. Auf Seite 79 des Berichts wird die Praxisrelevanz anhand des Beispiels “Private E-Mail-Adressen & Gemeinderatsarbeit” verdeutlicht. Eine kompakte Zusammenfassung dazu erwartet Sie im nächsten Beitrag.
DATENSCHUTZ
Keine privaten E-Mail-Adressen für die Gemeinderatsarbeit
Die Arbeit der ehrenamtlichen Gemeinderatsmitglieder als Teil der Executive wird aus Datenschutzsicht durch die Gemeinde verantwortet. Damit Gemeinderatsmitglieder ihre Aufgaben wahrnehmen können, werden Ihnen von der Gemeinde regelmäßig Unterlagen per E-Mail zur Verfügung gestellt. Meist werden hierfür private E-Mail-Adressen der Ratsmitglieder verwendet. Es ist jedoch zu beachten, dass die Gemeinde als verantwortliche Stelle keine Zugriffsrechte auf diese privaten elektronischen Postfächer hat. Im Falle des Ausscheidens eines Ratsmitglieds besteht für die Gemeinde keine Möglichkeit, das Postfach einzuschränken, den Zugang zu sperren oder die Inhalte zu löschen. Bei der Verwendung einer dienstlichen E-Mailadresse zur Ratsarbeit, ist es sogar möglich, dass Dritte (in diesem Fall der Arbeitgeber) auf die Informationen Zugriff haben.
Eine mögliche organisatorische Lösung könnte die Abgabe einer Erklärung ausscheidender Ratsmitglieder sein, in der diese sich verpflichten, alle Informationen aus ihren privaten Postfächern zu löschen. Trotz dieser Maßnahme kann die Gemeinde keine abschließende Sicherheit gewährleisten, vor allem dann, wenn es besondere Gründe für ein Ausscheiden gibt.
Kommunale verantwortliche Stellen sollten daher prüfen, ob die Zurverfügungstellung gemeindlicher E-Mail-Adressen für die Ratsarbeit nicht die bessere Alternative wäre. Aus Datenschutzsicht auf jeden Fall.
DATENSCHUTZ
Digitales Kommunenangebot: Mängelmelder-Portal
Die Aufsichtsbehörde für den Datenschutz in Baden-Württemberg hat noch eine weitere Mitteilung veröffentlicht, die sich mit Mängelmeldeportalen befasst. Diese Portale ermöglichen es Bürger:innen, Mängel wie eine defekte Ampel oder vermüllte Stellen digital zu melden. Viele dieser Online-Plattformen ermöglichen es den Nutzern, neben den Angaben zum Melder und der Meldestelle auch Fotos hochzuladen. Häufig werden diese Informationen dann zusammen mit dem Meldungsstatus öffentlich zugänglich gemacht. Die verantwortliche Stelle für die Datenverarbeitung im Rahmen dieser öffentlichen Aufgabe ist die Kommune.
Um die Voraussetzungen der Rechtsgrundlage “Datenverarbeitung im Rahmen einer öffentlichen Aufgabe” zu erfüllen, müssen die verarbeiteten personenbezogenen Daten für die Umsetzung der Aufgabe erforderlich sein. Aus Sicht der Aufsichtsbehörde ist die Veröffentlichung personenbezogener Daten für die Darstellung von Mängeln und deren Umsetzungsstatus nicht erforderlich. Weitere Empfehlungen im kommunalen Umfeld können der Broschüre “Datenschutz bei Gemeinden” entnommen werden.
DATENSCHUTZ
Datenschutz im Verein – Weitergabe von Mitgliederlisten
Die Herausgabe von Mitgliederlisten an einzelne Mitglieder kann notwendig sein, um beispielsweise das Quorum für eine außerordentliche Mitgliederversammlung zu erreichen. Diese Weitergabe kann aus Datenschutzperspektive besonders dann brisant sein, wenn auf Grund der Mitgliedschaft eine politische Meinung, eine sexuelle Orientierung oder eine Krankheit abgeleitet werden kann. Zumindest würde man als Empfänger dieser Listen davon ausgehen, dass Mitglieder die Position dieser Vereine unterstützen bzw. Betroffene sind.
Demnach möchten vermutlich einige Mitglieder ihre Mitgliedschaft und Kontaktdaten geheim halten, weil es beispielsweise die persönliche Situation nicht erlaubt, dass sie sich öffentlich zu den Zielen des Vereins bekennen. Mitglieder haben in jeden Fall ein Recht darauf, dass Informationen zu Ihrer Mitgliedschaft vertraulich behandelt und nicht leichtfertig offenbart werden, auch nicht gegenüber anderen Mitgliedern.
Obwohl die Datenschutzgrundverordnung die Verarbeitung besonders sensibler Daten für interne Zwecke vorsieht, greift dieses Privileg nicht für die Herausgabe an einzelne Mitglieder oder Mitgliedergruppen, um beispielsweise mit den Kontaktinformationen Mitstreiter für die eigene Position zu gewinnen. Meike Kamp, die Berliner Beauftragte für Datenschutz und Informationssicherheit, empfiehlt die Einwilligung der Mitglieder einzuholen oder einen Treuhänder zwischenzuschalten, der zweckkonform und unter Einbeziehung technischer und organisatorischer Maßnahmen für die Sicherheit und Löschung der Daten sorgt.
DATENSCHUTZ
Urteil OLG Thüringen – Private E-Mail-Nutzung unterliegt dem Fernmeldegeheimnis
Mit dem erst kürzlich veröffentlichten Urteil des OLG Thüringen Az. 7 U 521/21 gelangt das Gericht zu dem Entschluss, dass Arbeitgeber bei einer erlaubten Privatnutzung der dienstlichen E-Mail-Adresse als Telekommunikationsdienstleister gelten, und damit das Fernmeldegeheimnis beachten müssen. Ein Zugriff auf die Postfächer von Mitarbeitenden darf damit nur nach ausdrücklicher Zustimmung erfolgen. Diese Zuordnung begründet das Gericht damit, dass der Arbeitgeber sich durch eine unternehmensinterne Richtlinie die Einordnung als Diensteanbieter selbst herbeigeführt hatte. Wir empfehlen Ihnen, die private Nutzung des dienstlichen E-Mail-Postfaches durch eine entsprechende Richtlinie zu verbieten. Des weiteren sollte darin festgehalten werden, ob und unter welchen Bedingungen Zugriffe bei ungeplanter Abwesenheit erfolgen. Ebenso ist es wichtig zu klären, welche Zugriffsrechte beim Ausscheiden eines Mitarbeitenden gesetzt werden und nach welchem Zeitfenster das Postfach gelöscht wird.
DATENSCHUTZ
EuGH-Urteil zur Sanktionspraxis deutscher Aufsichtsbehörden
Mit dem Urteil vom 5. Dezember 2023 (C-807/21) stärkt der Europäische Gerichtshof (EuGH) die bisherige Praxis der Aufsichtsbehörden bezüglich der Zuordnung von Geldbußen bei Verstößen gegen Datenschutzvorschriften. Betroffene Unternehmen hatten gegen die Praxis geklagt und insbesondere die als unverhältnismäßig empfundene Höhe der Geldbußen beanstandet.
Der EuGH hat nun klargestellt, dass die Sanktionspraxis der deutschen Aufsichtsbehörden im Einklang mit der DSGVO stehen. Im Wesentlichen legt der EuGH dar,
- dass nationale Datenschutzbehörden befugt sind, wirksame, verhältnismäßige und abschreckende Geldbußen zu verhängen (Sanktionsbefugnisse).
- dass Bußgelder sowohl den Umfang als auch dessen Auswirkungen berücksichtigen müssen (Verhältnismäßigkeit).
- dass das Urteil eine wichtige Orientierungshilfe für Unternehmen darstellt und zeigt, mit welchen Folgen bei Datenschutzverstößen zu rechnen ist (Rechtssicherheit)
Dieses EuGH-Urteil ist ein klares Signal dafür, dass die Einhaltung der Datenschutzgesetze nicht als optional verstanden werden kann.
INFORMATIONSSICHERHEIT
Cyberangriffe im Februar
BÜRGERSERVICE STADTGEMEINDE KORNEUBURG
Anfang Februar wurde der Bürgerservice der niederösterreichischen Stadtgemeinde Korneuburg mittels Ransomware von der internationalen Hackergruppe „Lockbit“ attackiert. Die Täter verschlüsselten das IT-System des Rathauses, was zur Folge hatte, dass keine Urkunden, Meldezettel oder Parkkarten mehr ausgestellt werden konnten. Sämtliche Bürgeranfragen mussten handschriftlich bearbeitet werden. Seit Ende Februar läuft der sichere Normalbetrieb wieder. Die Gemeinde gibt auf ihrer Website bekannt, dass sie durch den Angriff einen beträchtlichen finanziellen Schaden in Höhe von etwa 100.000 € erlitten hat.
LANDRATSAMT KELHEIM
Im Landratsamt Kelheim in Bayern konnte ein Cybergriff in diesem Monat gerade noch rechtzeitig abgewehrt werden. Nachdem sämtliche Systeme nicht mehr funktionierten, erfolgte vorsichtshalber eine Abschaltung der Online-Verbindungen. Über mehrere Tage war das Landratsamt nicht erreichbar, sämtliche Kommunikationswege waren beeinträchtigt. Laut Angaben des Landratsamts blieb das Hauptsystem der Einrichtung jedoch vom Angriff verschont. Der Auslöser des Angriffs bleibt weiterhin unbekannt. Die IT-Systeme werden nun aber intensiv auf mögliche Auffälligkeiten überprüft.
BATTERIEHERSTELLER VARTA
Der renommierte Batteriehersteller Varta aus Ellwangen ist auch Opfer eines Hackerangriffs geworden. Der Betrieb wurde trotz der hohen Sicherheitsstandards dadurch weitgehend lahmgelegt. Die Attacke führte nicht nur zur Unterbrechung sämtlicher Kommunikationsmöglichkeiten, sondern verursachte auch Produktionsstillstände in drei deutschen Werken und zwei ausländischen Standorten. Ein regulärer Geschäftsbetrieb war nicht möglich. Es steht auf jeden Fall fest, dass dieser Angriff dem traditionsreichen Batteriekonzern aufgrund von liegengebliebenen Aufträgen erhebliche finanzielle Verluste einbringen wird. Derzeit arbeitet eine Task Force an der Überprüfung der Systeme und an der schrittweisen Wiederinbetriebnahme.
FERNWARTUNGSSOFTWARE-ANBIETER ANYDESK
Auch den Fernwartungssoftware-Anbieter Anydesk hat es im Februar getroffen. Das Unternehmen bestätigte den Vorfall in einer kurzen Mitteilung, ohne jedoch genaue Angaben zu Zeitpunkten zu machen. Es wurde bekanntgegeben, dass sofort ein Sanierungs- und Reaktionsplan in Kraft gesetzt wurde. Das BSI warnt vor der Möglichkeit, dass die durch den Hack erlangten Daten für weitere Angriffe auf Kund:innen des Anbieters ausgenutzt werden könnten. Erste Datensätze wurden auch bereits im Darknet zum Verkauf angeboten.
HÖRGERÄRTEHERSTELLER KIND
Der Hörgerätehersteller KIND blieb auch nicht von einem Cyberangriff verschont. Die Auswirkungen erstreckten sich nicht nur auf die Zentrale bei Hannover, sondern betrafen auch mehr als 600 Filialen deutschlandweit. Diese konnten ihr Tagesgeschäft nicht ausführen, da die Kommunikation beeinträchtigt war und es zu Lieferschwierigkeiten kam. Bestellungen wurden handschriftlich notiert. Es gibt derzeit keine Hinweise dafür, dass Kundendaten gestohlen wurden. Durch das rasche Herunterfahren der Systeme konnte hoffentlich ein größerer Schaden verhindert werden.
BERLINER HOCHSCHULE FÜR TECHNIK (BHT)
Des weiteren ist die Berliner Hochschule für Technik (BHT) von einem Cyberangriff heimgesucht worden. Eine mutmaßliche Ransomware-Attacke führte zur Lahmlegung der Website und der E-Mail-Dienste. Die BHT-Präsidentin gab bekannt, dass die IT-Systeme nun schrittweise neu aufgesetzt werden. Dank der Semesterferien ist der Lehrbetrieb davon nicht gefährdet.
CARITAS-KLINIK DOMINIKUS IN BERLIN
Zu Beginn des Monats kam es auch bei der Caritas-Klinik Dominikus in Berlin-Reinickendorf zu einem Vorfall. Das Klinikum war ausschließlich über eine Notfallnummer per Handy erreichbar. Trotz der Einschränkung wurde die medizinische Versorgung der Patient:innen durchgehend gewährleistet. Etwa eine Woche nach dem Angriff konnte die zentrale Notaufnahme wieder ihren vollen Betrieb aufnehmen. Bisher gibt es keine Anzeichen dafür, dass Daten aus den IT-Systemen der Klinik abgezogen wurden.
VERBRAUCHERZENTRALE HESSEN
Vor ein paar Tagen gab es bei der Verbraucherzentrale Hessen einen Angriff auf die IT-Infrastruktur. Dabei wurden Daten auf dem Server und einigen Backup-Systemen verschlüsselt. Es herrscht noch Unklarheit darüber, ob Daten abgeflossen sind. Die Zentrale war durch diesen Angriff telefonisch und per Internet kurzzeitig nicht erreichbar. Die Beratungen wurden jedoch planmäßig fortgesetzt, entweder in einem persönlichen Termin oder per Videokonferenz. Bisher ist noch nicht bekannt, wie es zu diesem Angriff kommen konnte.
Wir unterstützen Sie gerne
Die jüngsten Angriffe aus den unterschiedlichsten Branchen verdeutlichen, dass sich die digitale Bedrohungslage zunehmend verschärft. Angreifer organisieren sich immer professioneller und nutzen Sicherheitslücken immer rascher aus. Es ist leider offensichtlich, dass sich nicht die Frage stellt, ob ein Cyberangriff erfolgt, sondern lediglich, wann dieser eintreten wird!
