Archive

Home » News » Security Newsletter 04/2022

Security Newsletter 04/2022

Home » News » Security Newsletter 04/2022
alle News
DATENSCHUTZ
Datenschutzaspekte beim Einsatz von CRM-Systemen

Bei der Einführung eines CRM-Systems gilt es zahlreiche Anforderungen der unterschiedlichen Stakeholder zu beachten. Dabei spielen auch rechtliche Anforderungen eine Rolle. Im nachfolgenden Artikel möchten wir Ihnen Anregungen geben, was in Bezug auf CRM-Systeme aus Datenschutzsicht beachtet werden sollte.

DATENSCHUTZ
Datenschutzkonforme Vernichtung von Corona Dokumentationen

Mit dem Außerkrafttreten der 3G-Zugangsregelung entfällt die bundesrechtlich geregelte Pflicht des Arbeitgebers zur täglichen Kontrolle der Einhaltung der Nachweispflicht sowie zur Dokumentation der Kontrolle. Damit besteht keine Rechtfertigung mehr, personenbezogene Daten über den G-Status, dessen Gültigkeitsdauer sowie zusätzlich hinterlegter Nachweise aufzubewahren. Diese Dokumentationen müssen deshalb unverzüglich und datenschutzkonform gelöscht werden. Ausnahmen davon ergeben sich nur dann, wenn die verantwortliche Stelle die weitere Verarbeitung auf eine andere Rechtsgrundlage stützen kann, insbesondere bei schutzbedürftigen Einrichtungen.

Eine datenschutzkonforme Vernichtung von Informationen ist dann erreicht, wenn der Aufwand zur Wiederherstellung einen unverhältnismäßig hohen Aufwand bedeuten würde.

DATENSCHUTZ
Hinweisgeberschutzgesetz (HinSCHG) nächste Schritte

Da die Richtlinie "für einen besseren Schutz hinweisgebender Personen" nicht innerhalb der vorgegebenen Frist umgesetzt wurde, ist im Februar 2022 ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet worden. Justizminister Marco Buschmann hat daraufhin einen neuen Entwurf für das HinSCHG vorgestellt und diesen am 5. April an die anderen Ressorts zur Prüfung weitergegeben. Bis zum 11. Mai 2022 haben Länder und Verbände nun die Möglichkeit, sich zu dem neuen Referentenentwurf zu äußern. Es ist davon auszugehen, dass der Entwurf im Juni vom Kabinett beschlossen wird und im Herbst 2022 in Kraft tritt.

Unternehmen sollten die Frist nutzen
Es wird Unternehmen empfohlen, die Zeit bis zum Inkrafttreten zu nutzen, um ein wirksames und praxisnahes Verfahren zu etablieren.

Der öffentliche Sektor ist unmittelbar betroffen 
Staatliche Stellen sind seit dem 18. Dezember 2021 dazu verpflichtet, interne Hinweisgebersysteme anzubieten. Eine Ausnahme existiert lediglich für Kommunen mit weniger als 10.000 Einwohnern oder mit weniger als 50 Mitarbeitenden.

Anforderungen an ein Hinweisgebersystem
Hierzu verweisen wir auf unseren Artikel "TTDSG & HinSchG – zwei neue Gesetze treten in Kraft", in dem Sie alle wichtigen Anforderungen finden.

DATENSCHUTZ
Trans-Atlantic Data Privacy Framework

US-Präsident Joe Biden und EU-Kommissionschefin Ursula von der Leyen haben sich in Brüssel auf ein neues Datenschutzabkommen verständigt. In dem sogenannten „Trans-Atlantic Data Privacy Framework“ („TADAP-Framework“) sollen die Weitergabe und die Datenverarbeitung personenbezogener Daten an US-Unternehmen neu geregelt werden. Hierzu hat die amerikanische Regierung ein Fact Sheet veröffentlicht, in welchem die Regelungen und Grundsätze erläutert werden. Über die Einführung neuer Garantien soll der Schutz der Privatsphäre und der bürgerlichen Freiheitsrechte hinsichtlich US-Geheimdienstaktivitäten sichergestellt werden. Ein Zugriff durch Geheimdienste soll nur dann möglich sein, wenn dies zur Wahrung berechtigter nationaler Sicherheitsziele notwendig ist und der Schutz der privaten Freiheitsrechte nicht unverhältnismäßig beeinträchtigt wird. Zusätzlich soll ein neuer Rechtsbehelf für EU-Bürger eingeführt werden, mit dessen Hilfe rechtswidrige nachrichtendienstliche Tätigkeiten beanstandet werden können. Auf welche Weise man von solchen Tätigkeiten erfahren soll, steht noch offen. Möglich ist ein Informations- oder Auskunftsanspruch. Darüber hinaus sollen die Aktivitäten des US-Geheimdienstes verstärkt kontrolliert werden. Die Nachrichtendienste sollen Verfahren einführen, die eine wirksame Überwachung der neuen Standards gewährleisten können.

Aktuell gilt die Entscheidung des Europäischen Gerichtshofs EuGH vom Juni 2020 (Rechtssache C 311/18 – „Schrems II“), nach der das transatlantische Datenschutzabkommen Privacy Shield ungültig ist. Jede neue und wie auch immer geartete Regelung wird sich vor diesem Gericht verantworten müssen.

INFORMATIONSSICHERHEIT
Straffrei geblitzt: Ransomware-Angriff rettet über 3000 Raser

Nach einem Hackerangriff im Landkreis Ludwigslust-Parchim und Schwerin im vergangenen Jahr kommen rund 3.000 Geblitzte ungeschoren davon. Mit der Schadsoftware DeepBlueMagic hatten die noch unbekannten Hacker die Server der Schweriner IT- und Servicegesellschaft und des Kommunalservice Mecklenburg verschlüsselt. Als Folge davon ist unter anderem der Kontakt zum Kraftfahrtbundesamt gestört gewesen, sodass der Landkreis weder Abfragen stellen noch Daten verarbeiten konnte. Dadurch sind Fristen überschritten worden und die Verfahren von Geschwindigkeits- und Parkverstößen aufgrund von Verjährung eingestellt worden.

DATENSCHUTZ
Was offline illegal ist, soll es auch online sein

Nach einem Verhandlungsmarathon haben sich Unterhändler der EU Staaten und des Europaparlaments auf ein Gesetz geeinigt, dass für eine strengere Aufsicht von Online-Plattformen und mehr Schutz für Verbraucher sorgen soll. Das neue Gesetz Digital Services Act (DAS) richtet sich an digitale Dienste, die Zugang zu Waren und Informationen ermöglichen - allen voran besonders die BigPlayer mit mehr als 45 Millionen Nutzern. Der DAS soll sicherstellen, dass illegale Inhalte wie Hassrede schneller aus dem Netz entfernt, schädliche Desinformationen (Fakenews) weniger geteilt und der Verkauf gefälschter Produkte auf Online-Marktplätzen unterbunden wird. Als Formsache gilt die Bestätigung durch das Europaparlament und die EU-Staaten.

INFORMATIONSSICERHEIT
Hackerangriff auf Zahlungsdienstleister Ronin

Mit zunehmender Beliebtheit von Kryptowährungen steigen auch die Cyberangriffe auf Börsen für digitale Währungen und Blockchain-Projekte. Besonders verheerend ist der neueste Angriff auf den Zahlungsdienstleister Ronin, bei dem rund 615 Millionen US-Dollar aus dem System gestohlen worden sind. Diese erbeuteten die Hacker über das Blockchain-Game Axie Infinity, bei welchem Nutzer Kryptowährungen via Ronin-Dienst aus dem Spiel heraus über ihr Konto transferieren können. Der Ronin-Hack wird als zweitgrößter Krypto-Diebstahl aller Zeiten eingestuft. Die Täter sind derzeit noch unbekannt. Um die gestohlenen Kryptowerte wieder zu beschaffen, wurden verschiedene Regierungsbehörden und externe Forensik-Experten eingeschaltet.

Bleiben Sie geschützt, Ihr INES-IT Team

Abonnieren Sie unseren Newsletter!

INES IT  Informationssicherheit 




alle News
Kontakt und mehr