Wir haben wieder das Neuste aus dem Datenschutz und der Informationssicherheit im Monat Juni zusammengefasst.
DATENSCHUTZ
Aufzeichnungsdauer für Videoüberwachung gerichtlich auf 72h begrenzt
Die Betreiberin einer Selbstbedienungstankstelle hatte sich gegen die Anordnung der Datenschutzbehörde gerichtlich gewehrt, Videoaufzeichnungen nicht länger als 72h aufzubewahren. Als Gründe für die längeren Aufbewahrungsfristen wurden durch die Betreiberin Benzindiebstahl, technische Fehlbedienung und damit ungewöhnliche Abrechnungen deren Aufklärung anhand des Videomaterials leichter von statten gehen, sowie Vandalismus und Sachbeschädigung, vorgebracht. Das Gericht sah eine Aufzeichnung der Videoaufnahmen nur für die Zwecke von Vandalismus und Sachbeschädigung als gerechtfertigt. Zur Erkennung solcher Straftaten reichen 72h aus. Bezüglich der weiteren genannten Zwecke fehlte es an belegtem und berechtigtem Interesse der Datenverarbeitung durch die Betreiberin.
DATENSCHUTZ
Handlungsbedarf im Datenschutz aufgrund eines EuGH Urteils
Der EuGH hat im Urteil Az: C-34/21 festgestellt, dass eine Regelung im hessischen Landesrecht (§23 HDSIG) nicht den Anforderungen von Art.88 DSGVO entspricht. Dieser Artikel bezieht sich auf die Verarbeitung von Beschäftigtendaten und kann durch die Mitgliedsstaaten über landeseigene Gesetze spezifiziert werden. Voraussetzung dabei ist, dass die inhaltlichen Vorgaben des Art.88 DSGVO nicht unterschritten werden. Der EuGH hatte aber festgestellt, dass dies beim Hessischen Datenschutz und Informationsfreiheitsgesetz (HDSIG) nicht gegeben war.
Die beschriebene Passage in §23 HDSIG entspricht wiederum inhaltlich §26 Bundesdatenschutzgesetz (BDSG). Man kann nun davon ausgehen, dass damit auch die betreffenden Inhalte des §26 BDSG nicht dem Anspruch genügen. Verantwortliche Stellen sollten deshalb in neuen Dokumenten den Verweis auf §26 BDSG vermeiden und bestehende Dokumente z.B. Informationspflichten, Verzeichnis von Verarbeitungstätigkeiten, entsprechend anpassen.
DATENSCHUTZ
Datenschutzaspekte im Rahmen des Hinweisgeberschutzgesetzes
Mit in Kraft treten des Hinweisgeberschutzgesetzes und damit Einführung eines Hinweisgebersystems bis zum 2. Juli (Unternehmen ab 250 MA) bzw. 17. Dezember 2023 (Unternehmen 50 bis 249 MA) ergeben sich verschiedene Anforderungen. Kernaufgaben, die sich aus dem Gesetz ableiten lassen, richten sich in erster Linie an interne oder externe Mitarbeiter, die in der Fallbearbeitung des Hinweisgebersystems mitwirken und entsprechend geschult werden sollten. Da in diesem Verfahrensprozess personenbezogene Daten verarbeitet werden, ergeben sich parallel Datenschutzaufgaben:
Bereits bei der Auswahl des Meldesystems sollte der Datenschutzbeauftragte eingebunden werden, um bei Bedarf eine Datenschutzfolgenabschätzung durchführen zu können. Nach Systemauswahl sind Informationspflichten für die Belegschaft zu erstellen und der Verarbeitungsvorgang in das Verzeichnis von Verarbeitungstätigkeiten aufzunehmen. Mitwirkende am Meldesystem sind auf die Vertraulichkeit im Rahmen des Hinweisgeberschutzgesetzes zu verpflichten. Allgemeine Grundsätze aus dem Datenschutz, wie die Datenminimierung, sollten entsprechend sensibilisiert werden. Schließlich sollte auch eine Begutachtung des Datenschutzbeauftragten in Bezug auf die Datensicherheit des Hinweisgebersystems erfolgen. Da das Zeitfenster für Unternehmen ab 250 Mitarbeiter sehr kurz ist sei noch angemerkt, dass die Geldbußen für die Nichteinführung eines Hinweisgebersystems erst ab 01.12.2023 greifen. Diese Karenzzeit gilt nicht für Unternehmen bis 250 Mitarbeiter. Hier greifen die Vorgaben zum 17. Dezember 2023 voll.
DATENSCHUTZ
LfD Bayern veröffentlicht die Orientierungshilfe “Internationaler Datentransfer”
Der Bayerische Landesdatenschutzbeauftragte Prof. Dr. Thomas Petri hat eine Orientierungshilfe für den internationalen Datentransfer veröffentlicht. Auf 60 Seiten wird die herausfordernde Thematik umfassend beschrieben. Über eingebettete “Praxistipps” werden die Themenbausteine anschaulich dargestellt.
INFORMATIONSSICHERHEIT
Skript Internetrecht
Seit 2017 wird das Script Internetrecht unter Leitung von Prof. Dr. Thomas Hoeren Universität Münster kostenlos als Download angeboten. Im März 2023 gab es eine Aktualisierung des umfassenden Dokuments über Grundlagen und wichtige Rechtsprechungen im Kontext Internet.
DATENSCHUTZ
Abmahnwelle im Namen von Maximillian Größbauer durch Brandt.legal
Nach dem Abklingen der Abmahnwelle in Bezug auf Google Fonts, häufen sich in den zurückliegenden Wochen Anwaltsschreiben der Kanzlei Brandt.legal im Namen von Maximilian Größbauer. Die Vorgehensweise ist dabei identisch. Herr Größbauer meldet sich für Newslettertools an, die in USA ansässig sind z.B. Klaviyo oder Mailchimp und stellt im Nachgang ein freundliches Auskunftsersuchen nach Art.15 DSGVO.
Wird auf die Auskunftsanfrage nicht zeitnah oder unvollständig geantwortet, folgen Anwaltsschreiben der Berliner Kanzlei Brandt.legal die im Namen von Herrn Größbauer Schadensersatzansprüche in nicht unerheblicher Höhe geltend machen. Begründet werden diese damit, dass durch die Datenübertragung an die Unternehmen mit Sitz in den USA ein Datenschutzverstoß begangen wird. Dieser leite sich aus der rechtswidrigen Übermittlung personenbezogener Daten in ein Drittland ab, wodurch ein unzulässiger Eingriff in das Recht auf informationelle Selbstbestimmung des Herrn Größbauer vorliege.
Da die rechtliche Situation gerade bei Drittlandtransfers komplex und einzelfallbezogen bewertet werden muss, auf der anderen Seite aber ein Gewinnerzielungsmotiv vorliegt, sollte der Vorgang mit Bedacht behandelt werden. Gehen Sie bei möglichen Abmahnungen auf Ihren Rechtsbeistand bzw. Datenschutzbeauftragten zu.
INFORMATIONSSICHERHEIT
Neue Angriffsmethode nutzt vertrauenswürdige Beziehungen zwischen Partnerorganisationen aus, um Multifaktor-Authentisierung zu umgehen
Eine neue Cyberangriffskampagne hat das Business E-Mail Compromise (BEC) auf eine neue Stufe gehoben. Die Angreifer nutzen vertrauenswürdige Beziehungen zwischen Organisationen, um die Multifaktor-Authentifizierung zu umgehen. Mit dieser Angriffstechnik haben die Täter eine Passive Überwachungsrolle des Datenverkehrs zwischen dem Opfer und dem Dienst, bei dem man sich authentifiziert. Mit einer mehrstufigen AiTM-Phishing-Methode kompromittieren sie vertrauenswürdige Anbieter und zielen auf Unternehmen aus dem Banken- und Finanzsektor ab. Diese Angriffe haben exponentielles Wachstum verzeichnet und die BEC-Verluste um 17 Prozent erhöht. Um sich zu schützen, sollten Unternehmen MFA-Methoden verwenden, die nicht durch AiTM-Techniken umgangen werden können, und Richtlinien für bedingten Zugriff implementieren. Eine schnelle Erkennung und Reaktion auf Bedrohungen sind entscheidend, um Netzwerke zu schützen und Abwehrmaßnahmen zu verbessern.
INFORMATIONSSICHERHEIT
Cyberangriffe im Juni
United Hoster, ein Cloud-Service-Anbieter, wurde Opfer eines Ransomware-Angriffs, der zu einem vorübergehenden Ausfall des Hosted Exchange-Dienstes führte. Hierbei wurden Server der Maildatenbanken verschlüsselt.
Ebenfalls wurde Zooplus, ein Haustierbedarfshändler, mit Verdacht eines großen Datenlecks konfrontiert. Kunden berichten von unbefugten Abbuchungen und Bestellungen. Zooplus betont, dass keine Hinweise auf ein Datenleck vorliegen, und setzt Sicherheitsmaßnahmen zur Betrugsbekämpfung ein.
Auch die Verwaltungsgemeinschaften Hohe Rhön und Kaltennordheim wurden Opfer von Cyberattacken, bei denen Daten geändert und gelöscht wurden. Ähnliche Vorfälle traten bei der Stadtverwaltung von Bad Langensalza auf. Die meisten EDV-Systeme seien lahmgelegt worden.
Des Weiteren hat Vodafone seine Kunden über ein Datenleck informiert. Das Unternehmen gab bekannt, dass es bei einem externen Dienstleister, mit dem Vodafone zusammenarbeitet, zu einem Vorfall gekommen ist. Obwohl keine Hinweise darauf vorliegen, dass sensible Kundendaten gestohlen wurden, waren die betroffenen Informationen immer noch ziemlich umfangreich.
Einen weiteren Ransomware-Angriff gab es auf das Pharmaunternehmen Eisai. Letztendlich wurden die Server vorübergehend offline genommen, um die Ausbreitung der Schadsoftware und weitere Schäden zu vermeiden. Es wird daran gearbeitet, das Problem zu lösen und die Sicherheit der Systeme wiederherzustellen.
Der Medizinische Dienst Niedersachsen und Bremen sind ebenfalls Opfer einer Cyberattacke geworden. Termine mit Gutachtern konnten nicht stattfinden und die Kommunikation ist eingeschränkt. Es wurde aber kein Zugriff auf die Daten festgestellt.
Ähnlich ging es der Rheinischen Post Mediengruppe. Nach einem Angriff waren die Nachrichtenportale nur eingeschränkt erreichbar. Schäden entstanden dabei allerdings nicht.