Wird diese Nachricht nicht richtig dargestellt, klicken Sie bitte hier.



Datenschutz Update


COVID-19 offenbart - Unternehmen mit hohem Nachholbedarf in Sachen Zukunftsfähigkeit

Die aktuelle „Corona-Krise“ hat bei den Unternehmen im Mittelstand deutliche Spuren hinterlassen, z.B. auch beim Thema IT-Sicherheit und dem Umgang mit Informationssicherheit.
Gemäß einer aktuellen Umfrage steuerten vor der Krise nur ca. 30 % der befragten Unternehmen ihre Informationssicherheit. Hierzu gehört z.B. ein systematisches Risikomanagement und ein strukturiertes Vorgehen bei außergewöhnlichen Ereignissen anhand eines Notfallplanes.
Bedingt durch die Erfahrungen in der Krise wollen nun aber ca. 85 % der befragten Unternehmen bei den Themen Informationssicherheit und IT-Sicherheit etwas ändern und Optimierungen vornehmen. Hierdurch bedingt sollten dann auch Schäden, Ausfälle und Verluste so klein wie möglich gehalten werden.


Statement
Stephan Auge, Consultant Managementsysteme
In der aktuellen Krise werden viele Unternehmen, vor allem im Mittelstand, gemerkt haben, dass es bei den Themen Informationssicherheit und IT-Sicherheit noch Nachholbedarf gibt. Aufgrund dieser Erfahrungen sollte jedes Unternehmen Optimierungspotentiale ermitteln und Handeln um in Zukunft besser aufgestellt zu sein. Die Einführung eines Managementsystems z.B. zur Informationssicherheit (ISMS gem. ISO27001) oder der Business Continuity (BCM gem. ISO 22301) können hierbei durchaus hilfreich sein.


Neue Welle von Phishing Mails

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz (LfDI) hat Anfang Juni informiert, dass in der nahen Vergangenheit  zahlreiche Organisationen und Betriebe in Rheinland-Pfalz mit einer neuartigen Schadsoftware vergleichbar mit der Schadsoftware Emotet infiziert worden sind.
Beim LfDI wurden innerhalb einer Woche acht entsprechende Datenpannen gemeldet. Es sind sowohl Unternehmen als auch öffentliche Stellen von den Angriffen betroffen. Bei der derzeitigen Angriffswelle handelt es sich um eine Schadsoftware, welche neben den E-Mail-Kontakten auch vorhandene E-Mail-Kommunikation ausliest und sich dann auf dem E-Mail-Weg weiterverbreitet.
Ist die Schadsoftware erst einmal in IT-Systeme eingedrungen, werden meistens weitere Schadprogramme nachgeladen. Ob und gegebenenfalls in welchem Umfang bei den jüngsten Angriffen in Rheinland-Pfalz über die Daten aus der E-Mail-Kommunikation hinaus weitere Daten abgeflossen sind, ist derzeit noch offen. Nach ersten Angaben der betroffenen Unternehmen und Einrichtungen sind bisher keine weiteren Abflüsse von Daten festgestellt worden; dies ist jedoch Gegenstand weiterer Ermittlungen.
Datenschutzrechtlich sind Angriffe mit der neuartigen Schadsoftware problematisch, weil durch den Abfluss der E-Mails personenbezogene Daten unbefugten Dritten bekannt werden. Diese E-Mails können, je nach Zusammenhang, sensible Daten der Absender enthalten.


Statement
Tim Deipenbrock, Consultant Managementsysteme
Im Zuge der vermehrt auftretenden E-Mails mit Schadsoftware empfehlen wir, auch wenn Sie noch nicht zu den betroffenen Unternehmen und Organisationen gehören, Ihre Mitarbeiter für die neue Welle von Phishing Mails zu sensibilisieren und die Sicherheitsvorkehrung des Bundesamts für Sicherheit in der Informationstechnik zur Vorbeugung eines solchen Angriffs zu befolgen. Weitere Informationen gibt es beim Bundesamt für Sicherheit in der Informationstechnik und dem Bayerischen Landesamt für Datenschutzaufsicht.
Beachten Sie in diesem Zusammenhang auch unser Seminarangebot zum Thema Security Awareness, das in den kommenden Tagen veröffentlicht wird. 


Aktuelle Seminare in unserer Akademie


Datenschutzmanagement basierend auf der ISO 27701
Die Erweiterung der ISO 27001 und ISO 27002 hinsichtlich eines Datenschutzmanagementsystems.

29.07. - 31.07.2020

zur Anmeldung
________________________________________________

Datenschutz Koordinator
Unterstützen Sie den Datenschutzbeauftragten Ihres Unternehmens
bei den Aufgaben rund um den Datenschutz!

07.09. - 08.09.2020

zur Anmeldung



Referentenentwurf zum Telekommunikationsmodernisierungsgesetz

Auf der Webseite www.netzpolitik.org wurde ein Referentenentwurf zur Änderung des Telekommunikationsgesetzes (TKG) geleaked. Es handelt sich dabei um den „Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation (Neufassung) und zur Modernisierung des Telekommunikationsrechts (Telekommunikationsmodernisierungsgesetz – TKMoG)“.
Eine Anpassung des TKG, bzw. des Telekommunikationsrechts, wurde erforderlich, weil die Mitgliedstaaten der Europäischen Union (EU) den Europäischen Kodex für die elektronische Kommunikation (engl. European Electronic Communications Code, EECC) bis zum 21. Dezember 2020 umzusetzen haben. Der EECC wurde – im Gegensatz zur Datenschutz-Grundverordnung (DS-GVO) – in Form einer Richtlinie erlassen (Richtlinie (EU) 2018/1972), welche erst durch einen Transformationsakt in nationales – also auch deutsches – Recht umgesetzt werden muss.
Der EECC selbst enthält kaum datenschutzrechtliche Vorgaben. Vornehmlich betreffen die Regelungen des EECC verbraucherrechtliche Regelungen.
Das TKG enthält aktuell in Teil 7 Abschnitt 2 besondere Regeln zum Datenschutz im Bereich Telekommunikation.
Neben der einfachgesetzlichen Ausprägung des Fernmeldegeheimnisses (§ 88 TKG) welche im Gegensatz zu Art. 10 GG die privatwirtschaftlichen Telekommunikationsunternehmen verpflichtet, enthält das TKG Sonderregelungen zu Bestandsdaten und insbesondere zum Umgang mit Verkehrsdaten. Letztere sind aufgrund ihrer hohen Aussagekraft betreffend Telekommunikationsvorgängen besonders sensibel.
Aus dem geleakten Referentenentwurf ergibt sich, dass die datenschutzrechtlichen Regelungen künftig für den Bereich Telekommunikation und auch für Telemedien in einem eigenen Gesetz geregelt werden sollen.
Hierzu soll das "Gesetz über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes und des Telemediengesetzes (E-Privacy-Gesetz – EPrG)" - so der Arbeitstitel im Entwurf - erlassen werden.
Konkrete Inhalte sind noch nicht bekannt.


FAQ - Onboarding von Auftragsverarbeitern

onboarding-von-auftragsverarbeitern Wann liegt eigentlich eine Auftragsverarbeitung vor? Was sind typische Beispiele dafür? Hat das Ganze nur Vor- oder auch Nachteile? Was ist bei der Auswahl eines Auftragsverarbeiters zu beachten? Mit diesen und weiteren Fragen zum Thema Onboarding von Auftragsverarbeitern haben wir uns befasst.
weiterlesen

Dem Corona-Virus auf der Spur - Überlegungen zu einer Tracing-App auf mobilen Endgeräten

corona-tracing-app Vor dem Hintergrund des aktuell alles bestimmenden Themas Corona-Pandemie wird immer wieder über eine Virus-Tracing-App diskutiert. Befürworter versprechen sich eine bessere Infektionsnachverfolgung, Kritiker warnen vor staatlicher Überwachung.
Während das Tracking eine Echtzeit-Verfolgung des Nutzers erlaubt, beschreibt das Tracing eine Nachverfolgung mit Blick in die Vergangenheit. Zeitlich versetzt sollen so relevante Aufenthalte – im Bedarfsfall – nachvollzogen werden. Dabei stehen die Informationen im Fokus, die Auskunft geben, welche Nutzer sich in der Nähe anderer Nutzer aufgehalten haben und nicht, an welchen Orten die Nutzer waren.
Wie beschrieben werden durch den nun favorisierten Ansatz, Bluetooth-Signalstärken auszuwerten, keine Informationen über den konkreten Standort eines Nutzers erhoben.
Festzuhalten ist jedoch Folgendes: Selbst wenn auch ohne Einwilligung eine solche Verarbeitung grundsätzlich zulässig sein kann, wird es in der Praxis kaum ohne die Mitarbeit des Nutzers gehen.
weiterlesen

Hurra, der Videorekorder wird 45 Jahre alt! Von der Unterhaltungselektronik zum Überwachungsmedium?

videoueberwachung In den letzten zwei Jahrzehnten hat die Überwachung des öffentlichen wie auch des privaten Raumes unter Einsatz von Videotechnik überproportional zugenommen. Es werden sehr große Mengen an Daten verarbeitet, die – abhängig von den jeweiligen Umständen – den Regularien der Datenschutzgrundverordnung (DS-GVO) und ergänzenden gesetzlichen Vorschriften unterliegen. Wo für öffentliche Stellen das Bundesdatenschutzgesetz und die verschiedenen Bundes-, und Landespolizeigesetze Regeln festlegen, wird die Rechtslage für Unternehmen und Privatpersonen unübersichtlicher. Die DS-GVO selbst enthält keine speziellen Regeln für den Einsatz von Videoüberwachung, sodass deshalb die datenschutzrechtlichen Anforderungen für den Einsatz dieser technischen Maßnahme aus dem allgemeinen Regelwerk der DS-GVO abgeleitet werden müssen. Das Kurzpapier Nr. 15 der Datenschutzkonferenz (DSK),dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, befasst sich eingehend mit dem Thema Videoüberwachung.
weiterlesen


Kennen Sie schon unseren „Datenschutz Talk", den neuen Podcast der migosens zu den Themen Datenschutz und Informationssicherheit?


Hören Sie doch mal rein! www.migosens.de/podcast
Auch auf
Spotify, iTunes und Deezer zu finden.

Wenn Sie diese E-Mail (an: mara.hinkelmann@migosens.de) nicht mehr empfangen möchten, können Sie diese hier kostenlos abbestellen.

 Impressum | Datenschutz

migosens GmbH

Wiesenstr. 35, 45473

Mülheim an der Ruhr, Deutschland