Trotz massiver Kritik: Bundestag verabschiedet IT-Sicherheitsgesetz 2.0

Bundesregierung sieht in IT-Sicherheit ein Schlüsselthema: “Die Gewährleistung der Cyber- und Informationssicherheit ist ein Schlüsselthema für Staat, Wirtschaft und Gesellschaft”, macht die Bundesregierung laut Informationen des Deutschen Bundestags zum “Gesetz zur Erhöhung der IT-Sicherheit” klar.
Das Land sei gerade mit Blick auf die zunehmende Digitalisierung aller Lebensbereiche auf funktionierende Informations- und Kommunikationstechnik angewiesen. (Quelle: www.datenschutz-praxis.de)

Weitere Informationen:
https://www.datenschutz-praxis.de/allgemein/trotz-massiver-kritik-bundestag-verabschiedet-it-sicherheitsgesetz-2-0/

Verdeckte Videoüberwachung im Arbeitsverhältnis

Verdeckte Videoüberwachung im Arbeitsverhältnis

Ist eine verdeckte Videoüberwachung am Arbeitsplatz erlaubt? Klar ist, dass eine solche Maßnahme aus Sicht des Datenschutzes und des Arbeitsrechts grundsätzlich umstritten ist und wenn, dann nur in einem sehr engen Rahmen möglich z.B. bei Vorliegen einer Straftat.

Das LAG Nürnberg urteilte kürzlich zu diesem Sachverhalt.

Lesen Sie hier die Entscheidung:
https://www.arbg.bayern.de/nuernberg/entscheidungen/neue/48300/index.php

Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG)

Das Gesetzgebungsverfahren zum neuen Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) nimmt weiter Fahrt auf. Am 10.02. wurde von der Bundesregierung ein neuer Entwurf beschlossen und am 26.03. im Bundestag beraten. Da die Verabschiedung der neuen europäischen ePrivacy-Verordnung nicht absehbar ist, wird das TTDSG das zentrale Gesetz zum Datenschutz für Telemedien und Telekommunikationsleistungen in Deutschland werden.

Das TTDSG soll die bisher geltenden Regelungen aus dem Telekommunikationsgesetz (TKG) zum Schutz des Fernmeldegeheimnisses und des Datenschutzes sowie die im Telemediengesetz (TMG) enthaltenen Bestimmungen, z.B. zur Gestaltung von Webseiten zu einem Gesetz zusammenführen.

Zu den geplanten Änderungen gehören unter anderem eine Neuregelung der Einwilligungspflicht für den Einsatz von Cookies, Vorgaben für technisch-organisatorische Maßnahmen (TOMs) zur Auskunft von Bestandsdaten und eine Vorgabe zur Gestaltung von Cookie-Bannern. So heißt es bspw. im Entwurf in § 24 TTDSG:

„(1) Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.

(2) Die Einwilligung nach Absatz 1 ist nicht erforderlich,

1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung
des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder

2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“

Weitere Informationen:
https://www.bmwi.de/Redaktion/DE/Artikel/Service/Gesetzesvorhaben/gesetz-zur-regelung-des-datenschutzes-und-des-schutzes-privatsphaere.html

BfDI stellt 29. Tätigkeitsbericht vor

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, überreichte am 25.03.2021 den 29. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit an den Präsidenten des Deutschen Bundestages.

Zur Pressemitteilung:
https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2021/07_29-T%C3%A4tigkeitsbericht.html

Zum Tätigkeitsbericht:
https://www.bfdi.bund.de/DE/Infothek/Taetigkeitsberichte/taetigkeitsberichte-node.html

Sicherheitslücken bei Microsoft Exchange-Mail-Servern

in unserem aktuellen Newsletter möchten wir Sie über nachfolgend aktuelles Thema zum Datenschutz informieren: Sicherheitslücken bei Microsoft Exchange-Mail-Servern.

Das BayLDA empfiehlt: Patchen, prüfen, melden! Jedoch keine Datenschutzmeldepflicht bei bloßer Microsoft Exchange Server-Kompromittierung sofern keine personenbezogenen Daten übermittelt wurden.

Die aktuelle Pressemitteilung des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellt klar: Die neu bekannt gewordenen Schwachstellen in Microsoft Exchange-Mail-Servern betreffen auch eine Vielzahl deutscher Firmen.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in diesem Zusammenhang eine Ad-hoc-Online-Untersuchung durchgeführt. Dabei wurde alleine im ersten Prüflauf festgestellt, dass eine dreistellige Zahl von Unternehmen identifiziert und deren Systeme auch mehrere Tage nach den ersten Sicherheitswarnungen weiterhin akut gefährdet sind.

BayLDA-Präsident Will: „Wir sehen mit großer Sorge, dass trotz eindringlicher Warnungen durch die Sicherheitsbehörden und sofortiger Hilfestellungen durch Microsoft immer noch verwundbare Mail-Server im Netz zu finden sind. Für die von uns identifizierten Unternehmen besteht jetzt akuter Handlungsbedarf. Die betroffenen Systeme müssen umgehend gepatcht und dann umfassend überprüft werden. Für Unternehmen, die bis jetzt untätig geblieben sind, gehen wir von einer meldepflichtigen Datenschutzverletzung aus.“

Soll Ihr Exchange Server von uns auf eine Kompromittierung geprüft werden?
Benötigen Sie technische Unterstützung?

Dann kontaktieren Sie uns unter: 0351 266 23 30

Die Pressemitteilung finden Sie hier:
https://lda.bayern.de/media/pm/pm2021_01.pdf

FAQ: Sicherheitslücken bei Microsoft Exchange-Mail-Servern:
https://www.lda.bayern.de/de/thema_exchange_sicherheitsluecke.html

Die BSI-Cyber-Sicherheitswarnung finden Sie hier:
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132.pdf?__blob=publicationFile&v=10

Bei einem Vorfall ohne ermittelten Datenabfluss muss die zuständige Datenschutzaufsichtsbehörde in der Regel nicht informiert werden. So schreibt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit heute: „Dieser Zustand [der Zustand der Kompromittierung] alleine wird bei uns noch nicht als meldepflichtig angesehen, er löst aber eine Pflicht aus, genauere Untersuchungen vorzunehmen. Wenn diese professionell und erforderlichenfalls unter Hinzuziehung externen Sachverstands durchgeführt wurden, keine Hinweise auf eine missbräuchliche Datenverwendung gefunden wurden und die Sicherheitslücke geschlossen wurde, besteht keine Meldepflicht. Wenn Hinweise gefunden wurden – z.B. eine Web-Shell oder auffällige Datenflüsse – dann ist das zu melden. Die Meldefrist beginnt in dem Moment, in dem diese Auffälligkeiten entdeckt wurden.“ Das Bayerische Landesamt für Datenschutzaufsicht, Aufsicht für bayerische Unternehmen, nimmt allerdings unabhängig vom Datenabfluss einen Meldepflicht an, wenn das jeweilige Unternehmen bis heute keine Sicherheitsupdates eingespielt hat.

BfDI gegen populistische Debatten um Datenschutz

In Talkshows sind sich die Gäste schnell einig: Datenschutz behindert die Bekämpfung der Corona-Pandemie. Doch einer sieht das anders: Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI).
Im aktuellen Standpunkt für den Tagesspiegel Background argumentiert er vehement für den Datenschutz und gegen populistische Debatten.

„Nicht der Datenschutz ist Hemmschuh, sondern die Art und Weise, wie wir darüber streiten“, betont der oberste Datenschützer in dem Artikel.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/bfdI_gegen_populistische_debatten_um_datenschutz.pdf

So gehen Beschäftigte mit „aufgedrängten Daten“ um

Will ein Unternehmen personenbezogene Daten erheben, erhält es oft Informationen, die über die abgefragten Daten hinausgehen. Denkbar ist auch, dass Kunden oder Mitarbeiter ungefragt personenbezogene Daten übermitteln. Was tun mit solchen Daten?

Vor dem Hintergrund des Grundsatzes der Datensparsamkeit, aber auch angesichts der Rechtsfolgen einer Datenverarbeitung, beispielsweise hinsichtlich etwaiger Informationspflichten, ist es für die Verantwortlichen wichtig, den Umgang mit einer solchen „aufgedrängten Verarbeitung“ zu regeln. Und darüber hinaus gilt es, die Beschäftigten dafür zu sensibilisieren, wie sie mit solchen Daten korrekt umzugehen haben.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/so_gehen_beschaeftigte_mit_aufgedraengten_daten_um.pdf