Sicherheitswarnung des BSI „Stufe Rot“ – Java-Logging log4

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Wochenende seine Warnstufe zu der Sicherheitslücke im Java-Logging log4 von Orange auf Rot hochgesetzt. Als bedroht gelten sowohl Heimanwender als auch Firmen. Das BSI sieht aktuell eine Erhöhung der IT-Bedrohungslage für Geschäftsprozesse und Anwendungen. Eine kritische Zero-Day-Sicherheitslücke namens Log4Shell in der weitverbreiteten Java-Logging-Bibliothek Log4j eröffnet Angriffsmöglichkeiten. Ein Angreifer kann also die Sicherheitslücke ausnutzen, indem er manipulierte Anfragen an einen verwundbaren Server oder eine angreifbare Anwendung schickt. Das Ausnutzen der Lücke wird als recht einfach beschrieben, Apple, Twitter, Amazon und tausende andere Dienste sind anfällig.  Aus der ersten Sicht wurden bereits Log4j-Angriffe

Weiterlesen »

Urteil des VG Wiesbaden: Einstweilige Untersagung der Nutzung des Consent-Dienstes „C[xxx]-Bot“

Die Tatsache, dass der Richter bereits dann eine Einwilligung für eine Datenübermittlung als erforderlich ansieht, wenn die Konzernmutter eines Cloud-Anbieters ihren Sitz in den USA hat, gilt als wegweisend für Betrachtung des Cloud-Acts aus der Sicht der DSGVO. Sollte diese Entscheidung im Hauptverfahren bestätigt und in der Folge rechtskräftig werden, hat das auch Auswirkung auf die Zusammenarbeit mit anderen Cloud-Betreibern wie Amazon, Microsoft, Google, Apple etc.. Mit der Entscheidung folgte das Gericht auch den einschlägigen Ausführungen des Europäischen Datenschutzausschusses (EDSA) zu Schrems II, in der der EuGH das Abkommen für den Privacy Shield zum Datentransfer in die USA gekippt hatte.

Weiterlesen »

Bußgelder: Rekordstrafe gegen WhatsApp

Die irische Datenschutzbehörde verhängt aufgrund eines Verstoßes gegen den Grundsatz der Rechtmäßigkeit und Transparenz sowie der WhatsApp obliegenden Informationspflichten ein Bußgeld in Höhe von 225 Mio. EUR gegen das Unternehmen. Dieses setzt sich zusammen aus: 90.000.000 EUR wegen eines Verstoßes gegen Art. 5 Abs. 1 lit. a DSGVO, 30.000.000 EUR wegen eines Verstoßes gegen Art. 12 DSGVO, 30.000.000 EUR wegen eines Verstoßes gegen Art. 13 DSGVO und aus 75.000.000 EUR wegen eines Verstoßes gegen Art. 14 DSGVO.   WhatsApp hat seine Nutzerinnen und Nutzer offenbar nicht ausreichend darüber informiert, wie deren Daten verwendet werden und Nutzerdaten innerhalb der Facebook-Gruppe weitergeleitet.

Weiterlesen »

Neue Regelung zum Datenschutz im Betriebsverfassungsgesetz

Der Gesetzgeber hat mit seiner Ergänzung des Betriebsverfassungsgesetzes (BetrVG) um den § 79a Satz 1 Klarheit in Bezug auf die datenschutzrechtliche Verantwortung des Betriebsrates geschaffen. Neben der Eigenverantwortung für die Wahrnehmung seiner Betriebsratsaufgaben nach dem BetrVG innerhalb der Organisation, ist der Betriebsrat danach als Teil der verantwortlichen Stelle anzusehen, mit der er tätig ist, und nicht in eigenständiger Verantwortung. Dies bedeutet im Umkehrschluss, dass die Betriebsräte beim Thema Datenschutz der Weisungen der Geschäftsleitung unterliegen. Der Datenschutzbeauftragte des Unternehmens ist somit auch dazu verpflichtet, die Einhaltung der datenschutzrechtlichen Vorgaben bei den Tätigkeiten des Betriebsrats zu überwachen. Auch hier ist der Datenschutzbeauftragte

Weiterlesen »

Bußgelder: Rekordstrafe gegen Amazon

Die luxemburgische Datenschutzbehörde hat gegen den Online-Riesen das –  bis jetzt höchste – Bußgeld in der Geschichte der Datenschutzgrundverordnung in Höhe von 746 Millionen Euro verhängt. Das Bußgeld ist die datenschutzrechtliche Sanktionierung des Amazon „Werbe-Targetings“ auf Basis einer Massenbeschwerde bei der luxemburgischen Datenschutzbehörde. Bei diesem Werbe-Targeting wertet das Unternehmen sowohl auf den eigenen Webseiten als auch auf den Seiten von Dritten, das Verhalten der Nutzer aus, um diese im weiteren Verlauf mit auf sie persönlich zugeschnittener Werbung zum Einkauf zu verleiten. Um welche konkrete Maßnahme aus dem Werbe-Targeting es sich dabei genau handelt, ist bis jetzt noch unklar, da die

Weiterlesen »

Bußgelder: Betrieb einer Webseite mit veralteter Software

Gegen einem Online-Shopbetreiber aus Niedersachsen wurde ein Bußgeld in Höhe von 65.500€ verhängt. Dem Betreiber wurde ein Verstoß gegen die Vorschriften von Art. 25 und Art. 32 der DSGVO nachgewiesen. Grund dafür ist eine, bereits 2014 abgelaufene und von dem Hersteller nicht mehr unterstütze, Version der Web-Shop-Anwendung, die in seinem Shop eingesetzt wurde. Die Version wies erhebliche Sicherheitslücken auf, die unter anderem SQL-Injection-Angriffe ermöglichten. Der Hersteller warnte ausdrücklich davon, diese Version ohne die notwendigen Updates weiter zu nutzen. Durch die Sicherheitslücke waren die abgespeicherten Kunden-Passwörter nicht ausreichend gesichert und die Ermittlung der Klartext-Passwörter durch potenzielle Angreifer lediglich mit einem überschaubaren

Weiterlesen »

Bußgelder: Mangelhafte Einbindung des Datenschutzbeauftragten

Die luxemburgische Aufsichtsbehörde CNDP hat ein Bußgeld in Höhe von 15.000€ gegen ein privates Unternehmen verhängt. Der Bußgeldbescheid steht in Zusammenhang mit einer Kontrolle, die eine nicht ausreichende Fachkunde des internen Datenschutzbeauftragten nachgewissen hat. Der Datenschutzbeauftragte war fachlich nicht in der Lage den Verantwortlichen ordnungsgemäß und unabhängig in den Datenschutzbelangen zu beraten und zu informieren.  Er wurde nicht in alle Fragen des Schutzes personenbezogener Daten eingebunden und hatte nicht direkt an die höchste Managementebene berichtet.  Außerdem verfügte das Unternehmen über keinen formalen Auditplan, nach dem der Datenschutzbeauftragter die Einhaltung der Datenschutzvorschriften überwachten und kontrollieren könnte. Mehr zum Thema Aufgaben und

Weiterlesen »

Brexit: Großbritannien ist ein sicheres Drittland

Gem. der Datenschutzgrundverordnung können personenbezogen Daten nur innerhalb des Europäischen Wirtschaftsraum (EWR) sicher verarbeitet werden. Sobald die Daten den EWR verlassen, muss nachweisbar ein vergleichbares Datenschutzniveau im Zielland vorliegen. Durch den EU-Austritt und somit auch das Verlassen des EWR wurde Großbritannien datenschutzrechtlich zu einem Drittland. Anfang des Jahres leitete die Europäische Kommission das Verfahren zur Annahme der Angemessenheitsfeststellung für das Vereinigte Königreich ein. Trotz Bedenken des Europäischen Datenschutzausschuss und des EU-Parlaments wurde Großbritannien am 28. Juni 2021 als ein sicheres Drittland anerkannt. Mit der Anerkennung des angemessenen Datenschutzniveaus bedürfen Datenübermittlungen aus dem EWR an das Vereinigte Königreich, im Rahmen des

Weiterlesen »

Datentransfer: neue Standardvertragsklauseln veröffentlicht

Die Europäische Kommission hat am Freitag, den 7.06.2021 neue Standardvertragsklauseln (SVK) veröffentlicht. Die Datenschutzverordnung sieht strenge Vorgaben für die Regelung von internationalen Datentransfers vor. Die s.g. Standardvertragsklauseln (eng. standard contractual clauses, kurz SCCs) sind das am häufigsten verwendete Instrument für internationale Datentransfers, auch für transatlantische Datenflüsse. Die neu vereinbarten Regelungen bieten europäischen Unternehmen mehr Rechtssicherheit und helfen insbesondere KMU, die Anforderungen an eine sichere Datenübermittlung zu erfüllen. Gleichzeitig helfen sie dabei, die Daten der Bürger besser zu schützen. Die Aktualisierung der Standardvertragsklauseln ist eine Antwort der Europäischen Kommission auf die geänderte datenschutzrechtliche Lage sowie das s.g. Schrems-Urteil (Rechtssache C-311/18 „Schrems

Weiterlesen »