Verantwortliche (z.B. Unternehmen) im Sinne der Datenschutzgrundverordnung (DSGVO) sind verpflichtet betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten (z.B. bei dem Besuch einer Webseite) zu informieren.

Viele Unternehmen lassen sich die Kenntnisnahme der Datenschutzhinweise aktiv bestätigen. Diese Vorgehensweise ist nicht erforderlich. Vielmehr handelt es sich um eine Bringschuld seitens des Verantwortlichen. Es muss der betroffenen Person ermöglicht werden, Kenntnis über die Verarbeitung ihrer Daten zu erlangen, z.B. sollten die Datenschutzhinweise eines Webseitenbetreibers als solche deutlich gekennzeichnet sein und von jeder Unterseite leicht auffindbar und zugänglich sein. Für die Transparenz der Hinweise ist es wichtig, dass diese bereits eine eindeutige Bezeichnung erhalten, z.B. „Datenschutzinformation“ oder „Datenschutzhinweise“. Keine treffende Bezeichnung stellt z.B. die Begrifflichkeit „Datenschutzrichtlinie“ dar. Ein Verweis in die allgemeinen Geschäftsbedingungen (AGB) ist nicht ausreichend. Die AGB ersetzen keine Datenschutzinformationen. Auch sollten die Datenschutzinformationen nicht mit den AGB und/oder Nutzungsbedingungen gemischt werden. Es handelt sich um unterschiedliche Rechtsgebiete. So unterliegen die AGB möglicherweise einer sog. AGB-Kontrolle.

Benötigen Sie Unterstützung beim Thema Datenschutzhinweise richtig zu erteilen? Dann melden Sie sich gern bei unserem ds²-Team. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Der Datentransfer zwischen der EU und Großbritannien ist trotz Brexit gesichert. Seit dem 01.07.2021 besteht ein anerkannter Angemessenheitsbeschluss. Dieser stellt eine geeignete Garantie gem. Art. 45 DSGVO dar und ermöglicht den sicheren Datentransfer in ein anderes Land außerhalb der EU/EWR.

Eine kurze Pressemitteilung des LDI NRW finden Sie hier: https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Brexit-Angemessenheitsbeschluss/Brexit-Angemessenheitsbeschluss.html

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Laut DSGVO ist der Datenschutzbeauftragte (DSB) ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Ihm sind bei der Erfüllung seiner Aufgaben aus Art. 39 DSGVO keine Anweisungen bezüglich der Ausübung dieser Aufgaben zu machen und er hat die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zu erhalten.

Ein Unternehmen aus Luxemburg hat nun ein Bußgeld in Höhe von 15.000 € erhalten, weil der DSB nicht in alle Fragen des Schutzes personenbezogener Daten eingebunden wurde. Es gab keine Prozesse oder formalisierte Kontrollpläne des DSB, sondern dieser wurde lediglich auf einer ad-hoc-Basis in entsprechende Kontrollen eingebunden.

Die monatlichen Berichte an die höchste Managementebene mussten vom DSB zudem zuvor mit dem Verwaltungs- und Finanzdirektor abgestimmt werden. Nach Auffassung der Datenschutzbehörde genügte dies nicht den datenschutzrechtlichen Vorgaben an die Autonomie des Datenschutzbeauftragten. Der DSB muss dazu in der Lage sein, den Inhalt seiner Berichte unabhängig festzulegen. Des Weiteren hatte der (interne) Datenschutzbeauftragte keine ausreichende Schulung/Fortbildung erhalten, um den Verantwortlichen ordnungsgemäß und unabhängig beraten und informieren zu können.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Die spanische Aufsichtsbehörde hat an zwei Unternehmen aus dem Bereich der Energieversorgung ein Bußgeld in Höhe von jeweils 1,5 Millionen Euro wegen unzureichender Information bei Abschluss eines Vertrages per Telefon, über Geschäftsstellen oder bspw. Website-Formular, insbesondere wegen fehlendem Hinweis auf die Betroffenenrechte gem.  Art. 15 ff. DSGVO und Rechtsgrundlage, verhängt. Des Weiteren haben beide Unternehmen keine ausreichenden technischen und organisatorischen Maßnahmen getroffen, um die Identität und Vertragsabschlussbefugnis zu überprüfen. Stichwort: Grundsatz des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gemäß Art. 25 DSGVO

Die niederländische Aufsichtsbehörde hat gegen einen Webseitenbetreiber ein Bußgeld in Höhe von 525.000 Euro verhängt. Die Website ermöglicht es Menschen, den Kontakt zu Familienangehörigen wiederherzustellen oder kennenzulernen. Dabei wurden sämtliche Kontaktinformationen über die gesuchten Personen ohne deren Einwilligung veröffentlicht und eine Löschung enorm erschwert, weil kein Vertreter in der EU benannt wurde.

In Norwegen wurde ein Bußgeld gegenüber einer Entwicklungsbank in Höhe von 99.875 Euro verhängt, da diese ohne Einwilligung oder sonstiger Rechtsgrundlage Kreditrating aus zahlreichen finanziellen Daten des Betroffenen zusammengestellt haben.

Die britische Datenschutzaufsichtsbehörde verhängte gegen einen bekannten Finanzdienstleister ein Bußgeld in Höhe von 104.390 Euro, weil dieser mehr als 4 Millionen Werbemails an Betroffene, ohne deren Einwilligung, versendet hat.

Zuletzt hat die irische Datenschutzbehörde ein Unternehmen, welches eine Kreditdatenbank unterhält mit einem Bußgeld in Höhe von 90.000 Euro belegt, da diese über 1.000 falsch eingetragene Bonitätsdaten an Finanzinstitutionen und Kreditnehmer übermittelt wurden. Das Unternehmen hat keine angemessenen technischen und organisatorischen Maßnahmen vorgehalten, um die Richtigkeit der Daten gewährleisten zu können. Zudem wurden keine Dokumentationen geführt, sodass ebenso die Rechenschaftspflicht verletzt wurde.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Aufsichtsbehördliche Kontrollen der Einhaltung datenschutzrechtlicher Vorgaben zu internationalen Datenübermittlungen

Der Europäische Gerichtshof (EuGH) hat im Juli letzten Jahres eine der wichtigsten Rechtsgrundlagen für den Transfer personenbezogener Daten aus Europa in die USA für nichtig erklärt, indem er die entsprechende Angemessenheitsentscheidung 2016/1250 der EU-Kommission mit Urteil in der Rechtssache C-311/18 für ungültig erklärte. Diese Entscheidung beinhaltete massive Auswirkungen auf die Praxis.

Eine Übermittlung personenbezogener Daten in ein Drittland außerhalb der EU oder des EWR ist nur dann zulässig, wenn das betreffende Land für diese Daten ein angemessenes Schutzniveau gewährleistet. Ein angemessenes Schutzniveau könnte ein Angemessenheitsbeschluss sicherstellen. Der Angemessenheitsbeschluss zum EU-US Privacy Shield wurde jedoch für nichtig erklärt, da dieser in der derzeitigen Ausgestaltung keine hinreichenden Schutzmechanismen aufweist. Somit könnten nun für die Übermittlung in die USA die Standardvertragsklauseln in Betracht kommen.

Generell müssen Standardvertragsklauseln ein Schutzniveau gewährleisten, das dem in der Union garantierten Schutzniveau der Sache nach gleichwertig ist. Dies ist – laut EuGH - vorliegend nicht unbedingt garantiert, daher bedarf es gegebenenfalls der Schließung weiterer Regelungen und/oder die Ergänzung weiterer Maßnahmen, um ein angemessenes Datenschutzniveau im Drittland garantieren zu können.

Bereits letztes Jahr hat ds² wichtige Informationen für den Umgang mit diesem Urteil herausgegeben.

Abgestimmte Kontrollen 

Die deutschen Aufsichtsbehörden haben nun bekannt gegeben, dass sie gemeinsam abgestimmte Kontrollen durchführen wollen, um die Einhaltung datenschutzrechtlicher Vorgaben zu internationalen Datenübermittlungen zu überprüfen.

Es gibt fünf Fragenkataloge aus fünf verschiedenen Themenbereichen: Mailhoster, Webhoster, Tracking, Bewerberportale und Konzerninterner Datenverkehr.

Aus Art. 31 DSGVO ergibt sich die Pflicht zur Zusammenarbeit mit den Aufsichtsbehörden und damit mindestens die Pflicht, Tatsachen die abgefragt werden, wahrheitsgemäß zu beantworten und Beweismittel vorzulegen.

Sofern Sie Fragen haben oder weitere Unterstützung benötigen, melden Sie sich gerne bei uns.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Die von SAP und der Telekom entwickelte Corona-Warn-App steht seit dem 16.06.2020 zum Download bereit. Die Bluetooth-gestützte App dient der Nachverfolgung von Infektionsrisiken. Dabei wird durch Bildung eines Dauer- und Entfernungsprofils nach statistischen Berechnungsvorschriften ein individueller Risiko-Score ermittelt.

Wie funktioniert die App?

Treffen sich zwei App-Nutzer, können sich die Geräte gegenseitig erkennen und tauschen bestimmte Zahlenfolgen aus (ID). Alle paar Minuten generiert jedes Gerät eine neue Zufalls-ID. Der Abstand zwischen zwei Personen wird durch Signalstärke ermittelt und ist der Abstand für eine gewisse Dauer gering genug, speichern die Geräte die fremde ID lokal ab. Bei einer festgestellten Covid-19 Infektion kann ein Nutzer seine Daten via Scan eines QR-Codes, den er vom Arzt erhalten hat oder per Telefon-Tan-Verfahren freischalten. Sodann werden sämtliche IDs, die die App innerhalb der letzten Tage erzeugt und ausgesendet hat, an einen zentralen Server gesendet. Dort können sie von allen anderen App-Benutzern heruntergeladen werden. Durch Abgleich der auf dem Server hinterlegten Daten mit dem lokal auf den Smartphones gespeicherten IDs ist feststellbar, ob der Benutzer mit einem Covid-19 Patienten Kontakt hatte. Je nach Abstand und Begegnungsdauer zu dem Covid-19-Kontakt wird ein individueller Risiko-Score ermittelt. Der App-Nutzer erhält Benachrichtigung über den Kontakt und Verhaltenshinweise.

Neue Funktionen

Die neue Version der Corona-Waran-App soll eine verbesserte Risikoberechnung enthalten. Dabei wird insbesondere auch die höhere Infektiosität durch die mutierten Virusvarianten berücksichtigt.

Kurze Kontaktzeiten mit später positiv getesteten Personen werden laut den Entwicklern nicht mehr herausgefiltert, sondern individuell bewertet und über den Tag summiert. Neben den Abständen bis 1,5 Meter fließen auch Kontaktzeiten in einem Abstand bis 2,5 Meter mit 50 % in die neuen Berechnungen mit ein.

Zudem soll eine QR-Code Check-In Funktion eingebaut werden, mit der sich die Nutzer beim Betreten eines Restaurants oder einer Veranstaltung für die Kontaktverfolgung registrieren können. Ein solches Feature bietet bereits die „Luca-App“. Bisher müssen Nutzer diese Informationen freiwillig und manuell im Kontakttagebuch der App anlegen.

Neben der Event-Registrierung soll auch ermöglicht werden, dass Nutzer der App die Ergebnisse ihrer Schnelltests in der Corona-Warn-App hinterlegen können und dem Kontakt-Tagebuch hinzufügen können. Über die App können die Nutzer dann künftig auch alle ihre Kontakte warnen, sobald sie bei einem Schnelltest positiv auf Corona getestet worden sind.

Wie sieht es datenschutzrechtlich aus?

Verantwortlichkeiten sind klar geregelt. So wird beispielsweise beschrieben, dass das RKI Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die mit dem Betrieb der Corona-Warn-App einhergehende Verarbeitung von personenbezogenen Daten der Nutzer ist. Weitere Akteure und Auftragsverarbeiter werden transparent dargestellt. Die Verarbeitungszwecke sind eindeutig festgelegt und werden durch technische und organisatorische Maßnahmen sichergestellt.

Für die Nutzung der App ist keine Anmeldung erforderlich. Die erhobenen Daten lassen keine Rückschlüsse auf Identitäten und Standorte zu, da lediglich die Zufalls-IDs ausgetauscht werden.

Die Daten werden nur auf dem Smartphone gespeichert und automatisch gelöscht. Eine automatisierte Datenweitergabe an Dritte (z.B. Arbeitgeber, Gesundheitsbehörden) ist nicht vorgesehen. Infektionen und Benachrichtigungen sind von keiner Stelle nachverfolgbar, sprich weder Systembetreiber noch Veranstalter sowie deren Dienstleister können Rückschlüsse auf das Verhalten einzelner Personen, ihre Anwesenheit bei Veranstaltungen oder ihren Gesundheitszustand ziehen.

Die App enthält geeignete dem Stand der Technik entsprechende Verschlüsselungen inklusive eines geeigneten sicheren Schlüsselmanagements.

Nach dem Download und Start der App wird der Nutzer über die Zwecke und die technische Funktionsweise der App informiert und die aktuelle Datenschutzerklärung wird angezeigt. Funktionen, die einer Einwilligung bedürfen, sind zunächst deaktiviert. Die jeweils relevante Information erfolgen im Vorfeld einer Einwilligungserteilung. Die Einwilligung wird durch aktives Anklicken eines Buttons eingeholt. Für die Wirksamkeit der Einwilligung wurden die besonderen Voraussetzungen der Art. 4 Nr. 7 DSGVO in Verbindung mit Art. 6 Abs. 1 S. 1 lit. a bzw. Art. 9 Abs. 2 lit. a DSGVO sowie Art. 7 DSGVO eingehalten und umgesetzt.

Die App ist und bleibt freiwillig. Das bedeutet, dass der Zugang zu behördlichen Einrichtungen, Arbeitsstätten, Handelsgeschäften, Gastronomiebetrieben und Beherbergungsstätten, Sportstätten, etc. nicht vom Vorweisen der App abhängig gemacht werden darf.

Die Gewährung von Betroffenenrechten ist transparent und eindeutig geregelt. Eine Risikoanalyse und Datenschutzfolgenabschätzung wurde für die Corona-Warn-App vorgenommen.

Die Sicherheit des Systems wird durch verschiedene Maßnahmen gewährleistet. Der Quellcode wurde veröffentlicht und ist somit auch für unabhängige Experten überprüfbar.

Die oben genannten Umsetzungen sind nicht abschließend erwähnt. Als Fazit kann jedoch angebracht werden, dass die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, den Datenschutz in der neuen Corona-Warn-App der Bundesregierung als ausreichend berücksichtigt betrachtet.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Aktuell werden SMS verschickt, die angebliche Pakete ankündigen. Sie sind so aufgebaut, wie viele Benachrichtigungen von Paketzustellern. „Ihr Paket kommt an, verfolgen Sie es hier: https://kav...".

Bei einem Klick auf den Link wird Schadsoftware auf dem Smartphone installiert. Diese Schadsoftware leitet dann Daten vom Smartphone weiter und leitet vom Smartphone auch eigenständig SMS mit Schadsoftware weiter. Die SMS können zusätzliche Kosten verursachen. Dabei kann ein Schaden in dreistelliger Höhe entstehen.

Solche Phishing-Angriffe sind nicht neu. Das Wort Phishing setzt sich zusammen aus dem Englischen „password“ und „fishing“. Durch das Phishing sollen Personen dazu verleitet werden, unter Vortäuschung falscher Tatsachen (sensible) Daten preiszugeben.

Wie erkenne ich Phishing?

Werden Sie misstrauisch, wenn eine der folgenden Merkmale zutrifft:

Wie kann ich mich gegen Phishing schützen?

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Es gibt zwei verschiedene bekannte Szenarien über die Personen versuchen eine außergerichtliche Zahlung eines immateriellen Schadensersatzes (umgangssprachlich auch „Schmerzensgeld“ genannt) an Betroffene sowie die Erstattung von Rechtsanwaltskosten zu erwirken.

Auf der Webseite eines Unternehmens bittet eine Person über das Kontaktformular das Unternehmen um einen Rückruf. Wenn das Unternehmen die angegebene Nummer zurückrufen will, wird der Anruf nicht angenommen. Nach ein paar Wochen meldet sich die Person wieder und verlangt Auskunft über die von ihm gespeicherten Daten und verlangt Löschung der gespeicherten Daten.

Bei einem anderen Szenario wird erst der Newsletter des Unternehmens abonniert um dann direkt im Anschluss ein Auskunfts- und Löschanspruch geltend zu machen.

Zeitlich nachgelagert meldet sich dann ein Rechtsanwalt um im Auftrag dieser Person einen immateriellen Schadensersatz wegen Verletzung der Betroffenenrechte und die dafür entstandenen Rechtsanwaltskosten geltend zu machen. Bei einem Nicht Tätigwerden droht der Rechtsanwalt die gerichtliche Durchsetzung des Anspruchs an.

Art. 82 DSGVO erlaubt es von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen, auch immaterielle Schäden wegen der unzulässigen Verarbeitung ihrer Daten einzuklagen. Die Gerichte können dabei bereits die unzulässige Datenverarbeitung an sich als erstattungsfähigen Schaden bewerten.

Es empfiehlt sich auf ein Anwaltsschreibens zu reagieren und das Bestehen des Anspruchs sachlich begründet bestreiten. Zudem sind Prozesse zur Erfüllung von Betroffenenrechten zu erstellen, diese einzuhalten und die Rechenschaftspflichten nach der DSGVO lückenlos zu erfüllen um Beschwerden bei der Aufsichtsbehörde und Zivilprozesse abzuwenden.

Einer der Hauptgründe für Beschwerden bei der Aufsichtsbehörde ist eine nicht, nicht zufriedenstellende oder nicht fristgemäß erfolgte Beantwortung von Betroffenenanfragen durch ein Unternehmen. Die Landesbeauftragte für Datenschutz Niedersachsen berichtet, dass sich die Zahl der Beschwerden seit Geltung der DSGVO stark gesteigert haben, was bereits 2018 zur Folge gehabt hätte, dass "sich die Meldungen gemäß Art. 33 DSGVO auf 370 steigerten (gegenüber 20 im Jahr 2017).“ Dieser Trend hat sich 2019 fortgesetzt und noch weiter verstärkt. Im vergangenen Jahr meldeten Verantwortliche 824 Datenschutzverletzungen.“ Dies geht aus dem Tätigkeitsbericht von 2019 der Landesbeauftragten für den Datenschutz Niedersachsen hervor.

Sollten Sie Unterstützung bei der Erstellung und Implementierung von Prozessen zur Erfüllung der Betroffenenrechte benötigen, melden Sie sich gerne bei unserem ds²-Team.

Einen immateriellen Schadenersatz sprechen die Gerichte meistens nur zu, wenn der Verstoß eine gewisse Erheblichkeitsschwelle überschreitet. Selbst dann ist die Schadenersatzhöhe gering. Eine solche Erheblichkeitsschwelle ist im Wortlaut des Art. 82 DSGVO nicht zu finden. Ob sie dennoch besteht, darüber wird gestritten. Die Frage, ob die DSGVO für Schadensersatzansprüche eine Erheblichkeit voraussetzt würde für gewöhnlich dem EuGH vorgelegt. Ein Amtsgericht in Goslar hat derweil selbst darüber entschieden und kam zu dem Ergebnis, dass die DSGVO eine Erheblichkeit voraussetze. Der Gerichtsentscheidung unterlegene Kläger hat wegen dieser Auslegung des AG Goslar Verfassungsbeschwerde beim Bundesverfassungsgericht eingereicht und hatte damit Erfolg. Das Urteil wurde aufgehoben und vom Bundesverfassungsgericht nun erklärt, dass eine Vorlage beim EuGH zur Klärung der Frage, ob ein Schaden erheblich sein muss, zu erfolgen hat. Die Entscheidung des EuGH steht noch aus.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

In letzter Zeit ist zu beobachten, dass die Aufsichtsbehörden neben der Prüfung von Webseiten auch einen Fokus auf die Videoüberwachung von Unternehmen gesetzt haben. Aber warum gerade auf die Videoüberwachung?

Wie bei einer Webseite kann auch bei einer Videoüberwachung schnell von außen ohne große Umstände ein erster Eindruck eingeholt werden, ob sich das Unternehmen mit dem Thema Datenschutz auseinandergesetzt hat. Was bei der Webseite der Blick auf die Datenschutzerklärung oder den Cookie-Banner ist, ist bei der Videoüberwachung zunächst die Sichtung der Kamera an sich sowie ein kurzer Blick auf das Hinweisschild zur Videoüberwachung.

Ein Piktogramm reicht nicht aus

Wer bei der Videoüberwachung der Ansicht ist, dass ein einfaches Hinweisschild mit einem Kamera-Piktogramm und der Aufschrift „Videoüberwachung“ ausreicht, hat hier die Rechnung nicht mit dem Datenschutz gemacht. Denn die Datenschutz-Grundverordnung (DSGVO) sieht bereits in Ihren Grundsätzen der Datenverarbeitung vor, dass jede Verarbeitung personenbezogener Daten rechtmäßig und für die betroffenen Personen transparent sein muss. Um eine Transparenz herzustellen, sind den betroffenen Personen bereits vor Datenerhebung bestimmte Informationen zur Datenverarbeitung zugänglich zu machen. Im Falle der Videoüberwachung bedeutet dies, dass Personen bereits vor Betreten des Erfassungsbereichs der Kamera unter anderen darüber informiert werden, wer für die Videoüberwachung verantwortlich ist und zu welchen Zwecken und auf welcher Rechtsgrundlage diese erfolgt. Die niedersächsische Aufsichtsbehörde hat ein Muster-Hinweisschild veröffentlicht. Dieses und weitere Dokumente zur Videoüberwachung finden Sie hier.

Ist die Aufsichtsbehörde einmal auf die Videoüberwachung in einem Unternehmen aufmerksam geworden, wird sie es höchstwahrscheinlich nicht bei der Sichtung des Hinweisschildes belassen. Sicherlich wird in diesen Fällen dann auch geprüft werden, ob die Videoüberwachung überhaupt zulässig ist und ob diesbezüglich die erforderlichen Vorüberlegungen (wie die Risikobewertung und die Implementierung geeigneter technischer und organisatorischer Maßnahmen) getroffen wurden.

Sollten Sie Unterstützung bei der Implementierung einer Videoüberwachungsanlage benötigen, melden Sie sich gerne bei unserem ds²-Team.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Am 05.03.2021 informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Pressemitteilung über eine kritische Schwachstelle in Exchange-Servern, von der schätzungsweise zehntausende Server in Deutschland betroffen seien. 

Laut dem IT-Dienstleister Shodan seien voraussichtlich schon viele dieser angreifbaren Server mit Schadsoftware infiziert. Denn scheinbar seien diese insgesamt vier Schwachstellen einer Gruppe von Hackern ebenfalls nicht entgangen. Das BSI hält es für wahrscheinlich, dass die Hacker aufgrund dieses Einfallstors die gesamte Domäne mit wenig Aufwand kompromittieren könnten. Denn durch den Fernzugriff auf die Exchange-Server könnte durch die Übernahme weiterer Berechtigungen tiefer in die Struktur eingegriffen und weitere Schadsoftware installiert werden.

Microsoft reagierte prompt und veröffentlichte kurzer Hand neue Sicherheitsupdates, mit denen die insgesamt vier Schwachstellen bei Exchange-Server geschlossen werden. Das BSI rät dringend zur Installation dieser Updates und warnt: “Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden“. Unternehmen sollten ihre Exchange-Systeme umgehend auf so genannte „Web-Shells“ untersuchen, welche die Hacker hinterlassen, um über das Internet auf die Systeme zugreifen zu können.

Das regelmäßige Einspielen von Patches spielt auch bei der Einhaltung der Datenschutz-Grundverordnung (DSGVO) eine große Rolle. Denn bereits in den Grundsätzen für die Verarbeitung von personenbezogenen Daten wird festgehalten, dass Verantwortliche eine angemessene Sicherheit der personenbezogenen Daten gewährleisten muss. Mit Hilfe von geeigneten technischen und organisatorischen Maßnahmen soll unter anderen verhindert werden, dass Unbefugte Zugriff auf die Daten erlangen. Bei der Wahl der technischen und organisatorischen Maßnahmen ist auch immer der Stand der Technik zu berücksichtigen. Ein durchdachtes Patch-Management kann hierbei unterstützen, die Schwachstellen zu schließen und die Sicherheit der Daten aufrecht zu erhalten.

Möchten Sie mehr über die Gewährleistung der Sicherheit von personenbezogenen Daten erfahren? Kommen Sie gerne auf unser ds²-Team zu.

magnifiercrossmenu