Professor Ulrich Kelber begrüßt gemeinsame Leitlinien

[datensicherheit.de, 21.01.2022] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) meldet, dass der Europäische Datenschutzausschuss (EDSA) am 18. Januar 2022 „Leitlinien zu den Betroffenenrechten der Datenschutz-Grundverordnung (DSGVO) veröffentlicht“ hat. Im Fokus stehe dabei das Auskunftsrecht, mit welchem Betroffene unter anderem in Erfahrung bringen könnten, „welche Daten Unternehmen und Behörden über sie gespeichert haben“.

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber: Recht auf Auskunft ist grundlegendes Betroffenenrecht!

Der EDSA sorgt mit Leitlinien nun für mehr Klarheit und Einheitlichkeit

BfDI Prof. Ulrich Kelber begrüßt demnach diese gemeinsamen Leitlinien: „Das Recht auf Auskunft ist das grundlegende Betroffenenrecht und wird von den Bürgerinnen und Bürgern häufig in Anspruch genommen.“ Allerdings lasse der entsprechende Artikel der DSGVO allein einen großen Interpretationsspielraum. „Der EDSA“, so Professor Kelber, „sorgt hier nun für mehr Klarheit und Einheitlichkeit“.

Die Leitlinien legten insbesondere fest, „welche Daten vom Auskunftsrecht erfasst sind und dass Betroffenen im Regelfall eine Kopie der Daten und nicht nur eine Zusammenfassung zu übergeben ist“.

Außerdem müssten die für die Datenverarbeitung Verantwortlichen angemessene Maßnahmen treffen, um Personen hinter Auskunftsersuchen zu identifizieren, „damit keine unberechtigten Dritten an die Daten gelangen“. Es dürften aber auf der anderen Seite auch keine höheren Hürden aufgebaut werden, „als für die Identifizierung erforderlich“.

Leitlinien geben auch Hinweise, in welchen zeitlichen Abständen Betroffene das Auskunftsrecht geltend machen können

Ebenso dürfe ein Auskunftsersuchen beispielsweise nicht alleine unter Verweis auf einen hohen Bearbeitungsaufwand abgelehnt werden. Auch die Motivation hinter einem Auskunftsersuchen sei kein Kriterium für die Erfüllung des Auskunftsanspruchs.

Die Leitlinien gäben zusätzlich Hinweise und Beispiele, „in welchen zeitlichen Abständen Betroffene das Auskunftsrecht gegenüber einem Unternehmen oder einer Behörde erneut geltend machen können, ohne dass ihr Ersuchen als exzessiv abgelehnt oder mit einer Gebühr belegt werden kann“.

Der EDSA werde eine öffentliche Konsultation zu diesen Leitlinien durchführen – diese seien in Kürze auf der Website des EDSA zu finden.

Weitere Informationen zum Thema:

edpg, 19.01.2022
EDPB adopts Guidelines on Right of Access and letter on cookie consent

[datensicherheit.de, 21.01.2022] Auch Tim Wallen, „UK&I Regional Director“ bei LogPoint kommentiert den Vorfall, bei dem offenbar noch unbekannte kriminelle Hacker dem Internationalen Komitee vom Roten Kreuz (IKRK) in einem massiven Cyber-Angriff über 515.000 personenbezogene Daten entwendet haben sollen. Nach derzeitigem Stand seien dem IKRK zufolge genauere Details des Angriffs noch unklar.

Opfer der Attacke auf das IKRK: schutzbedürftige Personen auf der Suche nach verlorenen Angehörigen

„Der Angriff auf das Rote Kreuz erinnert uns daran, dass Cyber-Angriffe auf Organisationen nicht nur Auswirkungen auf die Geschäftskontinuität und die Finanzen haben – sie betreffen auch Menschen“, unterstreicht Wallen.

In diesem Fall handele es sich bei den Opfern um schutzbedürftige Personen auf der Suche nach ihren verlorenen Angehörigen – die Folgen seien möglicherweise dramatisch für diejenigen, „die ihre persönlichen Daten im Rahmen der Aktion ,Restoring Family Links: Suchdienst und Familienzusammenführung‘ registriert haben“.

Es sei auch ein dramatischer Schlag gegen das Vertrauen gegenüber der Organisation des Roten Kreuzes.

IKRK sollte nun Protokolldaten über gesamte IT-Infrastruktur auswerten!

Bislang hätten die Angreifer die Daten nicht veröffentlicht. Informationen zu den Hackern und über die Art des Angriffs seien noch nicht bekannt. Wallen: „Es ist wichtig, das Ausmaß des Angriffs auf das Rote Kreuz zu verstehen, um die Auswirkungen zu minimieren und die Opfer über die Risiken zu informieren, denen sie ausgesetzt sind, und darüber, wie ihre persönlichen Daten kompromittiert wurden.“

Der Schlüssel hierzu sei das Sammeln und Analysieren von Protokolldaten über die gesamte IT-Infrastruktur, „damit Cybersecurity-Fachleute die Ursache des Angriffs verstehen und wissen, wie sie reagieren und sicherstellen können, dass so etwas nicht noch einmal passiert“.

Dieser Fall verdeutliche auch die Risiken der Auslagerung der Verwaltung sensibler persönlicher Daten an Dritte. Organisationen müssten sehr sorgfältig abwägen, „wann sie ihre Daten in die Hände externer Parteien legen, und es ist zwingend erforderlich, dass eine Organisation wie das Rote Kreuz sicherstellt, dass ihre Partner über solide Cyber-Sicherheitsmaßnahmen verfügen, einschließlich der Echtzeitüberwachung von Sicherheitsdaten und der notwendigen Fähigkeiten, schnell und effektiv auf Angriffe zu reagieren“.

Weitere Informationen zum Thema:

IKRK INTERNATIONALES KOMITEE VOM ROTEN KREUZ
Cyberangriff auf Rotkreuz-und Rothalbmonddaten von 500 000 Menschen

datensicherheit.de, 20.01.2022
Rotes Kreuz: Hacker-Attacke auf Daten von über 500.000 gefährdeten Personen / Unter erbeuteten Daten unter anderem vertrauliche Informationen über vermisste und inhaftierte Personen

Unter erbeuteten Daten unter anderem vertrauliche Informationen über vermisste und inhaftierte Personen

[datensicherheit.de, 20.01.2022] Laut einer aktuellen Meldung der Check Point® Software Technologies Ltd. hat es eine schwerwiegende Cyber-Attacke auf das Internationale Komitee vom Roten Kreuz (IKRK) gegeben. Lotem Finkelsteen, „Head of Threat Intelligence and Research“ bei Check Point, ordnet diesen Vorfall in seiner Stellungnahme in den Kontext von Angriffen auf den Gesundheitsbereich ein. Diese Branche sei aufgrund der Sensibilität der Daten besonders attraktiv für Hacker, welche dabei ganz offensichtlich keine Rücksicht auf die Betroffenen nähmen.

Foto: Check Point

Lotem Finkelsteen: Trend von Attacken gegen Gesundheitsorganisationen wird sich 2022 fortsetzen!

Cyber-Kriminelle erbeuteten am 19. Januar 2022 Daten von mehr als einer halben Million Menschen

Demnach haben Cyber-Kriminelle am 19. Januar 2022 die Daten von mehr als einer halben Million Menschen erbeutet, so eine IKRK-Mitteilung. Erbeutet worden seien die Daten von etwa 60 nationalen Dienststellen des Roten Kreuzes und des Roten Halbmondes.

Wer hinter dem Angriff steckt, sei dem IKRK noch nicht bekannt. „Die Attacke richtete sich gegen ein externes Unternehmen in der Schweiz, das vom IKRK mit der Speicherung von Daten beauftragt wurde.“ Bislang seien aber keine Informationen durchgesickert oder öffentlich zugänglich gemacht worden.

Hacker-Gruppen sind sich der Sensibilität der Daten wohlbewusst

„Unseren Daten zufolge ist das Gesundheitswesen eine der Branchen, die am häufigsten ins Visier von Hackern geraten“, berichtet Finkelsteen und warnt: Dieser Sektor werde auch im Jahr 2022 eines der am häufigsten angegriffenen Ziele bleiben.

„Wir sprechen von 830 wöchentlichen Angriffen im Durchschnitt im Jahr 2021, was einen Anstieg von über 71 Prozent in nur einem Jahr darstellt, verglichen mit dem Vorjahr.“ Hacker-Gruppen seien sich der Sensibilität der Daten aus diesem Bereich bewusst und sähen sie genau deshalb als Chance an, schnell an Geld zu kommen.

Auf die sensibelsten Daten der Organisation abgesehen

Krankenhäuser und andere Organisationen des Gesundheitswesens könnten es sich außerdem nicht erlauben, den Betrieb zu Wartungsarbeiten einzustellen, „da es buchstäblich um Leben und Tod gehen könnte“. Die Hacker hätten es dort beim Roten Kreuz übrigens auf die sensibelsten Daten der Organisation abgesehen und versuchten, so viel Druck wie möglich auszuüben.

Nun sei das große Risiko das Durchsickern der Daten, was für die Opfer verheerende Folgen haben könnte. Finkelsteens Befürchtung: „Wir erwarten leider, dass sich der Trend von Attacken gegen Gesundheitsorganisationen 2022 fortsetzen wird.“

Weitere Informationen zum Thema:

datensicherheit.de, 30.11.2020
IT-Sicherheit hinkt bei Digitalisierung im Gesundheitswesen hinterher / PSW GROUP gibt Tipps, wie sich die IT-Sicherheit im Gesundheitswesen verbessern lässt

datensicherheit.de, 28.10.2020
Cyber-Attacken: Gesundheitsorganisationen laut Forescout-Studie weiter anfällig / „Connected Medical Device Security Report“ von Forescout basiert auf Analyse von drei Millionen Geräten

[datensicherheit.de, 20.01.2022] Laut einer aktuellen Meldung des Branchenverbands Bitkom stimmt das Europäische Parlament am 20. Januar 2022 über den „Digital Services Act“ (DSA) ab. Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder geht in seiner Stellungnahme darauf ein und betont die Bedeutung des DSA für Europa.

Bitkom erwartet Stärkung des Verbraucherschutzes in der digitalen Welt

„Der ,Digital Services Act‘, DSA, ist eines der wichtigsten digitalpolitischen Regelwerke in Europa. Er wird im Verbund mit dem ,Digital Markets Act‘ zu einer Art Grundgesetz für das Internet.“

Der DSA müsse so ausgestaltet werden, „dass er im globalen Maßstab Standards setzt“. Er stärke den Schutz der Verbraucher in der digitalen Welt und schaffe einen EU-weiten, harmonisierten Rechtsrahmen für Diensteanbieter und Plattformen – durch klare Regeln für den Umgang mit illegalen Inhalten und mehr Transparenz.

Bitkom-Warnung: Internet-Nutzung im Alltag zunehmend von Delikten bedroht

Weit mehr als 60 Millionen Menschen in Deutschland nutzten das Internet. Fast drei Viertel von ihnen informierten sich im Web über das Zeitgeschehen, 95 Prozent kauften online ein.

Online-Dienste und Plattformen seien damit fester Bestandteil des digitalen Alltags. „Dabei haben wir in den vergangenen Jahren auch eine deutliche Zunahme an Delikten, wie der Verbreitung von Hassrede bis hin zum Vertrieb gefälschter Produkte festgestellt“, so Dr. Rohleder.

Bitkom befürwortet Ersatz der 20 Jahre alten E-Commerce-Richtlinie

So seien 19 Prozent der Internet-Nutzer bereits beim Einkaufen im Netz betrogen worden, mehr als ein Viertel (27 Prozent) fühle sich von sogenannter Hassrede im Internet bedroht – „vor zwei Jahren waren es lediglich 19 Prozent“.

Es sei deshalb gut und richtig, dass der DSA die mehr als 20 Jahre alte E-Commerce-Richtlinie ersetzen werde, um Verbraucher künftig besser vor illegalen oder gefährlichen Inhalten im Netz zu schützen. „Bitkom begrüßt in diesem Zusammenhang ausdrücklich, dass die Einführung einer Upload-Filter-Pflicht für das Europäische Parlament keine Option ist.“

Bitkom fordert Balance zwischen hohem Verbraucherschutz einerseits und Chancen für Unternehmen bzw. Start-Ups andererseits

„Für Diensteanbieter und Plattformen ist ein funktionierender Rechtsrahmen, der klare Regeln setzt und der Plattform-Ökonomie dabei weiterhin Entfaltungsspielraum für Innovationen lässt, extrem wichtig“, unterstreicht Dr. Rohleder und führt aus: „Wir brauchen daher einen differenzierten Ansatz, der die Vielfalt an Inhalten und Diensten berücksichtigt.“

Mit der Abstimmung im Europäische Parlament könnten die „Trilog“-Verhandlungen beginnen. Dort werde es darauf ankommen, die Balance zwischen einem hohen Verbraucherschutz durch umfassende Verpflichtungen der Plattformen einerseits und der Förderung europäischer Unternehmen und Start-Ups durch einen angemessenen und verhältnismäßigen Rechtsrahmen andererseits zu wahren.

Diesmal REvil-Rädelsführer tatsächlich verhaftet und Vermögenswerte beschlagnahmt

[datensicherheit.de, 18.01.2022] Auch Lotem Finkelsteen, „Head of Threat Intelligence and Research“ bei Check Point Software Technologies, kommentiert die Verhaftung der „REvil“-Ransomware-Bande in Russland: Diese sei „ein einzigartiges Ereignis in der Geschichte des Internets“ – denn es sei das erste Mal, „dass die US-Regierung mit den russischen Behörden zusammenarbeitet, um Mitglieder einer Ransomware-Gruppe aufzuspüren und zu verhaften“. Etwa ein Jahr nach der Zerschlagung der „Emotet“-Gruppe gebe es aber einige wichtige Unterschiede und eine beunruhigende Ähnlichkeit.

Foto: Check Point

Lotem Finkelsteen: Jede Maßnahme, um solche kriminellen Aktivitäten einzuschränken, ist zu begrüßen…

REvil könnte sich zu einem späteren Zeitpunkt erneut zusammenschließen

Finkelsteen berichtet: „Es wurden diesmal die Rädelsführer tatsächlich verhaftet und Vermögenswerte wie leistungsstarke Autos und große Mengen an Bargeld oder Krypto-Währung beschlagnahmt.“ Man könne jedoch keinen Programmier-Code verhaften.

Er warnt: „Es genügt, wenn ein oder zwei Mitglieder oder Partner der Bande mit den wichtigsten Angriffswerkzeugen entkommen, damit sich ,REvil‘ zu einem späteren Zeitpunkt erneut zusammenschließen kann, möglicherweise in einem anderen Land.“ Man könne nur hoffen, dass dies nicht der Fall sein werde.

Positive Erkenntnis aus REvil-Fall

Die wichtigste positive Erkenntnis aus dieser Situation laute, „dass alle Ransomware-Banden, die dachten, Russland sei ein sicherer Hafen für sie, um ihr bösartiges Handwerk auszuüben, nun nachdenken müssen“. Dies geschehe vor dem Hintergrund der Schließung ähnlicher Ransomware-Banden in der Ukraine.

Es sei sicherlich nicht das Ende von Ransomware, aber jede Maßnahme, die Regierungen durch den Austausch von Informationen ergreifen könnten, um solche kriminellen Aktivitäten einzuschränken, sei zu begrüßen.

Weitere Informationen zum Thema:

datensicherheit.de, 18.01.2022
REvil: Christian Have erwartet weitere Probleme / Zerschlagung der REvil-Gruppe durch den FSB übt indes Druck auf andere Bedrohungsakteure aus

datensicherheit.de, 09.11.2021
REvil-Festnahmen: Bedeutung für die Cyber-Sicherheit / International koordinierte Operation GoldDust gegen mehrere Affiliate-Partner der Ransomware-as-a-Service REvil

Zerschlagung der REvil-Gruppe durch den FSB übt indes Druck auf andere Bedrohungsakteure aus

[datensicherheit.de, 18.01.2022] „Die Malware-Industrie ist riesig. Ihre internen Wirtschafts- und Unternehmensstrukturen ähneln denen eines Fortune-500-Unternehmens, mit bestimmten Rollen, Verantwortlichkeiten und Geschäftszielen“, berichtet Christian Have, „CTO“ bei LogPoint, in seiner aktuellen Stellungnahme. In der Vergangenheit hätten Bedrohungsakteure bis zu einem gewissen Grad isoliert operiert und seien dadurch von polizeilichen und geheimdienstlichen Ermittlungen und Strafen verschont geblieben. Have führt aus: „Die Zerschlagung der ,REvil‘-Gruppe durch den russischen Geheimdienst FSB, womit dieser den USA entgegenkommt, stellt eine bedeutende Veränderung dar und übt Druck auf andere bekannte Bedrohungsakteure aus.“

Foto: LogPoint

Christian Have: Problem mit Ransomware durch hartes Vorgehen gegen Bedrohungsakteure nicht gelöst…

Fragmentierte Bedrohungslandschaft mögliche Folge der REvil-Zerschlagung

Auch wenn es erfreulich sei, dass Cyber-Kriminelle Konsequenzen zögen, werde das Problem mit Ransomware durch ein hartes Vorgehen gegen die Bedrohungsakteure nicht gelöst werden.

„Die Summen im Umlauf sind enorm hoch und Unternehmen zahlen immer noch Lösegeld“, so Have. Es werde also vielmehr ein Prozess gestartet, der eine „fragmentierte Bedrohungslandschaft“ schaffe.

REvil-Gruppe war raffiniert, aber dennoch aufzuspüren

Es sei ein Segen für die Cyber-Sicherheitsbranche gewesen, dass die sehr raffinierten Gruppen immer wieder dieselben Taktiken angewandt hätten, was ihre Aufspürung erleichtert habe. Jetzt drohe dieser Vorteil zu verschwinden.

„Vielleicht gehen Ransomware-Gruppen in Zukunft weniger raffiniert vor, wenn ihr Wirtschaftssystem dezentralisiert wird. Dennoch wird es weitaus mehr Innovationen geben, was Cyber-Sicherheitsexperten im Schutz von Organisationen vor neue Herausforderungen stellen wird“, prognostiziert Have abschließend.

Weitere Informationen zum Thema:

LOGPOINT, Christian Have, 21.07.2021
Im Krieg gegen Ransomware

LOGPOINT, Bhabesh Raj Rai, 25.05.2021
https://www.logpoint.com/de/blog/so-erkennen-sie-die-ransomware-fivehands-in-den-verschiedenen-stadien-der-kill-chain/

datensicherheit.de, 18.01.2022
REvil-Ransomware-Gruppe: Verhaftung in Russland auf Anfrage der USA / Diesmal REvil-Rädelsführer tatsächlich verhaftet und Vermögenswerte beschlagnahmt

datensicherheit.de, 09.11.2021
REvil-Festnahmen: Bedeutung für die Cyber-Sicherheit / International koordinierte Operation GoldDust gegen mehrere Affiliate-Partner der Ransomware-as-a-Service REvil

Netskope Threat Labs veröffentlicht Cloud and Threat Spotlight January 2022

[datensicherheit.de, 13.01.2022] Die Netskope Threat Labs kommen in ihrem aktuellen Bericht „Cloud and Threat Spotlight January 2022“ nach eigenen Angaben zu folgenden Ergebnissen: „Mehr als zwei Drittel der Malware-Downloads im Jahr 2021 stammen von ,Cloud‘-Apps. ,Google Drive‘ wurde dabei als die App mit den meisten Malware-Downloads identifiziert und löst damit ,Microsoft OneDrive‘ ab.“ Zudem habe sich bei den Malware-Downloads 2021 der Anteil der bösartigen „Office“-Dokumente von 19 auf 37 Prozent knapp verdoppelt. Der vorliegende Bericht zeigt demnach „die wichtigsten Trends bei den Aktivitäten von ,Cloud‘-Angreifern und den Risiken für ,Cloud‘-Daten im Jahr 2021 im Vergleich zu 2020“ auf – die Zahlen deuteten auf einen Anstieg der Sicherheitsrisiken bei „Cloud“-Anwendungen hin, zumal auch mehr als die Hälfte aller verwalteten „Cloud“-Anwendungsinstanzen Ziel von „Credential“-Angriffen seien.

Abbildung: Netskope Threat Labs

netskope-Vergleich: Apps mit den meisten Malware-Downloads 2020 (unten) und 2021 (oben)

Aktuelle kritische Trends bei der Nutzung von Cloud-Diensten…

„Netskope Cloud and Threat Spotlight“ sei der neueste Report in einer Reihe regelmäßiger, von den Netskope Threat Labs veröffentlichten Forschungsberichte, um kritische Trends bei der Nutzung von „Cloud“-Diensten und -Apps in Unternehmen, Bedrohungen aus dem Internet und der „Cloud“ sowie Datenmigrationen und -übertragungen aus der „Cloud“ zu analysieren.

Da Mitarbeiter immer häufiger „remote“ arbeiteten und so die Grenzen der Netzwerk- und Datensicherheit zunehmend ausdehnten, müssten Unternehmen moderne Sicherheitskontrollen wie „Security Service Edge“ (SSE)-basierte Architekturen nutzen, „durch die sich ihre Mitarbeiter sicher in der ,Cloud# bewegen können“.

Netskope Cloud and Threat Spotlight – die wichtigsten Ergebnisse:

Malware wesentlich häufiger über Cloud als über Internet verbreitet
„Im Jahr 2021 stieg der Anteil von Malware, die von ,Cloud‘-Apps heruntergeladen wurde, auf 66 Prozent aller Malware-Downloads im Vergleich zu herkömmlichen Websites.“ Anfang 2020 habe der Anteil noch 46 Prozent betragen.

Google Drive mit den meisten Malware-Downloads 2021
Die App und übernehme damit den Spitzenplatz von „Microsoft OneDrive“.

Mittels Microsoft Office über Cloud verbreitete Malware von 2020 bis 2021 fast verdoppelt
Der Anteil bösartiger „Microsoft Office“-Dokumente an allen Malware-Downloads sei von 19 Prozent Anfang 2020 auf 37 Prozent Ende 2021 angestiegen. „Dabei war die ,Emotet‘-Malspam-Kampagne im zweiten Quartal 2020 der Auftakt zu einem kontinuierlichen Anstieg bösartiger ,Microsoft Office‘-Dokumente durch Nachahmungstäter während der letzten eineinhalb Jahre – ohne Anzeichen einer Abschwächung.“

Mehr als Hälfte der verwalteten Cloud-App-Instanzen Ziel von Credential-Angriffen
Angreifer versuchten fortwährend, gängige Passwörter und entwendete Anmeldedaten von anderen Diensten zu nutzen, um Zugang zu sensiblen, in „Cloud“-Anwendungen gespeicherten Informationen zu erhalten. Während das Gesamtniveau der Angriffe konstant geblieben sei, hätten sich die Quellen der Angriffe erheblich verändert: „98 Prozent der Angriffe kamen von neuen IP-Adressen.“

Wachsende Beliebtheit der Cloud-Apps führt zu drei Arten von Missbrauch

„Die zunehmende Beliebtheit von ,Cloud‘-Apps hat zu drei Arten von Missbrauch geführt, die in diesem Bericht aufgezeigt werden: Angreifer, die versuchen, sich Zugang zu ,Cloud‘-Apps von Opfern zu verschaffen, Angreifer, die ,Cloud‘-Apps zur Verbreitung von Malware missbrauchen, und Insider, die ,Cloud‘-Apps zur Daten-Exfiltration nutzen“, erläutert Ray Canzanese, „Threat Research Director“ der Netskope Threat Labs.
Der nun vorliegende Bericht erinnere daran, „dass die Apps, die wir für legitime Zwecke nutzen, angegriffen und missbraucht werden können“. Das Sperren von „Cloud“-Apps könne Angreifer daran hindern, sie zu infiltrieren, während das Scannen auf eingehende Bedrohungen und ausgehende Daten dazu beitragen könne, Malware-Downloads und Daten-Exfiltration zu verhindern.

Weitere Informationen zum Thema:

netskope, Netskope Threat Labs
Threat research for the cloud

Die DSK besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder – ihre Aufgabe ist es, u.a. das Grundrecht auf Informationelle Selbstbestimmung zu wahren und zu schützen

[datensicherheit.de, 13.01.2022] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) übernimmt nach eigenen Angaben im Jahr 2022 den Vorsitz über die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). Inhaltlicher Schwerpunkt seines Vorsitzes wird demnach das Thema „Forschungsdaten“ sein. Weitere Themen im Fokus seien beispielsweise der Einsatz Künstlicher Intelligenz (KI) im Sicherheitsbereich und elektronische Identitäten.

Foto: Bundesregierung/Kugler

BfDI Professor Ulrich Kelber übernimmt den Vorsitz der DSK 2022

DSK steht bereit, Verantwortliche kompetent zu beraten

Der BfDI, Professor Ulrich Kelber, sieht für 2022 viele wichtige Weichenstellungen für den Datenschutz: „Die letzten Jahre haben uns teilweise sehr schmerzlich gezeigt, welche Versäumnisse es bei der Digitalisierung gibt.“ Die „Pandemie“ habe einen ersten Digitalisierungsschub ausgelöst und die neue Bundesregierung habe sich viele Modernisierungsprojekte vorgenommen.

Er betont: „Als Datenschützer sind wir bereit, die Verantwortlichen kompetent zu beraten. Das gilt insbesondere für Themen mit herausragender Bedeutung für die Zukunft unserer Gesellschaft, wie etwa die datenschutzkonforme Bereitstellung und Nutzung von Forschungsdaten.“

Erste DSK-Zwischenkonferenz unter BfDI-Leitung am 27. Januar 2022

Als DSK-Vorsitzender werde der BfDI mit seinen Kollegen außerdem über die Themen „Überwachungsgesamtrechnung“, „Beschäftigtendatenschutz“ und „souveräne Clouds“ diskutieren.

Wegen der „Corona-Pandemie“ werde die erste Zwischenkonferenz unter der Leitung des BfDI am 27. Januar 2022 als virtuelles Format stattfinden. Geplant sei, die weiteren Zwischenkonferenzen 2022 in Berlin auszurichten. Die Hauptkonferenzen sollten am 22. März und am 22. November 2022 am Dienstsitz des BfDI in Bonn stattfinden.

Weitere Informationen zum Thema:

BfDI
Datenschutzkonferenz

[datensicherheit.de, 11.01.2022] „Die Rolle der Datenschutzbeauftragten in den Unternehmen wird im neuen Jahr schwieriger werden“, prognostiziert Detlef Schmuck, Geschäftsführer des deutschen Datendienstes TeamDrive GmbH. Vor allem die breitflächige Nutzung von Software des US-Anbieters Microsoft in der deutschen Wirtschaft stelle ein zunehmendes Problem dar, weil dadurch die Gefahr bestehe, dass personenbezogene Daten in die USA gelangten. Seitdem der Europäische Gerichtshof (EuGH) das transatlantische Datenschutzabkommen „EU-US Privacy Shield“ 2020 für ungültig erklärt hatte, stehe der Datenschutz in weiten Teilen der deutschen Wirtschaft auf „tönernen Füßen“, warnt der TeamDrive-Chef.

Gesetzeskonformer Einsatz gängiger Microsoft-Programme nur möglich, wenn Datenhaltung konsequent nicht in den USA erfolgt

Schmuck erläutert: „Die gängigen Microsoft-Programme wie ,Windows‘, ,Teams‘, ,Office‘ und ,365‘ lassen sich hierzulande nur gesetzeskonform verwenden, wenn die Datenhaltung konsequent aus den USA herausgehalten wird.“
Doch genau dies sei schwierig, weil es hierzu detaillierter Einstellungen bedürfe, insbesondere um den Microsoft-eigenen US-Datendienst „OneCloud“ von den Installationen fernzuhalten.

Microsoft hat bei jedem Update von Programmen Gelegenheit zum Einschleusen von OneCloud

Zudem lasse sich eine dauerhaft gesetzeskonforme Installation nur schwer aufrechterhalten, weil Microsoft mit jedem Update bei jedem Programm die Gelegenheit erhalte, „OneCloud“ neu einzuschleusen oder sonstige Einstellungen zu ändern. So gebe es beispielsweise konkrete Hinweise darauf, dass Microsoft bei Updates von „Windows“ seinen US-Clouddienst immer wieder automatisch einspiele.

Die Datenschutzbeauftragten müssten also kontinuierlich überprüfen, „ob ihre Unternehmen noch gesetzeskonform zur Datenschutz-Grundverordnung arbeiten oder sich möglicherweise durch ein Update oder eine sonstige Änderung ungewollt in die Illegalität begeben haben“ – dies sei kein leichter Job für 2022, so Schmuck.

[datensicherheit.de, 11.01.2022] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) hat nach eigenen Angaben davon Kenntnis erlangt, „dass die Staatsanwaltschaft Mainz zusammen mit der lokalen Polizeibehörde und dem örtlichen Gesundheitsamt über die ,LUCA‘-App erfasste Kontaktdaten von Besuchern einer Mainzer Gastwirtschaft zu Ermittlungszwecken erhoben und genutzt hat“ – es seien umgehend aufsichtsrechtliche Verfahren eingeleitet worden.

Eindeutige Rechtslage zur datenschutzrechtlich unzulässigen Abfrage und Nutzung der LUCA-App-Daten…

Der LfDI RLP möchte demnach insbesondere die Umstände geklärt wissen, welche ungeachtet der eindeutigen Rechtslage zu der „datenschutzrechtlich unzulässigen Abfrage und Nutzung“ der ausschließlich zu Infektionsschutzzwecken erfassten Kontaktdaten geführt haben. Entsprechende Informationsersuchen seien bereits versendet worden.

Hintergrund sei ein Vorfall aus dem November 2021: „Nachdem vor einer Mainzer Gastwirtschaft ein 39-jähriger Mann mit schwersten Kopfverletzungen aufgefunden wurde, ersuchten die zuständigen Strafermittlungsbehörden das Gesundheitsamt um Bereitstellung der über die ,LUCA‘-App von dem Betreiber der Gastwirtschaft zu dem vermuteten Tatzeitpunkt erfassten Kontaktdaten.“

Gesundheitsamt hat Daten übermittelt, welche auf Anfrage vom LUCA-App-Betreiber zur Verfügung gestellt wurden

Das Gesundheitsamt sei dieser Aufforderung nachgekommen und habe die Daten von 21 Personen übermittelt, welche der Behörde auf Anfrage von dem App-Betreiber zur Verfügung gestellt worden seien. Die Betroffenen seien dann von der Polizei kontaktiert und zu dem Vorfall befragt worden. Mittlerweile hätten die beteiligten Behörden die Unzulässigkeit der erfolgten Datenverarbeitung eingeräumt.

„Für mich ist es zunächst einmal besorgniserregend, dass sowohl Staatsanwaltschaft als auch Gesundheitsamt die bereits vor einiger Zeit geänderte Rechtslage im Infektionsschutzgesetz und damit zusammenhängende datenschutzrechtliche Bestimmungen offensichtlich nicht kannten oder sich darüber hinweg gesetzt haben“, so der Kommentar des LfDI RLP, Prof. Dr. Dieter Kugelmann, zu diesem Vorfall.

Vorgehen im LUCA-App-Fall erschüttert Vertrauen der Bürger in Rechtmäßigkeit staatlichen Handelns

Aus § 28a Abs. 4 Satz 3 des Infektionsschutzgesetzes gehe eindeutig hervor, dass zum Zwecke des Infektionsschutzes erfasste Kontaktdaten lediglich zur Kontaktnachverfolgung verarbeitet werden dürften und eine anderen Zwecken dienende Datenverwendung unzulässig sei.

Professor Kugelmann warnt: „Das Vorgehen erschüttert das Vertrauen der Bürger in die Rechtmäßigkeit staatlichen Handelns und ist gerade in Zeiten einer die Gesellschaft als Ganzes herausfordernden ,Pandemie‘ das völlig falsche Signal.“ Er kündigt an, nach Aufklärung des Sachverhaltes die Ausübung sämtlicher ihm datenschutzrechtlich zur Verfügung stehender Befugnisse zu prüfen.