Das "neue" Outlook für den Desktop von Microsoft (als Nachfolger der "klassischen" Version) zieht nicht nur die Zugangsdaten aller eingerichteten Mailkonten ab, sondern "spiegelt" die Inhalte in die Microsoft Cloud. Microsoft äußert sich dazu nur nebulös, was damit bezweckt werden soll. Datenschutz schlagen Alarm. Der Landesdatenschutzbeauftragte Thüringen warnte am 17.11.2023 in einer offiziellen Pressemeldung.
Wie eine Komfort-Funktion von Fritz!Fon und Fritz!Box das interne WLAN durch Anzeige der Zugangsdaten im Klartext für Besucher schwächen. Es gibt Abhilfe. Diese ist aber nur suboptimal dokumentiert. Wo das Problem liegt und wie Sie es lösen können, beschreiben wir in diesem Blogbeitrag.
Checkliste Datenschutz (und Informationssicherheit) im Home-Office. Zwei kostenfreie Checklisten zur Überprüfung der Anforderungen aus Sicht des Arbeitgebers und des Arbeitnehmers. Nachdem Corona gerade etwas Pause macht, schadet es nichts, die vorhandenen technischen und organisatorischen Maßnahmen zu überprüfen. Bei Bedarf nachjustieren bzw. noch fehlende Schutzmaßnahmen einführen. Have fun
Big Brother Awards 2020: Einblick in Funktion und Motivationen der Big Brother Awards, Inhalte und Preisträger des vorigen Jahres. Die Preisverleihung findet nicht wie geplant am 30.04.2020 statt und wird verschoben. Mehr Informationen u.a. auch zu den Preisträgern aus 2019 und warum diese ausgewählt wurden.
Smart Home klingt erst mal nur nach Vernetzung im Privathaushalt. In Wirklichkeit aber bringt Smart Home auch Risiken für geschäftliche Daten mit sich. Gerade jetzt in Zeiten vermehrter Nutzung von Home-Office. Daher ist Smart Home mittlerweile nicht immer reine Privatsache. Welche Risiken sich ergeben können und was es zu beachten gilt, lesen Sie im Blogbeitrag.
Neugierig, was von deutschen oder italienischen Datenschutzbehörden an Bußgeldern aus der DSGVO verhängt wurden? Welche Firma für welchen Verstoß wieviel bezahlen soll? Dann gibt es jetzt hierzu ein übersichtliches und gut gepflegtes Online-Portal. Damit lassen sich für interne und externe Datenschutzbeauftragten als letztes Mittel gute Argumentationshilfen finden, warum sich eine Organisation doch des Themas Datenschutz annehmen sollte und was ganz schnell alles schief gehen kann. Mehr Infos zum Portal und Link im Blogbeitrag.
Das NIST hat seine 14 Jahre alten (und leider falschen) Empfehlungen zur Passwort-Sicherheit überarbeitet. Der damalige Verfasser bekennt gegenüber der Washington Post: "Die Wahrheit ist: Ich war auf dem falschen Dampfer." Seine Empfehlungen finden sich noch heute in den verschiedensten Sicherheitsstandards. Täglich kosten Sie Zeit und Nerven der Endanwender. Passwörter müssen Sonderzeichen enthalten und alle 90 Tage gewechselt werden, hieß es bisher. Obwohl sich diese Annahme schon lange als fehlerhaft erwiesen hat (siehe auch unsere Blogbeiträge dazu), wurde und wird seitens der Verantwortlichen an diesen starren Passwort-Regelungen festgehalten. Sicherheit wurde hierdurch jedoch keine geschaffen. Daher hat das NIST seine Passwort-Empfehlungen endlich überarbeitet und an die wirkliche Bedrohungslage angepasst. Und welch Freude: Sogar das BSI lenkt in 2020 endlich ein plant eine Anpassung des Bausteins ORP.4 .Wie nutzerfreundliche und sichere Passwort-Richtlinien aussehen können, lesen Sie in unserem Blogbeitrag. Gerne dürfen Sie diesen teilen :-)
Art. 32 DSGVO geht eigentlich nur mit einem Informationssicherheitskonzept zu erfüllen. Für kleine Einrichtungen (Kommune und Unternehmen) eignet sich die "Arbeitshilfe" aus Bayern. Jetzt in Version 3.0 am Start. Für kommunale Einrichtungen stehen die Anpassungen zum Erhalt des LSI Siegels "Kommunale IT-Sicherheit" im Vordergrund. a.s.k. Datenschutz hat wie bereits wie die Vorgängerversionen der Arbeitshilfe auch die Version 3.0 im Auftrag der Innovationsstiftung Bayerische Kommune und der Bayerischen Kommunalen Spitzenverbände weiterentwickelt. Die Arbeitshilfe kann sowohl von Kommunen als auch Unternehmen kostenfrei genutzt werde. Mehr Details und Download-Link im Blogbeitrag.
Neue Angriffe über Bewerbungen per Email: Ransomware GermanWiper löscht alle Daten statt sie zu verschlüsseln. Das BSI warnt in seinen CERT-Meldungen. Weitere Infos zur Funktionsweise sowie möglichen Schutzmaßnahmen im Blogbeitrag.
Die Unionsparteien lassen sich feiern. Von Wegfall der Bürokratie im Datenschutz für kleine Betriebe und Vereine ist die Rede. Das Thema Datenschutz sei jetzt viel einfacher und weniger aufwändig für eine Vielzahl von Betrieben und Vereinen. Anlass ist die Verabschiedung eines Anpassungsgesetzes mit notwendigen Korrekturen in 154 nationalen Gesetzen im Bundestag am vergangenen Freitag, zu nächtlicher Unzeit. Und es stimmt, eine Anpassung zahlreicher nationaler Gesetze und Regelungen war durch die DSGVO aus Mai 2018 notwendig geworden. Doch was aktuell in verschiedenen Medien als Erfolg für den Abbau von Bürokratie gefeiert wird, allen voran bei Handwerkskammern und Vereinen, das entbehrt einer Grundlage. Noch dazu zeugt es davon, dass die Beteiligten, das Thema Datenschutz und die rechtlichen Anforderungen nicht ganz umrissen haben.
Zukünftig soll die Grenze nicht mehr 10 Mitarbeiter, sondern 20 Mitarbeiter betragen, die mit der Verarbeitung personenbezogener Daten befasst sind und somit die Bestellpflicht für einen Datenschutzbeauftragten ausgelöst wird.
Es gibt viel Verbesserungspotential im Bereich Datenschutz, gar keine Frage. Einheitliche und praxisnahe Auslegungen seitens der Landesdatenschutzbehörden hätten enormes Potential, auch die Akzeptanz des Themas Datenschutz generell zu erhöhen. Hier kann der Gesetzgeber jedoch nicht regelnd eingreifen, außer man würde die Landesdatenschutzbehörden auflösen und in einer zentralen Organisation des Bundes zusammenfassen. Stattdessen wird nun in kleinen Schiffen und Booten der Lotse von Bord geschickt. Die Zukunft wird zeigen, ob die gewünschte Entbürokratisierung damit Einzug hält. Es steht nicht zu vermuten.
Alle Details und Hintergründe zur im Blogbeitrag
Forscher haben eine Angriffstechnik über Microsofts Power Query entdeckt (externer Link), die sogar ohne Zutun des Anwenders nach dem Öffnen eines präparierten Excel-Sheets Schadcode nachlädt und ausführt. Betroffen sind Excel 2016, Excel 2019 und alle älteren Versionen, in denen Power Query als Add-In nachträglich installiert wurde. Aktuell soll dieses Angriffszenario noch nicht ausgenutzt werden, Angriffe sind noch keine bekannt. Zeit genug, sich dagegen zu wappnen. Eine Möglichkeit besteht darin, Power Query komplett zu deaktivieren (Registry). Weitere Schutzmaßnahmen beschreibt Microsoft im Security Advisory 4053440. Weitere Details und Link zum Microsoft Security Advisory 4053440 finden Sie im Blogbeitrag.
Emotet ist zur Zeit in aller Munde: Wer schon immer mal prüfen wollte, wie der eigene Mailserver auf risikoreiche Datei-Anhänge reagiert, kann dies mit einem Service von Heise nun testen. Zur Auswahl stehen verschiedene Arten von Bedrohungen, die man sich an die eigene Mail-Adresse schicken lassen kann. Doch Vorsicht: Bei dienstlich oder geschäftlich genutzten Email-Adressen sollten Sie das nicht ohne Rücksprache mit Ihrer IT machen. Mehr Infos und den Link zum Versand der Test-Emails im Blogbeitrag.
Microsoft meldet eine aktuelle Bedrohung mit Schwerpunkt Europa über eine ältere Schwachstelle CVE-2017-1182 in Microsoft Office. Ein präpariertes RTF Dokument infiziert das System mit einem Backdoor-Trojaner.
Die DSGVO Schonfristen sind endgültig vorbei. 8 erste Tipps, um Ihre Organisation fit für das Thema Datenschutz zu machen: VVT, DSB, Einwilligung, Meldepflicht, Datenpannen
Keine Email-Werbung ohne schriftliche Einwilligung. Oder gibt es doch Ausnahmen im Gesetz gegen den unlauteren Wettbewerb (UWG) und Datenschutz? Ja, es gibt genau eine Ausnahme. Bei dieser müssen zahlreiche Bedingungen ALLE und GLEICHZEITIG erfüllt sein. Ein Merkblatt des Landesdatenschutzbeauftragten Baden-Württemberg dient Verbrauchern bei der Wahrnehmung ihrer Rechte gegen unlauter werbende Unternehmen. Im Umkehrschluss kann jeder Werbetreibende in diesem Merkblatt nachlesen, wie es richtig geht. Mehr im Blogbeitrag
Personalausweis kopieren oder als Pfand einbehalten? In vielen Branchen üblich, doch nur in sehr wenigen Branchen und Fällen gesetzlich erlaubt. Wieso Sie nicht einfach einen Personalausweis kopieren oder als Pfand einbehalten dürfen, erklären wir im Blogbeitrag.
Hype um Abmahnrisiko für private Whatsapp-Nutzer. Risiko eher gering. Doch der Einsatz von Whatsapp in Unternehmen oder Behörden kann teure Konsequenzen haben. Das ist jedoch nichts Neues. Wer meint, die kürzlich eingeführte Ende-zu-Ende-Verschlüsselung löst die datenschutzrechtlichen Probleme, der irrt. Fazit daher: Finger weg von Whatsapp im geschäftlichen und behördlichen Umfeld! Mehr dazu im kompletten Blogbeitrag
Bayerisches Unternehmen kassiert Bußgeld, weil IT-Manager gleichzeitig als Datenschutzbeauftragter bestellt war. "Eine derart exponierte Position im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen ist in aller Regel unvereinbar mit den Aufgaben eines Datenschutzbeauftragten", so das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach. Lesen Sie alle Hintergründe zum Thema Bestellpflicht, Interessenskonflikt und Lösung mittels externem Datenschutzbeauftragten in unserem Blog.
Meistgelesen
Checkliste TOM Auftragsverarbeitung nach Art. 28 + 32 DSGVO — technische und organisatorische Maßnahmen 
Informationspflichten bei Erhebung personenbezogener Daten im Zuge der Corona-Pandemie – ein kostenloses Muster 
Rechnung per Email versenden und der Datenschutz 
Tipp: Microsoft Analytics “MyAnalytics” in Office 365 deaktivieren 
Checkliste Prüfung Technische und Organisatorische Maßnahmen (TOM) aktualisiert
Partner / Kooperationen
Anwaltskanzlei Diercks, Hamburg
Spirit Legal Rechtsanwälte, Leipzig
RA Stephan Hansen-Oest, Flensburg
Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München
Gesellschaft für kommunalen Datenschutz (GKDS), München
Datenschutz Schmidt (Datenschutz Assistent), Lauf a.d. Pegnitz
Hahn IT Services, Schwaig
Mitgliedschaften
