Kategorie: Datenschutz
Datenschutzverletzung und Meldung an die Aufsichtsbehörde
Gerade in den letzten Wochen hat das Thema der Meldung von Verletzungen des Schutzes personenbezogener Daten besondere Aufmerksamkeit erfahren. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits Anfang März bekannt gemacht hatte, konnten Hacker durch die Ausnutzung einer Schwachstelle bei dem Microsoft Produkt „Exchange-Server“ über 10.000 Server angreifen und mit Schadsoftware infizieren. Dabei wurden die Angriffe nicht ausschließlich durch die chinesische Hafnium-Gruppe ausgeführt. Auch andere Angreifer waren auf den Zug aufgesprungen, um die Exploits auszunutzen.
Das große Ganze der Informationspflichten
Die Anforderungen an die Transparenz für die Verarbeitung von personenbezogenen Daten sind in der Datenschutzgrundverordnung (DSGVO) sehr deutlich herausgestellt worden. Dies gilt insbesondere für die Verarbeitungsvorgänge von personenbezogenen Daten und für die Informationspflichten, sofern die Daten bei der betroffenen Person oder bei Dritten erhoben werden.
Heiko Gossen und Markus Zechel nehmen sich diesem Thema an und beleuchten die Anforderungen an die Ausgestaltung der Informationspflichten und die zur Verfügungstellung an die betroffene Person.
Dabei geben Sie Hinweise zu den Anforderungen der präzisen, transparenten, verständlichen und leicht zugänglichen Form und was klare und einfache Sprache bedeutet.
- Wie können die Betroffenen erreicht werden und wann kann ggf. von einer Information abgesehen werden?
- Welche Fallstricke lauern und warum ist das Fehlen von Informationen ein Risiko für den Verantwortlichen?
- Was ist ein Medienbruch und was gilt es dabei zu beachten?
Am Ende gibt es noch Dos and Don’ts zu den Informationspflichten zu den Art. 13 und Art. 14 DSGVO.
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/das-grosse-ganze-der-informationspflichten/
Cybercrime | Uniklinik Düsseldorf – Peter Vahrenhorst im Datenschutz Talk

Das Thema „Cybercrime“ ist auch nach der teilweisen Zerschlagung des Emotet-Netzwerks nach wie vor hoch aktuell. Heiko Gossen spricht in dieser spannenden Themenfolge mit Peter Vahrenhorst, Kriminalhauptkommissar beim Landeskriminalamt Nordrhein-Westfalen (LKA NRW) über die Arbeit der Polizei in Fällen des Cybercrime im Allgemeinen sowie den Fall am Uniklinikum Düsseldorf im Herbst 2020 im Speziellen.
Vorstellung Peter Vahrenhorst, LKA NRW | 1:32.499 |
Sensibilisierung der Jugend | 4:05.477 |
Auswirkung der Ausschaltung von Emotet in den Fallzahlen | 6:44.730 |
Anzeige ja oder nein? | 13:09.004 |
Der Fall Uniklinik Düsseldorf (UKD) | 18:14.311 |
UKD: Wann war die Kompromittierung | 28:18.547 |
Detektieren – aber was? | 30:19.746 |
Backups | 32:49.981 |
Datenschutz vs. Security | 35:07.237 |
Lösegeldzahlung kann eine Option sein | 37:04.697 |
Drohung mit Veröffentlichung als Weiterentwicklung des Geschäftsmodells | 40:43.339 |
Segmentierung von Datenbeständen | 44:16.263 |
Kosten eines Hackerangriffs | 45:53.706 |
Wie arbeiten die verschiedenen Behörden zusammen? | 49:24.650 |
An welche Stelle sollte ich mich wenden? | 53:20.009 |
Kontaktstellen | 56:34.456 |
Schlussplädoyer | 59:28.886 |
Übersicht der Zentrale Ansprechstellen Cybercrime der Polizeien für Wirtschaftsunternehmen
https://www.polizei.de/Polizei/DE/Einrichtungen/ZAC/zac_node.html
Links zu den Onlinewachen bzw. zu den Kontaktdaten der Landespolizeien
https://www.bka.de/DE/KontaktAufnehmen/Onlinewachen/onlinewachen_node.html
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Deep Dive Privacy by Design – Marit Hansen im Datenschutz Talk

Das Thema „Datenschutz durch Technikgestaltung“, wie es in der deutschen Übersetzung der DSGVO heißt, ist für viele betriebliche Datenschutzbeauftragte ein mitunter schwer zu greifender Artikel 25 der Datenschutzgrundverordnung. Daher hat Heiko Gossen in dieser Folge Marit Hansen, Landesbeauftragte für Datenschutz in Schleswig-Holstein und Leiterin der Unabhängigen Landeszentrum für Datenschutz eingeladen. Die etwas schlechtere Tonqualität bitten wir zu entschuldigen, aber wir konnte ein technisches Problem nicht in der Kurzfristigkeit lösen.
Marit Hansen hat sich schon lange vor der EU-DSGVO mit den Fragen der Technikgestaltung und sogenannten PETs (Privacy Enhancing Technologies) beschäftigt und viele Vorträge zu dem Thema gehalten.
Die beiden gehen in dieser Folge u.a. den Fragen nach, ob die deutsche Übersetzung das Thema evtl. fälschlicherweise auf die „Technik“ verkürzt und ob „Datenschutz durch (Technik-)Gestaltung“ nicht auch Datenschutzmanagement bedeutet. Weiterhin geht es um die praktische Relevanz im Unternehmen und wie Datenschutzbeauftragte in den Fachbereichen zu den damit verbundenenn Anforderungen sinnvoll beraten können. Wir schauen aber auch auf das Thema Zertifizierung, das Standard-Datenschutzmodell (SDM) sowie auf die Erwartungen der Datenschutzaufsichtsbehörden bei dem Thema „Privacy by Design“.
Außerdem hat Frau Hansen einige Empfehlungen für weitergehende Literatur ausgesprochen:
- Guidelines 4/2019 on Article 25 Data Protection by Design and by Default des Europäischen Datenschutz-Ausschusses (EDSA/EDPB)
- Verschiedene Veröffentlichungen der ENISA, u.a. zu Data Protection Engineering, Data Protection by Design, Data Protection by Default, mehrere zu Pseudonymisierung
- Das Standard Datenschutzmodell
- https://privacypatterns.org/
- Privacy Design Strategies von Jaap-Henk Hoepman
Gliederung:
00:00:00 Begrüßung Marit Hansen vom ULD in Schleswig-Holstein
00:02:09 Datenschutz durch TECHNIK-Gestaltung?
00:06:28 Privacy by design = Datenschutzmanagementsystem?
00:14:37 Privacy by Design in der betrieblichen Praxis
00:33:39 Erwartungen der Aufsichtsbehörden
00:39:35 Corona Warn-App und Privacy by Design
00:43:31 Artikel 25 spricht gegen Hintertüren
00:44:08 Datenschutz und Vertrauen – oder lieber Misstrauen vermeiden
00:48:48 Wann kommen DSGVO-Zertifizierungen?
00:52:50 Datenschutzmanagement nach Art. 42 DSGVO zertifzieren
00:59:59 Literaturempfehlungen
01:04:28 Nicht warten, bis alles fertig ist
Das 1&1-Bußgeldverfahren – Dr. Gerd Kiparski im Datenschutz Talk

Heiko Gossen spricht in dieser Folge mit Dr. Gerd Kiparski über die Details, Hintergründe und Learnings aus dem Bußgeldverfahren der 1&1 Drillisch AG gegen den Bundesbeauftragten für Datenschutz.
Dr. Kiparski schildert u.a sehr eindrücklich, warum man so ein Strafverfahren nicht unbedingt mitmachen muss. Wir sprechen über Risikomanagement, Maßnahmen zur Authentifizierung an der Kunden-Hotline, Einführung einer Service PIN und was so ein Bußgeldbescheid im Unternehmen auslöst. Wir gehen im Detail darauf ein, wie heute eine datenschutzkonforme Authentifizierung von Anrufern an der Hotline aussehen kann und welche Herausforderungen differenzierte Regelungen für verschiedene Anliegen des Kunden mit sich bringen.
Der Sachverhalt stellte sich grob so dar:
Die ehemalige Lebensgefährtin eines Kunden ruft an und erklärt, die offene Forderung des Kunden begleichen zu wollen. Da es keine „Berechtigtenliste“ gab und die Anruferin alle Daten zur Legitimation (Namen und Geburtsdatum) nennen konnte, wurde angenommen, dass sie berechtigt ist. Im Verlauf des Gesprächs hat die Anruferin dann auch die neue Telefonnummer ihres Ex-Partner erfahren und ihn daraufhin belästigt. Der Kunde erstattete Anzeige bei der Polizei, diese hat das Verfahren dann an den Bundesbeauftragten für Datenschutz abgegeben.
Wir gehen in dem 50-minütigen Gespräch unter anderem den Fragen nach:
- Welche Herausforderungen gab es im gerichtlichen Verfahren
- Welche Maßnahmen wurden seitens 1&1 umgesetzt?
- Was sind „angemessene“ Maßnahmen?
- Warum ist Dokumentation so wichtig?
- Was lernen Sie, was kann man aus dem Verfahren lernen?
- Was heißt das für das Bußgeld-Berechnungskonzept der Aufsichtsbehörden?
- Hat der Betroffene auch Schadensersatz gefordert?
- Wurde gegen die Anruferin auch ermittelt?
Die vollständige Urteilsbegründung ist hier abrufbar: https://openjur.de/u/2310641.html
Pressemitteilung des BfDI: https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/28_Urteil-1und1.html
Pressemitteilung 1&1: https://newsroom.1und1.de/2020/11/11/urteil-im-verfahren-von-11-gegen-datenschutzbehoerde-gericht-reduziert-bussgeld-um-90-prozent/
Starke Authentisierung statt Passwortwechsel
Heute, am 01. Februar, ist der „Ändere dein Passwort“-Tag. Wir erläutern, warum dieser Tag kaum noch Existenzberechtigung hat. Außerdem erläutern wir verschiedene für Endanwender praktikable Authentisierungsmethoden samt ihren Vor- und Nachteilen und geben Tipps für eine einfache und trotzdem sichere Authentisierung.
Clubhouse – oder – jedes Ding hat (mindestens) zwei Seiten
Was hat es auf sich mit diesem neuen Social-Media-Format? „Hot“ oder „Schrott“? Wenn Sie uns dieses saloppe Zitat verzeihen!
Die Antwort ist, wie so häufig, schwieriger als die Frage.
Mobile Security – Danijel Stanic und Martin Cygan im Datenschutz Talk


Mobile Security ist in der betrieblichen Praxis gerade für klein- und mittelständische Unternehmen oft noch eine Herausforderung. Die Herausforderungen durch die Corona-Pandemie und das verstärkte Arbeiten aus dem Homeoffice heraus haben das nicht einfacher gemacht. Grund genug für Heiko Gossen, sich zwei Experten in den Datenschutz Talk einzuladen: Danijel Stanic und Martin Cygan.
Die beiden betreiben seit kurzem selbst einen Video- und Podcast zum Thema Mobility. In der Folge klären wir nicht nur, warum die beiden Experten für das Thema sind. Wir klären auch, warum das Thema nach wie vor wichtig ist, warum Bring your own Device (BYOD) ohne weitere Schutzmaßnahmen eine schlechte Idee ist und worauf man bei dem Thema „mobile security“ besonders achten sollte. Dabei ist es egal, ob man das Kind Mobile Device Management (MDM) oder Enterprise Mobility Management (EMM) nennt.
Die Videochannel von Martin und Danijel findet ihr hier: https://www.youtube.com/channel/UCulQ4ToAYG6nmRUf0rH9_4Q
Den dazu gehörigen Podcast findet ihr hier: https://mobiletalk.letscast.fm/
Weitere hilfreiche Dokumente zum Thema gibt es beim BSI:
Blog-Beitrag von Danijel zum Thema: https://danijelstanic.blogspot.com/2020/02/die-europaische-datenschutzgrundverordn.html
Guidelines des Europ. Datenschutzbeauftragten: https://edps.europa.eu/sites/edp/files/publication/15-12-17_mobile_devices_en.pdf
Profiling: SCHUFA testet neues Scoring
Die Wirtschaftsauskunftei SCHUFA (SCHUFA Holding AG) hat in einer Pressemitteilung am 16. November 2020 über erweitere Optionen im Rahmen der Bonitätsprüfung berichtet.
Computer Security Day – IT-Sicherheit für Zuhause
Heute, am 30. November, ist Computer Security Day, also Tag der Computersicherheit.
Wie es der Zufall will, ist heute auch ein anderer unkonventioneller Feiertag, der auf seine ganz eigene Art gleichermaßen gut in unsere Zeit passt: der „Stay Home Because You’re Well Day“.
Wir nehmen das Zusammenfallen dieser beiden Feiertage zum Anlass, einen Blick auf technische Schutzmaßnahmen für die Informationssicherheit im Homeoffice zu werfen.