abakus it AG Newsletter Hero Datenschutzbrief

Datenschutzbrief – Newsletter Nr. 03/2021

In Art.4 der DSGVO finden sich diverse Fachbegriffe, die wir in unseren täglichen Beratungsgesprächen zur DSGVO übernommen haben. Ganz vorne: Die „Verantwortlichen“, die über Mittel und Zweck der Verarbeitung von personenbezogenen Daten entscheiden, dessen Auftragsverarbeiter und die betroffene Person(en), für die Schutzziele beschrieben sind.

Führt nun ein Datenschutzvorfall dazu, dass eine Meldung an die Aufsichtsbehörde erfolgt, und verhängt diese ein Bußgeld, so stellt sich die Frage: Wer trägt als „Verantwortlicher“ laut DSGVO nun wirklich die Verantwortung.

Im Bußgeldverfahren gegen die börsennotierte Wohnungsgesellschaft Deutsche Wohnen SE hat das Landgericht Berlin den Bußgeldbescheid am 18.02.2021 aufgehoben.

In ihrer Begründung wies das Gericht darauf hin, dass die Aufsichtsbehörde das Bußgeld gegen die Deutsche Wohnen SE als juristische Person richtete. Aus dem Beschluss zur Aufhebung geht hervor, dass Bußgeldverfahren nur gegen Organmitglieder oder Repräsentanten – also natürliche Personen – eingeleitet werden dürfen. Die Firma selbst steht im Bußgeldverfahren nur als Nebenbeteiligte.

Auch wenn die letzte Instanz in diesem Verfahren noch aussteht, so zeigt dieser Vorfall: Es sind nicht die Firmen, die zur Verantwortung gezogen werden, sondern hier sind es die Vor- stände und Geschäftsführer, als handelnde Organe der Unternehmen, die Empfänger eines Bußgeldbescheides werden.

Haben Sie Fragen, bitte melden Sie sich gerne.

Ihr Franz Obermayer
Complimant AG

https://www.datenschutz- berlin.de/fileadmin/user_upload/pdf/ pressemitteilungen/2021/20210303-PM-Deutsche_Wohnen.pdf

Hackerangriff auf Microsoft Exchange Server

In den vergangenen Wochen fanden erneut gezielte Hacker- Angriffe auf die Software von lokalen Microsoft Exchange Servern statt. Die Bedrohungssicherheitsabteilung untersuchte den von ihnen benann- ten Angriff HAFNIUM und stellte für seine Kunden Sicherheitsupdates zum Download bereit, zusammen mit detaillierten informationstechni- schen Informationen für die Systembetreuer.

Laut Microsoft war eine Sicherheitslücke dafür verantwortlich, dass der HAFNIUM Zugriff auf die Exchange-Server möglich war. Dabei galt der Angriff in erster Linie Organisationen, die im Kampf gegen die Pandemie tätig sind. Die Cloud-Variante von Exchange blieb davon unbeschadet.

Im Anschluss an die Pressemitteilung hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die IT- Bedrohungslage auf die Stufe 4/Rot gesetzt und in ihrem Schreiben auf notwendige Sicherheitsupdates hingewiesen.

Das Ziel dieses Hackerangriffs ist es, E-Mails auszulesen, beliebige Dateien auf dem Exchange-Server (oder auf Freigaben mit der Identität des System-Benutzers) zu schreiben und eigenen Code im Kontext des System-Benutzers auszuführen.

Sollten Sie davon betroffen sein, rät das BSI dringend die erforderlichen Updates auszuführen, hierfür sollten Unternehmen, die einen Microsoft Exchange Server nutzen, ihren IT-Dienstleister kontaktieren. Microsoft bietet seinen Kunden Unterstützung bei der Aktualisierung ihrer Exchange Server an.

Das BSI hat eine Übersicht verschiedener Methoden bereitgestellt, um einen vorhandenen Angriff auf den Exchange Server zu erkennen. Bei einem positiven Ergebnis darf davon ausgegangen werden, dass eine Kompromittierung der Daten durch den HAFNIUM Angriff stattgefunden hat.

Sollten Sie von diesem Angriff betroffen sein, kontaktieren Sie ihren Datenschutzbeauftragten, um eine Meldung an die Aufsichtsbehörde aufgrund einer möglichen Datenpanne einzureichen.

https://news.microsoft.com/de-de/hafnium-sicherheitsupdate-zum-schutz-vor-neuem- nationalstaatlichem-angreifer-verfuegbar, https://www.bsi.bund.de/SharedDocs/Downloads/DE/ BSI/Cyber-Sicherheit/Vorfaelle/Exchange-Schwachstellen- 2021/MSExchange_Schwachstelle_ Detektion_Reaktion.pdf?__blob=publicationFile&v=1

Corona-Tests im Unternehmen

Einige Firmen haben bereits angefangen ihre Belegschaft auf CO- VID-19 zu testen, um den eigenen Betrieb aufrechthalten zu können. Welche Maßnahmen sind zum Thema Datenschutz zu beachten?

Eine konkrete Aussage der Aufsichtsbehörde hierzu gibt es noch nicht, dennoch gibt es angelehnt an die DSGVO folgendes zu beachten:

Die Durchführung eines Corona-Tests sollte in jedem Fall freiwillig stattfinden. Wird der Test vom Mitarbeiter verweigert und zieht der Arbeitgeber zum Schutz der Belegschaft Konsequenzen (z. B. Zutrittsverbot), muss dem Mitarbeiter eine Alternative geboten werden, um seiner Ver- pflichtung aus dem Arbeitsvertrag nachkommen zu können (z. B. Home-Office).

Es muss ein Konzept erarbeitet werden, wie lange die Daten aussagekräftig sind und daher gespeichert werden dürfen. Die Löschung dieser Testdaten muss dann sichergestellt sein. Die Ergebnisse unterliegen als medizinische Daten selbstverständlich der Schweigepflicht.

Dieser Vorgang des Testens der Belegschaft auf Corona gilt als Datenverarbeitung und muss somit als Verfahren in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden.

https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/ GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html

© Photo by Daniel Leone on Unsplash