Sicherheitslücken bei Microsoft Exchange-Mail-Servern

in unserem aktuellen Newsletter möchten wir Sie über nachfolgend aktuelles Thema zum Datenschutz informieren: Sicherheitslücken bei Microsoft Exchange-Mail-Servern.

Das BayLDA empfiehlt: Patchen, prüfen, melden! Jedoch keine Datenschutzmeldepflicht bei bloßer Microsoft Exchange Server-Kompromittierung sofern keine personenbezogenen Daten übermittelt wurden.

Die aktuelle Pressemitteilung des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellt klar: Die neu bekannt gewordenen Schwachstellen in Microsoft Exchange-Mail-Servern betreffen auch eine Vielzahl deutscher Firmen.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in diesem Zusammenhang eine Ad-hoc-Online-Untersuchung durchgeführt. Dabei wurde alleine im ersten Prüflauf festgestellt, dass eine dreistellige Zahl von Unternehmen identifiziert und deren Systeme auch mehrere Tage nach den ersten Sicherheitswarnungen weiterhin akut gefährdet sind.

BayLDA-Präsident Will: „Wir sehen mit großer Sorge, dass trotz eindringlicher Warnungen durch die Sicherheitsbehörden und sofortiger Hilfestellungen durch Microsoft immer noch verwundbare Mail-Server im Netz zu finden sind. Für die von uns identifizierten Unternehmen besteht jetzt akuter Handlungsbedarf. Die betroffenen Systeme müssen umgehend gepatcht und dann umfassend überprüft werden. Für Unternehmen, die bis jetzt untätig geblieben sind, gehen wir von einer meldepflichtigen Datenschutzverletzung aus.“

Soll Ihr Exchange Server von uns auf eine Kompromittierung geprüft werden?
Benötigen Sie technische Unterstützung?

Dann kontaktieren Sie uns unter: 0351 266 23 30

Die Pressemitteilung finden Sie hier:
https://lda.bayern.de/media/pm/pm2021_01.pdf

FAQ: Sicherheitslücken bei Microsoft Exchange-Mail-Servern:
https://www.lda.bayern.de/de/thema_exchange_sicherheitsluecke.html

Die BSI-Cyber-Sicherheitswarnung finden Sie hier:
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2021/2021-197772-1132.pdf?__blob=publicationFile&v=10

Bei einem Vorfall ohne ermittelten Datenabfluss muss die zuständige Datenschutzaufsichtsbehörde in der Regel nicht informiert werden. So schreibt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit heute: „Dieser Zustand [der Zustand der Kompromittierung] alleine wird bei uns noch nicht als meldepflichtig angesehen, er löst aber eine Pflicht aus, genauere Untersuchungen vorzunehmen. Wenn diese professionell und erforderlichenfalls unter Hinzuziehung externen Sachverstands durchgeführt wurden, keine Hinweise auf eine missbräuchliche Datenverwendung gefunden wurden und die Sicherheitslücke geschlossen wurde, besteht keine Meldepflicht. Wenn Hinweise gefunden wurden – z.B. eine Web-Shell oder auffällige Datenflüsse – dann ist das zu melden. Die Meldefrist beginnt in dem Moment, in dem diese Auffälligkeiten entdeckt wurden.“ Das Bayerische Landesamt für Datenschutzaufsicht, Aufsicht für bayerische Unternehmen, nimmt allerdings unabhängig vom Datenabfluss einen Meldepflicht an, wenn das jeweilige Unternehmen bis heute keine Sicherheitsupdates eingespielt hat.

BfDI gegen populistische Debatten um Datenschutz

In Talkshows sind sich die Gäste schnell einig: Datenschutz behindert die Bekämpfung der Corona-Pandemie. Doch einer sieht das anders: Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI).
Im aktuellen Standpunkt für den Tagesspiegel Background argumentiert er vehement für den Datenschutz und gegen populistische Debatten.

„Nicht der Datenschutz ist Hemmschuh, sondern die Art und Weise, wie wir darüber streiten“, betont der oberste Datenschützer in dem Artikel.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/bfdI_gegen_populistische_debatten_um_datenschutz.pdf

So gehen Beschäftigte mit „aufgedrängten Daten“ um

Will ein Unternehmen personenbezogene Daten erheben, erhält es oft Informationen, die über die abgefragten Daten hinausgehen. Denkbar ist auch, dass Kunden oder Mitarbeiter ungefragt personenbezogene Daten übermitteln. Was tun mit solchen Daten?

Vor dem Hintergrund des Grundsatzes der Datensparsamkeit, aber auch angesichts der Rechtsfolgen einer Datenverarbeitung, beispielsweise hinsichtlich etwaiger Informationspflichten, ist es für die Verantwortlichen wichtig, den Umgang mit einer solchen „aufgedrängten Verarbeitung“ zu regeln. Und darüber hinaus gilt es, die Beschäftigten dafür zu sensibilisieren, wie sie mit solchen Daten korrekt umzugehen haben.

Lesen Sie mehr unter:
https://datenschutz.prodatis.com/downloads/so_gehen_beschaeftigte_mit_aufgedraengten_daten_um.pdf

Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten für das Jahr 2019

Der zweite Tätigkeitsbericht im Zeitalter der Europäischen Datenschutzgrundverordnung (DSGVO) des Sächsischen Datenschutzbeauftragten ist veröffentlicht. Schwerpunkte der Tätigkeit des Datenschutzbeauftragten waren allgemeine Beratungen zur DSGVO sowie Bearbeiten von Beschwerden durch Betroffenen, Bearbeitung von Meldungen zu Datenpannen in Unternehmen und Verwaltung, Verarbeitungen auf Basis von Einwilligungen und Prüfung von Videoüberwachungen.

Der Tätigkeitsbericht ist nach Themenbereichen übersichtlich aufgebaut und gibt eine wertvolle Orientierung zum Umgang mit den unterschiedlichsten Datenschutzaspekten in Unternehmen und öffentlichen Einrichtungen.

Hier finden Sie den Tätigkeitsbericht des Sächsischen Datenschutzbeauftragten 2019
https://datenschutz.prodatis.com/downloads/taetigkeitsbericht_2019.pdf

Hier finden Sie die Informationen des Sächsischen Datenschutzbeauftragten zum Tätigkeitsbericht:
https://datenschutz.prodatis.com/downloads/handout_zur_veroeffentlichung_2019.pdf

15-Kilometer-Regel: Handyüberwachung abgelehnt

Datenschützer und Politiker vieler Parteien sind empört über einen Vorschlag des Gemeindetagspräsidenten Uwe Brandl. Er hatte eine Handyüberwachung vorgeschlagen, um die Einhaltung der 15-Kilometer-Regel in Pandemie-Hotspots zu kontrollieren.

Der Bundesdatenschutzbeauftragte Professor Ulrich Kelber lehnt Brandls Vorschlag strikt ab und macht klar: „Das ist keine Lösung. GPS-Daten können noch nicht mal zwischen Tiefgarage und viertem Stock in einem Haus unterscheiden.“ Auch eine Funkzellenabfrage zeige nicht verlässlich an, in welcher Straße eine Person gewesen sei.

Lesen Sie mehr unter:
http://datenschutz.prodatis.com/downloads/15_kilometer_regel_handyueberwachung_abgelehnt.pdf

Wie lässt sich die Einwilligung eines Kunden nachweisen?

Manchmal bestätigt ein Urteil schlicht das, was man „eigentlich“ schon wusste. Aber gerade darin kann sein besonderer Wert liegen – vor allem, wenn der Europäische Gerichtshof (EuGH) entschieden hat. Der Fall, um den es geht, stammt aus Rumänien. Er könnte sich aber überall in der EU abspielen. Der EuGH nimmt ihn zum Anlass, das Thema „Einwilligung“ genau unter die Lupe zu nehmen.

Ausgangspunkt ist der Abschluss eines Vertrags über Mobilfunkleistungen, also ein „Telefonvertrag“. Der Mobilfunkanbieter kopiert beim Vertragsschluss die Ausweisdokumente des neuen Kunden. Rechtsgrundlage hierfür ist angeblich jeweils eine individuelle Einwilligung des Kunden. Der Mobilfunkanbieter heftet die Ausweiskopien an den Mobilfunkvertrag. Dann bewahrt er sie zusammen mit dem Vertrag auf.

Lesen Sie mehr unter:
http://datenschutz.prodatis.com/downloads/einwilligung_des_kunden_nachweisen.pdf