Zum Inhalt springen

Warnung

WLAN Zugangs­da­ten unge­schützt am Fritz!Fon

Gele­gent­lich kann man ein­fach nur den Kopf schüt­teln. Hilft zwar nicht bei der Suche nach einer plau­si­blen Ant­wort, aber irgend­wie geht es einem doch etwas bes­ser. So auch in die­sem Fall. Wie­so wir mit dem Kopf schüt­teln? Nun, die Fra­ge lau­tet: Wer denkt sich so etwas aus? Auf jeden Fall ein typi­sches Bei­spiel für “Kom­fort geht über Sicher­heit”. Und da wis­sen nun eigent­lich (fast) alle, dass dies nicht immer unbe­dingt der bes­te Ansatz ist. Doch was war passiert?

WLAN Zugangs­da­ten im Klar­text im Fritz!Fon einsehbar

Wir trau­ten unse­ren Augen kaum, als wir die Tage mehr zufäl­lig auf den Unter-Menü­punkt WLAN im Menü Heim­netz eines Fritz!Fox gekom­men sind.

Bei Aus­wahl der Opti­on WLAN-Zugangs­da­ten und Gast-Zugangs­da­ten sind die WLAN-Netz­werk­na­men und die dazu­ge­hö­ri­gen Zugangs­pass­wör­ter im Klar­text ein­seh­bar. Über die Funk­tio­nen WLAN-QR-Code und Gast-QR-Code ist via Kame­ra eines Smart­phones oder Tablets mit wenig Hand­grif­fen eine Ver­bin­dung her­ge­stellt. Schutz davor? Keiner!

In geschlos­se­nen Fami­li­en-Bio­to­pen oder in Zei­ten tota­ler Coro­na-Iso­la­ti­on ohne Gäs­te und Besu­cher zuhau­se, mag das eine total coo­le Kom­fort-Funk­ti­on sein. In allen ande­ren Fäl­len dann doch eher einer Schwach­stel­le. Aber auch die ein­fa­che Mög­lich­keit, dar­über das inter­ne WLAN oder Gast-WLAN per Knopf­druck aus­zu­schal­ten, kann für kurz­wei­li­ge Unter­hal­tung sor­gen. Kurz vor dem Ver­ab­schie­den mal eben das WLAN deak­ti­vie­ren, ent­spannt nach Hau­se fah­ren und dabei grin­send über­le­gen, wie der soeben besuch­te Haus­herr oder die Haus­her­rin krampf­haft nach dem Feh­ler im Sys­tem sucht, weil auf ein­mal kei­ner­lei WLAN-Zugrif­fe und Gerä­te mehr funk­tio­nie­ren. Was haben wir gelacht .…

Kein Hin­weis auf die­se Funk­ti­on im Hand­buch der Fritz!Box und des Fritz!Fons

Stand 22.01.2023 fin­den sich in den Hand­bü­chern kei­ner­lei Hin­wei­se auf die­ses mög­li­che Sicher­heits­ri­si­ko. Als Nut­zer die­ser Hard­ware wird man daher wohl mehr zufäl­lig auf die­sen Umstand stoßen.

Abhil­fe über das DECT-Menü in der Fritz!Box

Glück­li­cher­wei­se gibt es die Mög­lich­keit, den Zugriff auf die­ses Menü des Fritz!Fon zu deak­ti­vie­ren. Doch wer dabei im Tele­fon selbst sucht, der wird nicht fün­dig. Hier­zu muss man auf die Ober­flä­che der Fritz!Box selbst wech­seln, sich anmel­den und in das Menü Tele­fo­nie /​ DECT wech­seln. Etwas nach unten scrol­len und dort fin­det sich der Punkt “Zugriffs­schutz”. Hier die Check­box “Zugriffs­schutz für WLAN /​ Gastzgang) akti­vie­ren und eine siche­re PIN (0000, 1234 oder das eige­ne Geburts­da­tum 😉 ) vergeben.

Damit ist der Spuk dann auch auf dem Fritz!Fon been­det, wie man im nächs­ten Screen­shot sehen kann. Sobald man dort nun erneut auf den Menü­punkt Heim­netz /​ WLAN wech­selt, wird man zur Ein­ga­be der zuvor an der Fritz!Box ein­ge­stell­ten PIN aufgefordert.

Wie­so die­ser Zugriffs­schutz nicht von vorn­her­ein akti­viert ist oder es zumin­dest deut­li­che Hin­wei­se auf die­se Funk­ti­on gibt, bleibt ein Rät­sel. Der Her­stel­ler selbst weist auf die Mög­lich­keit des Schut­zes durch eine PIN ledig­lich in der Online-Wis­sens­da­ten­bank hin. Das geht besser.

Gäs­te den­noch kom­for­ta­bel ins WLAN lassen

Dazu wech­selt man in das WLAN Menü der Fritz!Box in den Punkt Funk­netz. Unter den Namen des WLAN und Gäs­te-WLAN fin­det sich rechts ein Ein­trag “Info­blatt dru­cken”. Im Ergeb­nis erhält man ein schi­ckes DIN A4-PDF mit dem QR-Code für das Gäs­te-WLAN sowie dem Namen und Zugangs­pass­wort. Aus­dru­cken, lami­nie­ren und netz­be­dürf­ti­gen Besu­chern zum Ein­log­gen in die Hand drü­cken. Das inter­ne WLAN soll­te für Gäs­te eh tabu sein. Oder?

BSI spricht War­nung vor Kas­pers­ky aus

BSI: War­nung vor Kas­pers­ky — Kein Ein­satz von Pro­duk­ten aus dem Hau­se Kas­pers­ky mehr

“Das BSI emp­fiehlt, Anwen­dun­gen aus dem Port­fo­lio von Viren­schutz­soft­ware des Unter­neh­mens Kas­pers­ky durch alter­na­ti­ve Pro­duk­te zu erset­zen.” Die­se War­nung vor Kas­pers­ky spricht das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik mit eini­ger Ver­zö­ge­rung und auch erst nach drän­gen­den Nach­fra­gen des Hei­se Ver­lags nun seit eini­gen Tagen offi­zi­ell aus.

War­nung vor Kas­pers­ky berech­tigt oder Panikmache?

Dazu kann man nun ste­hen wie man will. Wie­so erst jetzt? Wie­so nicht schon im Zuge der Anne­xi­on der Krim, als sich die tota­li­tä­ren Risi­ken bereits klar abzeich­ne­ten? Sei es drum. Ein Risi­ko ist nicht gene­rell von der Hand zu wei­sen, von daher ist Vor­beu­gen bes­ser als hin­ter­her schlau­er zu sein.

Das BSI schreibt dazu:

“Viren­schutz­soft­ware hat tief­ge­hen­de Ein­griffs­rech­te in PCs, Smart­phones, Lap­tops und ande­re IT-Infra­struk­tu­ren. Ver­trau­en in die Zuver­läs­sig­keit und den Eigen­schutz des jewei­li­gen Her­stel­lers sowie sei­ner authen­ti­schen Hand­lungs­fä­hig­keit ist daher ent­schei­dend für den siche­ren Ein­satz sol­cher Systeme.”

Schwach­stel­len in der eigent­li­chen Soft­ware kön­nen daher schnell zur Kom­pro­mit­tie­rung ein­zel­ner Gerä­te, aber auch gan­zer Sys­tem­land­schaf­ten füh­ren. Das ist kein gene­rel­les Pro­blem der Kas­pers­ky-Pro­duk­te, son­dern von jeder Soft­ware, die so tief in die Betriebs­sys­te­me ver­zahnt ist. In die­sem kon­kre­ten Fall führt das BSI in sei­ner War­nung vor Kas­pers­ky wei­ter aus:

“Im Kon­text des Krie­ges, den Russ­land gegen die Ukrai­ne führt, könn­te ein rus­si­scher IT-Her­stel­ler selbst offen­si­ve Ope­ra­tio­nen durch­füh­ren, oder gegen sei­nen Wil­len dazu gezwun­gen wer­den, Ziel­sys­te­me anzu­grei­fen, oder als Opfer einer Cyber-Ope­ra­ti­on ohne sei­ne Kennt­nis aus­spio­niert oder als Werk­zeug für Angrif­fe gegen sei­ne eige­nen Kun­den miss­braucht werden.”

Guter Rat ist teuer

Was heißt die­se War­nung vor Kas­pers­ky jetzt kon­kret? Je weni­ger kom­plex die betrof­fe­ne Sys­tem­um­ge­bung ist und gera­de auf einem Ein­zel­ge­rät zuhau­se, des­to leich­ter fällt der Umstieg auf einen ande­ren Anbie­ter. In grö­ße­ren Sys­tem­um­ge­bun­gen wer­den jedoch sel­ten nur Viren­schutz­pro­duk­te, son­dern meist gan­ze Sicher­heits­sui­ten der Anbie­ter genutzt. Damit fal­len dann schnell auch wich­ti­ge Schutz­me­cha­nis­men wie Spam-Fil­te­rung, Schutz der USB-Ports und vie­le mehr weg. Da ist es mit einer ein­fa­chen De-Instal­la­ti­on und Neu-Instal­la­ti­on eines ande­ren Pro­dukts nicht mal eben so getan. Dazu kom­men lau­fen­de Lizenz­ge­büh­ren, die wei­ter­hin bis zum Ende der Ver­trags­lauf­zeit zu leis­ten sind. Son­der­kün­di­gungs­recht? Sieht aktu­ell nicht so aus, aber dar­über sol­len die Juris­ten strei­ten. D.h. durch den Umstieg auf eine ande­re Lösung bzw. einen ande­ren Anbie­ter fal­len zusätz­lich Lizenz­ge­büh­ren an, von der not­wen­di­gen Arbeits­zeit für Pla­nung und Kon­zep­ti­on sowie Roll-Out ganz zu schweigen.

Die jeweils aktua­li­sier­te FAQ des BSI für Unter­neh­men und Pri­vat­an­wen­der ist hier zu fin­den: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Technische-Sicherheitshinweise-und-Warnungen/Warnungen-nach-Par‑7/FAQ-Kaspersky/faq_node.html

 

BSI warnt vor Ger­man­Wi­per: Löschen statt Ver­schlüs­seln ist die Devi­se die­ses Trojaners

Wer aktu­ell eine Bewer­bung per Email erhält, soll­te beson­ders wach­sam sein. Hat­ten auf Stel­len­an­zei­gen hin prä­pa­rier­te Kryp­to-Tro­ja­ner wie Gol­den Eye damals das Ver­schlüs­seln aller Daten auf dem Ziel­sys­tem im Sinn, sieht das bei Ger­man­Wi­per nun anders aus. Statt Ver­schlüs­se­lung greift die­se neue Ran­som­wa­re zum Löschen aller Daten. Im ange­häng­ten ZIP-Archiv befin­det sich die­ses Mal kein Word-Doku­ment mit Makros, son­dern eine Win­dows-Link-Datei. Wird die­se gestar­tet, öff­net sich die Win­dows Power­shell und der eigent­li­che Schad­code von Ger­man­Wi­per wird gela­den und aus­ge­führt. Lt. BSI gibt der Text der Email noch kei­nen Anlass zum Arg­wohn. Unbe­darf­te bzw. unsen­si­bi­li­sier­te Anwen­der dürf­ten also durch­aus eine Risi­ko­grup­pe für die­sen Angriff darstellen.

Hof­fen auf eine Löse­geld­for­de­rung nach mög­li­cher Bit­co­in-Löse­geld­zah­lung braucht man bei Ger­man­Wi­per nicht. Denn statt zur Ver­schlüs­se­lung zu grei­fen, löscht Ger­man­Wi­per ein­fach alle Daten im Rah­men der Zugriffs­rech­te des Anwen­ders. Gelöscht wird nicht mit dem klas­si­schen Ver­schie­ben in den Papier­korb und anschlie­ßen­dem Lee­ren des Papier­korbs. In die­sem Fall wären die Daten meist mit mehr oder weni­ger Auf­wand wie­der­her­stell­bar. Ger­man­Wi­per über­schreibt vor­han­de­ne Daten mit Nul­len. Per­fi­de: Am Ende zeigt Ger­man­Wi­per doch einen Löse­geld­bild­schirm an. Dar­auf ein­ge­hen, soll­te man jedoch nicht. Denn die von Ger­man­Wi­per gelösch­ten Daten kön­nen auch nach Zah­lung von Löse­geld nicht mehr wie­der­her­ge­stellt werden.

Wohl dem, der ein funk­ti­ons­fä­hi­ges und regel­mä­ßig geprüf­tes Back­up sei­ner Daten hat. Die­ses soll­te selbst­ver­ständ­lich „off­line“ sein, also durch einen Angriff wie mit Ger­man­Wi­per nicht erreich­bar sein. Berech­ti­gungs­kon­zep­te soll­ten nach dem least pri­vi­le­ge Prin­zip umge­setzt sein (nur so vie­le Zugriffs­rech­te wie zwin­gend not­wen­dig). Exter­ne Lauf­wer­ke aber auch Netz­lauf­wer­ke soll­ten wirk­lich nur im Fall der Daten­si­che­rung ver­bun­den sein und danach wie­der getrennt wer­den. Eine Grund­an­for­de­rung ist eben­falls: Ein Admi­nis­tra­tor surft mit sei­nen erwei­ter­ten Rech­ten nicht im Inter­net und liest damit auch kei­ne Emails. Für die­se Tätig­kei­ten steht ein ein­ge­schränk­ter Account zur Verfügung.

Im Rah­men eines Infor­ma­ti­ons­si­cher­heits­kon­zepts aber auch bei regel­mä­ßig durch den Daten­schutz­be­auf­trag­ten geprüf­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men soll­te dies gewähr­leis­tet sein. Auch regel­mä­ßi­ge Tests zur Daten­wie­der­her­stel­lung (Reco­very-Tests) hel­fen, die­sem Risi­ko zu begeg­nen. Viel­leicht wäre es auch ein guter Zeit­punkt, die schon eine Wei­le zurück­lie­gen­de Sen­si­bi­li­sie­rung der Mit­ar­bei­ter nachzuholen.

Sie ver­fü­gen noch über kei­nen Daten­schutz­be­auf­trag­ten? Mit einem Infor­ma­ti­ons­si­cher­heits­kon­zept wie dem BSI IT-Grund­schutz, ISIS12 oder der Vari­an­te „Arbeits­hil­fe“ für kleins­te Ein­rich­tun­gen haben Sie zwar schon gelieb­äu­gelt, aber noch nichts der­glei­chen umge­setzt? Dann spre­chen Sie uns ger­ne an. Ger­ne unter­stüt­zen wir Sie auch als exter­ne Daten­schutz­be­auf­trag­te und exter­ne Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te mit unse­rem Team in Ber­lin, Sim­mels­dorf und Mün­chen und unse­rer über 10 Jah­re bewähr­ten Erfah­rung mit prag­ma­ti­schen Lösungen.

Daten­pan­ne: Offe­ner News­let­ter-Ver­tei­ler führt zu Buß­geld — Augen auf beim Direktmarketing

Schon jedem Mal pas­siert — News­let­ter oder Email an vie­le Emp­fän­ger verschickt

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email oder News­let­ter ver­teilt wer­den. Mail- oder News­let­ter-Pro­gramm geöffnet, Text geschrie­ben, aus dem Adress­buch schnell die Empfänger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Empfängers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, akku­rat mit Vor‑, Nach­na­me und Email-Adres­se. Üblicherweise macht man den Absen­der freund­lich auf sein Miss­ge­schick auf­merk­sam und läßt es dar­auf beruhen.

Offe­ne News­let­ter-Ver­tei­ler kom­men nicht immer gut an

Die Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9!) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Empfängern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zuständige baye­ri­sche Landesdatenschutzbehörde weitergeleitet.

Lan­des­da­ten­schutz­be­hör­de prüft offe­ne News­let­ter-Ver­tei­ler und ver­hängt Bußgeld

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach über die eige­ne Web­sei­te und auf Ver­an­stal­tun­gen vor und mit Unter­neh­men auf die daten­schutz­recht­li­che Unzulässigkeit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email- Adres­se sind per­so­nen­be­zo­ge­nen Daten im Sin­ne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Übermittlung (nichts ande­res stellt eine Email dar) ist daher nur zulässig, wenn der Betrof­fe­ne (also der eigent­li­che Email-Inha­ber) expli­zit in die Übermittlung an Drit­te schrift­lich ein­ge­wil­ligt hat oder eine gesetz­li­che Grund­la­ge vor­liegt. Bei­des ist im Fal­le einer sol­chen Pan­ne sicher nicht der Fall. Die Ver­wen­dung des offe­nen Email-Ver­tei­lers (also das Ein­tra­gen der Empfänger in das AN:/TO: Feld) stellt somit einen Daten­schutz­ver­stoß dar. Auf­grund der Men­ge der betrof­fe­nen Email-Adres­sen sah das BayL­DA von einem rei­nen Ver­weis auf die recht­li­che Unzulässigkeit ab. Statt­des­sen wur­de ein Buß­geld verhängt, das nun nach Ver­strei­chen der Wider­spruchs­frist rechts­wirk­sam gewor­den ist.

Doch wer zahlt jetzt das Buß­geld für den offe­nen Newsletter-Verteiler?

In die­sem kon­kre­ten Fall wur­de das Buß­geld gegen die Mit­ar­bei­te­rin verhängt. Ob der Arbeit­ge­ber für Sie ein­springt, ist nicht bekannt. Das BayL­DA teil­te jedoch mit, daß es in einem ähnlichen Fall in zu einem Buß­geld gegen ein wei­te­res Unter­neh­men kam. Da hier die Mit­ar­bei­ter sei­tens der Unter­neh­mens­leis­tung nicht oder nicht aus­rei­chend für das The­ma sen­si­bi­li­siert wur­den, hat­te nun das Unter­neh­men selbst für den Faux­pas mit dem offe­nen Email-Ver­tei­ler geradezustehen.

Aufklärung ist Pflicht — Sorg­fäl­ti­ger Umgang mit News­let­tern-Ver­tei­lern ver­mei­det Bußgelder

Um sol­che Vorfälle von vorn­her­ein zu ver­mei­den und das Ein­tritts­ri­si­ko zu sen­ken, soll­ten Sie Ihre Mit­ar­bei­ter regelmäßig für die­ses The­ma sen­si­bi­li­sie­ren. Ger­ne können Sie hierfür die­sen Blog­bei­trag ein­set­zen. Was ist zu beach­ten? Wei­sen Sie dar­auf hin, sol­che Rund­mails stets über das Feld BCC, also Blind Car­bon Kopie zu adres­sie­ren. Die Nut­zung von TO: und CC: (Car­bon Copy) wird stets den sel­ben recht­li­chen Sach­ver­halt mit allen Kon­se­quen­zen auslösen. Bei klei­ne­ren falsch genutz­ten Ver­tei­lern kann es bei einer Ver­war­nung blei­ben, das ist jedoch nicht garantiert.

Fra­gen Sie doch Ihren Datenschutzbeauftragten

Zum rich­ti­gen Umgang mit per­so­nen­be­zo­ge­nen Daten im Rah­men des Direkt­mar­ke­tings hilft Ihnen kom­pe­tent Ihr Daten­schutz­be­auf­trag­ter wei­ter. Sie haben kei­nen? Dann soll­ten Sie sich dar­um küm­mern, da eine gesetz­li­che Bestell­pflicht vor­lie­gen kann. Spre­chen Sie uns unver­bind­lich und kos­ten­frei an!

 

Per­so­nal­aus­weis ein­fach kopie­ren — ein­fach rechtswidrig

Per­so­nal­aus­weis als Pfand, Per­so­nal­aus­weis-Kopie als Beleg — üblich, aber verboten

Usus, Rechts­ver­stoß inklu­si­ve. Der Per­so­nal­aus­weis wird als Pfand hin­ter­legt, eine Kopie zur Iden­ti­fi­ka­ti­on im Ver­trags­ord­ner abge­legt oder als Scan ins Doku­men­ten-Manage­ment-Sys­tem gespei­chert. Bran­chen­über­grei­fend üblich, vom Fit­ness-Stu­dio bis zur Autovermietung.

Der neue Personalausweis

Seit dem 01. Novem­ber 2010 wird nur noch der neue Per­so­nal­aus­weis her­aus­ge­ge­ben, ger­ne auch als „ePer­so“ bezeich­net. Im Zuge der Umstel­lung hat das Per­so­nal­aus­weis­ge­setz (PAuswG) eini­ge Ände­run­gen erfah­ren. Zahl­rei­che Kom­men­tie­run­gen und Begrün­dun­gen beglei­ten den neu­en Ausweis.

Kein aus­drück­li­ches Kopier­ver­bot, aber …

Neben der bis­her übli­chen Aus­weis­funk­ti­on beinhal­tet der „ePer­so“ nun auch die Mög­lich­keit zu Signa­tur und zur Authen­ti­sie­rung. Zum Schutz die­ser Funk­tio­nen schreibt unse­re Regie­rung in ihrer Begrün­dung zur Neu­re­ge­lung: “Die Erhe­bung und Ver­wen­dung per­so­nen­be­zo­ge­ner Daten aus oder mit­hil­fe des Aus­wei­ses darf künf­tig nur über die dafür vor­ge­se­he­nen Wege erfol­gen. (.) Wei­te­re Ver­fah­ren z.B. über die opto­elek­tro­ni­sche Erfas­sung (“scan­nen”) von Aus­weis­da­ten oder dem maschi­nen­les­ba­ren Bereich sol­len aus­drück­lich aus­ge­schlos­sen wer­den.” In den Aus­le­gun­gen hier­zu wird deut­lich davon gespro­chen, weder Kopien des Per­so­nal­aus­wei­ses zuzu­las­sen, noch die­sen aus der Hand zu geben.

War­um den Per­so­nal­aus­weis nicht kopieren?

Da der neue Per­so­nal­aus­weis auf­grund des­sen Gestal­tung noch eine sog. Berech­ti­gungs­num­mer trägt, weist das Bun­des­in­nen­mi­nis­te­ri­um auf einen zusätz­li­chen Sach­ver­halt hin. Die Berech­ti­gungs­num­mer soll näm­lich ledig­lich dem Aus­weis­in­ha­ber bekannt sein. Eine Kopie oder ein Scan ste­hen die­sem Umstand jedoch entgegen.

Der alte Per­so­nal­aus­weis darf aber kopiert werden?

Trägt die­ser zwar nicht die elek­tro­ni­schen Merk­ma­le sei­nes Nach­fol­gers so ist eine Kopie hier nur sehr schwer als daten­schutz­recht­lich erfor­der­lich zu begrün­den. Sub­jek­ti­ve Maß­stä­be hier­über sind aus­ge­schlos­sen. So soll­te auch hier auf eine Kopie ver­zich­tet wer­den. Notie­ren Sie die erfor­der­li­chen Daten. Vor­teil: Sie erspa­ren sich das vor­ge­schrie­be­ne Aus­schwär­zen nicht erfor­der­li­cher Daten und müs­sen spä­ter im Rah­men der Auf­be­wah­rungs– und Lösch­fris­ten nicht in Akten­sta­peln oder EDV Sys­te­men nach den zu löschen­den Doku­men­ten fahnden.

Dann neh­men wir den Per­so­nal­aus­weis eben als Pfand

Hier spricht das PAuswG eine kla­re Spra­che § 1 Abs. 1. S. 3+4 PAuswG — für bei­de Aus­weis­for­men: „Vom Aus­weis­in­ha­ber darf nicht ver­langt wer­den, den Per­so­nal­aus­weis zu hin­ter­le­gen oder in sons­ti­ger Wei­se den Gewahr­sam auf­zu­ge­ben. Dies gilt nicht für zur Iden­ti­täts­fest­stel­lung berech­tig­te Behör­den sowie in den Fäl­len der Ein­zie­hung und Sicher­stel­lung.” Ihre Orga­ni­sa­ti­on wird schwer­lich als berech­tig­te Behör­de anzu­se­hen sein, Aus­nah­men bestä­ti­gen die Regel.

Aus­nah­men vom Kopier­ver­bot und Pfand­ver­bot für Personalausweise?

Ja, u.a. § 8 Geld­wä­sche­ge­setz oder § 95 TKG (z.B. für Han­dy-Ver­trä­ge). Trifft das auf Ihr Unter­neh­men zu? Ihr Daten­schutz­be­auf­trag­ter klärt Sie ger­ne über den Sach­ver­halt auf. Sie haben kei­nen? Dann spre­chen Sie uns an. Wir unter­stüt­zen Sie als exter­ne Daten­schutz­be­auf­trag­te und exter­ne Informationssicherheitsbeauftragte.

Der Hype um das (pri­va­te) Whatsapp-Abmahnrisiko

Kaum hat das Amts­ge­richt Bad Hers­feld sein Urteil gefällt und die Begrün­dung ver­öf­fent­licht, gras­siert ein media­ler Hype um ein angeb­li­ches Abmahn­ri­si­ko für pri­va­te Whats­app-Nut­zer durch das Netz. Doch was steckt dahinter?

Etwas Auf­klä­rung zur pri­va­ten Nut­zung von Whatsapp

Das Amts­ge­richt Bad Hers­feld, wohl­ge­merkt ein Amts­ge­richt, sieht auf Basis des § 823 BGB sowie des § 1004 BGB das Risi­ko eines pri­va­ten Whats­app-Nut­zers, auf­grund der nicht ein­ge­wil­lig­ten Daten­über­mitt­lung der Kon­tak­te in des­sen Adress­buch durch den auto­ma­ti­sier­ten Abgleich mit den Whats­app-Ser­vern durch die Kon­tak­te selbst auf Unter­las­sung in Anspruch genom­men zu wer­den. Selbst eine kos­ten­pflich­ti­ge Abmah­nung wird nicht aus­ge­schlos­sen. Kaum war die ers­te Nach­richt hier­zu im Web lan­ciert, ging der Copy & Pas­te — Mecha­nis­mus des Bou­le­vard­jour­na­lis­mus inklu­si­ve der sozia­len Netz­wer­ke los. Angst und Panik für Quo­te und Klicks lau­tet die Devise.

Was davon zu hal­ten ist, kön­nen Sie unter ande­rem im Blog des Anwalts Dr. Cars­ten Ulb­richt nach­le­sen, der zu die­sem The­ma kein Unbe­kann­ter ist.

Whats­app und geschäft­li­che oder dienst­li­che Nutzung?

Nutzt ein Unter­neh­men oder eine Behör­de nun Whats­app sieht die Rechts­la­ge etwas unbe­que­mer aus. Das Bun­des­da­ten­schutz­ge­setz schreibt für die betrieb­li­che Nut­zung per­so­nen­be­zo­ge­ner Daten die Aus­wahl geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Schutz­maß­nah­men vor. Bedient man sich bei der Umset­zung eines Drit­ten (in die­sem Fall des Betrei­bers von Whats­app), so ist die­ser nach § 11 Bun­des­da­ten­schutz­ge­setz (BDSG), aber auch nach EU-Daten­schutz­recht vor­ab auf aus­rei­chen­de Schutz­maß­nah­men zu prü­fen und zusätz­lich eine Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung zu schlie­ßen. Die Umset­zung wird sich in der Pra­xis als unmög­lich herausstellen.

Zumin­dest könn­te man Whats­app auf­grund der nun seit eini­ger Zeit akti­vier­ten Ende-zu-Ende-Ver­schlüs­se­lung bei den tech­ni­schen Schutz­maß­nah­men ein tech­ni­sches Schutz­ni­veau im posi­ti­ven Sin­ne unter­stel­len. Ein Mit­le­sen der Nach­rich­ten auf dem Trans­port­weg ist dadurch ja ausgeschlossen.

Dann steht der betrieb­li­chen Nut­zung ja nichts im Wege?

Lei­der doch. Denn Whats­app über­trägt die Kon­takt­da­ten aus dem Adress­buch des Geräts auf die Ser­ver des Betrei­bers in den USA. Die­se Daten­über­mitt­lung ist im Daten­schutz­recht nur zuläs­sig, wenn von dem Betrof­fe­nen, auf den sich die jewei­li­gen Kon­takt­da­ten bezie­hen, eine (schrift­li­che) Ein­wil­li­gung vor­liegt. Die­se kann nach gel­ten­der Mei­nung auch nicht pau­schal ange­nom­men wer­den nach dem Mot­to “Whats­app nutzt ja heut­zu­ta­ge jeder.”

Eine feh­len­de Ein­wil­li­gung bedeu­tet eine unrecht­mä­ßi­ge Daten­über­mitt­lung. Damit dro­hen Buß­gel­der und im Zwei­fel wei­te­re Auf­la­gen durch die Landesdatenschutzbehörde(n).

Dies gilt übri­gens sowohl für die betrieb­li­che /​ dienst­li­che Nut­zung des Smart­phones als auch eine mög­li­cher­wei­se zuläs­si­ge Privatnutzung.

Wer es nicht glau­ben mag, hier ein Bei­trag unter vie­len zu die­sem The­ma, in die­sem Fall von Dr. Hans Mar­kus Wulf, Fach­an­walt für IT-Recht.

Von daher kann das Fazit zur Whats­app-Nut­zung im geschäft­li­chen oder behörd­li­chen Umfeld nur lau­ten: Fin­ger weg! Aber das ist nun auch nichts Neues.

Daten­pan­ne bei DuMont: Benut­zer­na­men und Pass­wör­ter frei einsehbar

Am gest­ri­gen Sonn­tag wur­de gemel­det, Nut­zer­kon­ten samt Daten von regis­trier­ten Nut­zern der Web­sei­te des DuMont-Ver­lags stan­den stun­den­lang unge­schützt im Netz. Wäh­rend der Ver­lag von einem Hacker­an­griff spricht, scheint eini­ges für inter­ne Schlam­pe­rei zu spre­chen (spie​gel​.de)

Der Ver­lag nahm die betrof­fe­nen Web­sei­ten eini­ge Stun­den nach Mel­dung der Daten­pan­ne off­line. Sie sol­len im Lau­fe des heu­ti­gen Tages wie­der ans Netz gehen. Fatal: Neben den Benut­zer­na­men waren die Pass­wör­ter im Klar­text abge­spei­chert. Nach eige­nen Anga­ben des Ver­lags wur­den die Pass­wör­ter der betrof­fe­nen Accounts zurückgesetzt.

Pati­en­ten­da­ten gehackt — Gesund­heits­kar­te nach wie vor unsicher

Die RP Online mel­det letz­te Woche, dass es nach eige­nen Tests nach wie vor gro­ße Sicher­heits­lü­cken bei der Gesund­heits­kar­te gibt. Pati­en­ten­da­ten sind nach wie vor nicht sicher, hat deren Über­prü­fung erge­ben. Die Redak­ti­on konn­te mit weni­gen Maus­klicks und eini­gen Anru­fen bei der für den Test aus­ge­wähl­ten Bar­mer GEK ohne Pro­ble­me, Infor­ma­tio­nen über Arzt­be­su­che und Medi­ka­men­ta­tio­nen abfragen.

Wie RP Online berich­tet, ist dies bereits der fünf­te Fall in den letz­ten 20 Mona­ten, in dem es durch das ein­fach struk­tu­rier­te Anmel­de-Ver­fah­ren zu den Online-Ser­vices der Kran­ken­kas­sen (dar­un­ter neben der Bar­mer GEK auch die AOK) zum voll­stän­di­gen Zugriff auf das Ver­si­cher­ten-Pro­fil kom­men kann. Was dazu nötig ist? Es rei­chen Name, Geburts­da­tum, Ver­si­cher­ten­num­mer, eine neu auf den Namen des Ver­si­cher­ten aus­ge­stell­te Email-Adres­se bei einem belie­bi­gen Anbie­ter sowie ein Tele­fo­nat mit der Versicherung.

Doch das ist nicht neu. Bereits 2014 wur­de die­se Vor­ge­hens­wei­se als Schwach­stel­le auf­ge­deckt, die Kran­ken­kas­sen infor­miert. 2015 war der Vor­gang immer noch nach­voll­zieh­bar (sie­he ZDF Video­bei­trag). Getan hat sich seit­her wenig bis nichts. Daher ist auch die Bun­des­da­ten­schutz­be­auf­trag­te, Andrea Voß­hoff “not amu­sed”.

 

Locky immer erfolgreicher

Zusam­men­fas­sung

Ver­wun­der­lich, wie wenig in den Nach­rich­ten zu dem The­ma in den letz­ten Tagen zu hören ist. Nach Tes­lacrypt treibt ein wei­te­rer Kryp­to-Tro­ja­ner sein Unwe­sen. Und das sogar ziem­lich erfolg­reich. Vor eini­gen Tagen gab es noch 5.000 Infek­tio­nen pro Stun­de in Deutsch­land. Heu­te sind es über den Tag immer­hin noch 17.000 (auch wie­der nur allei­ne in Deutschland).

Kryp­to-Tro­ja­ner gehö­ren zu der soge­nann­ten Ran­som­wa­re. Ein­mal auf dem Com­pu­ter ange­kom­men und akti­viert, begin­nen sie umge­hend mit ihrer Auf­ga­be. Und die­se lau­tet “Ver­schlüs­se­le alles, was Dir in die Fin­ger kommt”. Die Fol­gen ver­hee­rend. Unter­neh­men wer­den lahm­ge­legt, Behör­den sind arbeits­un­fä­hig. Im pri­va­ten Bereich sind im Zwei­fel über die Jah­re müh­se­lig gepfleg­te Bil­der- und Musik­da­ten­ban­ken futsch.

Ent­schlüs­selt wird nur gegen Zah­lung von Löse­geld in Form von Bit­co­ins. Und das Geschäft boomt.

Ein Klick genügt — Locky legt los

Vor eini­gen Tagen sprach ich mit dem IT-Lei­ter einer gro­ßen Stadt in Bay­ern. Zu Locky (dem zur Zeit bekann­tes­ten gras­sie­ren­den Kryp­to-Tro­ja­ner) befragt, mein­te er lapi­dar “Wir sind auf DEFCON 1”. Damit wird die höchs­te mili­tä­ri­sche Ver­tei­di­gungs­stu­fe in den USA bezeichnet.

Wie es zu einer sol­chen Aus­sa­ge kommt, wird schnell klar, wenn man einen Blick auf die Ent­wick­lung in den letz­ten Wochen wirft. Bereits im Dezem­ber sahen sich Win­dows-Sys­te­me einer Angriffs­wel­le durch einen Kryp­to-Tro­ja­ner aus­ge­setzt. Der hieß damals Tes­lacrypt. Aktu­ell ist Ver­si­on 3, gegen den kein Kraut gewach­sen ist. Für die Ver­sio­nen 1 und 2 gab es nach eini­ger Zeit wirk­sa­me Ent­schlüs­se­lungs­tools. Aktu­ell ist Locky der bekann­tes­te Vertreter.

Kryp­to-Tro­ja­ner sind sehr heim­tü­ckisch. Wur­den die­se zu Beginn allei­ne durch prä­pa­rier­te Email-Anhän­ge (zumeist Office Doku­men­te mit Makro Code) in die Welt gestreut, sind Infek­tio­nen mitt­ler­wei­le auch durch soge­nann­te Dri­ve By Down­loads mög­lich. Es reicht der Besuch einer infi­zier­ten Web­sei­te und eine dazu­ge­hö­ri­ge Schwach­stel­le im Brow­ser oder Flash Plug­in und der Spaß geht los. Exper­ten rech­nen damit, dass zeit­nah noch wei­te­re Infek­ti­ons­mög­lich­kei­ten am Start sein wer­den. Dazu wer­den die Tro­ja­ner auch immer wei­ter entwickelt.

Ein­mal aktiv, beginnt der Kryp­to-Tro­ja­ner mit der Ver­schlüs­se­lung einer sehr lan­gen Lis­te an Datei­en. Und das nicht nur auf der loka­len Fest­plat­te, son­dern auch auf allen kon­nek­tier­ten Netz­lauf­wer­ken und Frei­ga­ben. Auch ver­link­te Cloud-Spei­cher sind betrof­fen. Eben­so ist das Über­sprin­gen von einem Gerät auf das nächs­te über­haupt kein Pro­blem mehr. Die ein­zi­ge War­nung, die der Nut­zer erhal­ten kann, ist eine ver­mehr­te Fest­plat­ten­ak­ti­vi­tät zu Beginn. Je nach Aus­brei­tung im inter­nen Netz kön­nen auch Stö­run­gen bei Datei­zu­grif­fen durch die Nut­zer ein Warn­si­gnal sein.

Ist der Kryp­to-Tro­ja­ner mit sei­ner Arbeit fer­tig, prä­sen­tiert er in der pas­sen­den Lan­des­spra­che (Locky übri­gens in per­fek­tem Deutsch) eine über­haupt nicht wit­zi­ge Nachricht:

!!!! WICHTIGE INFORMATIONEN !!!!
Alle Datei­en wur­den mit RSA-2048 und AES-128 Zif­fern verschlüsselt.
Die Ent­schlüs­se­lung Ihrer Datei­en ist nur mit einem pri­va­ten Schlüs­sel und einem Ent­schlüs­se­lungs­pro­gramm, wel­ches sich auf unse­rem Ser­ver befin­det, möglich.

Eine Frei­schal­tung oder genau­er Ent­schlüs­se­lung ist dann nur noch gegen Zah­lung von Bit­co­ins mög­lich. Das BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) rät von der Zah­lung ab. Man kön­ne sich nicht sicher sein, ob die Hacker danach wirk­lich die pas­sen­den Schlüs­sel für die Ent­schlüs­se­lung her­aus­rü­cken. Eini­ge Unter­neh­men aus den USA (News-Mel­dung) und Deutsch­land (Video-Bei­trag) haben gezahlt, und die indi­vi­du­el­len Schlüs­sel funktionierten.

Da der Tro­ja­ner jedoch sehr gut pro­gram­miert ist, ver­wen­det er auch für jedes befal­le­ne Gerät einen neu­en Schlüs­sel. Und damit sind die Schlüs­sel zur Ent­schlüs­se­lung nicht über­trag­bar. Es muss also wirk­lich für jedes Gerät mit Anzei­ge der Ver­schlüs­se­lung ein eige­ner Schlüs­sel gekauft werden.

Ist die eige­ne Orga­ni­sa­ti­on betrof­fen, muss man den Kopf nicht hän­gen las­sen. Man befin­det sich in bes­ter Gesell­schaft. Kran­ken­häu­ser sind nur noch per Free­mail-Adres­se erreich­bar, ver­schie­ben Ope­ra­tio­nen und ver­wei­sen nicht aku­te Fäl­le in der Not­auf­nah­me an ande­re Ein­rich­tun­gen. Das Fraun­ho­fer-Insti­tut hiss­te vor kur­zem eben­falls die wei­ße  Flag­ge, 60 Arbeits­plät­ze vollverschlüsselt.

Aktu­ell geht eine sehr gut gemach­te Warn­mel­dung durch die Email-Ver­tei­ler (Scherz­kek­se haben die­se sogar in sozia­len Netz­wer­ken geteilt). Dar­in warnt angeb­lich das BKA vor der Locky-Infek­ti­on. Und bie­tet umge­hend im Anhang das BKA Locky Rem­oval Tool zur Besei­ti­gung der Infek­ti­on an. Wer den Anhang star­tet, holt sich — was Wun­der — einen Tro­ja­ner ins Sys­tem. Glück­li­cher­wei­se ein alter Bekann­te, gute Scan­ner mit aktu­el­len Signa­tu­ren mis­ten den Schad­code sofort wie­der aus.

Was kön­nen Sie in Ihrer Orga­ni­sa­ti­on tun, um bes­ser gegen Locky & Co gewapp­net zu sein? Ein fata­lis­ti­scher Rat auf einer Ver­an­stal­tung vor­ges­tern lau­te­te: beten. Es geht aber dann doch etwas mehr:

 

  • Mög­lichst Ver­zicht auf Soft­ware, die für Anfäl­lig­kei­ten von (Zero-Day-) Sicher­heits-Lücken bekannt ist, wie bei­spiels­weise Ado­be Flash
  • Betriebs­sys­te­me und Anwen­dun­gen stets aktu­ell mit Patches und Secu­ri­ty Fixes versorgen
  • Gerä­te auf denen das nicht mög­lich ist, mög­lichst in getrenn­ten Netz­seg­men­ten und /​ oder gar nicht mit Inter­net­an­schluß betreiben
  • Kein Sys­tem ohne Viren­schutz mit regel­mä­ßi­ger, im Zwei­fel stünd­li­cher Aktua­li­sie­rung der Signa­tu­ren (Ach­tung: auch mobi­le Gerä­te berücksichtigen!)
  • Back­up-Stra­te­gie prü­fen, im Zwei­fel vor­über­ge­hend kür­zere Siche­rungs­in­ter­val­le einrichten
  • Siche­rungs­me­di­en nach erfolg­tem Back­up aus dem Netz entfernen!
  • Schu­len und sen­si­bi­li­sie­ren Sie Ihre Mit­ar­bei­ter kon­ti­nu­ier­lich. Es emp­feh­len sich auch Zwi­schen­be­rich­te bei­spiels­weise per Rund­mail, wenn sich neue Bedro­hungs­la­gen erge­ben — durch­aus täg­lich oder öfter. Auch wenn es nervt, die größ­te Gefahr sind momen­tan unbe­dach­te Hand­lun­gen durch Mit­ar­bei­ter. Also lie­ber ein mal mehr das The­ma ange­spro­chen als zu wenig.
  • Ver­fü­gen Sie über ent­spre­chende Mög­lich­kei­ten der Sys­tem­ver­hal­tens­ana­ly­se, so kon­fi­gu­rie­ren Sie die­se auf Sym­pto­me wie “vie­le Datei­zu­grif­fe inner­halb kur­zer Zeitspannen”.
  • Nut­zen Sie Funk­tio­nen, Sys­te­me mit sol­chen Auf­fäl­lig­kei­ten im Zwei­fel sofort vom Netz zu nehmen.
  • Wenn mög­lich, set­zen Sie Email-Anhän­ge auto­ma­ti­siert in Qua­ran­tä­ne. Der Anwen­der kann bei Bedarf den Anhang anfor­dern. Das ist zwar im Moment etwas auf­wen­di­ger, aber lan­ge nicht so zeit­in­ten­siv, wie wenn Sie sich mit dem Befall durch Ran­som­wa­re aus­ein­an­der­set­zen müssen.


Mit die­sen Maß­nah­men haben Sie lei­der immer noch kei­nen 100%-igen Schutz gegen Ran­som­wa­re, aber das Risi­ko des Ein­tritts ist zumin­dest gesenkt.

Bedau­er­li­cher­wei­se ent­wi­ckeln sich die Vari­an­ten von Locky & Co per­ma­nent wei­ter. Das Geschäfts­mo­dell der Ent­wick­ler geht auf. Bis­her sind alle Ver­su­che geschei­tert, die Ver­ur­sa­cher zu iden­ti­fi­zie­ren. Und die­se müs­sen sich wirk­lich sicher füh­len. So sind mitt­ler­wei­le Ver­sio­nen gesich­tet (unbe­stä­tigt), die nicht nur einen Link zu einem Video ent­hal­ten “Wie besor­ge ich mir Bit­co­ins zur Zah­lung des Löse­gelds”, son­dern es wird auch ein Text­chat ange­bo­ten. Wie dreist ist das denn?

Und in den Nach­rich­ten? “Spocht” (Grü­ße von RTL Sams­tag Nacht)

Ich wün­sche uns allen ein gutes Gelin­gen in der Abwehr der aktu­el­len Bedrohungswelle
Ihr Sascha Kuhrau

PS: Übri­gens gibt es neben unse­rem Fach­blog Daten­schutz seit kur­zem auch einen Blog zur Infor­ma­ti­ons- und IT-Sicher­heit. Dort erfah­ren Sie mehr über die aktu­el­le Bedro­hungs­la­ge und die Mög­lich­kei­ten, sich dage­gen zu schüt­zen. Oder Sie tra­gen sich dort gleich in den Sicher­heits-News­let­ter ein, um stets auf dem Lau­fen­den zu bleiben.

Buß­geld wegen feh­ler­haf­ter Auf­trags­da­ten­ver­ar­bei­tung verhängt

Lang­jäh­ri­ge Kun­den und Emp­fän­ger unse­rer Daten­schutz-Infor­ma­ti­on wer­den sich an das wie­der­keh­ren­de The­ma die­ses Bei­tra­ges sicher erin­nern und haben die Infor­ma­ti­on am Tag der Ver­öf­fent­li­chung der Pres­se-Infor­ma­ti­on des BayL­DA bereits als Son­der-News­let­ter erhal­ten. Auf­grund der Trag­wei­te des Vor­gangs infor­mie­ren wir hier noch mal auf unse­rem Datenschutz-Fachblog.

Es geht um das The­ma Out­sour­cing an exter­ne Dienst­leis­ter im Hin­blick auf mög­li­cher­wei­se betrof­fe­ne per­so­nen­be­zo­ge­ne Daten. Das Daten­schutz­recht spricht hier von einer Auf­trags­da­ten­ver­ar­bei­tung. Nicht weil hier ein Auf­trag ver­ge­ben wird, son­dern weil im Auf­trag der ver­ant­wort­li­chen Stel­le jemand Drit­tes mit den per­so­nen­be­zo­ge­nen Daten zu tun hat oder in Kon­takt kommt  /​ kom­men kann. Die baye­ri­sche Lan­des­da­ten­schutz­be­hör­de hat jetzt wegen feh­ler­haf­ter Umset­zung der gesetz­lich vor­ge­schrie­be­nen Ver­fah­rens­wei­se und Inhal­te ein Buß­geld verhängt.

Feh­ler­haf­te Auf­trags­da­ten­ver­ar­bei­tung führt zu Bußgeld

Das ist so klar und deut­lich in § 43 Absatz 1 Satz 2b BDSG geregelt.

“(1) Ord­nungs­wid­rig han­delt, wer vor­sätz­lich oder fahrlässig 

2b.
ent­ge­gen § 11 Absatz 2 Satz 2 einen Auf­trag nicht rich­tig, nicht voll­stän­dig oder nicht in der vor­ge­schrie­be­nen Wei­se erteilt oder ent­ge­gen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Daten­ver­ar­bei­tung von der Ein­hal­tung der beim Auf­trag­neh­mer getrof­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men überzeugt,”

Mit Datum vom 20. August 2015 gibt das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) in Ans­bach nun bekannt, dass es gegen ein Unter­neh­men ein Buß­geld in fünf­stel­li­ger Euro-Höhe ver­hängt hat.

Aus­lö­ser war die feh­ler­haf­te Umset­zung der Auf­trags­da­ten­ver­ar­bei­tung. In meh­re­ren Ver­trä­gen mit exter­nen Dienst­leis­tern waren die durch den Dienst­leis­ter zu tref­fen­den tech­ni­schen und orga­ni­sa­to­ri­schen Schutz­maß­nah­men nur sehr ober­fläch­lich und all­ge­mein fest­ge­setzt. Damit sei die gesetz­lich vor­ge­schrie­be­ne Kon­trol­le durch den Auf­trag­ge­ber nicht durch­führ­bar, ob der Dienst­leis­ter in aus­rei­chen­dem Umfang für die Sicher­heit der Daten sor­gen kann.
Dabei hat die Behör­de bereits berück­sich­tigt, dass es kein pau­scha­les Schutz­ni­veau gibt, son­dern die­ses indi­vi­du­ell nach Art der Dienst­leis­tung und der betrof­fe­nen Daten defi­niert und ver­ein­bart wer­den muss.

Was ist zu tun?

In einem ers­ten Schritt soll­ten Sie prü­fen, ob Sie alle für eine Auf­trags­da­ten­ver­ar­bei­tung in Fra­ge kom­men­den Dienst­leis­ter über­haupt bereits iden­ti­fi­ziert haben. Wenn ja, wäre die ver­trag­li­che Situa­ti­on zu prü­fen, ob das Schutz­ni­veau des Dienst­leis­ters in aus­rei­chen­der schrift­li­cher Form nach­ge­wie­sen ist und ob eine gül­ti­ge Auf­trags­da­ten­ver­ar­bei­tung (Ach­tung Novel­le in 2009 mit neu­en Anfor­de­run­gen!) schrift­lich ver­ein­bart wurde.
Wenn nein, soll­ten Sie zeit­nah Ihren Daten­schutz­be­auf­trag­ten infor­mie­ren, damit die­ser alles wei­te­re mit Ihnen zusam­men in die Wege lei­ten kann.

Pres­se­mit­tei­lung des BayL­DA vom 20.08.2015
Infor­ma­ti­ons­blatt des BayL­DA zum The­ma Auftragsdatenverarbeitung
Blog­bei­trag a.s.k. Daten­schutz zum The­ma Auftragsdatenverarbeitung

 

Die mobile Version verlassen