Pressemitteilung der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen vom 23.03.2022.

Mit der Änderung des Infektionsschutzgesetztes vom 20. März 2022 entfällt die Verpflichtung zum Nachweis der Impfung, der Genesung oder der Negativ-Testung (3G-Nachweis) am Arbeitsplatz. „Die aktuellen Lockerungen im Rahmen des Infektionsschutzgesetzes des Bundes nehme ich zum Anlass, um auf Fristen für die Löschung der gesammelten Daten hinzuweisen: Die von den Arbeitgeber*innen erhobenen Daten müssen spätestens sechs Monate nach Erhebung vernichtet oder gelöscht werden. Da die Rechtsgrundlage entfallen ist, gehen wir davon aus, dass die Speicherung regelmäßig nicht mehr erforderlich ist und die Daten schon jetzt gelöscht werden sollten“, erklärt Bettina Gayk, Landesbeauftrage für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen.

Angesichts steigender Corona-Zahlen gewann für Unternehmen die Erfassung von Gesundheitsdaten der Beschäftigten an Bedeutung, um den Betrieb trotz der Risiken durch SARS-CoV-2 aufrechtzuhalten. Dabei wurden die Arbeitgeber*innen verpflichtet zu überwachen, ob die Beschäftigten geimpft, genesen oder getestet sind. Dazu sollte eine tägliche Nachweiskontrolle durchgeführt und dokumentiert werden. Geregelt wurde das durch das Infektionsschutzgesetz des Bundes (§ 28b Abs. 3 Satz 1 IfSG a.F.). „In Einzelfällen haben Arbeitgeber*innen Impf- oder Testnachweise sogar kopiert oder gescannt. Das ist nicht zulässig gewesen, und selbstverständlich müssen diese Kopien und Scans umgehend fachgerecht entsorgt werden“, macht Gayk deutlich.

Dass im Zuge der Pandemie gesammelte Daten wieder gelöscht oder vernichtet werden müssen, ist nicht neu. So ist bereits die Pflicht zur Kontaktdatenerhebung für bestimmte Wirtschaftsbereiche – zum Beispiel in der Gastronomie – entfallen, als am 20. August 2021 die „Verordnung zum Schutz vor Neuinfizierungen mit dem Coronavirus SARS-CoV-2“ (Corona-Schutzverordnung) der NRW-Landesregierung geändert wurde. Allerdings kann sie seitdem noch weiterhin durch die Städte und Gemeinden als örtliche Ordnungsbehörden angeordnet werden.

Gayk: „Inzwischen geht es darum, die erhobenen Daten rechtskonform zu entsorgen. Das bedeutet: Die Gesundheitsdaten von Beschäftigten und – sofern noch vorhanden – Daten zur Kontaktnachverfolgung müssen gelöscht, also vollständig und unwiderruflich vernichtet werden. Bei Daten, die in Papierform erhoben wurden, sollte ein geeigneter Aktenvernichter verwendet werden.“ Ein Zerreißen von Hand sei nicht ausreichend. Wie Datenträger datenschutzkonform vernichtet werden können, regelt unter anderem die DIN 66399. Für das Löschen personenbezogener Daten durch Aktenvernichter sind Geräte der Sicherheitsstufe 4 oder höher gemäß dieser DIN geeignet.

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2-4, 40213 Düsseldorf
Tel.: 0211-38424 – 158
Fax: 0211-38424 – 999
E-Mail: pressestelle@ldi.nrw.de
Internet: www.ldi.nrw.de

„Stefan Brink und Clarissa Henning appellieren: Öffentliche Stellen sollten aus den vermeintlich Sozialen Medien aussteigen. Warum die nicht sozial sind, was Polizei, Kommunen und Co. stattdessen tun sollten und was das mit dem Vertrauen in mündige Bürger zu tun hat, kommentieren sie in ihrem Gastbeitrag.“ Vom 15.3.22.

Zum Beitrag: https://netzpolitik.org/

Konflikte werden heutzutage auch im digitalen Raum ausgetragen. Zwar ist die Situation in der Ukraine in diesem Sinne noch nicht hierzulande angekommen, doch sollten Unternehmen ihre IT-Sicherheit für einen Ernstfall prüfen. Der Bitkom nennt fünf Maßnahmen, die Unternehmen jetzt ergreifen sollten.

Die Offensive Russlands begann im digitalen Raum bereits einige Zeit vor dem Einmarsch in die Ukraine. „Während Cyberangriffe auf militärische Zielsysteme, Behörden und Institutionen bereits seit längerem stattfinden, spielte der digitale Raum in den ersten Tagen des russischen Angriffskriegs nur eine nachgelagerte Rolle. Mit zunehmender Kriegsdauer könnte sich dies wieder ändern, und das kann unmittelbare Konsequenzen für Deutschland und seine Wirtschaft haben. Denn die Distanzen im digitalen Raum sind kurz und die Grenzen nicht so klar, wie sie sein müssten“, erklärt Bitkom-Sicherheitsexperte Sebastian Artz. „Es gibt keinen Grund zur Panik, aber mit dem Angriffskrieg Russlands ist auch im deutschen Cyberraum volle Aufmerksamkeit und größtmögliche Wachsamkeit aller Unternehmen, Organisationen und staatlichen Stellen geboten.“

Der Digitalverband Bitkom gibt deshalb fünf konkrete Hinweise, welche Vorbereitungen und Vorsichtsmaßnahmen insbesondere kleine und mittelständische Unternehmen jetzt für ihre IT-Sicherheit treffen sollten:

1. Risiken und Auswirkungen von Cyberangriffen minimieren

Unternehmen sollten ihre Schutzmaßnahmen insgesamt verstärken. Betriebssysteme und Software müssen auf dem aktuellen Stand sein, Sicherheitsupdates sind zügig einzuspielen. Sichere – also komplexe und für jedes System unterschiedliche – Passwörter können signifikant das Schutzniveau erhöhen bei. Möglichst alle Logins mit Außenanbindung sollten über eine Multi-Faktor-Authentifizierung geschützt werden. Privilegien und Administrationsrechte sollten für einzelne NutzerInnen eingeschränkt werden und die Komplexität von verwendeten Diensten insgesamt verringert werden. Eine solche Härtung der Systeme ist ratsam, obwohl sie nicht nutzungsfreundlich ist und die Produktivität einschränkt, denn sie schützt die eigene Infrastruktur und unternehmenssensible Daten. Zudem ist die unternehmenseigene Back-up-Strategie zu prüfen und nachzuziehen, sodass alle relevanten Unternehmensdaten gesichert sind und zusätzlich Sicherheitskopien offline auf einem externen Datenträger existieren.

2. Verantwortlichkeiten klar definieren

Unternehmen müssen in einem Angriffsfall reaktionsfähig sein. Verantwortlichkeiten im Sicherheitsbereich müssen klar definiert sein und entsprechende Anlaufstellen eingerichtet werden – sowohl intern als auch bei externen Dienstleistern. Es gilt sicherzustellen, dass zu jeder Zeit ausreichend Personal einsatzfähig ist. Urlaubszeiten oder Vertretungen bei Krankheit müssen dabei einkalkuliert werden. Außerdem ist es sinnvoll sich darauf vorzubereiten, auch ohne die Hilfe externer Dienstleister kurzfristig reagieren zu können – bei großflächigen Cyberangriffen könnten Externe an Kapazitätsgrenzen stoßen.

3. Beschäftigte sensibilisieren

Alle Erfahrungen zeigen: Der Mensch bleibt eines der größten Sicherheitsrisiken, ist aber auch Schutzgarant eines Unternehmens. Alle Beschäftigten sollten zielgruppengerecht für das erhöhte Risiko von Cyberangriffen sensibilisiert werden. Dazu gehört, potenzielle Gefahren verständlich zu erklären und Schritt-für-Schritt-Anleitungen bereitzustellen, wie sich Beschäftigte im Falle eines Angriffs verhält und an wen sie sich wenden müssen. Gegebenenfalls können kurzfristige Sicherheitsschulungen sinnvoll sein. Ziel ist es, die Wachsamkeit in der Belegschaft zu erhöhen. Besonders für den E-Mail-Verkehr gilt, Hyperlinks und Anhänge nicht vorschnell zu öffnen und ungewöhnliche Anweisungen mit Skepsis zu betrachten. An Unternehmen werden auch sehr gezielte und gut gemachte Phishing-Mails geschickt, wodurch der Fake nur anhand weniger Details wie etwa eines falsch geschriebenen Namens oder einer falschen Durchwahl in der Signatur entdeckt werden kann.

4. Notfallplan erstellen

Für den Fall eines Angriffs sollte im Unternehmen ein Notfallplan bereitliegen, der das weitere Vorgehen dokumentiert. Neben den technischen Schritten, die eingeleitet werden müssen, sollte der Plan auch organisatorische Punkte wie die Kontaktdaten relevanter Ansprechpersonen im Unternehmen sowie die Notfallkontakte der offiziellen Anlaufstellen beinhalten. Auch rechtliche Aspekte wie Meldepflichten bei Datenschutzverletzungen müssen berücksichtigt werden. Des Weiteren gehört eine vorbereitete Krisenkommunikation dazu, um schnell alle relevanten Stakeholder wie Kunden, Partner sowie die Öffentlichkeit zu informieren.

5. Informationen offizieller Stellen beobachten

Die Sicherheitslage ist hochdynamisch und kann sich von Tag zu Tag ändern. Unternehmen sollten daher die Meldungen von Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie der Allianz für Cybersicherheit (ACS) stets beobachten.

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 20.12.2021

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat heute eine neue Fassung der Orientierungshilfe für Anbieter:innen von Telemedien veröffentlicht. Das Papier bietet Betreiber:innen von Webseiten, Apps oder Smarthome-Anwendungen konkrete Hilfestellungen bei der Umsetzung der neuen Vorschriften des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG). Zudem vermittelt die Orientierungshilfe betroffenen Bürger:innen ein besseres Bild der rechtlichen Rahmenbedingungen.

Mit der Veröffentlichung der überarbeiteten Orientierungshilfe reagieren die Aufsichtsbehörden auf die veränderte Rechtslage. Seit dem 1. Dezember 2021 regelt das TTDSG unter anderem den Schutz der Privatsphäre bei der Nutzung von Endgeräten. Daraus ergeben sich insbesondere praxisrelevante Auswirkungen auf den Einsatz von Cookies und ähnlichen Technologien. Mit dem TTDSG hat der Bundesgesetzgeber nach über einem Jahrzehnt Verzögerung nunmehr die Vorgaben der europäischen e-Privacy-Richtlinie in nationales Recht umgesetzt.

Das TTDSG wurde nah am Wortlaut der europäischen Vorgaben formuliert und fordert grundsätzlich eine Einwilligung der Nutzer:innen, wenn Informationen auf deren Endeinrichtungen gespeichert werden oder auf diese zugegriffen wird. Ausnahmen von diesem Einwilligungserfordernis sind eng begrenzt auf Fälle, in denen das Speichern und Auslesen der Informationen unbedingt erforderlich ist, damit ein ausdrücklich von Nutzer:innen gewünschter Telemediendienst zur Verfügung gestellt werden kann. In der Orientierungshilfe finden sich maßgebliche Kriterien, wie der entsprechende Nutzerwunsch festgestellt und sodann realisiert werden kann.

Bei der Prüfung, ob ausnahmsweise eine Einwilligung entbehrlich ist, ist zu beachten, dass die Voraussetzungen sich wesentlich vom Kriterium des berechtigten Interesses in der Datenschutz-Grundverordnung (DS-GVO) unterscheiden. Bis zum 30. November 2021 wurde das berechtigte Interesse von den Aufsichtsbehörden unter engen Voraussetzungen als mögliche Rechtsgrundlage angesehen. Eine bisherige Interessenabwägung nach der DS-GVO erfüllt jedoch nicht automatisch die engen Voraussetzungen des TTDSG. Zur Umsetzung der neuen Rechtslage ist es daher beispielsweise nicht ausreichend, wenn lediglich die Bezeichnungen der Rechtsgrundlagen in einer Datenschutzerklärung ausgetauscht werden.

Seit dem 1. Dezember 2021 finden für das Speichern und Auslesen von Informationen auf bzw. aus Endgeräten die strengeren Vorschriften des TTDSG Anwendung. Für die Weiterverarbeitung der so erhobenen personenbezogenen Daten gelten weiterhin die Vorschriften der DS-GVO. Auch hierzu finden sich einige Hinweise in der neuen Orientierungshilfe.

Betreiber:innen von Webseiten, Apps und anderen Telemedien sollten die Verwendung von Cookies und anderen Technologien dringend überprüfen. Insbesondere sind die genaue Ausgestaltung der Technologien und deren Notwendigkeit einer Revision zu unterziehen. Zeitpunkt, Art und Dauer der Speicherung sowie die nachgelagerte Datenverarbeitung müssen den Anforderungen des TTDSG bzw. der DS-GVO entsprechen. Dabei soll die nun vorliegende Orientierungshilfe eine Hilfestellung geben.

Das Dokument ersetzt in weiten Teilen die bisherige Fassung aus dem Jahr 2019 und wurde auf der Homepage der DSK veröffentlicht. Es ist geplant, zeitnah auch eine englische Fassung der Orientierungshilfe zur Verfügung zu stellen.

Des Weiteren wird ein öffentliches Konsultationsverfahren zur neuen Fassung der Orientierungshilfe durchgeführt werden. Details hinsichtlich der zeitlichen Planung und des Ablaufs werden im Januar 2022 bekannt gegeben.

Weitere Informationen zur DSK: www.datenschutzkonferenz-online.de

Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 14.12.2021

Die Java-Protokollierungsbibliothek „Log4j“ ist weit verbreitet. Sie ist Bestandteil vieler kommerzieller Produkte genauso wie von Open-Source-Software, aber auch selbst entwickelter Java-Anwendungen. Durch die kürzlich aufgedeckte Schwachstelle „Log4Shell“ (CVE-2021-44228) können Angreifer über das Internet eigene Programmcodes ausführen und damit einen Brückenkopf für weitere Cyberattacken installieren. Dadurch droht auch längerfristig die Kompromittierung vieler Dienste und vielfach sogar Einschränkungen des Regelbetriebs wichtiger Systeme.

Michael Will, Präsident des BayLDA, bewertet die Lage aus Datenschutzsicht als alarmierend: „Das Bedrohungspotential der Schwachstelle Log4Shell kann kaum ernst genug genommen werden. Verantwortliche müssen nun umgehend aktiv werden, um die eigenen Systeme zu prüfen und die Schwachstelle zu beseitigen. Bereits in der jüngeren Vergangenheit haben Cyberangriffe über andere Sicherheitslücken zu enormen Schäden geführt. Log4Shell hat das Potential, diese Risiken zu übertreffen und branchenübergreifend zahlreiche Betriebe in ihrem Arbeitsalltag massiv zu stören. Wir beobachten die Entwicklung daher intensiv und mit größter Sorge. Unser erstes Augenmerk gilt wirksamen Abhilfemaßnahmen, für die wir eine Checkliste bereitstellen. Unsere Erfahrungen mit der Nachlässigkeit zahlreicher Verantwortlicher trotz schwerwiegender Cybergefahren – zuletzt etwa der Schwachstelle bei Exchange-Servern im Frühjahr diesen Jahres – zeigen aber auch, dass Nachkontrollen zur Gewährleistung des Datenschutzes unerlässlich sind. Daher prüfen wir bereits, wie bayerische Verantwortliche einer automatisierten Datenschutzkontrolle unterzogen werden können, die Versäumnisse bei der Java-Sicherheitslücke aufdecken wird. Verstöße gegen die Sicherheitsanforderungen der Datenschutz-Grundverordnung können von uns mit empfindlichen Geldbußen geahndet werden.“

Welches Ausmaß die Java-Sicherheitslücke Log4Shell für bayerische Unternehmen, Vereine und Verbände, Ärzte, Rechtsanwälte etc. haben wird, ist trotz allseitiger Aufklärungsbemühungen längst noch nicht absehbar. Jedoch ist bereits zum jetzigen Zeitpunkt bekannt, dass flächendeckende Scans nach verwundbaren Systemen stattfinden und auch schon gezielt Angriffe durchgeführt werden. Es ist somit nur noch eine Frage der Zeit, wann Verantwortliche, die von der Lücke betroffen sind, einen Schaden feststellen. Nicht nur wirtschaftlich, sondern auch datenschutzrechtlich ist ein solches Szenario mit schwerwiegenden Konsequenzen verbunden. Letztendlich drohen Verantwortlichen insbesondere ein Abfluss personenbezogener Daten, eine Nicht-Verfügbarkeit wichtiger Systeme und Dienste oder eine Einrichtung von Backdoors für spätere Cyberattacken. Selbst Angriffe mit Ransomware zur Erpressung der betroffenen Betriebe sind wahrscheinlich. Verbraucherinnen und Verbraucher sind im Normalfall zwar nicht direkt von der Schwachstelle betroffen, könnten aber Auswirkungen spüren, etwa wenn Dienste wie Apps oder Webservices nicht mehr erreichbar sind oder eigene persönliche Daten durch Angriffe gestohlen werden.

Bayerische Verantwortliche müssen aufgrund der erhöhten Gefährdungslage zur Einhaltung datenschutzrechtlicher Verpflichtungen unverzüglich prüfen, ob deren IT-Systeme und Anwendungen von der Java-Sicherheitslücke Log4Shell betroffen sind. Hierzu steht unter www.lda.bayern.de/log4shell eine Checkliste zur Verfügung. Ist bereits eine Sicherheitsverletzung eingetreten, z. B. weil die Sicherheitslücke aktiv ausgenutzt wurde und IT-Systeme mit personenbezogenen Daten betroffen sind, besteht nach Art. 33 DS-GVO für Verantwortliche regelmäßig eine Meldeverpflichtung bei der zuständigen Datenschutzaufsichtsbehörde.