Aus organisatorischen Gründen können wir Ihnen eine Berichterstattung durch unser Redaktionsteam in dieser Woche nicht anbieten. Entsprechende datenschutzrelevante Aspekte werden in den Datenschutznachrichten in der 07. Kalenderwoche einbezogen. Wir bedanken uns für Ihre Leser-Treue und Ihr Verständnis.

Datenschutzverstöße in Behörden nehmen zu
Laut Medienberichten sind interne Schriftstücke der Gemeindeverwaltung Pretzfeld (Kreis Forchheim) im Kinderhort der Gemeinde aufgetaucht.
Bei einer Gemeinderatssitzung legte ein Bürger vertrauliche amtliche Unterlagen von der Gemeindeverwaltung der Bürgermeisterin - Rose Stark - vor. Diese sensiblen Schriftstücke der Gemeindeverwaltung wurden offenbar als Schmier- und Zeichenpapier im örtlichen Kinderhort verwendet. Die Bürgermeisterin will diesen Vorfall intern klären.
Laut Medienberichten wurden Datenschutzverstöße auch in einem Berliner Meldeamt bewusst begangen. Eine Mitarbeiterin hatte mehrfach unbefugt ihre Zugriffsrechte auf das Meldeverfahren ausgenutzt und personenbezogene Daten aus dem Melderegister für private Zwecke abgerufen und somit gegen datenschutz- und melderechtliche Vorschriften verstoßen. Sie wurde von dem Amtsgericht Berlin-Tiergarten wegen der begangenen Datenschutzverletzung zu einer Geldstrafe von 90 Tagessätzen verurteilt. Zudem wurde ihr das Arbeitsverhältnis fristlos durch ihrem Arbeitgeber, Land Berlin, gekündigt.
Weiterhin berichten die Medien über Polizeidienststellen in Rheinland-Pfalz, die immer wieder gegen das Datenschutzgesetz verstoßen, wenn sie hochsensible Personenangaben per E-Mails unverschlüsselt senden. Laut Pressebericht hat der Landesdatenschutzbeauftragte Dieter Kugelmann das Innenministerium in Mainz um Auskunft über die Praxis der Übertragung gebeten. Datenschutz und IT-Sicherheit sind ein großes Thema für viele Unternehmen und Institutionen, doch das beste Konzept zur Absicherung der sensiblen Daten ist nutzlos, solange die größte Schwachstelle "Mensch" nicht in dem Sicherheitskonzept des Unternehmens mit integriert ist.
Datensicherheit kann nur dann gewährleistet werden, wenn durch kontinuierliche Datenschutz - Schulungen die Mitarbeiter einschließlich der Geschäftsleitung für den verantwortungsbewussten Umgang mit schützenswerten Daten sensibilisiert und auf relevante Gefahrenquellen hingewiesen werden.
-ck-

Verdachtsunabhängige Vorratsdatenspeicherung
Die Bundesregierung hat in dieser Woche einen Gesetzentwurf (pdf) zur Speicherung der Fluggastdaten auf den Weg gebracht. Voraussichtlich ab 2018 sollen bei Flügen in die EU oder aus der EU von jedem Passagier sämtliche personenbezogene Daten gespeichert werden. Um Terror oder schwere Kriminalität zu verhindern und besser aufzuklären, sollen künftig sämtliche personenbezogene Daten wie Name, Anschrift, Zahlungsweise, Kreditkartennummer sowie die Kofferanzahl, der Verzehrwunsch an Bord von jeder Person die in die EU ein – oder ausreist gespeichert werden.
Fahnder haben dann uneingeschränkten Zugriff auf die offenen Speicherdaten. Sechs Monate nach Erfassung würden die Informationen anonymisiert und nur im Ermittlungsfällen der Justiz auch nach Ablauf der Sechs-Monate-Frist vollständig einsehbar sein. Fünf Jahre beträgt die Speicherfrist der an die EU-Staaten übermittelten Fluggastdaten. Datenschutzbeauftragte warnen vor dieser übertriebene Datensammelwut – unschuldige Bürger geraten unter Generalverdacht. Es bleibt daher abzuwarten, wie sich die nächsthöheren Instanzen zur Vorratsdatenspeicherung verhalten.
-ck-

Alle Bürger unter Generalverdacht?

Vorschriftsgemäße Aktenlagerung sieht anders aus
Am vergangenen Dienstag fand das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), in einem frei zugänglichen Kellergang eines Wohn- und Geschäftshauses, unverschlossene Metallaktenschränke mit hochsensiblen Patientenakten vor. Durch die stets offene Tiefgarage und der unverschlossenen Haustür waren die Patienten-Akten einer Zahnarztpraxis für jedermann zugänglich im Keller gelagert. Dank der unangemeldeten Kontrolle der Mitarbeiter des Landesamtes für Datenschutz scheinen die Akten in Schränke innerhalb der Praxis verlagert worden.
Wenn es um personenbezogene Daten, gerade äußerst sensible Gesundheitsdaten geht, müssen bei der Aufbewahrung ganz besondere Datenschutz – Vorschriften (besondere Arten personenbezogener Daten i.S.d. § 3 Abs. 9 BDSG) berücksichtigt werden. Dieser leichtfertige Umgang mit den Gesundheitsdaten der Patienten, kann derzeit nicht unmittelbar durch die Datenschutzbehörde mit einem Bußgeld belegt werden.
Ab Mai 2018 tritt die neue Datenschutz-Grundverordnung in Kraft. Dann drohen bei Datenschutz-Verstößen Bußgeldern von bis zu 10 Millionen Euro. Damit es im kommenden Jahr kein böses Erwachen gebe, sollten sich nicht nur Ärzte sondern auch Unternehmen, Freiberufler, Verbände und auch Vereine zur Lagerung von personenbezogenen Daten Dritter informieren, so der Rat des BayLDA-Präsidenten Thomas Kranig.
-ck-

Bei Einreise in vielen Ländern sind die Kontrollen elektronischer Geräte, insbesondere von Laptops durch den Zoll und andere Einreisebehörden streng geregelt. Die elektronische Geräte werden durchsucht und Kopien der gespeicherten Daten gezogen um diese später zu analysieren. Eine Überwachungsmaßnahme die tief in die Unternehmerdatenbank sowie der Privatsphäre von Reisenden eingreift.
Behörden haben nicht nur das Recht, Handy- oder Laptop und sonstige Datenträger zu untersuchen, sondern können diese auch beschlagnahmen - Gründe müssen sie nicht nennen. Die Möglichkeiten, sich dagegen zu wehren sind sehr gering.
Dies musste vor kurzem der NASA-Mitarbeiter Sidd Bikkannavar bei der Einreise in die USA erfahren, als er von den Grenzschützern festgehalten wurde. Ins Land einreisen durfte er erst, nachdem er den Zugangscode für sein dienstliches Smartphone preisgab.
Schon im Jahre 2015 verlangten Grenzschützer von einem kanadischen Staatsbürger bei der Wiedereinreise nach Kanada den Zugangscode seines Smartphones. Da der Kanadier Alain Philippon sich weigerte das Passwort herauszugeben, wurde er wegen Behinderung von den Grenzbeamten angeklagt, ihm drohten daraufhin nicht nur eine hohe Geldstrafe sondern auch eine Haftstrafe von bis zu einem Jahr. Um dieser Strafen zu entgehen, plädierte Alain Philippon bei der Verhandlung auf schuldig und bezahlte 500 Dollar Strafe. Trotzdem hat der kanadische Zoll sein Smartphone einbehalten.
Zur Datensicherheit sollten Unternehmen die Auslandsentsendungen oder Dienstreisen ihrer Mitarbeiter organisieren, Geräte wie Smartphone oder Laptop vor der Reise komplett zurücksetzen. Im Zielland angekommen, kann dann per Cloud ein arbeiten mit den Daten erfolgen. Vor der Rückreise sollte alles wieder zurückgesetzt werden um das Auslesen der Hardware zu vermeiden.
-ck-

Zunahme von Cyber-Angriffe
Anhand zunehmender Verwendung von mobilen Technologien geraten Unternehmen und Behörden immer stärker ins Visier von Cyber-Kriminellen. Allein im Jahre 2016 berichteten die Medien fast täglich von Hacks und mobilen Bedrohungen. Die IDC Studie „Mobile Security in Deutschland 2017“ ergab, das 26 % der befragten Unternehmen im vergangenen Jahr anhand von Sicherheitsvorfällen einen Schaden von mehr als 100.000 Euro durch Angriffe auf mobile Endgeräte entstanden ist. Die Sicherheitslage hat sich gegenüber dem Vorjahr so weit verschärf, das mittlerweile 65 Prozent der befragten Unternehmen Erfahrungen mit Angriffen auf ihre mobilen Endgeräte machen mussten.
-ck-

Massive Datenpannen verärgern Kunden
Aktuelle Skandale in den Medien zu Datenschutz, Betrug und Wirtschaftsspionage zeigen, dass nicht nur eine Sensibilisierung des Personals zum Schutz personenbezogener und unternehmensinterner Daten ausreicht. Unternehmen müssen sich auch mit einer geeigneten IT-Sicherheit gegen Webspionage schützen, denn Datenschutz ist kein Kostenfaktor, sondern ein Vertrauenselement.
Beispiel: Nach gravierendenden Datenpannen in der Vergangenheit sind scheinbar bei dem Internetkonzern Yahoo 32 Millionen Accounts erfolgreich geknackt worden, so die Medienberichte. Scheinbar wurden firmeneigene Codes des Unternehmens entwendet und anhand derer gefälschte Cookies (Client-basierte Daten) hergestellt. So konnten die Cyberkriminellen den Datendiebstahl unbemerkt durchführen, so die Vermutung des US-Konzerns. Das Unternehmen rät seinen Nutzern, ihr Kennwort sowie ihre Sicherheitsfragen zu ändern. Sollten User dieselben oder ähnliche Zugangsdaten und Sicherheitshinweise für weitere Mail-Accounts verwenden, sind auch diese schnellst möglichst zu erneuern. Auch im Unternehmen sollte stets darauf geachtet werden, dass nicht bei jedem Dienst oder Speicherung von sensiblen Daten immer ein und dasselbe Passwort verwendet wird. Sollte nur ein einziges Kennwort benutz und dieses geknackt werden, können sehr schnell sämtliche unternehmerische Daten abhandenkommen.
Wie der Hiscox Cyber Readiness Report 2017 berichtete, sind 28 % aller Schadenfälle im IT-Bereich dem Hacking und Datenverlust zuzuschreiben. Erhebliche Schäden erlitten 56 % aller deutschen Unternehmen im vergangenen Jahr durch einen Cyber-Angriff. Erfolgreiche Angriffe auf die IT-Systeme haben nicht nur einen herben Datenverlust zur Folge. Geschäftsaktivitäten kommen zum Stillstand, doch viel schlimmer als der kurzfristige monetäre Schaden, sind jedoch die negativen Schlagzeilen, die Unternehmen und deren Marken dauerhaft schaden können.
-ck-

Risiko: Gebrauchte Speichermedien
Immer wieder gelangen hochsensible Daten in falsche Hände, wie wir fast täglich in einschlägigen Nachrichtendiensten lesen können. Als Beispiel: Fehlerquelle Mensch, welcher nicht mehr benötigte Festplatten, Drucker, Kopierer und auch Handys mit hochsensiblen Daten nicht richtig oder gar nicht löscht – formatiert. Wird die Hardware für den Eigengebrauch weiterverwendet spricht auch nichts dagegen, doch sobald diese verkauft oder vernichtet werden soll, sieht es anders aus. Denn auch auf bereits formatierten Festplatten können mit spezieller Software erstaunliche Funde ans Tageslicht gebracht werden, oder die Speichermedien werden erst gar nicht gelöscht, wie durch so manche Datenpanne in den vergangenen Jahren bekannt wurde.
Unternehmen die ihre gebrauchte Hardware entsorgen möchten, können diese nicht einfach wegwerfen oder verschenken. Sie müssen sicherstellen, dass alle technischen und organisatorischen Maßnahmen zum Schutz der Daten umgesetzt werden. Wenn Datenvernichtung durch Dritte im Auftrag stattfinden, sind auch bei dieser Datenträgervernichtung genaue Vorschriften einzuhalten.
-ck-

Computerwoche online - "Festplatte & Speicher:
Datenlöschung bei elektronischen Altgeräten ist ein Muss!"