Micro­soft Exchan­ge-Ser­ver: Hand­lungs­be­darf für Unternehmen

Vor eini­gen Tagen wur­de bekannt, dass Micro­soft Exchan­ge E‑Mail-Ser­­ver von Schwach­stel­len betrof­fen sind (vgl. z.B. die Mit­tei­lun­gen des deut­schen BSI). In ihrer Kom­bi­na­ti­on konn­ten die­se Schwach­stel­len für Angrif­fe ver­wen­det wer­den, was offen­bar breit erfolgt ist (Krebs on Secu­ri­ty): At least 30,000 orga­niz­a­ti­ons across the United Sta­tes — inclu­ding a signi­fi­cant num­ber of small busi­nes­ses, towns, … wei­ter­le­sen

Infor­ma­ti­ons­si­cher­heits­ge­setz (ISG) verabschiedet

Das Infor­ma­ti­ons­si­cher­heits­ge­setz (ISG) wur­de im Dezem­ber 2020 in der Schluss­ab­stim­mung nach drei­jäh­ri­ger Bera­tung ange­nom­men. Die Refe­ren­dums­frist endet am 10. April 2021. Der Schluss­text ist hier ver­füg­bar, der Ent­wurf und die Bot­schaft hier. Die Ände­run­gen seit dem Ent­wurf sind hier nach­voll­zieh­bar. In den Schluss­be­stim­mun­gen wur­de auch Art. 320 StGB (Amts­ge­heim­nis) ange­passt, damit – par­al­lel bspw. … wei­ter­le­sen

EDSA: Ent­wurf von Leit­li­ni­en zu Bei­spie­len für Data Bre­ach Notifications

Die DSGVO sieht bekannt­lich vor, dass bei Daten­si­cher­heits­ver­let­zun­gen der/den zuständige(n) Aufsichtsbehörde(n) zu mel­den sind, sofern die Ver­let­zung zu einem Risi­ko für die betrof­fe­ne Per­so­nen führt (Art. 33 DSGVO, und wenn die Ver­let­zung vor­aus­sicht­lich zu einem hohen Risi­ko für die betrof­fe­nen Per­so­nen führt, sich die­se von der Ver­let­zung zu benach­rich­ti­gen (Art. 34 DSGVO). Der … wei­ter­le­sen

EDSA: 2. Ver­si­on der Leit­li­ni­en zu Pri­va­cy by Design und Pri­va­cy by Default / Anmer­kun­gen zur Systematik

Der EDSA hat eine neue Ver­si­on 2.0 der bereits 2019 erschie­nen Leit­li­ni­en zu Pri­va­cy by Design und Pri­va­cy by Default ver­öf­fent­licht. Eine Ver­gleichs­fas­sung (Del­ta­view, PDF) fin­det sich hier. Die Leit­li­ni­en sind in vie­len Punk­ten nach wie vor recht luf­tig, ent­hal­ten aber Hin­wei­se, auf wel­che Wei­se die Ein­hal­tung der Bear­bei­tungs­grund­sät­ze kon­kret sicher­ge­stellt wer­den kann. … wei­ter­le­sen

EU: Ent­wurf Ver­ord­nung zur Stär­kung der IT-Resi­li­enz im Finanzbereich

Die EU arbei­tet an einer neu­en Ver­ord­nung zur Rege­lung der Stär­kung der Resi­li­enz von IT-Pro­­­zes­­sen im Finanz­be­reich (Regu­la­ti­on on digi­tal ope­ra­tio­nal resi­li­en­ce for the finan­cial sec­tor). Der Ent­wurf ist bis­her nur auf Eng­lisch ver­füg­bar. Die Ver­ord­nung soll bestimm­te ein­heit­li­che Anfor­de­run­gen an die Sicher­heit von Netz- und IT-Syste­­men fest­le­gen, die Finanz­in­sti­tu­te zur Unter­stüt­zung … wei­ter­le­sen

LfDI: Bus­se von EUR 1.24M gegen Kran­ken­kas­se wegen ein­wil­li­gungs­los ver­sand­ter Werbe-E-Mails

Der Lan­des­be­auf­trag­te für den Daten­schutz und Infor­ma­ti­ons­frei­heit Baden-Wür­t­­te­m­­berg (LfDI) hat gegen eine Kran­ken­kas­se (AOK Baden-Wür­t­­te­m­­berg) eine Bus­se von EUR 1,24 Mio. ver­hängt (vgl. Medi­en­mit­tei­lung). Eine Ver­let­zung der DSGVO erkann­te der LfDI dar­in, dass die AOK in den Jah­ren 2015 bis 2019 im Rah­men von Gewinn­spie­len Per­so­nen­da­ten der Teil­neh­mer erho­ben hat­te, u.a. Kon­takt­da­ten … wei­ter­le­sen

Spa­ni­en: DSGVO-Bus­se gegen Rechtsanwalt

Die spa­ni­sche Daten­­schutz-Auf­­­sicht­s­­be­­hör­­de, die,hat eine Bus­se von EUR 2 000 gegen einen Rechts­an­walt ver­hängt (Ent­scheid im Ori­gi­nal auf spa­nisch; deut­sche Fas­sung via DeepL). Der Anwalt hat­te im Rah­men eines Ver­fah­rens Mie­ter eines Wohn­hau­ses vor­ge­la­den. Dabei hat er Doku­men­te ver­wen­det, auf deren Rück­sei­te Per­so­nen­da­ten ande­rer Mie­ter zu sehen waren, die für das Ver­fah­ren rele­vant … wei­ter­le­sen

Schutz vor Cyber­ri­si­ken: Bun­des­rat beschliesst Ver­ord­nung und wei­te­re per­so­nel­le Ressourcen

Der Bun­des­rat hat die Ver­ord­nung über die Orga­ni­sa­ti­on des Bun­des zum Schutz vor Cyber­ri­si­ken (CyRV) ver­ab­schie­det, sie tritt am 1. Juli 2020 in Kraft: CyRV Erläu­te­run­gen zur CyRV Aus den Erläu­te­run­gen: Mit der Ver­ord­nung über den Schutz vor Cyber­ri­si­ken in der Bun­des­ver­wal­tung (Cyber­ri­si­ken­ver­ord­nung, CyberRV) wer­den die recht­li­chen Grund­la­gen für die depar­te­ments­über­grei­fen­de Orga­ni­sa­ti­on des Bun­des … wei­ter­le­sen