Micro­soft Exchan­ge-Ser­ver: Hand­lungs­be­darf für Unternehmen

Vor eini­gen Tagen wur­de bekannt, dass Micro­soft Exchan­ge E‑Mail-Ser­­ver von Schwach­stel­len betrof­fen sind (vgl. z.B. die Mit­tei­lun­gen des deut­schen BSI). In ihrer Kom­bi­na­ti­on konn­ten die­se Schwach­stel­len für Angrif­fe ver­wen­det wer­den, was offen­bar breit erfolgt ist (Krebs on Secu­ri­ty): At least 30,000 orga­niz­a­ti­ons across the United Sta­tes — inclu­ding a signi­fi­cant num­ber of small busi­nes­ses, towns, … wei­ter­le­sen

EDSA: Ent­wurf von Leit­li­ni­en zu Bei­spie­len für Data Bre­ach Notifications

Die DSGVO sieht bekannt­lich vor, dass bei Daten­si­cher­heits­ver­let­zun­gen der/den zuständige(n) Aufsichtsbehörde(n) zu mel­den sind, sofern die Ver­let­zung zu einem Risi­ko für die betrof­fe­ne Per­so­nen führt (Art. 33 DSGVO, und wenn die Ver­let­zung vor­aus­sicht­lich zu einem hohen Risi­ko für die betrof­fe­nen Per­so­nen führt, sich die­se von der Ver­let­zung zu benach­rich­ti­gen (Art. 34 DSGVO). Der … wei­ter­le­sen

FIN­MA-Auf­sichts­mit­tei­lung 05/2020: Mel­de­pflicht von Cyber-Attacken

Die FINMA hat mit Datum vom 7. Mai 2020 die Auf­sichts­mit­tei­lung 05/2020 betr. Mel­de­pflicht von Cyber-Attacken ver­öf­fent­licht. Sie steht vor dem Hin­ter­grund der wei­ter­hin – und beson­ders in Stress-Situa­­ti­on wie der aktu­el­len Pan­de­mie – als “sehr hoch” beur­teil­ten Gefahr von Cyber-Attacken auf den Schwei­zer Finanz­platz. Auf­sichts­mit­tei­lung Die Auf­sichts­mit­tei­lung soll alle beauf­sich­tig­ten Insti­tu­te … wei­ter­le­sen

Daten­schutz­ver­let­zun­gen: Erste Zwi­schen­bi­lanz der CNIL

Die fran­zö­si­sche Daten­schutz­auf­sichts­be­hör­de, die CNIL, hat eine erste Zwi­schen­bi­lanz zu Daten­schutz­ver­let­zun­gen nach der DSGVO ver­öf­fent­licht: Seit dem 25. Mai unter dem 1. Okto­ber sind 742 Mel­dun­gen von Ver­let­zun­gen ein­ge­gan­gen, mit über 33 Mio. Betrof­fe­nen. Die fol­gen­den Bran­chen waren am stärk­sten betrof­fen, in abstei­gen­der Rei­hen­fol­ge: Hotel­le­rie (weil ein Dienst­lei­ster mit bran­chen­wei­ter Bedeu­tung von einer Ver­let­zung betrof­fen war) Wis­sen­schaft und Tech­nik … wei­ter­le­sen

Arti­kel-29-Daten­schutz­grup­pe: Defi­ni­ti­ve Fas­sung der Gui­de­li­nes zur Mel­dung von Datenschutzverletzungen

Die Art.-29-Datenschutzgruppe hat die auf den 6. Febru­ar 2018 datier­te fina­le Fas­sung der “Gui­de­li­nes on Per­so­nal data bre­ach noti­fi­ca­ti­on under Regu­la­ti­on 2016÷679” ver­öf­fent­licht. Die Abwei­chun­gen zum Ent­wurf vom 3. Okto­ber 2017 sind in die­sem Ver­gleichs­do­ku­ment ersicht­lich: Link (PDF). Neu sind u.a. Aus­füh­run­gen zu Daten­schutz­ver­let­zun­gen, die einen nicht in der EU nie­der­ge­las­se­nen Ver­ant­wort­li­chen betref­fen: Whe­re a con­trol­ler … wei­ter­le­sen

Art.-29-Datenschutzgruppe: Leit­fa­den zu Mel­dun­gen von Daten­si­cher­heits­ver­let­zun­gen (“Bre­ach Notification”)

Die Art.-29-Datenschutzgruppe hat einen auf den 3. Okto­ber 2017 datier­ten Ent­wurf eines Leit­fa­dens zu Mel­dun­gen von Daten­si­cher­heits­ver­let­zun­gen ver­öf­fent­licht (“Gui­de­li­nes on Per­so­nal data bre­ach noti­fi­ca­ti­on under Regu­la­ti­on 2016/679″ [PDF]). Sie äussert sich dar­in u.a. zu fol­gen­den The­men: Legal­de­fi­ni­ti­on der “Daten­si­cher­heits­ver­let­zung” RIsi­ko­ein­schät­zung: Metho­dik, rele­van­te Risi­ken und Gewich­tung (aber rela­tiv knapp) Aus­lö­sung der Mel­de­pflicht gegen­über der zustän­di­gen … wei­ter­le­sen