Home / Aktuelles & Termine / it.sec blog

Die größten Browserhersteller Mozilla, Google, Apple und Microsoft haben angekündigt, dass ihre Browser ab 2020 die älteren Versionen von TLS, nämlich TLS 1.0 und TLS 1.1, nicht mehr unterstützen. Das bedeutet, dass Seiten, die nicht mindestens TLS 1.2 unterstützen, dann nicht mehr aufrufbar sein könnten, mindestens aber als unsicher markiert werden.

Dies wurde von den Browserherstellern zeitgleich bekannt gegeben. Nachdem nun von Chrome auch Seiten ohne HTTPS als "nicht sicher" klassifiziert werden, ist dies ein weiterer Schritt, um Benutzer sicherer surfen zu lassen.

Grund für die Abschaffung sind hauptsächlich schwache Hash-Verfahren wie beispielsweise MD5 und SHA1, welche momentan beide gebrochen werden können. Sollte ein Angreifer also lesend Zugriff auf Netzwerkverkehr erhalten, so kann er versuchen, die Verschlüsselung zu brechen. Hierdurch erhält er unter Umständen Zugriff auf sensible Informationen seines Opfers, beispielsweise die Zugangsdaten.

Außerdem bieten die alten TLS Versionen weitere Angriffsmöglichkeiten, wie z. B. BEAST oder POODLE.

Momentan stellen Verbindungen, welche mit TLS 1.0 und TLS 1.1 gesichert werden, allerdings nur einen verschwindend geringen Anteil dar: laut Google's Security Blog werden nur 0.5% aller HTTPS-Verbindungen mit TLS 1.0 oder TLS 1.1 aufgebaut. Da TLS 1.2 schon 2008 als Empfehlung galt, war genug Zeit, um auf die neueren Versionen umzustellen.

Tatsächlich spielt nicht nur die verwendete Version des TLS-Protokolls eine Rolle, sondern auch die angebotenen Cipher. Unter einem Cipher versteht man die bei SSL/TLS eingesetzte Kombination von Verschlüsselungs-, Signatur- und Hashverfahren. Werden diese zu schwach gewählt, kann die Verschlüsselung potenziell gebrochen werden. Zwar wird standardmäßig der stärkste verfügbare Cipher zwischen Client und Server ausgehandelt, jedoch kann ein Angreifer hier eingreifen und eine sehr schwache Verbindung zwischen seinem Opfer und dem Server erzwingen. Diese Attacken werden "TLS Protocol Downgrade Attacks" genannt.

Christian Stehle

IT Security Consultant

Unternehmen setzen oftmals Dienstleister ein (z.B. IT-Dienstleister, Fachentsorger, etc.), die personenbezogene Daten im Auftrag für den Verantwortlichen verarbeiten und dabei nur weisungsgebunden mit diesen Daten umgehen dürfen.

 

Zur Absicherung dieser Auftragsverarbeitung muss zwischen dem Unternehmen (Verantwortlicher) und dem Dienstleister (Auftragsverarbeiter) ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. Dieser Vertrag muss den Vorgaben von Art. 28 Abs. 3 DSGVO entsprechen. U.a. müssen die Unterstützungspflichten des Dienstleisters gegenüber dem Verantwortlichen dort geregelt sein:

 

  • Unterstützung bei der Erfüllung der Informationspflichten aus Art. 13, 14 DSGVO.
  • Unterstützung bei der Wahrung der Rechte der betroffenen Personen aus Art. 15 ff DSGVO
  • Unverzügliche Mitteilung, wenn eine Weisung des Auftraggebers gegen DSGVO oder sonstige Datenschutzbestimmungen verstößt
  • Unverzügliche Mitteilung einer Datenschutzverletzung
  • Unterstützung bei Melde- und Benachrichtigungspflichten aus Art. 33, 34 DSGVO.
  • Unterstützung bei einer Datenschutz-Folgenabschätzung aus Art. 35 DSGVO.
  • Ermöglichen von Kontrollen (auch vor Ort)

 

Die meisten Dienstleister stellen eine entsprechende Vertragsvorlage bereits von sich aus zur Verfügung. Häufig enthalten diese Vertragsmuster jedoch Klauseln, in denen der Dienstleister dem Verantwortlichen Unterstützungsleistungen im Bereich Datenschutz in Rechnung stellt. Als ob man in einem Restaurant einen Aufpreis zahlen müsste, wenn man das Essen nach Hygiene-Vorschriften zubereitet haben möchte!

 

Der Bayerische Landesbeauftrage für den Datenschutz hat daher nun klargestellt, dass Verantwortliche „darauf achten [sollten], dass sie sich für die Ausübung ihrer gesetzlichen Kontrollrechte nicht zu einem besonderen Entgelt verpflichten lassen“. Denn solche Extra-Kosten würden den Verantwortlichen an der Ausübung seiner datenschutzrechtlichen Pflichten und damit einhergehenden Rechte gegenüber dem Dienstleister „entgegenwirken“ und „abschreckende Wirkung entfalten.“

 

Dienstleister sollten also zukünftig auf solche Klauseln verzichten, wenn sie nicht möchten, dass der Schutzzweck des Art. 28 DSGVO ausgehebelt wird. Denn auch sie haben mit Sanktionen zu rechnen, wenn ein Vertrag zur Auftragsverarbeitung nicht ordnungsgemäß abgeschlossen wurde.

 

 

S. Kieselmann

 

Beraterin für Datenschutz

 

Dipl.sc.pol.Univ.

Die DSGVO sieht im öffentlichen Bereich Regelungsaufträge und Öffnungsklauseln vor, die die Mitgliedstaaten ermächtigen, in einigen Bereichen eigene Regelungen zu erlassen. Das BayDSG wurde daher neu gefasst und ist am 25.05.2018 in Kraft getreten.

Die Regelungssystematik, nach der bayerische öffentliche Stellen personenbezogene Daten verarbeiten dürfen, ist eher ein Regelungschaos:

Sofern diese Stellen personenbezogene Daten verarbeiten, gilt die DSGVO, Art. 2 S. 1 BayDSG. Eine Ausnahme von diesem Grundsatz besteht, wenn es eine anderweitige Regelung gibt, Art. 2 Abs. 1 S. 1 BayDSG. Diese anderweitige Regelung kann sich aus dem BayDSG selbst ergeben (z.B. Art. 2 S. 2 BayDSG) oder auch aus bereichsspezifischen Rechtsvorschriften, die dem BayDSG vorgehen, Art. 1 Abs. 5 BayDSG. Beispiele für bereichsspezifische Rechtsvorschriften sind z.B. Regelungen der DSGVO selbst oder Art. 103 ff. Bayerisches Beamtengesetz (BayBG). Hierbei muss immer beachtet werden, dass diese anderweitigen Regelungen oder bereichsspezifischen Rechtsvorschriften der DSGVO nicht widersprechen.

Der Bayerische Landesbeauftragte für den Datenschutz sagt in einem Überblick hierzu: „Der Regelungsgehalt des neuen Bayerischen Datenschutzgesetzes ist aus sich heraus in der Regel nicht mehr verständlich“ und die „Regelungssystematik (…) anspruchsvoll.“

Die wichtigsten Vorschriften zum BayDSG, bezogen auf die DSGVO, sollen nachfolgend dennoch aufgelistet werden:

Anwendungsbereich: Die Vorschriften des BayDSG gelten für Behörden und sonstige öffentliche Stellen in Bayern, Art. 1 Abs. 1 S. 1 BayDSG.

Für nicht-öffentliche Stellen sowie öffentliche Stellen, die als Unternehmen am Wettbewerb teilnehmen, gelten die Vorschriften des BayDSG nicht, Art. 1 Abs. 3 S. 1 BayDSG. Ausnahmen:

  • Für nicht-öffentliche Stellen, die hoheitliche Aufgaben der öffentlichen Verwaltung in Bayern wahrnehmen, gelten die Vorschriften BayDSG, Art. 1 Abs. 4 BayDSG.
  • Art. 38 BayDSG gilt auch für nicht-öffentliche Stellen, Art. 1 Abs. 1 S. 4 BayDSG.

Zuständige Aufsichtsbehörde für sämtliche öffentliche Stellen, d.h. auch solche, die als Unternehmen am Wettbewerb teilnehmen, ist der Bayerische Landesbeauftragte für den Datenschutz, Art. 1 Abs. 3 S. 2 BayDSG.

Bußgelder: Gegen öffentliche Stellen werden keine Bußgelder verhängt, wenn sie gegen datenschutzrechtliche Bestimmungen verstoßen, Art. 22 BayDSG. Eine Ausnahme besteht gegenüber öffentlichen Stellen, die als Unternehmen am Wettbewerb teilnehmen.

Datengeheimnis: Die Beamten sowie nicht-verbeamteten Beschäftigten der öffentlichen Stellen sind zur Wahrung des Datengeheimnisses zu verpflichten. Diese Pflicht besteht auch nach Beendigung ihrer Tätigkeit bei der öffentlichen Stelle fort, Art. 11 BayDSG.

Datenverarbeitung:

  • Die Erhebung personenbezogener Daten bestimmt sich nach Art. 4 Abs. 1, Abs. 2 BayDSG. Es gilt ein Direkterhebungsgebot.
  • Die Verarbeitung der personenbezogenen Daten bestimmt sich nach Art. 4 Abs. 1 BayDSG.
  • Die Übermittlung bzw. Offenlegung personenbezogener Daten bestimmt sich nach Art. 5 BayDSG. Hiermit ist wohl nicht nur die Datenübermittlung an Dritte, sondern generell die Offenlegung gegenüber Empfängern (z.B. auch Auftragsverarbeitern) gemeint.
  • Die spätere Verarbeitung personenbezogener Daten zu geänderten Zwecken (Weiterverarbeitung) bestimmt sich nach Art. 6 Abs. 2 BayDSG.
  • Die Einrichtung automatisierter Verfahren zur Übermittlung personenbezogener Daten durch Abruf oder der gemeinsame Betrieb automatisierter Verfahren i.S.v. Art. 26 DSGVO bestimmt sich nach Art. 7 BayDSG.
  • Die Verarbeitung besonderer Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 DSGVO bestimmt sich nach Art. 8 BayDSG.
  • Die Verarbeitung personenbezogener Daten im Rahmen der Videoüberwachung bestimmt sich nach Art. 24 BayDSG.
  • Die Verarbeitung personenbezogener Daten zu journalistischen, künstlerischen oder literarischen Zwecken bestimmt sich nach Art. 38 BayDSG. Diese Vorschrift gilt für öffentliche und nicht-öffentliche Stellen, Art. 1 Abs. 1 S. 4 BayDSG.
  • Bei der Löschung personenbezogener Daten ist zusätzlich Art. 26 Abs. 6 BayDSG zu beachten.

Auftragsverarbeitung: Es gilt Art. 28 DSGVO. IT-Dienstleister, die die Prüfung und (Fern-)Wartung von Datenverarbeitungssystemen und -anlagen übernehmen, gelten als Auftragsverarbeiter, Art. 5 Abs. 3 S. 1 BayDSG.

Joint Control: Es gilt Art. 26 DSGVO, ergänzt durch Art. 7 Abs. 2 BayDSG.

Informationspflichten: Die betroffenen Personen müssen über die Datenverarbeitung informiert werden gemäß Art. 13, 14 DSGVO („mit deren Kenntnis“, Art. 4 Abs. 2 S. 1 BayDSG).

Ausnahmen von der Informationspflicht sind gemäß Art. 4 Abs. 2 S. 4, Art. 9 BayDSG vorgesehen für die Fälle von Art. 4 Abs. 2 Nr. 1, Nr. 2 BayDSG, Art. 6 Abs. 2 Nr. 3 lit. a), b), d) BayDSG. Eine Ausnahme kann ggf. auch für den Fall von Art. 10 Abs. 1 S. 2 BayDSG bestehen.

Auskunftsrecht: Betroffene Personen haben in den Fällen des Art. 10 Abs. 1 S. 1 und 2, Abs. 2 Nr. 1 bis 5 lit. a), b) BayDSG kein Recht, Auskunft zu den über sie verarbeiteten personenbezogenen Daten zu verlangen.

Benachrichtigungspflicht aus Art. 34 DSGVO: Die Benachrichtigung betroffener Personen über Datenschutzverletzungen kann in den Fällen von Art. 6 Abs. 2 Nr. 3 lit. a), b), d) BayDSG unterbleiben, Art. 13 BayDSG.

Verzeichnisses von Verarbeitungstätigkeiten: Das Führen eines solchen Verzeichnisses wird in Art. 2 S. 2 BayDSG eingeschränkt.

Datenschutz-Folgenabschätzung: Die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung wird in Art. 2 S. 2 sowie Art. 14 BayDSG eingeschränkt.

S. Kieselmann

Beraterin für Datenschutz

Dipl.sc.pol.Univ.

In unserem heutigen Blogbeitrag möchten wir zusammenfassend über datenschutzrelevante Ereignisse der letzten Monate informieren:

 

 

  • Mit der Entscheidung des Landgerichts Würzburg (LG Würzburg, Beschluss vom 13.9.2018, Az. 11 O 1741/18), können Verstöße gegen die DSGVO von Mitbewerbern abgemahnt werden. Bisher bestand hier erhebliche Unsicherheit, ob es sich bei der DSGVO überhaupt um eine drittschützende Norm im Sinne des § 3a UWG handelt.

 

 

  • Derzeit verschickt die sog. "Datenschutzauskunft-Zentrale“ ein Schreiben, in dem Unternehmen aufgefordert werden, Angaben über ihren Betrieb zu machen, "um ihrer gesetzlichen Pflicht zur Umsetzung des Datenschutzes nachzukommen". Hierbei handelt es sich um eine Abo-Falle. .

 

 

  • Laut dem Thüringer Landesarbeitsgericht (Urteil vom 16.05.2018, Az. 6 Sa 442/17) ist die Erhebung der privaten Telefonnummer durch den Arbeitgeber ein erheblicher Eingriff in die Persönlichkeitsrechte des Mitarbeiters.

 

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Wir hatten bereits am 05.03.2018 berichtet, dass Unternehmen den Messenger-Dienst WhatsApp nicht datenschutzkonform einsetzen können (siehe Blog „Einsatz von WhatsApp im Berufsalltag“). Insbesondere kann die mit dem Einsatz des Messenger-Dienstes verbundene Übermittlung aller Namen und Telefonnummern der im Telefonverzeichnis des verwendeten Smartphones gespeicherten Kontakte nicht auf ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f) DSGVO gestützt werden. Die Landesbeauftragte für den Datenschutz Niedersachsen führt hierzu aus: „Ein berechtigtes Interesse des Nutzers von WhatsApp für die Übermittlung der Kontaktdaten kann allenfalls in Bezug auf die bereits registrierten Nutzer des Messenger-Dienstes unterstellt werden“ (Link zum Merkblatt).

Die Landesbeauftragte stellt jedoch klar, dass eine solche Datenübermittlung „[f]ür die Funktionsfähigkeit (…) und der vollständige Datenabgleich aller im Adressbuch gespeicherten Kontaktdaten nicht zwingend“ ist. Gemäß Art. 25 Abs. 1 DSGVO muss das eingesetzte Datenverarbeitungssystem (wie eben WhatsApp) so programmiert sein, dass Anforderungen des Datenschutzes standardmäßig implementiert sind und eine datenschutzgerechte Verarbeitung personenbezogener Daten durch entsprechende Funktionen möglich ist (Privacy by Design). Insbesondere muss der Umfang der personenbezogenen Daten, die in den Datenverarbeitungssystemen verarbeitet werden, auf das zur Zweckerfüllung absolut Notwendigste beschränkt werden; dennoch stellt „WhatsApp (…) keine Möglichkeit bereit, die Übermittlung zu deaktivieren, auf einzelne Kontaktgruppen zu beschränken oder sonst die Übermittlung zu konfigurieren.“

Laut der Landesbeauftragten stellt somit der „Einsatz von WhatsApp (…) in jedem Fall einen Verstoß gegen Art. 25 Abs. 1 DS-GVO dar.“

Die Pflicht zur Einhaltung von Art. 25 Abs. 1 DSGVO trifft dabei nicht die WhatsApp Inc., sondern das Unternehmen, das diesen Messenger-Dienst einsetzt.

S. Kieselmann

Beraterin für Datenschutz

Dipl.sc.pol.Univ.

Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu BEAST Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Browser Bund Bundesarbeitsgericht Bußgeld Bußgelder BVG Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsche Bahn Dienstleister Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb Gesundheitsdaten Google Google Analytics hacken Hacker Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Home Office Immobilienmakler Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme ITSECX Jin-hyok Joint Control Kanada Keynote Klagebefugnis Klingelschilder Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Lazarus Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Löschungsrecht Lösegeld Malware Markennamen Markenrecht Marktortprinzip MD5 Meldepflicht Meldescheine Meldung Meltdown Messenger Microsoft Mieter Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Netzwerklabor NIST Nordkorea Nutzungsbedingungen Öffnungsklauseln One Stop Shop Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente POODLE Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung SamSam Sanktionen Schaden Schadprogramm Seitenbetreiber SHA1 sicher Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Sponsoren Standardvertragsklauseln Strafe Strafverfolgung Studenten Supercomputer Risikolage Support Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telemediendienst Telemediengesetz Telstra Security Report TKG TLS TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31