Home / Aktuelles & Termine / it.sec blog

Im Zuge eines Kundenprojekts konnte das Research Team der it.sec GmbH eine bisher unbekannte Schachstelle im SharePoint Server identifizieren und auszunutzen. Hierbei handelte es sich um die Manipulation eines Requests, welcher vom SharePoint selbst erstellt wurde. Die Schwachstelle wurde seitens Microsoft als Cross Site Scripting (XSS) deklariert.

Die Schwachstelle befand sich in der Foto-Funktion des angemeldeten Benutzers. Beim Hochladen eines neuen Profilbilds wurde die Datei auf dem Server abgelegt. In einem zweiten Schritt hatte der Benutzer die Möglichkeit das Bild zu ändern oder das angezeigte Bild zu speichern. Der Request zum Speichern des Bildes enthielt einen Parameter, welcher die URL zum hochgeladenen Bild als Wert hatte. Der Inhalt des übergebenen Parameters wurde jedoch nicht serverseitig validiert, sodass eine beliebige URL übergeben werden konnte.

Folglich wurde diese URL von jedem Benutzer aufgerufen, sobald eine Seite angezeigt wurde, welche das Bild des Angreifers anzeigte.

Auch wenn es sich hierbei nicht um eine direkte Ausführung von JavaScript handelte, war es doch möglich verschiedene Informationen zu erhalten und dem Unternehmen zu schaden. Die folgenden vier Beispiele zeigen das Angriffspotenzial dieser Schwachstelle.

1. Denial of Service (DoS)

Hierbei könnte durch die Interaktion mit vielbesuchten Seiten, durch das Einbetten des Profilbilds, ein Link zu großen Dateien eingebunden werden. Dieser Netzwerkverkehr könnte z.B. zu einem Denial of Service (DoS) des aufrufenden Benutzers führen. Sollten mehrere Nutzer diese Seite aufrufen, könnte es unter Umständen zu einem vollen Ausnutzen der Bandbreite oder zu einer Überlastung des Firmen-Proxies oder der Firewall kommen.

2. Tracking (GDPR)

In der Standardkonfiguration des SharePoints mit dem Microsoft IIS Webserver wird der gesamte Referrer mitgesendet. Dies kann je nach Applikation sensible Daten enthalten, welche dann gespeichert und ausgewertet werden könnten.

3. Verschleiern von Angriffen

Das Einbinden einer beliebigen URL könnte auch von einem Angreifer genutzt werden, um andere Firmen anzugreifen. Hierbei könnte eine XSS-Schwachstelle oder eine DoS-Schwachstelle auf einer anderen Seite identifiziert worden sein. Der Angriff würde dann durch SharePoint Benutzer ausgeführt ohne dass diese es bemerken.

4. Reputationsschaden

Sollte der Link z.B. zu einer intern gesperrten Ressource führen, würde eventuell der aufrufende Benutzer wegen auffälligen Verhaltens gesperrt bzw. könnten diese persönlich in Verbindung mit dem Aufruf von beliebigen Seiten gebracht werden.

Die Schwachstelle (CVE-2020-1456) wurde bereits behoben und ein Security Patch steht bereit. Wir raten allen SharePoint Betreibern Sicherheitsupdates stehts zeitnah zu installieren, um bekannte Schwachstellen zu beheben.

Ihr it.sec Research Team

Selbst für Amnesty sind Facebook, Google & Co. mittlerweile ein großes Thema.

 

In einem entsprechenden Bericht kritisiert Amnesty, dass sich diese Unternehmen mit ihren Plattformen und Diensten in fast jeden Winkel des digitalen Lebens von Menschen eingeschlichen haben.

 

Mehr als 4 Milliarden Menschen kommunizieren fast tagtäglich über das Internet, beruflich oder privat, sie verabreden und „versammeln“ sich dort. Die dabei notwendigen Dienste und Werkzeuge (Web-Browser, Suchmaschinen, Messenger-Dienste, Social-Media- und Video-Plattformen, Cloud-Speicher, Smart Speaker etc.), erhalten sie von den sog. Internet-Giganten. Im Gegenzug erlauben die Nutzer, dass ihre Daten und damit ihre Kommunikation stetig überwacht wird.

 

Sogar Personen, die ihre Dienste gar nicht nutzen, sind vor der Erfassung ihrer Daten nicht sicher, bspw. weil sie in den Kontaktverzeichnissen der Nutzer auftauchen oder auf Websites surfen, wo Tracking-Software implementiert ist.

 

Dabei werden nicht nur Daten über den einzelnen Menschen gesammelt, sondern auch von allen Seiten zusammengeführt, angereichert und algorithmisch ausgewertet. Dadurch sichern sich die Unternehmen gegenüber dem einzelnen Menschen eine informationsasymmetrische Machtposition, an der auch andere gerne teilhaben möchten und auch tatsächlich teilhaben - Stichwort Cambridge Analytica.

 

Der Bericht fordert daher die Unternehmen auf, die von ihnen verursachten Menschrechtsverletzungen endlich zu beheben. Die Regierungen werden aufgefordert, strengere Gesetze zu schaffen und deren Geltung auch durchzusetzen - denn die Selbstregulierung der Unternehmen hat bisher nur mäßig funktioniert.

 

Fazit: Die Datenschutzgrundverordnung ist da ein erster Schritt. Denn sie gilt auch für Facebook, Google und Co., wenn sie auf dem Markt der EU tätig werden. Allerdings mangelt es oftmals an der Durchsetzung. Entweder geht dies zu Lasten der Unternehmen in der EU, denen es an wirtschaftlichen Alternativen zu den Produkten der Anbieter mangelt, oder zu Lasten der für sie zuständigen Aufsichtsbehörden, die sich teils wohl in Sisyphusarbeit um Lösungsabsprachen im Interesse aller mit den Anbietern bemühen. Dies kann nur verbessert werden, wenn weltweit Regelungen wie in der Datenschutzgrundverordnung gelten würden.

 

S. Kieselmann

 

Beraterin für Datenschutz

 

Dipl.sc.pol.Univ.

Etwas mehr als ein Jahr ist es her, dass die Datenschutzkonferenz (DSK, Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) kurz bevor es mit der DSGVO ernst wurde verkündete, dass vor dem Einsatz von Tracking-Tools auf jeden Fall eine Einwilligung benötigt werde (wir berichteten, siehe Blog "Datenschutzkonferenz legt Regelung zur Einwilligung bei Cookies neu aus").

Daher beraten wir unserer Kunden seitdem entsprechend und weisen immer wieder darauf hin, dass eine explizite Einwilligung benötigt wird, und zwar bereits bevor das Tracking aktiv wird.

Das Bayerische Landesamt für Datenschutzaufsicht hat in den Wintermonaten viele Webseiten geprüft und kommt zu einem eindeutigen Ergebnis: Von 40 geprüften Webseiten war keine einzige Einwilligung wirksam.

Nun haben sich erfreulicherweise sowohl die DSK als auch der Landesbeauftrage für den Datenschutz und die Informationssicherheit Baden-Württemberg nochmals zu dem Thema geäußert. Demnach können prinzipiell auch das berechtigte Interesse nach Art. 6 Abs. 1 lit. f) DSGVO den Einsatz von Tracking-Tools rechtfertigen. Allerdings ist hier bekanntermaßen eine Abwägung zwischen den Interessen des Verantwortlichen und den Interessen der betroffenen Personen vorzunehmen, die tendenziell eher zugunsten der Nutzer ausfallen dürfte, zumindest wenn die Daten an Dritte weitergegeben werden. Der LfDI Baden-Württemberg geht jedoch davon aus, dass z.B. lokal installierten Trackingtools ohne Weitergabe der Daten an Dritte zumindest ohne Einwilligung aufgrund des berechtigten Interesses zulässig wären.

Sie können bestimmte Tracking-Tools also auch ohne vorherige Einwilligung einsetzen!

 

Dabei ist zwingend folgendes zu beachten:

 

  • Die Tools müssen lokal installiert sein.
  • Daten dürfen nicht an Dritte weitergeben werden.
  • In der Datenschutzerklärung muss über den Einsatz der Tools informiert werden. Dort darf auch der Hinweis auf das Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO nicht fehlen.

 

 

Wenden Sie sich bei Fragen gerne an uns.

C. Lürmann

 

Rechtsanwältin

 

Consultant für Datenschutz

Kaum ist die DSGVO am 25.05.2018 in ganz Europa zur Anwendung gelangt, wurden – wie befürchtet und prophezeit – die ersten Rechtsanwaltskanzleien aktiv. Im Auftrag von Wettbewerbsunternehmen wurden Abmahnungen und strafbewährte Unterlassungserklärungen verschickt mit dem Vorwurf, man habe gegen Datenschutzvorschriften verstoßen und müsse diese zur Abwendung einer gerichtlichen Klage unterzeichnen und natürlich für die Abmahnkosten aufkommen.

Was tun, wenn man eine solche Abmahnung erhalten hat?

Erst einmal Ruhe bewahren! Verstoß ist nicht gleich Verstoß.

Zunächst ist zu klären, ob die Datenschutzerklärung komplett fehlt, oder ob diese lediglich unvollständig ist, etwa weil Cookies nicht vollständig aufgeführt sind, oder in einem Formular die Nennung einer Erlaubnisvorschrift unterblieben ist. Dass ein solcher Verstoß direkt einen Wettbewerbsnachteil für den Abmahnenden begründen könnte darf zu Recht bezweifelt werden.

Daher ist in einem zweiten Schritt zu prüfen, ob dieser angebliche Verstoß überhaupt wettbewerbsrechtlich relevant sein kann.

Die relevante Vorschrift aus dem UWG lautet (§ 3a UWG): „Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.“

Diesbezüglich gibt es noch keinerlei Erfahrungswerte im Umgang mit der DSGVO. Hinsichtlich des BDSG waren die Gerichte unterschiedlicher Auffassung: Während das LG Hamburg https://dejure.org/dienste/vernetzung/rechtsprechung?Text=327%20O%20148/16 und das LG Berlin bei Verstößen https://dejure.org/dienste/vernetzung/rechtsprechung?Text=16%20O%20504/14 gegen das BDSG von einer wettbewerbsrechtlich relevanten Norm im Sinne des § 3 a UWG ausgingen, wurde z.B. durch das LG München eine solcher Ansatz verneint https://dejure.org/dienste/vernetzung/rechtsprechung?Text=29%20U%203926/11.

Gerade im Hinblick auf die Unsicherheit, was erlaubt und was verboten ist, was von einzelnen Aufsichtsbehörden gefordert wird - und was nicht, sowie die Kurzfristigkeit der Entschließung der DSK hinsichtlich des Einsatzes von Cookies und der geforderten Einwilligungen und die sehr knapp bemessene Zeit für eine entsprechende Umsetzung könnten dafür sprechen, dass es sich bei Verstößen mit geringer Auswirkung gerade nicht um einen wettbewerbsrechtlich relevanten Verstoß handeln könnte, weil der Verstoß schlicht als nicht spürbar angesehen wird.

Dies könnte eine Vielzahl von angemahnten Verstößen betreffen.

Fazit:

Wir raten Ihnen daher im Falle einer Abmahnung, rechtlichen Beistand bei einer spezialisierten Rechtsanwaltkanzlei zu suchen und keinesfalls direkt die strafbewährte Unterlassungserklärung zu unterzeichnen. Beachten Sie, dass der Streitwert bei derartigen Verstößen oftmals von den Kanzleien viel zu hoch angesetzt wird und die Gebühren daher ebenfalls überhöht sind.

Prüfen Sie nach Möglichkeit auch die Webseite der Auftraggeber der Abmahnung und sichern Sie die Ergebnisse! Es ist bei uns schon vorgekommen, dass die angeblich Geschädigten ihre eigene Webseite auf identische Art und Weise betreiben wie der Abgemahnte – ein Umstand den die damit eventuell beschäftigten Richter sicherlich nicht mit Wohlwollen betrachten werden.

C. Lürmann
Rechtsanwältin
Consultant Datenschutz

Bei Google Analytics handelt es sich um ein Instrument zum Webtracking bzw. zur Reichweitenanalyse im Internet, mit dem das Surfverhalten der Webseitennutzer anhand der über diese erhobenen Daten (Online-Kennzeichnungen (einschließlich Cookie-Kennungen), Internet-Protokoll-Adressen und Gerätekennungen, vom Webseitenbetreiber vergebene Kennzeichnungen) zu Zwecken der bedarfsgerechten Gestaltung der Webseiten analysiert werden kann. Um einen datenschutzkonformen Einsatz des Analysetools Google Analytics gewährleisten zu können, sind eine Reihe von Maßnahmen durch den Webseitenbetreiber (= Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO) zu ergreifen.

Insbesondere muss ein Vertrag zur Auftragsverarbeitung zwischen dem Webseitenbetreiber und dem Anbieter von Google Analytics abgeschlossen werden. Der bisher von Google Inc. zur Verfügung gestellte Vertrag entspricht noch nicht den Vorgaben von Art. 28 DSGVO. Daher stellt Google LLC (vormalige Bezeichnung Google Inc.) nun unter https://privacy.google.com/businesses/processorterms/ sog. „Auftragsdatenverarbeitungsbedingungen“, die alle Regelungsinhalte aus Art. 28 DSGVO enthalten, zur Verfügung, denen die Webseitenbetreiber, die Google Analytics einsetzen, in ihren Kontoeinstellungen zustimmen müssen.

Der Webseitenbetreiber muss des Weiteren zustimmen, dass Daten der Webseitennutzer auch außerhalb der EU/EWR übermittelt werden. Diese Datenübermittlungen in Drittstaaten sollen gemäß den Auftragsdatenverarbeitungsbedingungen jedoch abgesichert sein durch die seit dem 26.09.2016 bestehende Privacy Shield-Zertifizierung der Google LLC sowie ihrer hundertprozentigen Tochtergesellschaften (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active).

Es bleibt abzuwarten, wie sich der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, mit dem der bisher von Google zur Verfügung gestellte Vertrag zur Auftragsverarbeitung abgestimmt wurde, zu den neuen Auftragsdatenverarbeitungsbedingungen äußern wird.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Derzeit wird im EU-Parlament diskutiert, ob in der ePrivacy-Verordnung der Datenschutz dadurch deutlich gestärkt werden soll, dass Voreinstellungen im Browser für Webseitenbetreiber, Tracking-Firmen und letztlich die digitale Werbeindustrie rechtsverbindlich sein sollen. D.h. eine Do-Not-Track-Einstellung im Browser müsste dann zwingend beachtet werden.

Um die Auswirkungen besseren Datenschutzes auf die digitale Werbewirtschaft besser einschätzen zu können, hat das Bundeswirtschaftsministerium eine Studie in Auftrag gegeben, die nun vorgestellt und veröffentlicht wurde unter http://www.wik.org/fileadmin/Studien/2017/2017_ePrivacy-BMW.pdf. Das WIK (Wissenschaftliches Institut für Infrastruktur und Kommunikationsdienste GmbH) schätzt, dass bei Inkrafttreten solcher Regelungen binnen kurzer Zeit mit einer Reduktion des gesamten digitalen Werbebudgets von einem Drittel zu rechnen sei. Dieser Kapitalentzug könne die europäische Digitalwirtschaft weiter von den USA abkoppeln, da dort Gelder aus der Online-Werbung zunehmend in die Entwicklung neuer Geschäftsmodelle und Technologien fließen würden. Gelder, die hierzulande dringend für Zukunftsthemen wie z.B. das autonome Fahren gebraucht würden.

Bemerkenswert ist allerdings, dass für die Studie lediglich Vertreter der Wirtschaft befragt wurden, unter anderem die Mediengruppe RTL, Facebook, AGOF und Zeit-Online. Entsprechend wurde die Studie bereits bemängelt, vor allem von der Bundesbeauftragten für Datenschutz. Sie meint, die Studie konzentriere sich nur auf die vermeintlich negativen Folgen, berücksichtige aber in keiner Weise die potenziellen Chancen, die sich für die Branche aufgrund der Änderungen ergeben könnten. Die entsprechende Pressemitteilung finden Sie unter https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2017/22_ePrivacy%20WIK-Studie.html.

Es wird sich zeigen, inwieweit Lobbyisten die geplanten Regelungen aufweichen können.

Dr. W. Steinmetz
Berater für Datenschutz

20 Mitarbeiter 50 Millionen A1 Digital Abbinder Abmahnung Abmahnungen Abo-Falle Abstandsmessung Abstandsüberwachung Abstimmung Abwehr terroristischer Straftaten ADCERT Adressbuch AfD Airbnb Amnesty Anbieter Angemessenheitsbeschluss Angemessenheitsentscheid Angreifer Angriff Anklage Anonymisierung Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit AOK Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Arbeitszeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Aufzeichnung Auskunft Auskunftei Auskunftsanspruch Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausnutzung Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene Person betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte BetrVG Bewegungsprofil Bewerberdaten BfDI BGH Bildaufnahmen Bildberichterstattung Bildersuche Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesfinanzministerium Bundeskartellamt Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgelder Bußgeldverfahren BVG Callcenter Cambridge Analytics Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Coronavirus COVID-19 CovidLock Malware Coworking-Spaces Cross Site Scripting Custom Audience CVE-2020-1456 Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzaufsichtsbehörde Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzmängel Datenschutzniveau Datenschutzprinzipien Datenschutzvereinbarung Datenschutzverletzung Datenschutzverletzungen Datenschutzverstöße Datenschutzverstößen Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenübertragung Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Denial of Service Deutsch deutsch Deutsche Bahn Deutsche Bundesbank deutsche Telemediengesetz Deutsche Wohnen SE Diagnose Diebstahl Dienste Diensteanbieter Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EDPB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einhaltung Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen Einzelfall elektronische Kommunikation Empfänger Empfehlungen Ende-zu-Ende Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entsorgung ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Datenschutzgrundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Standardvertragsklauseln EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Kommission Europäische Union europäischen Vorschriften Europäischer Gerichtshof European Data Protection Board EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber Faxgerät FBI FDPIC Feedback Fernmeldegeheimnis Festplatte Finanzamt Finanzsektor Fingerabdruck Fingerabdruckscanner Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Foto-Funktion Framework freiwillig fristlose Kündigung Funkmäuse Funktastaturen Fürsorgepflicht GDPR gefährdet Geheimhaltung Geldbörse Geldbußen Geldstrafe Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb Gesetz gegen Wettbewerbsbeschränkungen gestohlen Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechte Grundrechtsabwägung Grundrechtseingriffen Grundsatz der Zweckbindung GWB H & M H&M Hack hack day Hackathon hacken Hacker Hackerangriff hackfest halal Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hinweisgeber Hoccer höchstpersönlich Höchstvermietungsdauer Home Office Home-Office Homeoffice Hygiene Immobilienmakler Infomationen Information Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter Insights Insolvenzmasse Insolvenzverfahren Insolvenzverwalter Installation Integrität interner Datenschutzbeauftragter Internet Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Kommunikationsmedium Konferenz Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Konzern konzerninterner Datentransfer Körpertemperatur KoSIT Krankenkasse Krankheit Kriminalität Kriminelle Krise KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Kurzarbeit Landesarbeitsgericht Landesbeauftragte Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Landesdatenschutzbeauftragten Landesdatenschutzgesetz Landesverband Laptop Lazarus Lebensweise Lehrer Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg LfDI BW Like-Button LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Löschverlangen Lösegeld Machtposition Mail Makler Malware Manipulation eines Request Markennamen Markenrecht marktbeherrschende Stellung Marktforschung Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messung Microsoft Microsoft Office Mieter Mietverhältnis Minutien Misch-Account Missbrauch Missbrauch von Kundendaten missbräuchlich Mitarbeiter Mitbestimmung Mitbestimmungsrecht Mitbewerber Mitglieder Mitgliedsstaaten Mitwirkung Mobiltelefon MouseJack-Angriffe natürliche Person Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande NIST No-Deal-Brexit Nordkorea Notebook Nutzer Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Gewinnspiel Online-Kommunikationstools OpenPGP Opfer Österreich Pandemie Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests personal data Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten personenbezogenen Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatleben Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Profiling Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechtmäßigkeitsvoraussetzungen Rechtsabteilung rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Reputationsschaden Research Risiken Risiko Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen SCC Schaden Schadensersatz Schadprogramm Schadsoftware Schrems II Schüler Schulung Schutz schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstelle Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Sensibilisierung SHA1 SharePoint sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signal Signatur Sitzungen Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standarddatenschutzklauseln Standardvertragsklauseln Standort Steuer Steuerberater Strafe Strafverfolgung Studenten Suchanfrage Suchdienst Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss- U.S. Privacy Shield Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Transfer- und Überwachungsmaßnahmen Transportverschlüsselung Twitter Übergangsphase Übermittlung personenbezogener Daten Übernahme Übertragung Überwachung Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account Unterlassungsanspruch Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unverschlüsselt unzulässig Update Urlaub Urteil US-Behörden US-Regierung USA UWG Vegan Vegetarier Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Verbraucher Verbraucherzentralen Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren C-311/18 Vergessenwerden Verlängerung verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Video-Kommunikation Videokamera Videokonferenz Videokonferenzen Videoüberwachung Virus Voraussetzungen Voreinstellungen Vorgesetzte Vorsicht Vorteile Wachstum WAF WannaCry Warnung Web-Applikation-Firewalls Webcast Webseite Webseiten Webseitenbesucher Webseitenbetreiber Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weitergabe Weitergabe an Dritte Weltanschauung Werbeaussage Werbezwecke Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung X-Rechnung Youtube Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zoom Video Zugangsdaten Zugriff Zugriffsmöglichkeiten Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit zusätzliche Maßnahmen Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung Zweckbindungsgrundsatz § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30