Checkliste zur datenschutzkonformen Nutzung von TikTok, neues BSI-Magazin, Widerspruchsmöglichkeit gegen Metas KI-Training und Cyberangriffe im Juni

DATENSCHUTZ

Beschwerdemöglichkeit bei personenbezogenen Datenübermittlungen in die USA

Mitte Juli letzten Jahres hat die Europäische Kommission das sogenannte EU-US Data-Privacy-Framework (DPF) verabschiedet. Das Abkommen bestätigt zertifizierten US-Unternehmen ein angemessenes Datenschutzniveau. Ein wesentlicher Bestandteil dieses Angemessenheitsbeschlusses ist ein neues Beschwerdeverfahren, das Betroffenen ermöglicht, die Verarbeitung ihrer personenbezogenen Daten durch US-Nachrichtendienste überprüfen zu lassen. 

Um EU-Bürgern einen möglichst komfortablen und einfachen Zugang zu bieten, nehmen die Datenschutzbehörden der EU-Mitgliedsstaaten entsprechende Beschwerden entgegen. In Zusammenarbeit mit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) hat der Europäische Datenschutzausschuss (EDSA) entsprechende Muster-Beschwerdeformulare entwickelt. Die Formulare stehen neben einem Kontaktfinder für die zuständige Datenschutzbehörde nun auch in deutscher Sprache zum Download zur Verfügung. 

DATENSCHUTZ

Checkliste zur datenschutzkonformen Nutzung von TikTok

Der datenschutzkonforme Einsatz von sozialen Medien wird im öffentlichen Bereich derzeit kritisch betrachtet. Immer mehr Behörden nutzen Social-Media-Kanäle wie TikTok, um möglichst nahbar zu wirken und am Puls der Zeit zu sein. Aus Datenschutzsicht stellen sich jedoch Fragen zur Einhaltung datenschutzrechtlicher Grundprinzipien, zur Zuordnung von Rechtsgrundlagen und zur Veröffentlichung von Informationspflichten. 

Der Landesbeauftragte für Datenschutz und die Informationsfreiheit Baden-Württemberg möchte mit einer Checkliste die Bewertung der Datenschutzkonformität beim Einsatz von TikTok durch öffentliche Behörden erleichtern.  

INFORMATIONSSICHERHEIT

BSI veröffentlicht Ausgabe 01/2024 des Magazins "Mit Sicherheit"

Zweimal jährlich veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein Magazin "Mit Sicherheit". Als Weiterentwicklung der früheren Jahresberichte des BSI bietet es neben dem Lagebericht zur IT-Sicherheit in Deutschland weitere interessante Einblicke in die Projekte und Angebote des BSI. Die erste Ausgabe des Jahres erschien am 12. Juni 2024 und befasst sich u.a. mit den Entwicklungen im Bereich Sicherheit und künstliche Intelligenz sowie die bevorstehende Umsetzung von NIS-2 in das nationale Recht. Ein besonderer Fokus liegt auf der strategischen Vision des BSI, Deutschland zu einer führenden Cybernation in Bezug auf Sicherheit und Digitalisierung zu machen.

DATENSCHUTZ

Sächsische Datenschutzaufsichtsbehörde kontrolliert über 30.000 Webseiten

Die Datenschutzaufsichtsbehörde Sachsen wurde vor kurzem um ein IT-Labor verstärkt. Mit diesem Werkzeug hat die Behörde die Möglichkeit, tiefergehende und automatisierte technische Prüfungen durchzuführen. Im Mai 2024 wurden die Webauftritte von 30.000 verantwortlichen Stellen in Sachsen auf Datenschutzkonformität untersucht. Ein wichtiges Prüfkriterium war dabei die korrekte Einbindung von Analysediensten wie Google Analytics. Werden diese Art von Trackingdiensten eingebunden, muss vor Beginn der Datenverarbeitung eine eindeutige Einwilligung des Webseitenbesuchers eingeholt werden. 

In 2.300 Fällen wurden die Anforderungen der Aufsicht nicht ausreichend erfüllt. Die betroffenen Unternehmen, Vereine und öffentlichen Stellen werden per Post aufgefordert, den Datenschutzverstoß zu beheben und die zu Unrecht generierten Daten zu löschen. Wenn dieser Aufforderung nicht nachgekommen wird, droht ein förmliches Verwaltungsverfahren.  Diese Art der Massenprüfung ist besonders gut für Webseiten geeignet. Als verantwortliche Stelle sollten Sie daher stets auf einen konformen Webauftritt achten. Kommen Sie jederzeit auf uns zu, wenn wir Sie bei der Bewertung, der Fehlerbehebung und dem Monitoring unterstützen dürfen. 

Diese Art der Massenprüfung ist besonders gut für Webseiten geeignet. Als verantwortliche Stelle sollten Sie daher stets auf einen konformen Webauftritt achten. Kommen Sie jederzeit auf uns zu, wenn wir Sie bei der Bewertung, der Fehlerbehebung und dem Monitoring unterstützen dürfen.

INFORMATIONSSICHERHEIT

Digitalbonus Bayern: Förderung endet diesen Monat

Die zu Beginn des Jahres verlängerte Förderrichtlinie "Digitalbonus Bayern" wird nun zum 30. Juni 2024 auslaufen. Das Programm unterstützt Unternehmen finanziell bei Investitionen in Digitalisierungsprozesse oder in die IT-Sicherheit. Im Verlauf der zweiten Jahreshälfte plant das bayerische Staatsministerium für Wirtschaft, Landesentwicklung und Energie die Einführung eines überarbeiteten Programms. Wir halten Sie in unserem Newsletter auf dem Laufenden.

DATENSCHUTZ

Widerspruchsmöglichkeit gegen KI-Training von Meta

Meta informierte kürzlich über Änderungen ihrer Datenschutzrichtlinien. Ab Ende des Monats sollen private Nutzerdaten zum Trainieren einer KI verwendet werden. Als Reaktion darauf gingen Anfang Juni zahlreiche Anfragen und Beschwerden bei den Aufsichtsbehörden ein. Der Tech-Gigant informierte seine Nutzer:innen per E-Mail, dass ab dem 26. Juni 2024 ihre Beiträge, Fotos und Bildunterschriften auf Facebook, Instagram und Threads zum Training der generativen Meta KI-Dienste verwendet werden. Meta berief sich dabei auf sein berechtigtes Interesse an der Weiterentwicklung und Verbesserung seiner Produkte. Wer dem nicht zustimmen wollte, konnte bis zum 26. Juni 2024 von seinem Widerspruchsrecht Gebrauch machen. 

Aufgrund massiver Kritik hat Meta aber nun den Start seiner neuen KI-Software in Europa verschoben. Ein neues Datum für den Launch der KI-Anwendungen wurde bisher noch nicht bekannt gegeben. Ein Widerspruch ist weiterhin möglich. Eine Anleitung dazu finden Sie in diesem hilfreichen Beitrag der Verbraucherzentrale.

INFORMATIONSSICHERHEIT

Cyberangriffe im Juni

In diesem Monat richteten sich die Cyberangriffe vor allem auf politische und staatliche Akteure sowie auf kritische Infrastrukturen wie Krankenhäuser. Hackerangriffe auf Krankenhäuser wurden nicht nur in Deutschland, sondern auch in anderen europäischen Ländern verübt. Diese Entwicklung ist besorgniserregend, da in diesem Sektor nicht nur sensible Daten gefährdet sind, sondern auch die lebenswichtige medizinische Versorgung beeinträchtigt werden kann.

In unserer April-Ausgabe berichteten wir bereits über eine Warnung des BSI vor einer erhöhten Gefahrenlage für deutsche Parteien im Vorfeld der Europawahlen. Und rund einen Monat später passierte es: Eine Woche vor der Wahl wurde die CDU Opfer eines schwerwiegenden Cyberangriffs. Teile der Infrastruktur wurden aus Sicherheitsgründen vom Netz genommen. Laut dem Sprecher des Innenministeriums wurden alle digitalen und hybriden Schutzmaßnahmen hochgefahren. Inzwischen wurde ermittelt, dass unter anderem Daten aus dem Kalender von Parteivorstand Friedrich Merz abgeflossen sind. Die Täter hatten zwei Wochen lang Zugriff auf das Netzwerk, indem sie eine Sicherheitslücke in den Network Security Gateways von Check Point ausnutzten.

Doch das ist noch nicht alles: Ein paar Tage nach dem Hackerangriff entdeckte die CDU noch ein gravierendes Datenleck. Aufgrund einer Fehlkonfiguration konnten laut neuesten Angaben zwischen 3.500 und 4.870 Bewerbernamen auf der Online-Plattform der Partei eingesehen werden, was einen erheblichen Verstoß gegen die DSGVO darstellt. Die Plattform wurde umgehend in den Wartungsmodus versetzt.

Am 11. Juni 2024 wurde das Bundesamt für Logistik und Mobilität sowie das Bundesministerium des Innern von der prorussischen Hackergruppe NoName057(16) mit einer DDos-Attacke angegriffen. Grund dafür war wohl der Besuch des ukrainischen Präsidenten Selenski in Deutschland. Das BKA wertet derzeit weitere Informationen aus. Es ist deutlich erkennbar, dass die Zahl und Bandbreite der Angriffe auf staatliche Akteure länderübergreifend stetig zunimmt.

Das Krankenhaus Agatharied im idyllischen Hausham im Landkreis Miesbach war in diesem Monat auch das Ziel eines Hackerangriffs. Bekannt gegeben wurde der Sicherheitsvorfall erstmals am Abend des 17. Juni bei der CSU-Kreisvertreterversammlung im Miesbacher Bräuwirt vom Landrat, in Absprache mit dem Klinikchef. Am nächsten Tag wurde eine Pressemitteilung veröffentlicht, in der mitgeteilt wurde, dass es Einschränkungen in der Kommunikation nach innen und außen gibt. Dank eines Notfallkonzepts und des Engagements der Mitarbeiter:innen konnte die Patientenversorgung aber stets gewährleistet werden. Weitere Auswirkungen sind bisher noch nicht bekannt.

Auch in England konnten in diesem Monat mehrere Londoner Krankenhäuser aufgrund eines Ransomware-Angriffs auf den Labordienstleister Synnovis nur im eingeschränkten Betrieb arbeiten. Mehr als 1.000 Operationen und Eingriffe mussten abgesagt werden, bei denen Bluttransfusionen erforderlich waren. Der britische Gesundheitsdienst NHS rief in dieser Notsituation Menschen zum Blutspenden auf. Hinter dem Angriff steckt die Hackergruppe Qilin. Inzwischen haben die Cyberkriminellen etwa 400 GByte an sensiblen Daten veröffentlicht. Gegenüber der BBC erklärte Qilin, dass der Angriff gezielt durchgeführt wurde, um Großbritannien für vermeintlich mangelnde Hilfeleistung in einem nicht näher erläuterten Konflikt zu bestrafen.

WIR UNTERSTÜTZEN SIE GERNE

Wir betonen in unserem Newsletter immer wieder, dass sich die Bedrohungslage im Cyberraum zunehmend verschärft. Diesen alamierenden Trend unterstreicht auch eine kürzlich veröffentlichte Mitteilung des niedersächsischen Innenministeriums. Im Jahr 2023 kam es allein in Niedersachsen rein rechnerisch zu 36 Cybercrime-Fällen pro Tag. Das ist ein neuer Höchstwert. 13.218 Fälle wurden insgesamt registriert, dass sind rund 1.000 mehr als im Vorjahr. Vor allem der Online-Banking-Sektor war von der Internetkriminalität betroffen. Es ist also offensichtlich, dass sich nicht die Frage stellt, ob ein Cyberangriff erfolgt, sondern lediglich, wann dieser eintreten wird. Unsere Experten unterstützen Sie gerne dabei, sich vor den vielfältigen Bedrohungen bestmöglich zu schützen.