BlnBDI: Inter­es­sen­kon­flikt des betrieb­li­chen Daten­schutz­be­auf­trag­ten: 525.000 Euro Bußgeld

Pres­se­mit­tei­lung der Ber­li­ner Beauf­trag­ten für Daten­schutz und Informationsfreiheit

Die Ber­li­ner Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit (BlnBDI) hat gegen die Toch­ter­ge­sell­schaft eines Ber­li­ner Han­dels­kon­zerns ein Buß­geld in Höhe von 525.000 Euro wegen eines Inter­es­sen­kon­flikts des betrieb­li­chen Daten­schutz­be­auf­trag­ten ver­hängt. Das Unter­neh­men hat­te einen Daten­schutz­be­auf­trag­ten benannt, der Ent­schei­dun­gen unab­hän­gig kon­trol­lie­ren soll­te, die er selbst in einer ande­ren Funk­ti­on getrof­fen hat­te. Das Buß­geld ist noch nicht rechtskräftig.

Betrieb­li­che Daten­schutz­be­auf­trag­te haben eine wich­ti­ge Auf­ga­be: Sie bera­ten das Unter­neh­men hin­sicht­lich der daten­schutz­recht­li­chen Pflich­ten und kon­trol­lie­ren die Ein­hal­tung der Daten­schutz­vor­schrif­ten. Die­se Funk­ti­on dür­fen gemäß Art. 38 Abs. 6 Satz 2 Daten­schutz-Grund­ver­ord­nung (DS-GVO) aus­schließ­lich Per­so­nen aus­üben, die kei­nen Inter­es­sen­kon­flik­ten durch ande­re Auf­ga­ben unter­lie­gen. Das wäre zum Bei­spiel bei Per­so­nen mit lei­ten­den Funk­tio­nen im Unter­neh­men der Fall, die sel­ber maß­geb­li­che Ent­schei­dun­gen über die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten im Unter­neh­men tref­fen. Die Auf­ga­be darf dem­nach nicht von Per­so­nen wahr­ge­nom­men wer­den, die sich dadurch selbst über­wa­chen würden.

So ein Inter­es­sen­kon­flikt lag nach Auf­fas­sung der BlnBDI im Fal­le eines Daten­schutz­be­auf­trag­ten einer Toch­ter­ge­sell­schaft eines Ber­li­ner E‑Com­mer­ce-Kon­zerns vor. Die Per­son war gleich­zei­tig Geschäfts­füh­rer von zwei Dienst­lei­stungs­ge­sell­schaf­ten, die im Auf­trag genau jenes Unter­neh­mens per­so­nen­be­zo­ge­ne Daten ver­ar­bei­te­ten, für die er als Daten­schutz­be­auf­trag­ter tätig war. Die­se Dienst­lei­stungs­ge­sell­schaf­ten sind eben­falls Teil des Kon­zerns; stel­len den Kund:innenservice und füh­ren Bestel­lun­gen aus.

Der Daten­schutz­be­auf­trag­te muss­te somit die Ein­hal­tung des Daten­schutz­rechts durch die im Rah­men der Auf­trags­ver­ar­bei­tung täti­gen Dienst­lei­stungs­ge­sell­schaf­ten über­wa­chen, die von ihm selbst als Geschäfts­füh­rer gelei­tet wur­den. Die BlnBDI sah in die­sem Fall einen Inter­es­sen­kon­flikt und damit einen Ver­stoß gegen die Datenschutz-Grundverordnung.

Die Auf­sichts­be­hör­de erteil­te daher im Jahr 2021 zunächst eine Ver­war­nung gegen das Unter­neh­men. Nach­dem eine erneu­te Über­prü­fung in die­sem Jahr ergab, dass der Ver­stoß trotz der Ver­war­nung wei­ter­be­stand, ver­häng­te die BlnBDI das Buß­geld, das noch nicht rechts­kräf­tig ist.

Vol­ker Bro­zio, kom­mis­sa­ri­scher Dienst­stel­len­lei­ter der BlnBDI: „Die­ses Buß­geld unter­streicht die bedeu­ten­de Rol­le der Daten­schutz­be­auf­trag­ten in Unter­neh­men. Ein Daten­schutz­be­auf­trag­ter kann nicht einer­seits die Ein­hal­tung des Daten­schutz­rechts über­wa­chen und ande­rer­seits dar­über mit­ent­schei­den. Eine sol­che Selbst­kon­trol­le wider­spricht der Funk­ti­on eines Daten­schutz­be­auf­trag­ten, der gera­de eine unab­hän­gi­ge Instanz sein soll, die im Unter­neh­men auf die Ein­hal­tung des Daten­schut­zes hinwirkt.“

Bei der Buß­geld­zu­mes­sung berück­sich­tig­te die BlnBDI den drei­stel­li­gen Mil­lio­nen­um­satz des E‑Com­mer­ce-Kon­zerns im vor­an­ge­gan­gen Geschäfts­jahr und die bedeu­ten­de Rol­le des Daten­schutz­be­auf­trag­ten als Ansprech­part­ner für die hohe Zahl an Beschäf­tig­ten und Kund:innen. Berück­sich­ti­gung fand auch die vor­sätz­li­che Wei­ter­be­nen­nung des Daten­schutz­be­auf­trag­ten über fast ein Jahr trotz der bereits erteil­ten Ver­war­nung. Als buß­geld­min­dernd wur­de u. a. ein­ge­stuft, dass das Unter­neh­men umfang­reich mit der BlnBDI zusam­men­ge­ar­bei­tet und den Ver­stoß wäh­rend des lau­fen­den Buß­geld­ver­fah­rens abge­stellt hat.

Zur Ver­mei­dung von Daten­schutz­ver­stö­ßen soll­ten Unter­neh­men etwai­ge Dop­pel­rol­len der betrieb­li­chen Daten­schutz­be­auf­trag­ten in Kon­zern­struk­tu­ren auf Inter­es­sen­kon­flik­te hin prü­fen“, sagt Bro­zio. „Das gilt ins­be­son­de­re dann, wenn Auf­trags­ver­ar­bei­tun­gen oder gemein­sa­me Ver­ant­wort­lich­kei­ten zwi­schen den Kon­zern­ge­sell­schaf­ten bestehen.“

Ver­brau­cher­zen­tra­le NRW: Dem Fake­shop auf der Spur

Als auf­merk­sa­me Lese­rin­nen und Leser die­ses News­let­ters wis­sen Sie, dass es immer wie­der zu Betrü­ge­rei­en beim Online-Han­del kommt. Ein Tool der Ver­brau­cher­zen­tra­le Nord­rhein-West­fa­len unter­stützt Ver­brau­che­rin­nen und Ver­brau­cher nun dabei, Fake-Shops zu erken­nen. Über ein Online-For­mu­lar gibt es die Mög­lich­keit, die URL eines Online-Shops zu prü­fen. Der Fake­shopfin­der über­prüft dar­auf­hin die Web­sei­te auf Merk­ma­le eines Fake­shops. Eine Ampel signa­li­siert, inwie­weit Nut­ze­rin­nen und Nut­zer dem Shop ver­trau­en können.

Die Ver­brau­cher­zen­tra­le Nord­rhein-West­fa­len stellt den Fake­shopfin­der online bereit: https://​www​.ver​brau​cher​zen​tra​le​.nrw/​f​a​k​e​s​h​o​p​f​i​n​d​e​r​-​7​1​560

BSI: Ein­schät­zung der aktu­el­len Cyber-Sicher­heits­la­ge in Deutsch­land nach dem rus­si­schen Angriff auf die Ukraine

UPDATE vom 3. August 2022

In Anbe­tracht des rus­si­schen Angriffs­krie­ges gegen die Ukrai­ne bewer­tet das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) fort­wäh­rend die Lage mit Bezug zur Infor­ma­ti­ons­si­cher­heit in Deutschland.

Nach wie vor stellt das BSI eine erhöh­te Bedro­hungs­la­ge für Deutsch­land im Kon­text des Krie­ges in der Ukrai­ne fest, die auf eine ohne­hin schon ange­spann­te Gesamt­be­dro­hungs­la­ge trifft (sie­he dazu auch den BSI-Bericht “Die Lage der IT-Sicher­heit in Deutsch­land 2021”). Dies gilt grund­sätz­lich auch für Kri­ti­sche Infra­struk­tu­ren. Das BSI ruft daher wei­ter­hin Unter­neh­men, Orga­ni­sa­tio­nen und Behör­den dazu auf, ihre IT-Sicher­heits­maß­nah­men zu über­prü­fen und der gege­be­nen Bedro­hungs­la­ge anzu­pas­sen. Wei­te­re Infor­ma­tio­nen zur Bedro­hungs­la­ge sowie kon­kre­te Hin­wei­se zur Umset­zung von Cyber-Sicher­heits­maß­nah­men stellt das BSI auf sei­nen Web­sei­ten und im Rah­men Alli­anz für Cyber-Sicher­heit bereit.

Seit Beginn des Angriffs Russ­lands auf die Ukrai­ne ist es in Deutsch­land zu ein­zel­nen, in die­sem Zusam­men­hang ste­hen­den IT-Sicher­heits­vor­fäl­len gekom­men, die aber nur ver­ein­zelt Aus­wir­kun­gen hat­ten. Dabei han­del­te es sich u.a. um Kol­la­te­ral­schä­den aus Cyber-Akti­vi­tä­ten im Rah­men des Krie­ges sowie um ein­zel­ne geziel­te Angrif­fe gegen Unter­neh­men und Orga­ni­sa­tio­nen, auch aus dem Bereich der Kri­ti­schen Infrastrukturen.

Seit Ende April 2022 beob­ach­tet das BSI wie­der­holt Dis­tri­buted Deni­al of Ser­vice (DDoS)-Angriffe von Hack­ti­vi­sten auf Zie­le in Deutsch­land und inter­na­tio­nal. Die­se Angrif­fe konn­ten in den mei­sten Fäl­len abge­wehrt wer­den oder hat­ten nur gering­fü­gi­ge Aus­wir­kun­gen. Den­noch soll­ten Unter­neh­men und Orga­ni­sa­tio­nen ein beson­de­res Augen­merk auf den Schutz gegen die­se Art von Angrif­fen legen. Das BSI hat eine Über­sicht zer­ti­fi­zier­ter DDoS-Miti­ga­ti­ons-Dienst­lei­ster veröffentlicht.

Trotz der weni­gen kon­kre­ten Vor­fäl­le kann sich die Lage jeder­zeit ändern.

Das BSI geht ins­be­son­de­re davon aus, dass grund­sätz­lich alle Anla­gen der Kri­ti­schen Infra­struk­tur – dem­nach Anla­gen zur Ver­sor­gung der All­ge­mein­heit – poten­zi­el­les Ziel von Angrif­fen sein können.

Durch die bestehen­den Abhän­gig­kei­ten von Ener­gie­im­por­ten kommt den Bran­chen Strom, Gas und Mine­ral­öl aktu­ell eine außer­ge­wöhn­li­che Rele­vanz zu. Der Sek­tor Ener­gie stellt somit aktu­ell ein beson­ders attrak­ti­ves Angriffs­ziel für Cyber-Attacken dar.

Das BSI hat sei­ne Ziel­grup­pen, dar­un­ter die Bun­des­ver­wal­tung, Betrei­ber Kri­ti­scher Infra­struk­tu­ren und wei­te­re Orga­ni­sa­tio­nen und Unter­neh­men, wie­der­holt sen­si­bi­li­siert, gezielt infor­miert und ruft wei­ter­hin zu einer erhöh­ten Wach­sam­keit und Reak­ti­ons­be­reit­schaft auf.

Das BSI als die Cyber-Sicher­heits­be­hör­de des Bun­des steht zur Bewer­tung der IT-Sicher­heits­la­ge fort­wäh­rend in engem Aus­tausch mit dem Bun­des­mi­ni­ste­ri­um des Innern und für Hei­mat sowie zahl­rei­chen natio­na­len und inter­na­tio­na­len Part­ner­be­hör­den.

Voll­stän­di­ger Arti­kel: https://​www​.bsi​.bund​.de/​D​E​/​S​e​r​v​i​c​e​-​N​a​v​i​/​P​r​e​s​s​e​/​P​r​e​s​s​e​m​i​t​t​e​i​l​u​n​g​e​n​/​P​r​e​s​s​e​2​0​2​2​/​2​2​0​2​2​5​_​A​n​g​r​i​f​f​-​U​k​r​a​i​n​e​-​S​t​a​t​e​m​e​n​t​.​h​tml

BayL­DA: Daten­schutz­prü­fung zum The­ma Absi­che­rung von E‑Mail-Accounts gestartet

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA hat die näch­ste Prä­ven­ti­ons­prü­fung zum The­ma Absi­che­rung von E‑Mail-Accounts gestar­tet. Es geht um die daten­schutz­recht­li­che Prü­fung hin­sicht­lich tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men zum vor­beu­gen­den Schutz gegen Cyber­at­tacken auf E‑Mail-Accounts (insb. Phis­hing). Wei­te­re Infor­ma­tio­nen und den Prüf­fra­gen auf deren HP.

Link: https://​www​.lda​.bay​ern​.de/​d​e​/​k​o​n​t​r​o​l​l​e​n​_​s​t​a​b​s​s​t​e​l​l​e​.​h​tml

DsiN-Pra­xis­re­port zeigt ekla­tan­te IT-Sicher­heits­män­gel in klei­ne­ren Unternehmen 

Beson­ders klei­ne­re Unter­neh­men in Deutsch­land schüt­zen sich nicht aus­rei­chend vor IT-Risi­ken, stellt der aktu­el­le Pra­xis­re­port der Initia­ti­ve Deutsch­land sicher im Netz (DsiN) fest. Da erscheint es wenig ver­wun­der­lich, dass auch der Anteil fol­gen­rei­cher IT-Angrif­fe auf mit­tel­stän­di­sche Unter­neh­men merk­lich gestie­gen sei. Laut DsiN führ­ten mehr als drei Vier­tel aller Angrif­fe zu spür­ba­ren Aus­wir­kun­gen (76 Pro­zent), bei jedem ach­ten Unter­neh­men wur­den sie als erheb­lich, bei vier Pro­zent sogar als exi­stenz­ge­fähr­dend ange­ge­ben. Zwar bewer­te­te jedes drit­te Unter­neh­men die unzu­rei­chen­de Absi­che­rung der eige­nen IT als Risi­ko, aller­dings sei­en die Defi­zi­te bei Stan­dard­maß­nah­men des Cyber­schut­zes “beson­ders auf­fäl­lig”: So ver­fü­gen 64 Pro­zent der Unter­neh­men über kei­ne Maß­nah­men der Angriffs­an­griffs­er­ken­nung, mehr als ein Drit­tel ver­zich­te auf IT-Not­fall­plä­ne (34 Pro­zent), 43 Pro­zent sei­en nach­läs­sig im Umgang mit Soft­ware- und Sicherheitsupdates.

Wei­te­re Infor­ma­tio­nen zum DsiN-Pra­xis­re­port: https://​www​.sicher​-im​-netz​.de/​d​s​i​n​-​p​r​a​x​i​s​r​e​p​o​r​t​-​4​2​-​p​r​o​z​e​n​t​-​i​m​-​m​i​t​t​e​l​s​t​a​n​d​-​m​e​l​d​e​n​-​i​t​-​a​n​g​r​i​ffe

BvD begrüßt „Pri­va­cy Shield“-Nachfolgeabkommen, mahnt aber vor über­zo­ge­nen Erwartungen

Brüs­sel und Washing­ton haben eine grund­sätz­li­che Eini­gung über ein über­ar­bei­te­tes Nach­fol­ge­ab­kom­men zu „Pri­va­cy Shield“ erzielt, gaben Prä­si­den­tin der Euro­päi­schen Kom­mis­si­on Ursu­la von der Ley­en und US-Prä­si­dent Joe Biden heu­te im Rah­men von Bidens Besuch in Brüs­sel bekannt.

Seit der Euro­päi­sche Gerichts­hof das „Privacy-Shield“-Abkommen im Juli 2020 gekippt hat, weil es befürch­te­te, dass die Daten nach der Über­mitt­lung über den Atlan­tik nicht vor dem Zugriff ame­ri­ka­ni­scher Behör­den sicher sei­en, arbei­ten die Unter­händ­ler an einem Abkom­men, das den Trans­fer per­so­nen­be­zo­ge­ner Daten von Euro­pä­ern in die Ver­ei­nig­ten Staa­ten ermöglicht.

Die Daten­schutz­be­auf­trag­ten in Deutsch­land begrü­ßen, dass die EU und die USA eine grund­sätz­li­che Eini­gung über einen neu­en Rah­men für den trans­at­lan­ti­schen Daten­ver­kehr erzielt haben“, so Tho­mas Spa­eing, Vor­stands­vor­sit­zen­der des Berufs­ver­bands der Daten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e.V. „Die Ankün­di­gung ist zunächst sicher­lich ein Hoff­nungs­schim­mer für unzäh­li­ge Daten­schutz­be­auf­trag­te, die sich in ihrer Bera­tung mit zuneh­men­der Rechts­un­si­cher­heit kon­fron­tiert sehen, wenn es dar­um geht, Daten in die USA zu übermitteln.“

Der Ver­band sieht in der bis­he­ri­gen Recht­spre­chung des Euro­päi­schen Gerichts­hof zu frü­he­ren trans­at­lan­ti­schen Abkom­men eine Bestä­ti­gung des durch die euro­päi­sche Daten­schutz-Grund­ver­ord­nung begrün­de­ten sehr hohen Schutz­ni­veaus für per­so­nen­be­zo­ge­ne Daten und die Rech­te sowie Frei­hei­ten betrof­fe­ner Per­so­nen. Gleich­zei­tig habe dies mas­si­ve prak­ti­sche Aus­wir­kun­gen, da Trans­fers per­so­nen­be­zo­ge­ner Daten zwi­schen den USA und der EU eine wich­ti­ge Grund­la­ge dar­stel­len für den glo­ba­len Han­del und die unbe­schränk­te Nut­zung von Online­dien­sten, die nach wie vor im Schwer­punkt aus den USA her­aus ange­bo­ten werden.

Beam­te auf bei­den Sei­ten des Atlan­tiks hat­ten dar­um gekämpft, eine Sack­gas­se zu über­brücken, was es bedeu­tet, den Euro­pä­ern einen wirk­sa­men Rechts­be­helf gegen die Über­wa­chung durch US-Behör­den zu geben. Nicht alle die­se Fra­gen konn­ten gelöst wer­den, obwohl von der Ley­ens Kom­men­ta­re dar­auf hin­deu­ten, dass tech­ni­sche Lösun­gen in Reich­wei­te sind. „Inso­fern. bleibt abzu­war­ten, inwie­fern die­ses neue Abkom­men vor Gericht Bestand haben wird. Ich den­ke, man soll­te hier kei­ne all­zu hohen Erwar­tun­gen hegen, bis Details zu dem Abkom­men bekannt sind“.

DSK äußert sich zu Face­book Fanpages

Die DSK hat beschlos­sen, die ihren Auf­sich­ten unter­ste­hen­den ober­sten Bun­des- und Lan­des­be­hör­den über das Kurz­gut­ach­ten der DSK-TaskFor­ce zu Face­book Fan­pages zu infor­mie­ren. Sie möch­te errei­chen, dass die Behör­den ihre Fan­pages deak­ti­vie­ren, sofern die Ver­ant­wort­li­chen die daten­schutz­recht­li­che Kon­for­mi­tät nicht nach­wei­sen kön­nen. Dazu sag­te Pro­fes­sor Kel­ber: „Face­book Fan­pages las­sen sich aktu­ell nicht daten­schutz­kon­form betrei­ben. Zu die­sem Ergeb­nis kam auch die von der DSK ein­ge­setz­te TaskFor­ce. Behör­den haben hier eine beson­de­re Ver­ant­wor­tung und eine Vor­bild­funk­ti­on für die Bür­ge­rin­nen und Bürger.“

Die Doku­men­te zur DSK und das Kurz­gut­ach­ten der TaskFor­ce Fan­pages fin­den Sie in Kür­ze auf der Home­page der Datenschutzkonferenz:

www​.daten​schutz​kon​fe​renz​-online​.de

Kon­takt:
Der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit
Grau­rhein­dor­fer Stra­ße 153
53117 Bonn
E‑Mail: pressestelle@​bfdi.​bund.​de

3G-Nach­weis und Kon­takt­da­ten – ein­fach zer­rei­ßen reicht nicht!

Pres­se­mit­tei­lung der Lan­des­be­auf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit Nord­rhein-West­fa­len vom 23.03.2022.

Mit der Ände­rung des Infek­ti­ons­schutz­ge­setz­tes vom 20. März 2022 ent­fällt die Ver­pflich­tung zum Nach­weis der Imp­fung, der Gene­sung oder der Nega­tiv-Testung (3G-Nach­weis) am Arbeits­platz. „Die aktu­el­len Locke­run­gen im Rah­men des Infek­ti­ons­schutz­ge­set­zes des Bun­des neh­me ich zum Anlass, um auf Fri­sten für die Löschung der gesam­mel­ten Daten hin­zu­wei­sen: Die von den Arbeitgeber*innen erho­be­nen Daten müs­sen spä­te­stens sechs Mona­te nach Erhe­bung ver­nich­tet oder gelöscht wer­den. Da die Rechts­grund­la­ge ent­fal­len ist, gehen wir davon aus, dass die Spei­che­rung regel­mä­ßig nicht mehr erfor­der­lich ist und die Daten schon jetzt gelöscht wer­den soll­ten“, erklärt Bet­ti­na Gayk, Lan­des­be­auf­tra­ge für Daten­schutz und Infor­ma­ti­ons­frei­heit in Nordrhein-Westfalen.

Ange­sichts stei­gen­der Coro­na-Zah­len gewann für Unter­neh­men die Erfas­sung von Gesund­heits­da­ten der Beschäf­tig­ten an Bedeu­tung, um den Betrieb trotz der Risi­ken durch SARS-CoV‑2 auf­recht­zu­hal­ten. Dabei wur­den die Arbeitgeber*innen ver­pflich­tet zu über­wa­chen, ob die Beschäf­tig­ten geimpft, gene­sen oder gete­stet sind. Dazu soll­te eine täg­li­che Nach­weis­kon­trol­le durch­ge­führt und doku­men­tiert wer­den. Gere­gelt wur­de das durch das Infek­ti­ons­schutz­ge­setz des Bun­des (§ 28b Abs. 3 Satz 1 IfSG a.F.). „In Ein­zel­fäl­len haben Arbeitgeber*innen Impf- oder Test­nach­wei­se sogar kopiert oder gescannt. Das ist nicht zuläs­sig gewe­sen, und selbst­ver­ständ­lich müs­sen die­se Kopien und Scans umge­hend fach­ge­recht ent­sorgt wer­den“, macht Gayk deutlich.

Dass im Zuge der Pan­de­mie gesam­mel­te Daten wie­der gelöscht oder ver­nich­tet wer­den müs­sen, ist nicht neu. So ist bereits die Pflicht zur Kon­takt­da­ten­er­he­bung für bestimm­te Wirt­schafts­be­rei­che – zum Bei­spiel in der Gastro­no­mie – ent­fal­len, als am 20. August 2021 die „Ver­ord­nung zum Schutz vor Neu­in­fi­zie­run­gen mit dem Coro­na­vi­rus SARS-CoV‑2“ (Coro­na-Schutz­ver­ord­nung) der NRW-Lan­des­re­gie­rung geän­dert wur­de. Aller­dings kann sie seit­dem noch wei­ter­hin durch die Städ­te und Gemein­den als ört­li­che Ord­nungs­be­hör­den ange­ord­net werden.

Gayk: „Inzwi­schen geht es dar­um, die erho­be­nen Daten rechts­kon­form zu ent­sor­gen. Das bedeu­tet: Die Gesund­heits­da­ten von Beschäf­tig­ten und – sofern noch vor­han­den – Daten zur Kon­takt­nach­ver­fol­gung müs­sen gelöscht, also voll­stän­dig und unwi­der­ruf­lich ver­nich­tet wer­den. Bei Daten, die in Papier­form erho­ben wur­den, soll­te ein geeig­ne­ter Akten­ver­nich­ter ver­wen­det wer­den.“ Ein Zer­rei­ßen von Hand sei nicht aus­rei­chend. Wie Daten­trä­ger daten­schutz­kon­form ver­nich­tet wer­den kön­nen, regelt unter ande­rem die DIN 66399. Für das Löschen per­so­nen­be­zo­ge­ner Daten durch Akten­ver­nich­ter sind Gerä­te der Sicher­heits­stu­fe 4 oder höher gemäß die­ser DIN geeignet.

Die Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit Nord­rhein-West­fa­len
Kaval­le­rie­str. 2 – 4, 40213 Düs­sel­dorf
Tel.: 0211 – 38424 – 158
Fax: 0211 – 38424 – 999
E‑Mail: pressestelle@​ldi.​nrw.​de
Inter­net: www​.ldi​.nrw​.de

BSI warnt vor dem Ein­satz von Kaspersky-Virenschutzprodukten

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) warnt nach §7 BSI-Gesetz vor dem Ein­satz von Viren­schutz­soft­ware des rus­si­schen Her­stel­lers Kas­pers­ky. Das BSI emp­fiehlt, Anwen­dun­gen aus dem Port­fo­lio von Viren­schutz­soft­ware des Unter­neh­mens Kas­pers­ky durch alter­na­ti­ve Pro­duk­te zu ersetzen.

Anti­vi­ren­soft­ware, ein­schließ­lich der damit ver­bun­de­nen echt­zeit­fä­hi­gen Cloud­dien­ste, ver­fügt über weit­rei­chen­de System­be­rech­ti­gun­gen und muss system­be­dingt (zumin­dest für Aktua­li­sie­run­gen) eine dau­er­haf­te, ver­schlüs­sel­te und nicht prüf­ba­re Ver­bin­dung zu Ser­vern des Her­stel­lers unter­hal­ten. Daher ist Ver­trau­en in die Zuver­läs­sig­keit und den Eigen­schutz eines Her­stel­lers sowie sei­ner authen­ti­schen Hand­lungs­fä­hig­keit ent­schei­dend für den siche­ren Ein­satz sol­cher Syste­me. Wenn Zwei­fel an der Zuver­läs­sig­keit des Her­stel­lers bestehen, birgt Viren­schutz­soft­ware ein beson­de­res Risi­ko für eine zu schüt­zen­de IT-Infrastruktur.

Das Vor­ge­hen mili­tä­ri­scher und/​oder nach­rich­ten­dienst­li­cher Kräf­te in Russ­land sowie die im Zuge des aktu­el­len krie­ge­ri­schen Kon­flikts von rus­si­scher Sei­te aus­ge­spro­che­nen Dro­hun­gen gegen die EU, die NATO und die Bun­des­re­pu­blik Deutsch­land sind mit einem erheb­li­chen Risi­ko eines erfolg­rei­chen IT-Angriffs ver­bun­den. Ein rus­si­scher IT-Her­stel­ler kann selbst offen­si­ve Ope­ra­tio­nen durch­füh­ren, gegen sei­nen Wil­len gezwun­gen wer­den, Ziel­sy­ste­me anzu­grei­fen, oder selbst als Opfer einer Cyber-Ope­ra­ti­on ohne sei­ne Kennt­nis aus­spio­niert oder als Werk­zeug für Angrif­fe gegen sei­ne eige­nen Kun­den miss­braucht werden.

Alle Nut­ze­rin­nen und Nut­zer der Viren­schutz­soft­ware kön­nen von sol­chen Ope­ra­tio­nen betrof­fen sein. Unter­neh­men und Behör­den mit beson­de­ren Sicher­heits­in­ter­es­sen und Betrei­ber Kri­ti­scher Infra­struk­tu­ren sind in beson­de­rem Maße gefähr­det. Sie haben die Mög­lich­keit, sich vom BSI oder von den zustän­di­gen Ver­fas­sungs­schutz­be­hör­den bera­ten zu lassen.

Unter­neh­men und ande­re Orga­ni­sa­tio­nen soll­ten den Aus­tausch wesent­li­cher Bestand­tei­le ihrer IT-Sicher­heits­in­fra­struk­tur sorg­fäl­tig pla­nen und umset­zen. Wür­den IT-Sicher­heits­pro­duk­te und ins­be­son­de­re Viren­schutz­soft­ware ohne Vor­be­rei­tung abge­schal­tet, wäre man Angrif­fen aus dem Inter­net mög­li­cher­wei­se schutz­los aus­ge­lie­fert. Der Umstieg auf ande­re Pro­duk­te ist mit vor­über­ge­hen­den Komfort‑, Funk­ti­ons- und Sicher­heits­ein­bu­ßen ver­bun­den. Das BSI emp­fiehlt, eine indi­vi­du­el­le Bewer­tung und Abwä­gung der aktu­el­len Situa­ti­on vor­zu­neh­men und dazu gege­be­nen­falls vom BSI zer­ti­fi­zier­te IT-Sicher­heits­dienst­lei­ster hin­zu­zu­zie­hen.


Wei­te­re Infor­ma­tio­nen sind in den FAQ zusammengefasst.

LfDI BW: Öffent­li­che Stel­len: Raus aus Face­book, Twit­ter, TikTok!“

Ste­fan Brink und Cla­ris­sa Hen­ning appel­lie­ren: Öffent­li­che Stel­len soll­ten aus den ver­meint­lich Sozia­len Medi­en aus­stei­gen. War­um die nicht sozi­al sind, was Poli­zei, Kom­mu­nen und Co. statt­des­sen tun soll­ten und was das mit dem Ver­trau­en in mün­di­ge Bür­ger zu tun hat, kom­men­tie­ren sie in ihrem Gast­bei­trag.“ Vom 15.3.22.

Zum Bei­trag: https://​netz​po​li​tik​.org/