BSI aktualisiert Mindeststandard zur Protokollierung und Detektion von Cyber-Angriffen

/in /von

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Mindeststandard zur Protokollierung und Detektion von Cyber-Angriffen in der neuen Version 2.0 veröffentlicht. Dieser enthält organisatorische und technische Anforderungen zur Erfassung von Protokoll- und Protokollierungsdaten, um Cyber-Angriffe auf die Bundesverwaltung frühzeitig zu erkennen. Der Mindeststandard wurde umfassend überarbeitet und ebenso wie die Referenztabelle an das aktuelle IT-Grundschutz-Kompendium (Edition 2023) angepasst.

Der Mindeststandard wurde neu strukturiert. Eine wesentliche Neuerung im aktuellen Entwurf ist die weitgehende Integration der „Protokollierungsrichtlinie Bund“ (PR-B), die bislang als Anlage zum Mindeststandard vorlag. Somit wurden die Sicherheitsanforderungen sowohl zur Protokollierung als auch zur Detektion erweitert. Aufgrund der geänderten Rechtsgrundlage (§§ 5 und 5a BSIG) sowie des Angebotes der datenschutzkonformen, zentralen Protokollierungs- und Detektionsinfrastruktur („Detection as a Service“, DaaS) des BSI wird das „Rahmendatenschutzkonzept“ (RDSK) zudem nicht länger als Anlage zum Mindeststandard mitgeführt.

Die Version 2.0 des Mindeststandards, die Änderungsübersicht sowie die Referenztabelle stehen auf der BSI-Webseite zur Verfügung.

LBDI BW: Neue Angemessenheitsentscheidung für die USA

/in /von

Am 10. Juli 2023 hat die Europäische Kommission mit dem EU-U.S. Data Privacy Framework eine Nachfolgeregelung für den 2020 vom Europäischen Gerichtshof aufgehobenen Privacy Shield angenommen und in Kraft gesetzt.

Auf der Grundlage dieser neuen Angemessenheitsentscheidung im Sinne von Artikel 45 DS-GVO ist künftig ein Transfer personenbezogener Daten an alle Stellen in den USA möglich, die den hierfür erforderlichen Selbstzertifizierungsprozess durchlaufen haben. Diese Selbstzertifizierung geschieht auf einer vom US-Handelsministerium betriebenen Internetseite für das Data Privacy Framework, auf der eine Liste der zertifizierten Unternehmen geführt wird – allerdings ist zu beachten, dass diese Webseite erst noch seitens des US-Handelsministeriums eingerichtet werden muss. Der Großteil der öffentlichen Stellen in den USA sowie Banken, Luftverkehrs- und Versicherungsunternehmen sind von einer Zertifizierung ausgenommen. Dass die benannten Organisationen von einer Zertifizierung ausgenommen sind, bedeutet, dass diese nicht unter das Framework fallen, da dieses nur für zertifizierte Organisationen gilt.

Anders als bei einer – weiterhin möglichen – Übermittlung personenbezogener Daten in die USA auf der Grundlage der Standarddatenschutzklauseln der Europäischen Kommission oder verbindlicher Unternehmensrichtlinien ist für Übermittlungen auf Basis der Angemessenheitsentscheidung weder eine Analyse der Rechtslage im Empfängerland (sog. transfer impact assessment) erforderlich, noch müssen die Daten durch ergänzende Maßnahmen, wie z.B. Verschlüsselung, in den USA vor staatlichem Zugriff besonders geschützt werden.

Die Regelungen verpflichten importierende Stellen in den USA zur Einhaltung von an die DS-GVO angelehnten Datenschutzgrundsätzen (z. B. dem Erforderlichkeitsgrundsatz und dem Transparenzgrundsatz) einschließlich der Erfüllung von Betroffenenrechten wie Auskunfts- und Löschungsansprüchen. Wenn EU-Bürger der Auffassung sind, dass diese Vorgaben keine Beachtung finden, können Sie sich an die für sie zuständige europäische Datenschutzaufsichtsbehörde wenden. Die nationale Datenschutzbehörde leitet die Beschwerde an den Europäischen Datenschutzausschuss weiter, der sie an die für die Bearbeitung der Beschwerde zuständigen US-Behörden übermittelt. Außerdem stehen Betroffenen Rechtsbehelfe vor unabhängigen Schiedsstellen in den USA offen.

Durch ein flankierendes Dekret der US-Regierung wurden die Nachrichtendienste der USA auf die Beachtung bestimmter datenschutzrechtlicher Grundsätze und Vorgaben (z.B. Verbot grundloser Massenüberwachungen, Erforderlichkeit und Verhältnismäßigkeit, Ausschluss bestimmter Ziele wie z. B. Industriespionage) eingeschworen, deren Beachtung Betroffene von neu eingerichteten unabhängigen Stellen in den USA im Einzelfall überprüfen lassen können.

Für die bereits unter der Vorgängerregelung – dem Privacy Shield Framework – zertifizierten Datenimporteure in den USA sind Übergangsregelungen zur Umstellung auf die neuen Vorgaben vorgesehen. Der Neuregelung gehen mehrjährige Verhandlungen zwischen der Europäischen Kommission und der amerikanischen Regierung voraus; zuletzt hatte sich der Europäische Datenschutzausschuss, das Kooperationsgremium der Datenschutzaufsichtsbehörden der europäischen Mitgliedsstaaten, wohlwollend kritisch und das Europäische Parlament ablehnend gegenüber der Neuregelung geäußert.

Detailliertere Anmerkungen zur neuen Angemessenheitsentscheidung sowie eine Überarbeitung der Orientierungshilfe Internationaler Datentransfer folgen in Kürze.

Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de

BayLDA stellt Tätigkeitsbericht für das Jahr 2022 vor

/in /von

2022 ist auch im Datenschutz ein Jahr der Zeitenwende – Weichenstellungen für eine zukunftsfähige Datenschutzaufsicht erforderlich

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat am Freitag, den 7. Juli 2023 seinen 12. Tätigkeitsbericht in der Hochschule Ansbach vorgestellt. Die Vorstellung des Tätigkeitsberichts im Rahmen einer hybriden Pressekonferenz war zugleich Anlass und Gelegenheit, mit Dozent:innen und Studierenden der Hochschule sowie Vertreter:innen der Fachöffentlichkeit zentrale Befunde des zurückliegenden Datenschutzjahrs zu diskutieren.

„Auch im Datenschutz ist 2022 ein Jahr der Zeitenwende. Fünf Jahre nach Inkrafttreten der Datenschutz-Grundverordnung blicken wir zumindest mehrheitlich auf mittlerweile funktionierende datenschutzrechtliche Grundstrukturen bei Verantwortlichen. Der mit ChatGPT und Co. bereits 2022 eingeläutete Einzug Künstlicher Intelligenz in unser aller Alltag ist eine Bewährungsprobe für den Datenschutz.“, so der Präsident des Landesamts, Michael Will.

„Für die Datenschutzaufsicht bedeutet die zunehmende Verbreitung Künstlicher Intelligenz und die fast universellen Einsatzmöglichkeiten vom Geschäftsbrief bis zur Personalauswahl neue Herausforderungen bei Prüfung und Beratung. Sie gibt uns über alle Versprechungen und Potentiale hinweg zunächst Grund zur Sorge: Schon heute ist einzuräumen, dass das Landesamt auf Grund der Vernachlässigung eines bedarfsgerechten Behördenaufbaus in den zurückliegenden Haushaltsjahren die von der DS-GVO vorgegebene Grundziele aufsichtlicher Aufgabenerfüllung in zu vielen Fällen verfehlt. Das gilt beispielsweise für die Dreimonatsfrist bei Beschwerden Betroffener oder auch für wichtige Präventionsleistungen datenschutzrechtlicher Beratung.“, bilanzierte Will die statistischen Übersichten des Tätigkeitsberichts und unterstrich den haushaltrechtlichen Handlungsbedarf:

„Für Vertrauen und Rechtssicherheit bei der Nutzung Künstlicher Intelligenz und anderer datengetriebener Technologien im Digitalland Bayern sind das denkbar schlechte Ausgangsbedingungen. 20 Jahre nach der Etablierung einer selbstständigen bayerischen Datenschutzaufsicht in Mittelfranken ist dringend ein neuer Schub für einen raschen und zukunftsfähigen Ausbau der Behörde erforderlich. Wir haben die gestrige Vorab-Präsentation unseres Tätigkeitsberichts im Ausschuss für Verfassung, Recht, Parlamentsfragen und Integration des Bayerischen Landtags dafür genutzt, um fraktionsübergreifend für Unterstützung dieser Handlungserfordernisse zu werben“, so Will.

Angesichts der personellen Ausstattung der Behörde mit nur 33 Mitarbeiter:innen können aktuell nur zwei von drei Beschwerden Betroffener innerhalb der gesetzlich geforderten Frist bearbeiten werden.

Die präventive Beratung von Verantwortlichen kann, wenn überhaupt, nur noch in engen Grenzen konkreter Beratungsanliegen betrieblicher Datenschutzbeauftragter geleistet werden. Das Landesamt verzeichnete im Jahr 2022 insgesamt 5032 Beschwerden und Kontrollanregungen, zudem wurden 2991 Datenschutzverletzungen gemeldet. Trotz des Rückgangs um 16% bzw. 24% lasten beide Fallgruppen die Ressourcen des Landesamts immer noch bei Weitem aus.

Einen erheblichen Mehrwert, wenngleich nicht ohne Aufwand, bringt die durch die DS-GVO gestärkte und mit zahlreichen Verfahrensregelungen verstetigte Zusammenarbeit mit den anderen europäischen Aufsichtsbehörden mit sich. Der Tätigkeitsbericht zeigt an Hand der unter dem Dach des Europäischen Datenschutzausschusses erarbeiteten Leitlinien etwa zu Datenübermittlungen in Drittstaaten oder zur Bußgeldzumessung bei Datenschutzverstößen wichtige Ergebnisse dieser Zusammenarbeit auf.

Zusammen mit ausgewählten Fragestellungen der verschiedenen Fachbereiche des Landesamts vom Auskunftsrecht bis zur Videoüberwachung vermittelt der insgesamt 80-seitige Bericht auf diese Weise wichtige Hilfestellungen und Impulse für die datenschutzrechtliche Praxis in Unternehmen und Vereinen.

Der Tätigkeitsbericht für das Jahr 2022 ist unter folgendem Link erreichbar: https://www.lda.bayern.de/de/taetigkeitsberichte.html.

Ein Videomitschnitt der virtuellen Pressekonferenz wird dort in den kommenden Tagen ebenfalls verfügbar sein.

Bayerisches Landesamt für Datenschutzaufsicht

  • Pressestelle –
    Promenade 18, 91522 Ansbach
    Email: presse@lda.bayern.de
    Pressemitteilungen: https://www.lda.bayern.de/de/pressemitteilungen.html

BSI: Unternehmensleitung darf Management von Cyberrisiken nicht wegdelegieren

/in /von

Unternehmen werden heute regelmäßig Opfer von Cyberangriffen und die Bedrohungslage hat ein nie da gewesenes Ausmaß erreicht. Das Bundesamt für Sicherheit in der Informationstechnik plädiert dafür, dass sich die Unternehmensleitung dieser Tatsache bewusst sein muss, um Cybersicherheit als wichtigen Bestandteil des Risikomanagements etablieren zu können.

Das Handbuch „Management von Cyber-Risiken“ , das in Zusammenarbeit mit der Internet Security Alliance (ISA) vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt wurde, erhält nun ein umfassendes Update. Es beschäftigt sich mit einer umfassenden Unternehmenskultur, die Cybersicherheit ständig im Blick hat und somit die Widerstandsfähigkeit von Unternehmen erhöht. Die aktualisierte Version des Handbuchs wurde am 22.03.2023 veröffentlicht.

Die Forderungen lassen sich auf die Einhaltung von sechs Prinzipien verdichten:

  1. Cybersicherheit nicht nur als IT-Thema, sondern als Baustein des unternehmensweiten Risikomanagements verstehen:
    Die Unternehmensleitung muss die Cybersicherheit nicht nur als IT-Risiko, sondern als strategisches Unternehmensrisiko verstehen und angehen.
  2. Rechtliche Auswirkungen von Cyberrisiken verstehen:
    Die Unternehmensleitung sollte die rechtlichen Auswirkungen von Cyberrisiken in Bezug auf die individuellen Anforderungen ihres Unternehmens verstehen.
  3. Zugang zu Cybersicherheits-Expertise sowie regelmäßigen Austausch sicherstellen:
    Die Unternehmensleitung sollte einen angemessenen Zugang zu Cybersicherheits-Expertise fordern. Diskussionen über Cyberrisikomanagement sollten regelmäßig und in angemessenem Umfang auf die Tagesordnung gesetzt werden.

Das Hinweisgeberschutzgesetz (HinSchG) kommt!

/in /von

Nachdem Bundestag und Bundesrat den Empfehlungen des Vermittlungsausschusses zugestimmt haben, tritt das Gesetz bereits Mitte Juni 2023 in Kraft! Ab diesem Zeitpunkt werden Unternehmen ab 250 Beschäftigte dazu verpflichtet sein, Whistleblowing in einem geschützten Rahmen zu ermöglichen. Für Unternehmen ab 50 Beschäftigte gilt dies ab dem 17. Dezember 2023. Betroffene Unternehmen müssen jetzt handeln und die erforderliche interne Meldestelle einrichten.

Wir helfen bei der Umsetzung!

BayLDA: Prüfung zu Stellung und Aufgaben von DSBs

/in /von

Knapp fünf Jahre nach dem Geltungsbeginn der Datenschutz-Grundverordnung startet heute die zweite europaweite Prüfaktion der europäischen Datenschutzaufsichtsbehörden. Koordiniert durch den Europäischen Datenschutzausschuss widmet sich die Prüfaktion der Stellung und den Aufgaben der Datenschutzbeauftragten. Diese stellen einen der Eckpfeiler des Datenschutzes in Unternehmen und Behörden dar, der sich als zentrale Neuerung mit der Datenschutz-Grundverordnung nun auch in den übrigen Mitgliedstaaten etabliert hat. Michael Will, Präsident des BayLDA erläutert das Ziel der gemeinsamen europaweiten Prüfung: “Für das BayLDA sind die Datenschutzbeauftragten seit jeher mehr als nur die ersten Ansprechpartner:innen der Aufsichtsbehörde. Sie sind die Garanten des Datenschutzes im Alltag, gerade für kleine und mittlere Unternehmen. Sie leisten Tag für Tag einen zentralen Beitrag für das Gelingen datenschutzgerechter Digitalisierung. Mit der Datenschutz-Grundverordnung wurde ihre Stellung im Unternehmen als vorgelagerte Beratungs- und auch Kontrollinstanz nochmals gestärkt. Die gemeinsame Prüfaktion bildet den Rahmen für eine genaue Analyse der heutigen Handlungsbedingungen in der betrieblichen Praxis und den Austausch der Datenschutzbehörden über mögliche Verbesserungen oder auch Abhilfemaßnahmen. Wir werden versuchen, die Ergebnisse unserer Untersuchungen so rasch wie möglich auszuwerten und unsere Schlussfolgerungen damit für alle der mehr als 36.000 bei uns gemeldeten Datenschutzbeauftragten nutzbar zu machen.“


Zum Hintergrund:

Der Europäische Datenschutzausschuss hatte bereits in seiner konstituierenden Sitzung am 25. Mai 2018 Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“) verabschiedet, die gemeinsam mit mehreren aktuellen Entscheidungen des Europäischen Gerichtshofs, u.a. vom 22. Juni 2022 und 27. Oktober 2022, grundlegende Maßstäbe für die gemeinsame Prüfaktion der europäischen Datenschutzaufsichtsbehörden vermitteln. Im Mittelpunkt der Prüfung stehen neben Fragen der Qualifikation und Ressourcenausstattung vor allem mögliche Beeinträchtigungen der unabhängigen und effektiven Aufgabenwahrnehmung. Insbesondere die Ausübung von Zusatzfunktionen kann dabei Interessenkonflikte begründen, wie etwa bei Compliance-Beauftragten, IT-Verantwortlichen bzw. Personalverantwortlichen. Ein besonderes Augenmerk gilt außerdem der Anforderung, dass Datenschutzbeauftragte unmittelbar der höchsten Managementebene des Verantwortlichen oder Auftragsverarbeiters zu berichten haben. Präsident Will erläutert hierzu: „Auf Grundlage unserer Prüfbefugnisse werden wir die Handlungsbedingungen der betrieblichen Datenschutzbeauftragten gezielt in den Blick nehmen und uns sowohl Organigramme als auch Jahresberichte der Datenschutzbeauftragten vorlegen lassen. Wir werden sehr genau hinterfragen, wie Datenschutzbeauftragte, die nur über eine sog. dotted line über verschiedene Hierarchieebenen hinweg an die Unternehmensleitung herantreten können, dem Erfordernis jederzeitiger unmittelbarer Berichtsrechte genügen, um so ein klares Bild zur Situation der Datenschutzorganisation zu vermitteln und Fehlentwicklungen entgegenzutreten.“

https://www.lda.bayern.de/media/pm/pm2023_03.pdf

200 Jahre Ohm – Die Technische Hochschule Nürnberg feiert Jubiläum

/in /von

Die TH Nürnberg feiert ihr 200-jähriges Bestehen.

1823 als „Städtische Polytechnische Schule“ gegründet, wurde sie bereits früh von Physiker Georg Simon Ohm geprägt: Zunächst als Professor, ab 1839 als ihr Rektor.

Heute trägt sie seinen Namen: Technische Hochschule Nürnberg Georg Simon Ohm.

An der TH Nürnberg studieren derzeit mehr als 13.000 Studierende in über 60 Studiengängen an dreizehn Fakultäten.

Zum 200-jährigen Jubiläum zeigt sich Nürnbergs größte Hochschule in all ihren Facetten mit einem abwechslungsreichen Veranstaltungsprogramm an unterschiedlichen Orten in der ganzen Stadt.

Link zu den Veranstaltungen: https://www.th-nuernberg.de/veranstaltungen/jubilaeum/veranstaltungen/

KfW: Mittelständler häufig Ziel von Cyberattacken

/in /von

Rund 29 % aller mittelständischen Unternehmen in Deutschland sind in den Jahren 2018-2020 Opfer von Cyberkriminalität geworden. Die Betroffenheit steigt mit der Breite und Intensität von Digitalisierungsaktivitäten und der Größe der mittelständischen Unternehmen. Wesentlicher Grund hierfür ist eine Kombination aus einer größeren Angriffsfläche dieser Unternehmen und unzureichenden Schutzvorkehrungen. Dies zeigt eine Sonderauswertung des jüngsten repräsentativen KfW-Mittelstandspanels.

Der stark ausgeprägte Zusammenhang zwischen Unternehmensgröße und der Betroffenheit von Cyberkriminalität zeigt sich darin, dass 28 % der kleineren Unternehmen mit weniger als fünf Beschäftigten Cyberkriminellen zum Opfer gefallen sind, aber 49 % der Unternehmen mit 100 oder mehr Beschäftigten. Ein wichtiger Grund hierfür ist, dass Cyberkriminelle vor allem umsatzstärkere Unternehmen im Blick haben. Die Analyse macht zudem deutlich, dass größere mittelständische Unternehmen häufiger zu den digitalen Vorreitern zählen und damit eine größere Angriffsfläche für potenzielle Cyberattacken bieten. Dabei nimmt die Betroffenheit von Cyberangriffen sowohl mit der thematischen Breite als auch mit der Intensität von Digitalisierungsaktivitäten zu. So waren insgesamt 45 % der Unternehmen mit vier oder mehr verschiedenen Projektarten sowie 43 % der Unternehmen mit Digitalisierungsausgaben in Höhe von mindestens 10.000 EUR von Cyberkriminalität betroffen. Unter den Unternehmen mit Digitalisierungsstrategie, welche als Indikator für besonders ambitionierte Digitalisierungsaktivitäten gilt, waren mit 37 % ebenfalls überdurchschnittliche viele Unternehmen Opfer von Cyberattacken. Zwischen einzelnen Wirtschaftszweigen gibt es dagegen kaum Unterschiede. So waren im Untersuchungszeitraum in allen Wirtschaftszweigen zwischen 28 % und 30% der Unternehmen von Cyberkriminalität betroffen. Lediglich Unternehmen des Forschungs- und Entwicklungsintensiven Verarbeitenden Gewerbes waren mit 35 % vergleichsweise häufiger von Angriffen betroffen.

Die Hauptbedrohung im Cyberraum geht von der Erpressung von Löse- oder Schweigegeld aus. Auch die gezielte Überlastung von Internetseiten ist eine weit verbreitete Angriffsmethode. Die Notwendigkeit von Schutzvorkehrungen zur Abwehr solcher Bedrohungen wird dabei insbesondere von kleinen und mittleren Unternehmen verkannt. Oft fehlt es ihnen an Personal mit fachlicher Expertise zum Thema IT-Sicherheit. Folglich bleiben notwendige Investitionen in IT-Sicherheit aus. Mittelständler, welche sich der Bedrohungslage bewusst sind, haben angesichts des Fachkräftemangels bei IT-Experten oftmals große Schwierigkeiten, geeignetes Personal zu rekrutieren oder geeignete externe IT-Dienstleister zu identifizieren.

„Vor allem kleine und mittlere Unternehmen müssen für die Bedrohungen durch Internetkriminalität sensibilisiert und dabei unterstützt werden, Know-how zur IT-Sicherheit aufzubauen“, sagt Dr. Fritzi Köhler-Geib, Chefvolkswirtin der KfW. Eine Bündelung bestehender Informationsplattformen könnte ein Weg sein, um die Transparenz hinsichtlich der von Cyberkriminalität ausgehenden Bedrohungslage zu erhöhen. Darüber hinaus ließen sich viele IT-Sicherheitsvorfälle durch entsprechende Schulungen, Trainings und regelmäßige Auffrischungskurse vermeiden. „Verbesserte Kenntnisse im Bereich IT-Sicherheit in den Unternehmen ermöglichen einen höheren Schutz vor Cyberkriminalität. Gleichzeitig können sie zu einer Stärkung der Digitalisierungsaktivitäten im Mittelstand beitragen. Denn die Anforderungen an Datenschutz und Datensicherheit sind immer noch das am häufigsten genannte Digitalisierungshemmnis im Mittelstand,“ so Dr. Fritzi Köhler-Geib.

Die aktuelle Studie ist abrufbar unter:


www.kfw.de/fokus

Zum Datenhintergrund:
Die Analyse zu Cyberkriminalität im Mittelstand basiert auf einer Auswertung der Hauptbefragung zum KfW-Mittelstandspanel 2021. Zur Grundgesamtheit des KfW-Mittelstandspanels gehören alle privaten Unternehmen sämtlicher Wirtschaftszweige, deren Umsatz die Grenze von 500 Mio. EUR pro Jahr nicht übersteigt. An der Hauptbefragung (Befragungszeitraum: 15.02.2021 bis 25.06.2022) haben sich 11.403 mittelständische Unternehmen beteiligt.

Trend Micro: Cybervorfälle häufig bei Auto-Zulieferern

/in /von

Trend Micro hat eine Studie zur Cybersicherheit im Automobilsektor veröffentlicht. Die Analyse von mehr als 50 signifikanten Sicherheitsvorfällen zwischen Januar 2021 und Juni 2022 zeigt: Alle Bereiche entlang der Produktions- und Lieferkette sind betroffen. Besonders gefährdet sind die Zulieferer.

Am häufigsten kommt es zu Ransomware-Attacken und Datendiebstahl. Außerdem identifiziert der japanische IT-Sicherheitsspezialist Hochrisiko-Bereiche von vernetzten Autos und stellt Security-Prognosen für 2023 auf.

Die Automobilbranche steht unter Druck, die Transformation zur Elektromobilität zu meistern. Durch die Energiekrise hat die Entwicklung weiter an Fahrt aufgenommen. Immer mehr E-Autos kommen auf die Straße. Doch der Wandel in der Branche erhöht auch das Risiko für Sicherheitslücken, die gefährlich für Hersteller, Lieferanten und Kunden sein können. Cyberkriminelle nutzen Schwachstellen entlang der gesamten Produktions- und Lieferkette aus. Laut der Studie von VicOne, dem auf Automotive Cybersecurity spezialisierten Tochterunternehmen von Trend Micro, sind Zulieferer am häufigsten betroffen: Sie waren in 67 Prozent der untersuchten Vorfälle involviert.

Gerade kleinere Lieferanten sind oft schlechter vor Cyberangriffen geschützt und brauchen länger, um sich wieder zu erholen. Dies führt zu Produktionsverzögerungen bis hin zu Ausfällen. Das größte Risiko sind derzeit Ransomware-Attacken. Im Studienzeitraum waren 43 Unternehmen aus der Automobilindustrie Opfer solcher Angriffe. Am häufigsten kam dabei Malware aus der Conti-Familie zum Einsatz. Außerdem gab es neun Daten-Vorfälle. Vor allem Kundeninformationen (41,7 Prozent) und sensible Unternehmensinformationen (16,7 Prozent) wurden gestohlen.

BayLfD: Arbeitspapier zu Löschen oder Archivieren

/in /von

Ein effektives Datenschutzmanagement erfordert vom Verantwortlichen sich nicht nur, sich Gedanken um die Zulässigkeit der Datenerhebung zu machen. Der datenschutzkonforme Umgang muss sich auf den gesamten Lebenszyklus von personenbezogenen Daten erstrecken und damit auch auf den Vorgang des Löschens.
Generell sind personenbezogene Daten zu löschen, wenn ihre Speicherung unzulässig ist oder ihre Kenntnis für die speichernde Stelle „zur Erfüllung ihrer Aufgaben nicht mehr erforderlich ist“. Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen.
In der Praxis kann sich die Frage stellen, ob der Verantwortliche durch die Archivierung von personenbezogenen Daten den Datenschutz umsetzen kann oder vielleicht sogar muss (Archivierung als Löschungssurrogat).
Den damit zusammenhängenden Fragen widmet sich ein Arbeitspapier (Löschung oder Archivierung?), das der Bayerische Landesbeauftragte für den Datenschutz als Datenschutz-Aufsichtsbehörde für den bayerischen öffentlichen Sektor und die Generaldirektion der Staatlichen Archive Bayerns als zentrale staatliche Fachbehörde für alle Fragen des Archivwesens gemeinsam erarbeitet haben. Das Arbeitspapier skizziert die wesentlichen Aspekte der archivrechtlichen Aufbewahrungs- und der datenschutzrechtlichen Löschungsregelungen; es behandelt Gemeinsamkeiten, Unterschiede und grundlegende Wertungen, die im Schnittbereich beider Rechtsmaterien auftauchen.
Es charakterisiert die Archivierung als Löschungssurrogat und geht – unter Berücksichtigung der je eigenen Perspektive von Datenschutz- und Archivrecht – auf die Frage der Aufbewahrungsdauer ein. Der Aspekt der datenschutzrechtlichen Informationspflichten bei der Archivierung von Unterlagen bleibt ebenfalls nicht unbeachtet. Damit stellt das Arbeitspapier auch einen guten Ratgeber für die Herausforderungen dar, denen sich Verantwortliche nicht nur aus dem öffentlichen Bereich im Rahmen der Digitalisierung konfrontiert sehen. Damit dürfte das Arbeitspapier auch für Verantwortliche aus dem privatrechtlichen Bereich hilfreiche Anregungen bieten, die die Verarbeitung personenbezogener Daten im Spannungsfeld von Datenschutz- und Archivrecht organisieren müssen.