Hamburg: HmbBfDI veröffentlicht Informationen zur Meldepflicht bei Datenschutzverletzungen
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat am 19. September 2023 Informationen zur Benachrichtigung bei Datenschutzverletzungen veröffentlicht, die aufzeigen, was im Falle einer Datenschutzverletzung zu tun ist. Insbesondere erklärte die HmbBfDI unter anderem, dass Verletzungen des Schutzes personenbezogener Daten mit hohem Risiko, bei denen Daten, ob unbeabsichtigt oder nicht, in die Hände einer unbefugten Person gelangen oder verloren gehen, gemeldet werden sollten. Die HmbBfDI fügte hinzu, dass eine Unterscheidung nach dem Grad des Risikos für die betroffenen Personen vorgenommen werden muss.
Ferner erklärte die HmbBfDI, dass die Benachrichtigung der Behörden unverzüglich, spätestens jedoch innerhalb von 72 Stunden, nachdem ein Mitarbeiter von der Datenschutzverletzung Kenntnis erlangt hat, zu erfolgen hat, und präzisierte, dass die betroffenen Personen so schnell wie möglich und in einfacher Sprache informiert werden sollten. Schließlich empfahl die HmbBfDI ein Formular für die Meldung von Datenschutzverletzungen an die HmbBfDI und stellte Links zu weiteren Leitlinien für Datenschutzverletzungen zur Verfügung.
Schweiz: FDPIC stellt fest, dass die Datenverarbeitung von Oracle keine Persönlichkeitsrechte verletzt
Am 10. Oktober 2023 gab der Federal Data Protection and Information Commissioner (FDPIC) bekannt, dass er nach einer in den USA eingereichten Sammelklage gegen Oracle America Inc. kein formelles Verfahren einleiten wird.
Hintergrund der Entscheidung
Der EDÖB untersuchte die Vorwürfe, Oracle America habe die Daten von fünf Milliarden Internetnutzern gesammelt und in einer Datenbank gespeichert. Die Untersuchung des EDÖB konzentrierte sich darauf, wie Oracle America sicherstellte, dass keine Informationen über Personen mit Wohnsitz in der Schweiz zu Werbezwecken verwendet wurden.
Feststellungen des EDÖB
Nachdem er Oracle America und Oracle Schweiz GmbH um Abklärungen gebeten hatte, stellte der EDÖB fest, dass Oracle America glaubhaft erklärt hat, dass:
es die fraglichen Datenbearbeitungen in der Schweiz nicht aktiv anbieten wird;
es Maßnahmen ergriffen hat, um technisch zu verhindern, dass Informationen über Personen in der Schweiz von Werbediensten verwendet werden;
es seine Datenvermittlungsdienste nicht mehr für Akteure anbietet, die Daten in der Schweiz bereitstellen, und dass es seit Jahren alle Dienste eingestellt hat, die Daten speziell über Personen mit Wohnsitz in der Schweiz bereitstellen;
es technisch verhindert hat, dass Daten Dritter über Personen in der Schweiz zu Werbezwecken verarbeitet werden und bestätigt hat, dass die Werbedienste von Oracle America keine Verarbeitung von Informationen über Personen mit Wohnsitz in der Schweiz beinhalten; und
es verarbeitet weder mit dem Oracle ID Graph Service noch offline Informationen über Personen mit Wohnsitz in der Schweiz.
Ergebnisse
Auf der Grundlage der oben genannten Informationen kam der EDÖB zu dem Schluss, dass kein Risiko besteht, dass die in der US-Sammelklage erwähnten Tracking-Dienste von Oracle America zu Verletzungen von Persönlichkeitsrechten in der Schweiz führen könnten. Daher hat der EDÖB seine Untersuchungen eingestellt und beschlossen, kein formelles Verfahren einzuleiten.
USA: NSA und CISA veröffentlichen gemeinsame Cybersecurity-Beratung zu den häufigsten Cybersecurity-Fehlkonfigurationen
Am 5. Oktober 2023 haben die Agentur für Cybersecurity and Infrastructure Security Agency (CISA) und die National Security Agency (NSA) ein gemeinsames Cybersecurity Advisory veröffentlicht, das die 10 häufigsten Fehlkonfigurationen in den Netzwerken großer Organisationen aufzeigt. Das Dokument beschreibt insbesondere Taktiken, Techniken und Verfahren, die Cyber-Akteure einsetzen könnten, um Netzwerke zu kompromittieren, sowie Abhilfemaßnahmen zu deren Abwehr.
Darüber hinaus wird in dem Bericht dargelegt, dass die häufigsten Fehlkonfigurationen (z.B. Standardkonfigurationen von Software und Anwendungen, schwache oder falsch konfigurierte Multi-Faktor-Authentifizierungsmethoden und uneingeschränkte Codeausführung) einen Trend zu systemischen Schwächen in mehreren großen Organisationen aufzeigen und zeigen, wie wichtig es ist, dass Softwarehersteller die Prinzipien des "Secure-by-Design" einbeziehen, um das Risiko einer Kompromittierung zu verringern. Die NSA und die CISA ermutigen daher Netzwerkverteidiger und Softwarehersteller, die Empfehlungen im letzten Abschnitt des Ratgebers umzusetzen, um die Risiken für die Cybersicherheit zu verringern.
Erstellt:
Experte für Datenschutz gesucht? Neben dem großen Thema Datenschutz unterstützen wir Sie im Interim Management, bei strategischen & betriebswirtschaftlichen Managementaufgaben. Sie haben Fragen, genug vom Blabla und wollen Genaueres wissen? Hier unverbindlich kontaktieren.
