Schutz vor Cyberattacken

12. März 2022/in Praxistipps/von Nancy Degenhardt

Geschäftsführerhaftung bei Datenschutzverstößen

21. Februar 2022/in Praxistipps/von Nancy Degenhardt

Datenschutzprüfungen durch Aufsichtsbehörden

6. Dezember 2021/in Praxistipps/von Nancy Degenhardt

Sicherheitsvorfall im Unternehmen

21. April 2021/in Praxistipps/von Christian Schröder

DSGVO – das wichtigste und notwendigste

29. Januar 2021/in Praxistipps/von Christian Schröder

Datenschutz Tipps 2021

6. Januar 2021/in Praxistipps/von Christian Schröder

Brexit Übergangsphase

5. Januar 2021/in Praxistipps/von Christian Schröder

Brexit Übergangsphase für Datenschutz wird verlängert

Für den Brexit gibt es nun eine weitere Übergangsphase von vier Monaten. Mit der neuen Übergangsphase bleibt die Übermittlung personenbezogener Daten in das vereinigte Königreich ohne zusätzliche Maßnahmen vorerst rechtskonform.

zur Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 28.12.2020

Nach dem Austritt von Nordirland und dem vereinigten Königreich Großbritannien aus der EU ist mittlerweile fast ein Jahr vergangen. Beide Länder sind aus der EU ausgetreten und wurden damit jeweils zu einem Drittland aus Sicht der DSGVO. Aus Datenschutzsicht ein Desaster das Verantwortlichen Unternehmen und deren Datenschützern viele Umstände bereiten hätte können. Durch ein Austrittsabkommen, war es jedoch weiterhin möglich personenbezogenen Daten in die vom Brexit betroffenen Länder zu übermitteln. Aber auch dieses Abkommen hatte ein Ende. Am 31.12.2020 ist der Übergangszeitraum abgelaufen.

Entwurf des Brexit Abkommens steht

Eine Zwischenlösung bietet nun der Entwurf des Brexit Abkommens. In diesem ist eine viermonatige Übergangsfrist vorgesehen – auch in Bezug auf Datenschutz. Damit bleibt der Datentransfer von personenbezogenen Daten ab dem 01.01.2021 weiterhin erlaubt. Das schafft zunächst einmal etwas mehr Rechtssicherheit. Eine Verlängerung der Übergangsphase um weitere zwei Monate ist möglich, solange keiner der Beteiligten Widerspruch einlegt.

Ohne diese weitere Übergangsfrist, kann ein Datentransfer personenbezogener Daten nur unter den Voraussetzungen der Art. 45 ff. DSGVO erfolgen. Damit werden zunächst die Unternehmen jedenfalls bis zum 30.04.2021 bzw. 30.06.2021 entlastet. Ist bis dahin noch immer keine Entscheidung getroffen, verstoßen die Unternehmen mit jeder Datenübermittlung nach Nordirland oder Großbritannien gegen die datenschutzrechtlichen Vorgaben der DSGVO.

Angemessenheitsbeschluss nötig

Trotz der „kleinen Pause“ darf sich niemand auf einen nötigen Angemessenheitsbeschluss verlassen. Dieser ist für die dauerhaft datenschutzkonforme Übermittlung personenbezogener Daten in Drittländer erforderlich. Einen Angemessenheitsbeschluss erlässt die EU-Kommission (siehe Art. 45 DSGVO). Dieser bestätigt, dass die Übermittlungen personenbezogener Daten in das betreffende Land erlaubt sind. Der Angemessenheitsbeschluss bestätigt auch, dass das (Daten)Schutzniveau des Landes für die Datenübermittlung ausreichend ist. Hierzu wird ein Ausschussverfahren mit verschiedenen Schritten durchgeführt. Bisher gibt es noch keinen Beschluss durch die EU-Kommision.

Unternehmen sollten sich auf das was kommt vorbereiten. Ein Angemessenheitsbeschluss der EU-Kommission ist nötig, kann aber einige Zeit dauern.

Wie der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann sagte:

Auch wenn man auf eine solche Angemessenheitsentscheidung der Kommission hoffen kann, darauf verlassen sollte man sich nicht.

TIPP: Legen Sie also nicht die Hände in den Schoss. Behalten Sie Ihre Verarbeitungen samt Auftragsverarberitern und Unterauftragnehmern im Blick, damit Sie schnell reagieren können.

zur Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 28.12.2020

Sicherheitslücke bei 4sellers

21. Oktober 2020/in Praxistipps/von Nancy Degenhardt

Sicherheitslücke bei 4sellers

Vor kurzem wurden Details über eine Sicherheitslücke bei 4sellers, einer E-Commerce-Software für Online-Händler bekannt. Die Sicherheitslücke bestand über einen Zeitraum von über zwei Jahren.

4sellers ist ein ERP-System welches Omni-Channel und Lagerlogistik in einem Programm vereint. Kunden von 4sellers sind unter anderem Harlander, Hame und auch Moebelplus. Damit sind vor allem mittelständische Unternehmen betroffen.

Sicherheitslücke bestand über zwei Jahre

Berichten zufolge bestand die Sicherheitslücke bei 4sellers bereits zwei Jahre lang. Durch diese Lücke war es anderen möglich auf die ERP-Datenbanken der Kunden zuzugreifen. Laut 4sellers war hier wohl nur ein Händler betroffen. 4sellers wusste nach Berichten allerdings schon seit Ende 2019 von dieser Sicherheitslücke. Eine Information an die Händler und auch Endkunden ist nicht erfolgt. Bei den Daten handelte es sich um Rechnungen, API-Schlüssel, Lieferantendaten, Artikeldaten und auch Einkaufspreise. Einsehbar sollten diese über einen FTP-Server gewesen sein. Auch Telefonnummer und Zahlungsdaten waren wohl offen zugänglich. Wenn man bedenkt, dass eine Händlerdatenbank Millionen von Datensätzen enthält, sind hier möglicherweise eine ganze Menge an Informationen abgeflossen.

Reaktion von 4sellers

Das Sicherheitsleck wurde laut 4sellers durch ein Passwort geschlossen. 4sellers teilte weiter mit, dass die Zugriffsmöglichkeit über den betroffenen FTP Server nach Kenntnis der Sicherheitslücke Ende 2019 sofort geschlossen wurde. Die Daten auf dem Server wurden passwortgeschützt und verschlüsselt. Nach einer Prüfung der Logfiles durch den E-Commerce-Anbieter, konnten diese keine unberechtigten Zugriffe feststellen. Eine Meldung nach Art. 33 DSGVO zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde sei deshalb nicht erfolgt. Dies obwohl scheinbar Hinweise eines Händlers existieren, dass dessen Daten einsehbar waren. Mit diesem Händler steht 4sellers wohl in Kontakt.

E-Commerce-Software mit Sicherheitslücken

4seller ist aber nicht die einzige E-Commerce-Software mit einer Sicherheitslücke. Vor nicht allzu langer Zeit gab es auch bei Shopify ein Datenleck. Hierbei wurden Daten von Kunden einzelner Händler abgerufen. Dabei ging es um Namen, E-Mail-Adressen und Anschriften. Auch das Einkaufsverhalten, also der Kauf von Dienstleistungen und Produkte konnte eingesehen werden. Zahlungsdaten sollen durch Unberechtigte nicht einsehbar gewesen sein. In einem solchen Fall müsste unter Umständen neben der Meldung der Datenpanne gegenüber der zuständigen Aufsichtsbehörde für Datenschutz nach Art. 33 DSGVO auch noch eine Meldung nach Art. 34 DSGVO Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person erfolgen, sofern voraussichtlich hohes Risiko besteht.

Sicherheitslücken vermeiden

Ein Datenschutzmanagement System (DSMS) kann zwar in Ihrem Unternehmen Sicherheitslücken nicht zu 100% vermeiden, aber zumindest dazu beitragen und den Umgang in solchen Ausnahmesituationen professionell planen.

Die Ursache vieler Sicherheitslücken geht auf ungepatchte Systeme zurück. Das ist sogar ziemlich häufig der Fall. Aus diesem Grund hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) eine Checkliste für das Patch Management im Alltag (Checkliste nach Art. 32 DS-GVO) veröffentlicht. Ob die Sicherheitslücke bei 4sellers damit hätte vermieden werden können ist unklar.