Der 2020 Global Threat Report von CrowdStrike – frisch im Juli erschienen

Wichtige Trends und Erkenntnisse zu Cyber-Bedrohungen auch für Ihr Unternehmen

Der renommierte amerikanische IT-Secu­rity-Spezialist CrowdStrike hat in seinem jüngst im Juli veröffentlichen jährlichen Bedrohungsreport die internationale Bedrohungslage und die aktuell erkennbaren Trends bei den Cyber-Angriffsmethoden, sowie Zielstellungen der unterschiedlich motivierten Angreifer-Gruppen für das abgelaufene Jahr 2019 analysiert. Daraus hat CrowdStrike aktuelle Schutz-Empfehlungen insbesondere auch für Wirtschaftsunternehmen abgeleitet. Wir haben den Bericht ins Deutsche übersetzt und wichtige ausgewählte Infos und Trends für Sie aufbereitet.

Nicht neu ist zunächst die Erkenntnis, dass es auch weiterhin im Prinzip jedes Unternehmen treffen kann, und durch Nachlässigkeit bei den Schutzvorkehrungen ein kaum abschätzbarer wirtschaftlicher Schaden für das betroffene Unternehmen daraus erwachsen kann.

Aktuelle Cyber-Bedrohungsaktivitäten

So wurde beobachtet, dass 2019 das Ausmaß der gezielten und kriminell motivierten Cyber-Erpressungsangriffe insbesondere bei Wirtschaftsunternehmen mittels Ransomware regelrecht eskalierte. Sowohl die Anzahl der Erpressungsszenarien (kurz BGH = „Big Game Hunting“), als auch die Höhe der Lösegeldforderungen durch kriminelle Hackergruppen stiegen weltweit an.

Dabei versorgten die einschlägigen im Untergrund kommerziell tätigen ‘Ransom-as-aService-Entwickler‘ (RaaS), auch „eCrime-Enabler“ genannt, die aktiven Cyber-Erpresser-Gruppen mit immer raffinierterer Ransomware und konnten so ihrerseits ihr Geschäft weiter ausbauen. Entwickler von Malware-as-aService (MaaS) führten Ransomware-Module nach dem Baukastenprinzip ein, was die Handhabbarkeit erleichtert, um so auch den Markt weniger anspruchsvoller Cyber-Krimineller zu bedienen. Monetarisiert wird das operative Geschäft sowohl durch Verkauf, als auch durch Vermietung dieser „Werkzeuge“ an e-Kriminelle. Bankentrojaner wurden zweckentfremdet und nun verstärkt für DaaS-Operationen (Download-as-aService) wiederverwendet, was die Verbreitung von Malware an Dritte unterstützte, und einen enormen Welleneffekt in der gezielten Anwendung von Ransomware (BGH-Erpressungs-Kampagnen) im kriminellen Ökosystem bewirkte. Bei den Malware-Enablern werden Betreiber von Spambots, Download-Diensten sowie Entwickler von kriminellen „Loadern“ unterschieden.

Es ist weiterhin zu beobachten, dass die RaaS- sowie MaaS-Entwickler als Enabler ihre Malware-Produkte im Trend zunehmend durch die gezielte Auswahl ihrer Kundenpartner liefern, um ihr Risiko bei der Geschäftsanbahnung bzw. Rückverfolgung zu minimieren.

Staatlich gesteuerte und geförderte Cyber-Angriffe mit der Absicht der gezielten Wirtschafts-/Industrie-Spionage liegen weiterhin stark im Trend und in der Expansion, und erhöht so die Gefahr des Diebstahls von geistigem Eigentum insbesondere in den Sektoren Gesundheitswesen, Automobilbau, Rüstung, Finanzen, aber auch bei Regierungsorganisationen. China, Russland, Iran und Nordkorea sind hier sehr aktiv.

Der Anteil der leichter bekämpfbaren Malware-Angriffe sank von 60% auf 49% (von 2018 auf 2019), während die schwieriger erkennbaren und damit gefährlicheren Malware-freien Intrusions-Angriffe im gleichen Zeitraum von 40% auf 51% anwuchsen. Nach Regionen betrachtet sind Unternehmen und Institutionen in Nord-Amerika am stärksten gefährdet, gefolgt von Europa und Naher Osten.

Als den wichtigsten Schutzparameter in der Cyberabwehr nennt CrowdStrike die Ausbruchszeit (breakout time), welche den Zeitraum vom Zeitpunkt des Eindringens des Bedrohungsakteurs in eine Netzwerkumgebung misst, bis zu dem Zeitpunkt, wo er sein eigentliches Angriffsziel erreicht bzw. seine Schadhandlung (mittels eingeschleuster Malware) unwiderruflich eingeleitet/umgesetzt hat. Eingerechnet ist somit auch die erforderliche Zeit des Angreifers für „lateral movement“ (verdecktes/unerkanntes, schrittweises Vordringen und Auskundschaften innerhalb des intrudierten Systems). Die Zielsetzungen reichen hierbei von Sabotage-Attacken zur unwiederbringlichen Zerstörung von Daten (unter Verwendung von Wiper-Malware), über gewollte Systemausfälle (z.B. auch durch DDoS-Attacken) zur Herbeiführung von Komplett-Abstürzen z.B. von Unternehmens-Websites bzw. Online-Diensten, bis hin zu gezielter Totalausfall-Sabotage von kritischen Infrastrukturen (wie z.B. Energie-/Wasserversorgung, Telekommunikation). Gerade auch das erfolgreiche und unerkannte Ausschleusen von sensiblen Datenbeständen durch eine zuvor programmierte  Backdoor im intrudierten System (d.h. nach Herstellung von Persistenz), ist ein leider weiterhin sehr reales Bedrohungsszenario.

Daher die klare Botschaft: CrowdStrike ermahnt geradezu jedes Unternehmen, sich in der Cyberabwehr systemisch und organisatorisch so aufzustellen, dass dieses in Stunden gemessene „Breakout-Zeitfenster“ nach den Anforderungen der 1-10-60-Regel geschützt bzw. Angriffsaktivitäten rechtzeitig abgeblockt werden können.

Dies heißt konkret: Erkennen von Bedrohungen innerhalb der ersten Minute, Verstehen der Bedrohungen innerhalb von 10 Minuten und Reaktion innerhalb von 60 Minuten.

Während sich die Ausbruchszeiten bei den eCrime-Intrusionen im Durchschnitt von 4,5h auf 9h erhöhten, sind die Ausbruchszeiten der weitaus gefährlicheren geheimdienstlich bzw. im Staatsauftrag agierenden Angreifer unverändert kurz. Daher ist eine schnelle Reaktionszeit in der Abwehr weiterhin essentiell.

Weitere Trends und TTPs des Jahres 2019 – Ein Auszug

Eine bemerkenswerte Änderung bei den Angriffs-TTPs (Taktiken, Techniken, Prozeduren) für 2019 ist der deutliche Anstieg von „Maskerading“, was sich durch die zunehmende Verwendung des EternalBlue-Exploit erklären lässt. Als Exploit bezeichnet man ein von Hackern genutztes Werkzeug und damit „Schadprogramm“, welches die Sicherheitslücke (Exploit-Gap) in einem Computersystem ausnutzt, um dort einzudringen. Von Maskerading wird gesprochen, wenn der Name oder Ort einer ausführbaren Datei böswillig manipuliert wird, um die Verteidigung zu unterlaufen.

Auch konnte beobachtet werden, dass bereits bekannte, voneinander unabhängige eCrime-Programme so raffiniert weiterentwickelt und miteinander kombiniert wurden, dass daraus unauffällige Programmstrukturen entstanden, die zunächst nicht detektiert werden konnten. Dies zeigt, dass eCrime-Gruppen voneinander lernen und sich durchaus gegenseitig inspirieren.

CrowdStrike verzeichnete einen allgemeinen Anstieg der e-kriminellen Akteure, welche kompromittierte Websites verwenden. So wurden u.a. mehrere schädliche Phishing-Seiten identifiziert, die zur Tarnung als Zielseite von Microsoft Office 365 fungierten. Die meisten dieser Seiten wurden wahrscheinlich auf legitimen Domains gehostet und durch Sicherheitslücken in CMS-Plugins gefährdet.

Im Bereich ‘DNS Tunneling‘ ist die Verwendung des DNS-Protokolls für Befehls- und Kontrollkommunikation (C2) eine nützliche Bedrohungstaktik für den Fall, dass andere gängige Internetprotokolle deaktiviert oder in einem Unternehmensumfeld engmaschig geknüpft sind.

Immer wieder beobachtete CrowdStrike erfolgreiche Eingriffe/Intrusionen in Netzwerkumgebungen, in denen Sicherheitskontrollen/-mechanismen vorhanden waren, welche den Angriff auch erfolgreich hätten abwehren können. Dennoch waren sie vom Unternehmen unzureichend konfiguriert oder aber nicht flächendeckend im Unternehmen bereitgestellt, aktiviert bzw. ausgerollt.

Daher die klare Botschaft: Bringen Sie Ihre Schutzmechanismen vollumfänglich zur Entfaltung und nutzen Sie Ihre Möglichkeiten voll aus, welche Ihre bestehenden Sicherheits-/Kontroll-Systeme bieten.

Angreifer erlangten und benutzten vermehrt gültige Anmeldeinformationen für eine Vielzahl von Cyberangriffs-Szenarien und bestätigen den Trend zu Malware-freien Angriffstechniken. Solange Unternehmen/Organisationen weiterhin grundlegende Benutzer-IDs und Passwörter für die Zugangs-Authentifizierung benutzen und es unternehmensintern an entsprechender Sensibilisierung der eigenen Mitarbeiter hinsichtlich der vielseitigen Möglichkeiten der unbefugten Erlangung von Zugangsmöglichkeiten im Rahmen der „Social-Engineering-Techniken“ gibt, solange wird sich dieser Trend weiter fortsetzen. Phishing-mails und –Links, darunter auch Email-Thread-Hijacking sowie Tandem-Drop, sowie Manipulation von Geschäftsemails sind hier nur ein Teil des eCrime-Repertoires.

Daher die klare Botschaft: Schützen Sie die Benutzer-Identitäten in Ihrem Unternehmen, sensibilisieren Sie Ihre Mitarbeiter durch gezielte Schulungsseminare und binden Sie diese bewusst und aktiv in den Kampf ein.

Haben wir Ihr Interesse geweckt? Haben Sie weitergehende Fragen oder Sorgen? Zögern Sie nicht und nehmen Sie einfach mit uns Kontakt auf. Wir helfen Ihnen gerne und beraten Sie zielgerichtet.

/von

Auflösung des Betriebs­rates durch Verstoß gegen den Datenschutz

Das Arbeitsgericht Iserlohn entschied (Beschluss 2BV 5/19 vom 14.01.2020), dass Verstöße gegen die Datenschutzgrundverordnung (DSGVO) zur Auflösung des Betriebsrates führen können.

Quelle https://openjur.de/u/2240137.html

Verfahrensinhalt

Zwei Unternehmen, welche in der Automobilzuliefererbranche über einen Gemeinschaftsbetrieb miteinander verbunden waren, bemühten sich eine Tochtergesellschaft zu restrukturieren. Das Scheitern der verschiedenen Versuche führte zur Schließung der betreffenden Standorte der Tochtergesellschaft. Die daraus folgenden betriebsbedingten Kündigungen sämtlicher Arbeitnehmer/-innen führte zu einem Konflikt, welcher durch den Betriebsrat begleitet wurde. Der Betriebsratsvorsitzende versandte daraufhin eine E-Mail an eine Kanzlei für gewerkschaftlichen Rechtsschutz, sowie an andere Kanzleien. Der anhängige Link zu einem Ordner in einer Cloud bestand aus einer großen Datenmenge betriebsinterner Unterlagen, mit mehr als 150 MB (dies entspricht ca. 921 Seiten), [wie z.B. Abschriften von E-Mails, Schriftsätze, Kalenderauszüge, behördlichen Bescheide, Rechnungen Konzeptzeichnungen, Urlaubsanträge, Vertragstexte Präsentationen, Produktlinienkonzepte Bedarfsanforderungen, Lieferantenterminpläne, “Business Acquisation Planning”, tabellarische Auflistungen von Kundenanfragen hinsichtlich zu produzierender Teile u.a.] Diese Daten wurden durch den Empfänger im Kündigungsschutzverfahren genutzt. Der Konzern als Arbeitgeber begehrte daraufhin die Auflösung des Betriebsrats seines Gemeinschaftsbetriebes/ Tochtergesellschaft und hilfsweise den Ausschluss des Betriebsratsvorsitzenden.

Die Entscheidung des Arbeitsgerichtes Iserlohn

Die Übermittlung der Daten in diesem Größenumfang wurde durch das Arbeitsgericht Iserlohn gemäß § 23 Abs. 1 Betriebsverfassungsgesetz (BetrVG) als eine grobe Pflichtverletzung des Betriebsrates bewertet. Es wurde dem Antrag, zur Auflösung des Betriebsrates, durch die Arbeitgeberinnen stattgegeben. Neben der Vertrauensstellung des Betriebsrates wurden durch das Arbeitsgericht Iserlohn auch die Verstöße gegen die Datenschutzbestimmungen mit einbezogen. Verletzt wurde durch die massive Überschreitung der Kompetenzen der § 1 BetrVG.

Das Gericht setzte ein systematisches Vorgehen bei der Sammlung der Menge an Daten voraus, wodurch eine vertrauensvolle Zusammenarbeit, begründet durch eine konkrete Wiederholungsgefahr, zwischen Betriebsrat und Arbeitgeberinnen nicht mehr gegeben sei.

Ebenfalls kam das Arbeitsgericht zu dem Schluss, dass eine Rechtsgrundlage zur Datenverarbeitung nach Art. 6 DSGVO mit dem Zwecke der Weitergabe an Dritte ebenso wenig vorlag, wie aus § 26 Abs. 1 BDSG, da aufgrund mangelnder betriebsverfassungsrechtlicher Kompetenzen des Betriebsrats die Erforderlichkeit zur Übermittlung nicht gegeben ist. Der Einwand des Betriebsrates, dass dieser die Daten an Prozessbevollmächtigte übermittelt habe, welche der beruflichen Schweigepflicht unterliegen, wies das Gericht ab. Das Arbeitsgericht begründet die Ablehnung wie folgt: Die Beschäftigten einer gewerkschaftlichen Rechtsschutz GmbH unterliegen keiner anwaltlichen Schweigepflicht. Die E-Mails waren nicht persönlich an einen Ansprechpartner gerichtet, sondern lediglich allgemein an die jeweilige Anwaltskanzlei adressiert. Der Link zum Download der Dokumente war nicht Passwort-geschützt, was einen weiteren groben Verstoß darstellte. Die Daten hätten an unbeteiligte Dritte gelangen können und sind somit keinem überschaubaren Empfängerkreis zur Verfügung gestellt worden. Durch das Fehlen einer betriebsverfassungsrechtlichen Grundlage für die Datenübermittlung nimmt das Arbeitsgericht einen Verstoß gegen die Datenschutzgrundverordnung an. Der Betriebsrat könne für die Datenverarbeitung keine Rechtsgrundlage benennen. Aufgrund der mangelnden Einsicht des Betriebsrates, geht das Arbeitsgericht Iserlohn davon aus, dass der Betriebsrat sensible Daten der Arbeitgeberinnen erneut einem unüberschaubaren Personenkreis zur Verfügung stellte.

 

Auch ein Betriebsrat muss datenschutzrechtliche Bestimmungen beachten. Allein die Tatsache, dass er sich als Interessenvertretung für Arbeitnehmer/ -innen versteht, bedeutet nicht, dass er eine Legitimation zur Verarbeitung von Beschäftigtendaten hat.  Auch der Betriebsrat muss darstellen, wie und unter welchen Voraussetzungen er Beschäftigtendaten nutzt und welche Sicherheitsvorkehrungen zum Schutze der Daten er trifft.

Die Grundsätze des Datenschutzrechts sind für jedermann im Umgang mit personenbezogenen Daten bindend, egal ob mit Daten von Beschäftigten aber ebenso mit denen von Kunden. Für die methodische Sammlung, Analyse sowie Übermittlung von sensiblen Daten, in diesem Fall waren es die betriebsinternen Dokumente, hat auch das Betriebsverfassungsrecht enge Grenzen abgesteckt.

/von

Über die Not­wendig­keit einer unter­nehmens­internen IT-Audit Checkliste

Wenn Sie eine IT-Audit-Checkliste erstellen, erstellen Sie ein System zur Bewertung der Nachhaltigkeit der Informationstechnologie-Infrastruktur Ihres Unternehmens. Sie prüfen ihre IT-Richtlinien, -Verfahren und betrieblichen Abläufe. Es ist wichtig zu verstehen, wo Sie sich gerade befinden, wo Ihre Stärken liegen und welche Schwächen Sie haben, denn dies dient der Ermittlung der Wachstumschancen des Unternehmens. Ein IT-Audit kann dabei helfen, potenzielle Sicherheitsrisiken zu identifizieren und ihre Software und Hardware neu zu bewerten.

Unternehmen sind dafür verantwortlich, ihre informationstechnischen Verfahren regelmäßig zu überprüfen. Dieser Prozess trägt zum Schutz der Kunden, Lieferanten, Aktionäre und Mitarbeiter bei. Mit einer vorhandenen IT-Audit-Checkliste können Unternehmen vierteljährlich oder jährlich eine umfassende Risikobewertung durchführen. Diese Bewertung kann verwendet werden, um einen jährlichen Prüfungsplan zu erstellen, der alle wesentlichen Bereiche eines Unternehmens über einen gewissen Zeitraum abdeckt. Dabei sollten auch strategische, in die Zukunft gerichtete Aspekte mit berücksichtigt werden.

Die Checkliste für die IT-Bewertung kann von Netzwerkfehlern bis hin zu unzureichenden Datenflüssen, Protokollierung ungenauer Informationen, die möglicherweise die Daten des Unternehmens gefährden könnten, enthalten. Ein weiterer Vorteil einer IT-Audit-Checkliste besteht darin, dass sie eine Richtlinie für Ihre Mitarbeiter darstellt. Wenn Mitarbeiter verstehen, was zum Schutz von Daten erforderlich ist und auf welche Bereiche sie sich konzentrieren müssen, können sie potenzielle Risiken oder Schwächen proaktiv identifizieren. Sobald sie identifiziert sind, ist es einfacher, einen Plan zu erstellen, um etwaige prozessuale Fehler zu beheben. Des Weiteren besteht die Möglichkeit Mitarbeiter mit einer internen IT Audit Checkliste auf interne oder externe Audits vorzubereiten. Somit wird Transparenz geschafft und Weichen für eine reibungslosen Ablaufs einer Auditierung werden gestellt.

Wenn Sie bereits über eine IT-Audit-Checkliste verfügen, fragen Sie sich möglicherweise, ob diese noch wirksam ist. Die heutige Technologie entwickelt sich jedoch rasant weiter, dabei müssen ältere Prüfungsverfahren aktualisiert werden. Um dem gerecht zu werden, muss entschieden werden, welche Prioritäten im IT-Management gesetzt werden. Eine IT-Audit Checkliste kann als Leitfaden dienen. Dabei werden auf Basis vergangener Audits Aktualisierungen in der Checkliste vorgenommen, welche das Potential haben, neue Schwachstellen oder neue Problembereiche zu identifizieren.

Wenn Ihr Unternehmen beispielsweise expandiert, erwägen Sie möglicherweise den Kauf zusätzlicher Hardware und gewähren neuen Mitarbeitern Zugriff auf vertrauliche Informationen. Diese Art der Erweiterung erfordert einen genauen Blick auf Ihre IT-Abläufe und -Prozesse. Prozessbegleitend aktualisieren Sie ihre IT-Audit-Checkliste aktualisieren, um sicherzustellen, dass Sie Ihre neuen und aktualisierten Verfahren und Prozesse nicht aus den Augen verlieren.

Viele Unternehmen wachsen so schnell, dass sie mit der Dokumentation der IT-Prozesse und -verfahren nicht mehr hinterherkommen und die Gefahr besteht, dass Abläufe unterschiedlich gehandhabt werden und sich darin Risiken verstecken Für Ihre Unternehmensinterne IT-Audit-Checklisten bedeutet das, dass möglicherweise nicht die IT-Realität des Unternehmens widerspiegelt wird.

Ein Teil der Aktualisierung Ihrer IT-Audit-Checkliste besteht darin, die aktuellen Risiken für Ihr Unternehmen zu identifizieren, Prozesse und Verfahren zu erstellen, um diese zu beheben, und dann alle diese Informationen in die IT-Audit-Checkliste aufzunehmen. Möglicherweise ist sich das Management nicht sicher, welchen neuen Risiken das Unternehmen ausgesetzt ist. Um unerkannte Risiken zu minimieren kann mit Hilfe von Fachexperten aus dem IT-Umfeld oder IT-Auditoren entgegengewirkt werden, um die aktuelle technologische Situation zu bewerten und die potenziellen Risiken zu ermitteln. Weil einige Risiken branchenunabhängig sind, haben viele Unternehmen auch ähnliche gelagerte Risiken.

Beispiele branchenunabhängiger IT-Risiken:

  • Markenschutz, Compliance Verstöße, Vertraulichkeitsverletzungen
  • Informationssicherheitslücken
  • Datenverlust aufgrund steigender Anzahl mobiler Geräte
  • Daten-Diebstahl, Produktivitätsverlust, Hardwareschäden und Kosten aufgrund zunehmender Malware-Epidemien
  • Datenmanagement Systeme (DMS) und Cloud Computing
  • Datenverlust und Compliance-Verstöße verursacht durch elektronische Archivierung

Es gibt also mehrere gute Gründe eine IT-Audit-Checkliste auf dem neuesten Stand zu halten und IT-Prozesse und Verfahrensdokumentationen konsequent zu überprüfen und zu verbessern.

Eine sich ständig ändernde IT-Technologie kann aus verschiedenen Gründen gefährdet sein. Hinzu kommt, dass sich Hacker und Cybersicherheitsbedrohungen ständig weiterentwickeln. Wenn Sie eine IT-Audit-Checkliste erstellen, setzen Sie sich proaktiv mit der Realität der heutigen IT-Welt auseinander und leisten Ihren Beitrag zum Schutz Ihres Unternehmens. Die Checkliste verdeutlicht die zu überprüfenden Bereiche, in denen Dokumente der Prozesse und Verfahren fehlen oder in denen sie möglicherweise überhaupt nicht vorhanden sind. Das Wachstum Ihres Unternehmens kann zu zusätzlichen IT-Risiken führen, die Sie in der Vergangenheit möglicherweise nicht hatten. Mithilfe Ihrer Checkliste können Sie potenzielle Probleme identifizieren und den Schutz einrichten, bevor ein Problem tatsächlich auftritt. Zu viele Unternehmen haben keine regelmäßige konsistente Überprüfung, was bedeutet, dass sie sich potenziellen Risiken in Hinblick auf die Cybersicherheit aussetzen.

Leider verfügt nicht jedes Unternehmen über eine IT-Abteilung. Dies bedeutet, dass externe Unterstützung erforderlich ist, um eine IT-Audit-Checkliste effektiv zu erstellen. Im Grunde genommen wird eine interne Revision durch externe Mitarbeiter gestellt.  Auch Start-Ups stehen oftmals nach geraumer Zeit vor dem Problem, die Prozesse und Abläufe dahingehend zu schärfen, dass die Compliance eingehalten wird.

Wir von Independent Consulting + Audit Professionals GmbH haben die Expertise Ihr Unternehmen revisionssicher zu gestalten. Wir helfen Ihnen dabei Ihre IT Audit-Checkliste zu erstellen, ihre Mitarbeiter auf die IT-Prüfungen vorzubereiten, damit diese effektiv und effizient durchgeführt werden können. Wir helfen Ihnen IT-Risiken zu identifizieren und zu bewerten, um sie dann auch proaktiv anzugehen, bevor Hacker und Cybersicherheitsbedrohungen Ihr Unternehmen schädigen.

/von

Neues Daten­schutz­gesetz geplant? – TTDSG Entwurf aufgetaucht!

Ein neuer Leak im Umlauf: Die Bundesregierung plant ein neues „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der elektronischen Kommunikation und bei Telemedien sowie zur Änderung des Telekommunikationsgesetzes, des Telemediengesetzes und weiterer Gesetze“ (TTDSG). Dieses neue Gesetz des Bundeswirtschaftsministeriums (BMWi) soll zukünftig im Bereich der Telemedien und der Telekommunikation für Rechtssicherheit sorgen. Es existieren noch verschiedene Gesetze ( DSGVO, TMG und TKG) nebeneinander. Es soll eine Bündelung des Datenschutzes mit dem TTDSG erfolgen. Ein noch nicht veröffentlichter Referentenentwurf (https://www.heise.de/downloads/18/2/9/4/6/4/2/1/20200731_RefE_TTDSG_cleaned.pdf) liegt bereits vor.

Im Ziel des Gesetzes ist die Rechtsklarheit für alle betroffenen Parteien benannt. Mit dem Gesetzentwurf soll eine geschlossene und von den Bestimmungen des Telemediengesetzes und des Telekommunikationsgesetzes getrennte gesetzliche Reglung zum Datenschutz und zum Schutz der Privatsphäre geschaffen werden Dabei sollen zugleich die erforderlichen Anpassungen an die DSGVO erfolgen.“

Ein wichtiger Hinweis: „Die in Deutschland insbesondere in Hinblick auf das Setzen von Cookies umstrittene Frage der Umsetzung von Artikel 5 Absatz 3 der E-Privacy-Richtlinie soll mit diesem Gesetzentwurf geklärt werden.“

Der Geltungsbereich des neuen Gesetzes wird u.a. im

§1 des geplanten Gesetzestextes definiert, Zitat: Dieses Gesetz regelt den Schutz personenbezogener Daten der Endnutzer von elektronischer Kommunikation bei der Erhebung und Verwendung dieser Daten durch Unternehmen und Personen, die geschäftsmäßig elektronische Kommunikationsdienste in öffentlichen elektronischen Kommunikationsnetzen betreiben, einschließlich öffentlicher elektronischer Kommunikationsnetze, die Datenerfassungs- und Identifizierungsgeräte unterstützen, erbringen oder anderen Erbringung mitwirken, und von Telemedien.“

§3 trifft Regelungen zu Personal Information- Management-Services (PIMS)

Dies umfasst z.B. Arbeitszeiterfassungssysteme, welche lt. Entwurf PIMS in der Nutzung freiwillig sein müssen. Kein Dienstanbieter darf laut Entwurf einen Nutzer dazu zwingen, ein PIMS zu verwenden.

§9 geht bei „Einwilligung bei Endeinrichtungen“ auch auf Cookies ein.

Dort heißt es, dass es unter drei Bedingungen eine Ausnahme zur Einwilligungspflicht geben soll. Wenn es,

  1. „technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln (…)“
  2. „vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen“
  3. „zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.“

 

Die Aufsicht ist neu geregelt: Der Gesetzentwurf bereinigt die Regelungen des Telemediengesetz (TMG) um diejenigen Bestimmungen, die aufgrund des Vorranges der DSGVO nicht mehr anwendbar sind.

Einheitliche Zuständigkeit für den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDi) ist nun geplant. Der BfDi soll in diesem Bereich zukünftig die Aufsicht über den gesamten Schutz der personenbezogenen Daten übernehmen. Damit ist z.B. die BNetzA für das Abhörverbot und die Einhaltung von Informationspflichten unbeteiligt.

Bußgelder werden an die DSGVO angeglichen.

Es ist ein zeitnahes Inkrafttreten ohne Übergangsfristen geplant.

 

Gez. M. Reichenbacher

/von

Europa-rechtswidrige Verarbeitung personen­bezogener Gesundheits­daten als Folge des Patienten­daten-Schutz-Gesetzes (PDSG)

In einer Pressemitteilung vom 19.08.2020 positioniert sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDi) Professor Ulrich Kelber zum PDSG und deren Anwendungsfolgen.

Zitat: ”Die Nutzerinnen und Nutzer werden in Bezug auf die von den Leistungserbringern in der ePA (elektronische Patientenakte) gespeicherten Daten zu einem „Alles oder Nichts“ gezwungen. Jede Person, der die Versicherten Einsicht in diese Daten gewähren, kann alle dort enthaltenen Informationen einsehen.” Zitat Ende.

Das vollständige Positionspapier finden sie auf der Internetseite des BfDi:

https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/20_BfDI-zu-PDSG.html

 

Gez. M. Reichenbacher

/von