Datenschutz News 14.08.2020

Deutschland: Bundesbehörden veröffentlichen Entwurf eines Katalogs von Anforderungen an die Sicherheit von Telekommunikationsnetzen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gab am 11. August 2020 bekannt, dass die Bundesnetzagentur (BNetzA) den Entwurf eines Katalogs der Sicherheitsanforderungen an den Betrieb von Telekommunikations- und Datenverarbeitungssystemen veröffentlicht hat, der in Zusammenarbeit mit dem BSI und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) erarbeitet wurde. Insbesondere stellte das BSI fest, dass der Katalogentwurf Anforderungen an den Aufbau moderner, starker und sicherer 5G-Netze und deren Betrieb enthält. Darüber hinaus gab das BSI bekannt, dass der Katalogentwurf der Europäischen Kommission vorgelegt wurde und vorbehaltlich seiner Zertifizierung auch in englischer Sprache veröffentlicht werden wird. Darüber hinaus forderte die BNetzA zur Stellungnahme zu ihrem Entwurf einer Liste der kritischen Funktionen von Telekommunikationsnetzen auf. Zu den kritischen Funktionen, die bereits im Entwurf der Liste enthalten sind, gehören u.a. das Beteiligungsmanagement, die Netzdienste, das Informationsflussmanagement und die rechtmäßige Überwachung.

Bsi.bund.de, 11.08.2020

Polen: UODO befasst sich mit Videoüberwachung am Arbeitsplatz, betont Informationspflicht und Zweckbindung

Die polnische Datenschutzbehörde (UODO) gab am 12. August 2020 eine Erklärung zur Videoüberwachung am Arbeitsplatz ab. Insbesondere stellte die UODO fest, dass die Videoüberwachung sowohl durch das Arbeitsgesetzbuch als auch durch die allgemeine Datenschutzverordnung geregelt ist. Darüber hinaus betont die UODO unter anderem, dass der Arbeitgeber über den Zweck der Videoüberwachung entscheiden und sie auf das Notwendige beschränken, die Arbeitnehmer darüber informieren sollte, welche Bereiche von der Überwachung erfasst werden und wer infolgedessen überwacht werden kann, sowie der Informationspflicht gemäß Artikel 13 des GDPR nachkommen sollte. Darüber hinaus betonte die UODO, dass Videoüberwachung keinen Ton aufzeichnen sollte, da der Einsatz von Tonaufzeichnungskameras in Fällen, die nicht gesetzlich geregelt sind, als Verletzung der Privatsphäre und als unnötige Form der Datenverarbeitung angesehen werden kann, die zivil- und strafrechtliche Haftung nach sich ziehen kann. Darüber hinaus stellte die UODO fest, dass die Überwachung von sanitären Einrichtungen der vorherigen Zustimmung der Gewerkschaft bedarf, und wenn der Arbeitgeber keine Gewerkschaft hat, der vorherigen Zustimmung der Arbeitnehmervertreter, die auf die vom Arbeitgeber gewählte Weise gewählt werden. Schließlich wies die UODO auf die Verpflichtung des Arbeitgebers gemäß Artikel 15 des GDPR hin, den Arbeitnehmern die Videoaufzeichnungen zur Verfügung zu stellen, wenn sie dies wünschen.

Uodo.gov.pl, 12.08.2020

Japan: Mitsubishi verkündet Datenschutzverletzungen, welche durch Malware in der Remote Arbeit verursacht werden

Am 07. August veröffentlichte Mitsubishi Heavy Industries Ltd. eine Mitteilung, in der sie darüber informierte, dass das Netzwerk der Nagoya-Gruppe, das von den Mitarbeitern bei der Arbeit von zu Hause aus genutzt wird, durch unautorisierte Malware Dritter und böswilliges Social Engineering infiltriert wurde. Insbesondere schloss Mitsubishi eine Untersuchung ab und stellte fest, dass im Mai 2020 ein Angestellter die Malware heruntergeladen hatte, wodurch hauptsächlich IT-bezogene Daten sowie die Namen und E-Mails von Angestellten, die das Netzwerk der Nagoya-Gruppe nutzten, durchgesickert waren. Darüber hinaus bestätigte Mitsubishi, dass es im Anschluss an die Untersuchung unternehmensweite Warnungen herausgegeben und Gegenmaßnahmen wie die Nutzung von VPNs über interne Netzwerke und neue Passwortanforderungen für Administratorkonten im Netzwerk eingeführt habe.

Mhi.com/jp, 07.08.2020

Deutschland: Brandenburger LDA findet übermäßige Datenerhebungspraktiken für die Kontaktverfolgung in der Gastronomie

Der Landesbeauftragte für Datenschutz und Informationszugang Brandenburg veröffentlichte am 11. August 2020 eine Studie über den Umgang der Brandenburger Gastronomie mit den Daten ihrer Gäste, die sie während der COVID-19-Pandemie zu erheben verpflichtet ist. Die brandenburgische LDA gab insbesondere an, dass sie 54 Restaurants untersucht und festgestellt habe, dass in 30 Gastronomiebetrieben eine übermäßige Anzahl von Datenkategorien erfasst wurde. Darüber hinaus stellte die LDA Brandenburg fest, dass häufig nach der Adresse von Besuchern gefragt wurde, die nach der geltenden Gesetzgebung nicht mehr erforderlich ist, und dass viele Restaurants nicht erkannten, dass nur eine der Telefonnummern und E-Mail-Adressen der Besucher angegeben werden sollte. Darüber hinaus stellte die LDA Brandenburg fest, dass 36 Cafés und Restaurants die Löschfristen nicht einhielten, dass 16 von ihnen keine Daten gelöscht hatten und dass die vertrauliche Behandlung von Gastdaten nicht immer gewährleistet war. Darüber hinaus gab die LDA Brandenburg an, dass sie bei ihren Gesprächen den Eindruck hatte, dass oft Unsicherheit darüber herrschte, wie mit den Daten umgegangen werden sollte. Schließlich hob die LDA Brandenburg hervor, dass Restaurants nach der geltenden Gesetzgebung unter anderem die Kontaktdaten ihrer Gäste in einer Anwesenheitsliste aufzeichnen müssen, dass aber der Vor- und Nachname sowie die Telefonnummer oder E-Mail-Adresse der betreffenden Person ausreichen. Darüber hinaus hob das LDA Brandenburg hervor, dass die Daten vertraulich behandelt und nach vier Wochen gelöscht werden müssen.

Landesbeauftragter für Datenschutz und Akteneinsicht, 11.08.2020

USA: FPI und UMMC benachrichtigen OCR über Datenverletzung bei 33.896 Patienten

Die University of Maryland Faculty Physicians, Inc. (FPI) und das University of Maryland Medical Center (UMMC) informierten am 24. Juli 2020 das Büro für Bürgerrechte (OCR) des US-Gesundheitsministeriums über eine Datenverletzung, die 33.896 Patienten betraf und die das OCR nun untersucht. Insbesondere stellten das FPI und das UMMC fest, dass sie den unbefugten Zugriff auf ein E-Mail-Konto des FPI entdeckt hatten, das identifizierbare persönliche und/oder geschützte Gesundheitsinformationen bestimmter Patienten enthielt, darunter Name, Geburtsdatum, für interne Zwecke verwendete Nummer der Krankenakte, klinische Informationen über die erhaltene Behandlung sowie die Sozialversicherungsnummern einer begrenzten Anzahl von Personen. Darüber hinaus erklärten die FPI und die UMMC, dass sie keinen Hinweis darauf haben, dass persönliche Informationen missbräuchlich verwendet wurden, betonten jedoch, dass sie die betroffenen Personen benachrichtigt haben und ihre E-Mail-Richtlinien und -Verfahren überprüfen, um die Sicherheit zu erhöhen.

Ocrportal.hhs.gov, 11.08.2020

USA: Gericht erteilt endgültige Genehmigung im Rechtsstreit um Verletzung der Datensicherheit von Yahoo-Kunden

Der United States District Court Northern District of California San Jose Division erteilte am 22. Juli 2020 die endgültige Genehmigung für den Vergleich der Sammelklage von Yahoo! Inc. über die Verletzung der Datensicherheit des Unternehmens im Jahr 2016. Insbesondere sprach die Anordnung den Vertretern der Sammelklägergruppe, die die Klage im Namen der Sammelklägergruppe eingereicht hatten, Anwaltshonorare, Kosten, Ausgaben und Dienstleistungspreise zu. Der endgültig genehmigte Vergleich belief sich auf insgesamt 117,5 Millionen US-Dollar und die Vergleichsgröße der Sammelklägergruppe auf etwa 195 Millionen Einzelpersonen.

Yahoodatabreachsettlement.com, 10.08.2020

Verwandte Beiträge