Cisco-Geräte sind potenziellen Denial-of-Service (DoS)-Angriffen ausgesetzt, insbesondere Modelle aus den Firepower- und Nexus-Reihen.
Cisco-Geräte sind potenziellen Denial-of-Service (DoS)-Angriffen ausgesetzt, insbesondere Modelle aus den Firepower- und Nexus-Reihen.
Google hat ein bedeutendes Update für seinen Webbrowser Chrome veröffentlicht, das insgesamt fünf Sicherheitslücken adressiert. Von diesen Lücken wurden vier als besonders riskant und eine als mäßige Bedrohung eingestuft.
TLS steht für Transport Layer Security und ist als Nachfolger von SSL die Basis für sichere, verschlüsselte Kommunikation in vielen Internetprotokollen die jeder Internetbenutzer jeden Tag benutzt.
Der allmonatliche Microsoft Patchtag bietet im August 2023 insgesamt 87 Patches gegen umfangreiche Sicherheitslücken (121 Stück) in Windows und weiteren Microsoft-Produkten, von denen 6 als kritisch eingestuft wurden.
IT-Netzwerke sind omnipräsent und das Zentrum jeder IT-Landschaft. Auf keinen Fall alle IT-Netzwerke sind jedoch vergleichbar. Abhängig von Größe, Reichweite oder Übertragungsart werden sie gewissen Netzwerkdimensionen zugewiesen.
Wir freuen uns über die Verfügbarkeit der Sophos WLAN Access Point aus der Reihe AP6 ab Mitte August 2023!
Am vergangenen Mittwoch wurde von Sophos ein Sicherheitspatch freigegeben, mit dem die Sicherheitslücken CVE-2023-021 und CVE-2023-0286 geschlossen werden.
Am 12.05.2023 wurde das neue Hinweisgeberschschutzgesetz (HinSchG) vom Bundesrat bestätigt. Es wird Mitte Juni 2023 in Kraft treten und setzt hohe Anforderungen an Unternehmen. Die Fristen für die Umsetzung sind eng, und die Bußgelder für die Nichtumsetzung sind hoch.
Einschätzung zur Nutzung von Mailchimp beim Versand von Newslettern
Mailchimp ist eine cloudbasierte Plattform zum Management und Versand von Newslettern. Der Anbieter der Plattform ist das US-amerikanische Unternehmen Rocket Science Group LLC mit Sitz in Atlanta, GA. Der korrekte Name der Plattform ist, seit der Übernahme im Jahr 2021, „Intuit Mailchimp“.
Als Datenschutzbeauftragte raten wir aus aktueller Sicht von der Nutzung dieser Plattform ab und begründen das im Folgenden. Sollten Sie trotzdem nicht auf das Tool verzichten wollen, stellen wir im Anschluss dar, wie zumindest versucht werden kann, den Einsatz abzusichern und zu rechtfertigen, aber mit hohem Risiko.
Wir erstellen diese Information, damit Sie verstehen, dass wir als Ihr Berater in einem Dilemma zwischen rechtlich einwandfreier Würdigung auf der einen Seite und praktisch nutzbarer Lösung sind
Hintergrund:
Die Nutzung von Mailchimp wird in Deutschland, aber auch im gesamten räumlichen Anwendungsbereich der Datenschutzgrundverordnung (DSGVO), kritisch betrachtet, da der Einsatz nach Ansicht der Aufsichtsbehörden nicht datenschutzkonform möglich sei. Grundlage der Kritik ist vor allem die Datenübertragung von personenbezogenen Daten in die USA vor dem Hintergrund der diesbezüglichen Entscheidung des Europäischen Gerichtshofs vom Juli 2020:
Der EuGH hat im sogenannten Schrems II Urteil des Europäischen Gerichtshofs (EuGH, (Rechtssache C 311/18 vom 16.07.2020) im Jahr 2020 entschieden, dass personenbezogene Daten von EU-Bürgern in die USA nur dann übermittelt werden dürfen, wenn ein angemessenes Datenschutzniveau gewährleistet ist. Da Mailchimp, ein US-amerikanisches Unternehmen, personenbezogene Daten von EU-Bürgern verarbeitet und speichert, ist es fraglich, ob der Einsatz von Mailchimp datenschutzkonform möglich ist.
Der EuGH hat festgestellt, dass die EU-Standardvertragsklauseln, die häufig von Unternehmen wie Mailchimp verwendet werden, um die Übermittlung personenbezogener Daten in die USA abzusichern, nicht ausreichend sind, um ein angemessenes Datenschutzniveau zu gewährleisten. Das liegt daran, dass US-amerikanische Behörden unter Umständen Zugang zu diesen Daten haben und diese auf eine Weise nutzen können, die nicht mit den Datenschutzstandards der EU vereinbar ist.
Aus diesem Grund müssen Unternehmen, die personenbezogene Daten von EU-Bürgern in die USA übermitteln möchten, zusätzliche Maßnahmen ergreifen, um ein angemessenes Datenschutzniveau zu gewährleisten. Beispielsweise könnten Unternehmen versuchen, die Schutzmaßnahmen zu bewerten, eine Einwilligung der betroffenen Personen einzuholen oder auf alternative Dienstleister zurückgreifen, die ihren Sitz innerhalb der EU haben und somit den europäischen Datenschutzstandards entsprechen.
In Anbetracht dieser Tatsachen besteht das Risiko, dass der Einsatz von Mailchimp nicht datenschutzkonform ist, wenn ein Unternehmen durch die Nutzung des Tools personenbezogene Daten von EU-Bürgern in die USA übermittelt und keine zusätzlichen Maßnahmen ergriffen hat, um ein angemessenes Datenschutzniveau zu gewährleisten.
Was könnte passieren, wenn man Mailchimp trotzdem nutzt?
Grundsätzlich gibt es zwei Risiken
Wenn ein Unternehmen trotz des kritischen Transfers personenbezogener Daten in die USA Mailchimp nutzt, kann es sich einer Verwarnung oder einem Bußgeld durch die Datenschutzbehörden in der EU ausgesetzt sehen. Die Höhe eines Bußgelds hängt von verschiedenen Faktoren ab, wie z.B. der Schwere der Verstöße, der Art und Menge der betroffenen Daten, der Dauer der Verstöße und der Größe des betroffenen Unternehmens.
Bisher gab es keine Geldbußen für Unternehmen, die Mailchimp eingesetzt haben. Gleichwohl hat die bayrische Datenschutzaufsicht BayLDA einem Unternehmen die weitere Nutzung von Mailchimp unter Androhung eines Bußgeldes untersagt. Das kann auch einen hohen finanziellen Schaden verursachen, wenn aufwändige Kampagnen auf einmal nicht mehr nutzbar sind und auf eine andere Plattform umgestellt werden müssen.
Die Kritik der bayrischen Aufsichtbehörde hat sich vorerst nur auf die fehlende Abwägung des als Rechtsgrundlage angeführten berechtigten Interesses bezogen. In diesem Sinne könnte vermutet werden, dass man durch ausführliche Abwägung zugunsten des Unternehmens einer Sanktion aus dem Wege geht. Ob dem tatsächlich so wäre, ist zu bezweifeln.
Darüber hinaus können betroffene Personen auch Schadensersatzansprüche geltend machen, wenn ihre Rechte aufgrund der Datenübertragung Ihrer Daten in die USA durch die Verwendung von Mailchimp verletzt wurden. Dies kann zu erheblichen finanziellen Verpflichtungen für das Unternehmen führen.
Dieses Vorgehen nutzen aktuell mehrere deutsche Anwaltskanzleien aus, um im Namen Ihrer Mandantschaft massenhaft Auskunftsansprüche geltend zu machen, die dann im Nachgang, je nach Ergebnis, durch Schadensersatzansprüchen aufgrund der Datenübermittlung in ein unsicheres Drittland erweitert werden. Auch kommt es zur Forderung von Unterlassungserklärungen.
Auch wenn diese Art der Forderungen im genannten Zusammenhang strittig und ggfs. rechtsmissbräuchlich sind, ist ein Unternehmen sehr wohl verpflichtet, die Auskunftsansprüche zu erfüllen und sich außerdem ggfs. gegen weitere Forderungen wie Schadensersatz oder Unterlassung zu wehren. Da diese Anfechtungen immer nur mit anwaltlicher Hilfe durchgeführt werden sollten, entsteht so zumindest ein hoher zeitlicher und finanzieller Aufwand, auch wenn damit die eigentlichen Forderungen abgewendet würden.
Unsere Einschätzung
Wir empfehlen nach wie vor dringend, auf die Nutzung von Mailchimp zu verzichten, bis eine neue Regelung zur Übertragung von Daten in die USA in Kraft tritt und damit eine sichere Grundlage für den Transfer geschaffen wird.Das könnte z.B. ein Nachfolgeinstrument des Privacy Shield sein oder ein Angemessenheitsbeschluß der EU-Kommission im Sinne des Art. 45 DSGVO. Aufgrund der sich ständig ändernden Einschätzungen der deutschen Aufsichtsbehörden sehen wir ein hohes Risiko, vor allem durch Beschwerden von Betroffenen in den Fokus einer Prüfung zu geraten, die dann ggfs. nicht nur Unzulänglichkeiten beim Newsletterversand zu Tage fördern könnte.
Darüber hinaus schätzen wir die Gefahr einer Schadensersatzforderung im Rahmen einer zwar rechtsmissbräuchlichen, aber zunächst Arbeit erzeugenden sog. „Abmahnkampagne“ als hoch ein. Auch wenn abzuwarten bleibt, ob Aufsichtsbehörden und Gerichte einer solchen Forderung folgen würden, erzeugt sie im zunächst Aufwand und Kosten
Was tun?
Es gibt ausreichend europäische Newsletter-Tools, die datenschutzkonformes Versenden von Newslettern ermöglichen. Es gibt aus unserer Sicht keinen Grund (außer Gewohnheit oder Nachlässigkeit), nicht auf diese Möglichkeiten auszuweichen. Lassen Sie sich beraten.
Was, wenn Sie nicht auf uns hören möchten?
Wer trotz unserer Warnungen dennoch an Mailchimp oder einer anderen Lösung festhalten möchte, die Daten in unsichere Drittländer wie die USA überträgt, dem empfehlen wir zumindest folgende Maßnahmen, um die größten Fallstricke zu vermeiden:
Haben Sie weitere Fragen? Rufen Sie uns an oder schreiben Sie uns:
Unsere Datenschutzexperten beraten Sie gerne.
Handies von Samsung und Google sind aktuell gefährdet, ein Angreifer benötigt lediglich die Telefonnummer seines Opfers.
In den letzten Tagen wurde eine kritische Sicherheitslücke in Microsoft Outlook entdeckt, welche alle Versionen von Microsoft Outlook betrifft und es einem Angreifer ermöglicht, die Kontrolle über das betroffene System zu übernehmen.
Für Sophos Connect, den kostenfreien VPN-Client von Sophos für SSLVPN und IPsec zum Zugriff auf Sophos Firewalls, wurde ein Update herausgegeben - wir empfehlen den sofortigen Download!
Eine besonders relevante Mitteilung für sämtliche Nutzer von Office 2016 oder 2019: Ab Oktober nächsten Jahres existiert bloß noch beschränkter Zugang auf Microsoft 365 aus Office-Anwendungen heraus! Für Nutzer von Office 2013, 2016 und 2019 bedeutet das somit Handlungsbedarf.
Liebe Kunden und Freunde,
wir sind freudig überrascht, dass wir für die Service Provider Awards 2023 nominiert wurden! Damit wir auch wirklich aufs Treppchen kommen, benötigen wir auch Ihre Stimme!
Wir sind sehr stolz darauf, seit dem 1. Februar 2023 zur elitären Runde der Sophos Platinum Partner zu gehören. Als einer der erfahrtensten Spezialisten für Sophos Produkte bieten wir Lösungen aus der gesamten Leistungspalette des Security-Marktführers.
Die seit 2021 bekannte Schwachstelle CVE-2021-21974 (Schweregrad 8.8/10) in VMware ESXi6.5/6.7/7.0 wird seit letzten Freitag aktiv ausgenutzt, der Schwerpunkt der Angriffe ist in Italien und Frankreich, aber auch Systeme in USA, Kanada und Deutschland werden angegriffen.
Die Sophos SG Firewall aka Sophos UTM entstand als Astaro UTM in Karlsruhe schon im Jahre 2001 und war viele Jahre der Inbegriff der deutschen Firewall. Diese legendäre Lösung wurde später von Sophos gekauft und unter dem Namen Sophos SG weiterverkauft.
Für die Aufnahmen von Fotos oder Videos bei Firmenveranstaltungen gibt es datenschutzrechtliche Regeln, die vom Unternehmen beachtet werden müssen. Im Folgenden eine Übersicht über die Grundlagen und Empfehlungen für mögliche Umsetzungen.
Das grundsätzliche Problem:
Auch ein Foto stellt im Sinne der Datenschutzgrundverordnung (DSGVO) ein personenbezogenes Datum dar, wenn es die Anforderungen an die Verarbeitung dieser Daten erfüllt, es also zumindest die Person(en), die abgebildet werden, identifizierbar macht.
Noch zu keinem Zeitpunkt waren IT-Umgebungen so vielen Bedrohungen und Gefahren überlassen wie heutzutage. Um die Herausforderungen bestmöglich zu meistern ist es wichtig, dass Firmen Mittel anstreben, mit denen sie die Widerstandskraft ihrer IT-Systeme auf lange Sicht optimieren können und somit einen Status der beständigen IT-Resilienz schaffen.
Oracle hat das erste Critical Patch Update des Jahres veröffentlicht, das insgesamt 327 Sicherheitspatches enthält.