KDO-Datenschutzportal

Die Bedrohungslage im Cyberraum ist laut dem Cybersicherheitsbericht 2023 des Bundes so hoch wie nie zuvor. Jüngste Entwicklungen zeigen, dass Kommunen immer häufiger ins Visier von Hackern geraten. Die Angriffe werden immer professioneller und können zu schwerwiegenden Ausfällen der IT von öffentlichen Verwaltungen und kritischen Infrastrukturen führen.

Wir als KDO möchten unsere Lösungen an Ihre täglichen Bedarfe ausrichten. Dafür ist es entscheidend Ihre Sichtweisen, Bedürfnisse und Anforderungen zu erfahren.

Wir würden uns daher sehr freuen, wenn Sie sich wenige Minuten Zeit nehmen und über den folgenden Link an der Umfrage teilnehmen: https://umfrage.kommune365.de/index.php/997546?lang=de

Ein Cyberangriff auf den IT-Dienstleister Südwestfalen IT am Montagmorgen bewirkte Ausfälle der kommunalen IT in mehr als 70 Städten und Gemeinden Südwestfalens sowie im rheinisch-bergischen Kreis. Viele Kommunen sind seitdem kaum für die Bürgerinnen und Bürger erreichbar, fast alle Termine bei Ämtern fallen aus.

Nachdem der beim Angriff eingesetzte Trojaner auf den Servern der Südwestfalen IT aufgefallen war, kappte das IT-Unternehmen die Verbindungen zu den Kommunen, um einen möglichen Schaden zu minimieren. Anschließend analysierten IT-Spezialisten die befallenen Systeme, um herauszufinden, wie weit sich die Schadsoftware verbreitet hat.

Erpressungstrojaner versuchen sich in Infrastrukturen öffentlicher Dienstleister oder Unternehmen einzuschleusen und dort Daten zu verschlüsseln. Ziel eines Trojaners ist es, mit der Entschlüsselung der Daten Lösegeld zu erpressen. Es steht noch im Raum, ob bei diesem Cyberangriff auch Daten gestohlen worden sind. Das Landeskriminalamt ermittelt.

Link zu einem Artikel des WDR über den Cyberangriff: https://www1.wdr.de/nachrichten/westfalen-lippe/cyber-angriff-suedwestfalen-kommunen-100.html

Datenschutz-Empfehlungen zu Microsoft 365

Bereits vor einem Jahr wurde auf die Problematik mit der Standard-Auftragsverarbeitungsvereinbarung von Microsoft (DPA) hingewiesen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte im November 2022 verkündet, dass die DPA den Anforderungen des Art. 28 Abs. 3 der DSGVO nicht entspricht.

Aktuell hat der Landesbeauftragte für den Datenschutz Niedersachsen – Denis Lehmkemper – zusammen mit sechs weiteren Aufsichtsbehörden ein Dokument mit Handlungsempfehlungen veröffentlicht. So sollen die Behörden dabei unterstützt werden, bei Microsoft auf vertragliche Änderungen hinzuwirken. Es wird beispielsweise gefordert, die Löschfristen anzupassen sowie mehr Transparenz bezüglich des Einsatzes von Dritten als sog. „Unterauftragsverarbeiter“ zu schaffen. Ein weiterer wichtiger Aspekt sei die Datenverarbeitung durch Microsoft zu eigenen Geschäftszwecken.

Ausgenommen von der Handreichung sind die Themen:

• internationaler Datentransfer
• extraterritorialer Anwendungsbereich von US-Gesetzen.

Handreichung Microsoft 365 (PDF)

https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/einsatz-von-microsoft-365-praxis-tipps-fur-vertrage-mit-microsoft-225722.html

https://www.behoerden-spiegel.de/2023/09/28/neue-datenschutz-empfehlungen-zu-microsoft-365/

Es besteht ein grundlegender Konflikt beim Datenaustausch zwischen Unternehmen der EU und den USA aufgrund unterschiedlicher rechtlicher und kultureller Auffassungen von Datenschutz und Privatsphäre. Vor diesem Hintergrund hat die EU-Kommission am 10. Juli 2023 den neuen Angemessenheitsbeschluss für die USA erlassen.

Der Beschluss besagt, dass Unternehmen in den USA, die sich in diesem Zusammenhang selbst zertifiziert haben, ein angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten gewährleisten, vergleichbar mit dem der EU. Der Angemessenheitsbeschluss kann also als Grundlage für die Datenübermittlung an Unternehmen in den USA dienen, ohne zusätzliche Maßnahmen ergreifen zu müssen. Eine Datenübermittlung sollte wie beschrieben jedoch nur erfolgen, sofern die Unternehmen, an die Daten übermittelt werden, unter dem EU-U.S. Data Privacy Framework zertifiziert sind. Europäische Unternehmen müssen diese Zertifizierung vorab überprüfen. Das US-Handelsministerium hat diesbezüglich eine Liste von U.S.-Unternehmen veröffentlicht.

Ein zukünftiges Scheitern des Angemessenheitsbeschluss vor dem EuGH ist nicht auszuschließen. Der Datenschutzaktivist Max Schrems hat bereits angekündigt, wieder gegen den Angemessenheitsbeschluss zu klagen. Die Änderungen im U.S.-Recht durch das neue Abkommen seien seiner Ansicht nach zu minimal. In der Vergangenheit wurden bereits die Vorgänger des Angemessenheitsbeschlusses vom EuGH gekippt.

Der Landesbeauftragte für den Datenschutz (LfD) Niedersachsen kann ebenfalls keine abschließende Entwarnung für die Datenübermittlung in die USA geben. Daher ist unsere Empfehlung, möglichst auf US-Dienstleister zu verzichten und auf europäische Anbieter zu setzen, auch wenn es rein rechtlich aktuell möglich ist, auf amerikanische Dienste zu setzen.

Die Niedersächsische Landesregierung hat am Freitag, dem 15. September, Denis Lehmkemper offiziell zum neuen Landesbeauftragten für den Datenschutz (LfD) in Niedersachsen ernannt. Die frühere Landesbeauftragte für den Datenschutz Barbara Thiel ist mit dem Versuch gescheitert, die Ernennung ihres Nachfolgers vor Gericht zu stoppen. Die eingelegte Beschwerde wurde nun vom 5. Senat des Niedersächsischen Oberverwaltungsgerichts zurückgewiesen. Am 3. Mai 2023 wurde Lehmkemper vom Landtag in Hannover mit breiter Mehrheit zum künftigen Landesbeauftragten für den Datenschutz gewählt. Lehmkemper war bislang Abteilungsleiter für Raumordnung im Agrarministerium und kann nun sein Amt antreten.