„Wenn ich keine Daten über dich finde, bist du nicht kreditwürdig“ – LfDI verwarnt Wirtschaftsauskunftei
All diejenigen, die schon mal einen Kredit beantragt haben, kennen das Verfahren:Kreditgeber erkundigen sich bei Wirtschaftsauskunfteien danach, ob ein Unternehmen oder eine Privatperson den beantragten Kredit voraussichtlich auch zurückzahlen wird. Hierzu werten Wirtschaftsauskunfteien alle Daten aus, die sie über ein Unternehmen oder eine Privatperson erlangen können, und berechnen Wahrscheinlichkeiten, sog. Scorewerte, zu deren Kreditwürdigkeit. Welche Regeln und Variablen denBerechnungen und damit den abschließenden Bewertungen zugrunde liegen, ist einstreng gehütetes Geschäftsgeheimnis.Nicht selten liegen den Berechnungen jedoch veraltete oder falsche Daten zugrunde.Und auch die Beschwerde von Betroffenen, diese Daten zu berichtigen bzw. zu löschen, verhallt zumeist ungehört aufseiten mancher Auskunfteien.Aufgrund zahlreicher Beschwerden prüfte der Landesbeauftragte für den Datenschutzund die Informationsfreiheit (LfDI) Baden-Württemberg die Datenerhebung und-auswertung von Wirtschaftsauskunfteien sowie die daraus resultierenden Berechnungsverfahren für Bonitätsbeurteilungen. Hierbei stellten wir fest, dass Bonitätsbeurteilungen nicht immer anhand konkret vorliegender Daten des jeweiligen Unternehmens vorgenommen wurden, sondern gerade nicht vorliegende Informationen dazuführten, dass der empfohlene Kreditrahmen niedrig eingestuft wurde. Das heißt: Hattedie Wirtschaftsauskunftei keine Kenntnis über Unternehmens- oder Finanzzahlen,wurde eine nur eingeschränkt positive Bewertung an anfragende Dritte weitergegeben – eine positive Bewertung („gut“) sei in diesen Fällen angeblich zu riskant, so dieAuskunftei im konkreten Fall. Das Problem dabei: Dem durch eine Wirtschaftsauskunftei empfohlenen Kreditrah men folgen Kreditgeber
-Update- BSI warnt vor Einsatz von iOS-App „Mail“
UpdateUPDATE 27. Mai 2020: Apple hat mit iOS 12.4.7, iOS 13.5 und iPadOS 13.5 Sicherheitsupdates bereitgestellt, die die Schwachstellen für alle betroffenen iOS-Versionen beheben. Aufgrund der Kritikalität der Schwachstellen empfiehlt das BSI, das jeweilige Sicherheitsupdate umgehend auf allen betroffenen Systemen einzuspielen. Die iOS-App „Mail“ kann nach Einspielung des Updates wieder genutzt werden. https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Warnung_iOS-Mail_230420.html Die iOS-App „Mail“ ist auf allen iOS-Versionen rückwirkend bis iOS 6 von zwei schwerwiegenden Sicherheitslücken betroffen. Angreifern ist es dadurch möglich, durch das Senden einer E-Mail das betreffende iPhone oder iPad zu kompromittieren. Damit ist potentiell das Lesen, Verändern und Löschen von E-Mails möglich. Ob darüber hinaus weitere schädliche Aktivitäten für erfolgreiche Angreifer möglich sind, ist Gegenstand weiterer Prüfungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt diese Schwachstellen als sehr kritisch ein. Für die insgesamt zwei Schwachstellen stehen bislang keine Patches zur Verfügung. Medienberichten zufolge werden die Schwachstellen bereits aktiv ausgenutzt. So lange keine entsprechenden Patches zur Verfügung stehen, sollten Anwender die App „Mail“ unter Apple iOS deinstallieren oder alternativ die mit dieser App verknüpften Accounts deaktivieren. Die Möglichkeiten zur Ausnutzung der Schwachstellen unterscheidet sich je nach iOS-Version. Während bei iOS 13 das reine Empfangen einer schädlichen Mail ausreicht, um die Schwachstelle auszulösen, muss die Mail ab iOS 12 abwärts auch durch die Nutzerinnen und Nutzer geöffnet werden.
Auftragsverabreitung in Zeiten von Corona
Im Zuge der Umstellung auf die Anforderungen der DSGVO, sind in den letzten Jahren viele Verträge und Richtlinien erlassen worden.Nun mussten im Zuge der Coronakrise viele Unternehmen kurzfristig und unbürokratisch Entscheidungen treffen, wie die Arbeit weitergehen kann.So sind viele Home-Office Arbeitsplätze entstanden und auch diverse Videokonferenzlösungen und Plattformen für den Datenaustausch in den Alltag integriert worden. An dieser Stelle ist es wichtig zu prüfen, ob die eingeleiteten Maßnahmen mit bestehenden Verträgen wie: Auftragsdatenverarbeitungsverträgen, Arbeitsverträgen und anderen Vertragswerken zulässig ist.Ebenso sind durch die schnellen Öffnungen in neue Technologien, wie beispielsweise Videokonferenzlösungen Prozesse integriert worden, für die eine ausreichende Prüfung in Bezug auf Sicherheit und Einhaltung des Datenschutzes noch erfolgen muss.In vielen Fällen müssen hier noch entsprechende Auftragsdatenverarbeitungsverträge abgeschlossen werden. Auch der Bereich der technisch organisatorischen Maßnahmen in den Unternehmen muss neu geprüft werden.Gerade vor dem Hintergrund, dass eingesetzte Technologien und Arbeitsweisen wie Home-Office auch nach der Krise weitergenutzt werden, erfordert eine Überprüfung der bestehenden technisch organisatorischen Maßnahmen, um einen sicheren Betrieb aufrechtzuerhalten.
Datenschutzbericht für das Jahr 2019: mehr Bewusstsein, mehr Fragen, mehr Datenpannen
Pressemitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein vom 27.03.2020 Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hat diese Woche ihren Tätigkeitsbericht für das Jahr 2019 vorgelegt: Auf knapp 150 Seiten werden die Themen Datenschutz und Informationsfreiheit beleuchtet, Empfehlungen gegeben und Verbesserungen eingefordert. Interessante Fälle dienen als mahnendes Beispiel, wie es die Verantwortlichen nicht machen sollen.
TLS 1.0/1.1 in Edge wird erst später abgeschaltet
Nach Veröffentlichung von Microsoft werden die als unsicher eingestuften Verschlüsselungsmechanismen TLS1.0 und TLS 1.1 standardmäßig erst später aus den Browsern von Microsoft entfernt. Als Zeitplan wurde angegeben, dass für den neuen Microsoft Edge Browser der auf Chromium basiert im Juli 2020 in diesem Punkt verbessert wird. Die älteren Varianten, der Internet Explorer elf und der Microsoft Edge Legacy sollen dann im September 2020 standardmäßig diese unsicheren Verschlüsselungsmechanismen nicht mehr unterstützen. Da diese Methoden schon länger als unsicher gelten, sollten Sie in Erwägung ziehen diese bereits vorab durch die Einstellungen in Ihrem Browser abzuschalten. Die Veröffentlichung von Microsoft hierzu finden Sie hier
Google Analytics und ähnliche Dienste nur mit Einwilligung nutzbar
Laut dem Landesdatenschutzbeauftragte NRW Website-Betreiber sollten ihre Website auf Dritt-Inhalte und Tracking-Mechanismen überprüfen. Wer Funktionen nutzt, die eine Einwilligung erfordern, muss entweder die Einwilligung einholen oder die Funktion entfernen. Wenn in Websites Dritt-Dienste eingebunden werden, deren Anbieter personenbezogene Daten auch für eigene Zwecke nutzt, ist das rechtlich nur zulässig, wenn eine Einwilligung der Nutzerinnen und Nutzer eingeholt wird. Zu solchen Diensten gehört auch Google Analytics. Website-Betreiber sollten ihre Website umgehend auf Dritt-Inhalte und Tracking-Mechanismen überprüfen. Wer Funktionen nutzt, die eine Einwilligung erfordern, muss entweder die Einwilligung einholen oder die Funktion entfernen. Eine Einwilligung ist nur dann wirksam, wenn die Nutzerin oder der Nutzer der Datenverarbeitung eindeutig und informiert zustimmt. Ein sogenannter Cookie-Banner, der davon ausgeht, dass reines Weitersurfen auf der Website oder Ähnliches eine Einwilligung bedeuten sollen, ist unzureichend. Dasselbe gilt für voraktivierte Kästchen bei Einwilligungserklärungen. Diese Wertung der Datenschutz-Grundverordnung ist eindeutig, und der Europäische Gerichtshof hat sie in seinem Urteil vom 1. Oktober 2019 ausdrücklich bestätigt. Quelle und weitere Informationen finden Sie : https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Google-Analytics-und-aehnliche-Dienste-nur-mit-Einwilligung-nutzbar/Google-Analytics-und-aehnliche-Dienste-nur-mit-Einwilligung-nutzbar.html