Datenpannen-Meldungen wegen Sicherheitslücken auf Microsoft Exchange-Servern

12.03.2021

Aufgrund von Schwachstellen in Microsoft Exchange-Servern erreichen die Dienststelle derzeit vermehrt Meldungen von Verletzungen des Schutzes personenbezogener Daten nach Artikel 33 Datenschutz-Grundverordnung (DSGVO). Vergangene Woche hatte Microsoft kurzfristig neue Sicherheitsupdates für Exchange-Server veröffentlicht, die von Betroffenen unverzüglich installiert werden sollten, um die Sicherheitslücken zu schließen. In einer Pressemitteilung informierte das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 5. März über die neue, außerordentlich kritische Gefährdungslage, die sofortiges Handeln der betroffenen Unternehmen erfordert.

Zu diesem sofortigen Handeln gehört nicht nur die unverzügliche Installation der bereitstehenden Sicherheitsupdates, sondern auch die unbedingte Überprüfung, ob eine Kompromittierung des Exchange-Servers des Verantwortlichen tatsächlich stattgefunden hat. Zur dazu erforderlichen Vorgehensweise hat das BSI hier die erforderlichen Informationen zusammengestellt und auf YouTube ein etwa einstündiges Video zum Hintergrund und den notwendigen Aktivitäten veröffentlicht. Das Ergebnis dieser Prüfung ist für die weitere Bewertung des Vorfalls durch den Verantwortlichen wie auch der Datenschutzaufsichtsbehörde von wesentlicher Bedeutung.

Wann ist ein Vorfall im Zusammenhang mit diesen Exchange-Server-Schwachstellen meldepflichtig? Wann sind Betroffene zu informieren?

Sofern eine Kompromittierung des Exchange-Servers nach sachkundiger Prüfung mittels der vom BSI empfohlenen Vorgehensweise nicht ausgeschlossen werden kann, stellt dies einen meldepflichtigen Vorfall im Sinne des Art. 33 DSGVO dar. Darüber hinaus ist eine Risikoabwägung zu treffen. Wenn Ihre Prüfung ergibt, dass durch die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, ist der betroffene Personenkreis durch den Verantwortlichen nach Artikel 34 DSGVO unverzüglich zu unterrichten. Von einem hohen Risiko ist dann auszugehen, wenn die Eintrittswahrscheinlichkeit und die Schadensauswirkungen entsprechend hoch eingeschätzt werden. Dies ist insbesondere bei einer Betroffenheit von besonders sensiblen personenbezogenen Daten im Sinne des Artikels 9 DSGVO möglich. Weitere Informationen zur Beurteilung finden Sie im Kurzpapier der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (PDF-Datei).

Datenschutzverstoß durch Verantwortliche online melden

Erklärung zur Barrierefreiheit

Der Sächsische Datenschutzbeauftragte ist bemüht, seine Website www.saechsdsb.de barrierefrei zugänglich zu machen.

Rechtsgrundlage sind

  • das Behindertengleichstellungsgesetz (BGG),
  • das Sächsische Inklusionsgesetz (SächsInklusG),
  • das Sächsische E-Government-Gesetz (SächsEGovG) sowie
  • das Gesetz zur Umsetzung der Richtlinie (EU) 2016/2102 über den barrierefreien Zugang zu den Websites und mobilen Anwendungen öffentlicher Stellen (Barrierefreie-Websites-Gesetz – BfWebG).

Maßstab für die Barrierefreiheit sind die Richtlinien für barrierefreie Webinhalte (WCAG – Web Content Accessibility Guidelines) 2.1 auf Level AA, die im als W3C Recommendation (Web Standard) veröffentlicht wurden (Kriterien der europäischen Norm EN 301 549, Version 2.1.2) sowie die weiterentwickelte BITV 2.0 (Barrierefreie Informationstechnik-Verordnung).

Die oben genannte Website ist nach den oben genannten Richtlinien nur teilweise barrierefrei.

Die Website beruht auf einer zentralen technischen Codebasis, die derzeit nicht komplett mit den technischen Anforderungen gemäß der Verordnung BITV 2.0 vereinbar ist. Unsere Codebasis wird derzeit überarbeitet, um die Zugänglichkeit der Seite zu verbessern.

Folgende Inhalte sind zum Teil nur eingeschränkt zugänglich:

  • Navigation (Menü)
  • PDF-Dokumente
  • Onlineformulare

Diese Erklärung wurde am 27. Oktober 2021 erstellt.

Kontakt

Sollten Ihnen noch bestehende Barrieren in Bezug auf unsere Website auffallen oder Sie Informationen zu noch nicht barrierefreien Inhalten benötigen, senden Sie uns bitte eine E-Mail. Wir sind bemüht Ihnen schnellstmöglich zu antworten.

E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Beauftragter der Sächsischen Staatsregierung für die Belange von Menschen mit Behinderungen

Sollten Sie der Ansicht sein, durch eine nicht ausreichende barrierefreie Gestaltung unserer Webseiten benachteiligt zu sein oder von uns keine zufriedenstellende Antwort zu Anfragen bezüglich der Barrierefreiheit der Webseite erhalten zu haben, können Sie sich an folgende Stelle wenden:

Beauftragter der Sächsischen Staatsregierung für die Belange von Menschen mit Behinderungen

Besucheradresse:
Albertstraße 10
01097 Dresden

Postanschrift:
Sächsische Staatskanzlei
Archivstraße 1
01097 Dresden

Telefon: 0351 564-12161
Telefax: 0351 564-12169
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Webseite: Beauftragter der Sächsischen Staatsregierung für die Belange von Menschen mit Behinderungen

Informations-Paket für Datenschutz in Schulen

Beim Datenschutz in der Schule geht es darum, die Persönlichkeitsrechte von Kindern sowie von Eltern, Lehrkräften und Verwaltungsmitarbeitern zu schützen. Dabei unterstützt Sie der Sächsische Datenschutzbeauftragte mit Beratung und diesen Informationen:

 

Fotografieren bei Schulveranstaltungen

Fotoaufnahmen von Schülern

 

Infektionsschutz

Befreiung von der Pflicht, eine Mund-Nasenbedeckung bzw. einen Mund-Nasen-Schutz zu tragen

Coronatest als Voraussetzung für einen Schulbesuch (PDF-Datei)

Informationen zum Masernschutzgesetz – zum Umgang mit Nachweisen bzw. Attesten (PDF-Datei)

 

Medienkompetenz und Datenschutzbewusstsein

data-kids.de
Hier werden Kinder im Grundschulalter über den sicheren Umgang mit ihren Daten aufgeklärt.

youngdata.de
Die Website richtet sich an junge Menschen und vermittelt Wissenswertes zum Datenschutz im Internet, beispielsweise im Umgang mit sozialen Netzwerken und Smartphones.

 

Online-Lernplattformen

Orientierungshilfe für Online-Lernplattformen im Schulunterricht (DSK, PDF-Datei)

 

Videokonferenzdienste

Videokonferenzsysteme im Vergleich (LfDI Baden-Württemberg)

Hinweise für Verantwortliche zu Anbietern von Videokonferenzdiensten (DSK, PDF-Datei)

Orientierungshilfe Videokonferenzsysteme (DSK, PDF-Datei)

Checkliste Datenschutz in Videokonferenzsystemen (DSK, PDF-Datei)

Unterkategorien