Großer Systemausfall bei CrowdStrike: Zahlreiche Unternehmen weltweit betroffen

Am Freitag erlebte das Cybersicherheitsunternehmen CrowdStrike einen erheblichen Systemausfall, der Organisationen rund um den Globus lahmlegte. Der Ausfall wurde wohl nach jetziger Erkenntnis durch Probleme mit einem kürzlich veröffentlichten Update verursacht.

Ein weit verbreiteter Fehler im Windows-System führte dazu, dass Computersysteme von Notdiensten, Banken, Flughäfen und anderen wichtigen Einrichtungen nicht mehr funktionierten. Betroffen waren unter anderen Fluggesellschaften sowie die Flughäfen, die teilweise ihren Betrieb einstellen mussten. Auch Microsoft meldete Ausfälle in Teilen seiner Azure-Cloud. Der Finanzsektor blieb ebenfalls nicht verschont, und mehrere Banken waren betroffen. Auch Infrastruktureinrichtungen wie Tankstellen sowie der Öl- und Gashandel erleben erhebliche Störungen. Sogar der Notruf in New York war von dem Ausfall betroffen.

Berichten zufolge ließen sich viele Windows-Rechner nicht mehr starten, wobei das Problem anscheinend auf die Software des Cybersicherheitsunternehmens CrowdStrike zurückzuführen ist.

CrowdStrike arbeitet nach eigenen Aussagen intensiv daran, das problematische Update weltweit zurückzunehmen. „CrowdStrike ist sich der Berichte über Abstürze auf Windows-Systemen im Zusammenhang mit dem Falcon Sensor bewusst“, erklärte das Unternehmen in einer Nachricht.

Zurzeit wird wohl davon ausgegangen, dass alle Unternehmen, die die Versionen 7.15 und 7.16 einsetzen, von dem Ausfall betroffen sind, während Version 7.17 offenbar keine Probleme bereitet.

Ein offizielles Advisory von CrowdStrike zu diesen Erkenntnissen steht noch aus. Der CrowdStrike-Support bietet aber anscheinend einen Workaround an, bei dem Benutzer das Problem beheben können, indem sie Windows im abgesicherten Modus oder in der Windows-Wiederherstellungsumgebung starten und eine Datei namens ‚C-00000291*.sys‘ löschen.

Einen entsprechenden Workaround finden Sie auch bei Amazon: https://health.aws.amazon.com/health/status

Die Bedeutung regelmäßiger Software-Updates wird durch diesen Vorfall deutlich, obwohl dies ein extremes Beispiel ist.

Quelle:  https://www.it-daily.net/shortnews/crowdstrike-ausfall-legt-firmensysteme-weltweit-lahm

Datenschutz-Folgenabschätzung für Hinweisgebersysteme in den Niederlanden

Datenschutz-Folgenabschätzung für Hinweisgebersysteme in den Niederlanden nach zuständiger Datenschutzbehörde nicht zwingend erforderlich

Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens, AP) hat eine Liste veröffentlicht, die eine Orientierungshilfe dahingehend bieten soll, welche Arten der Datenverarbeitung ein hohes Risiko darstellen und somit eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 der Datenschutz-Grundverordnung (DSGVO) erfordern.

Eine Datenschutz-Folgenabschätzung, ist gem. Art 35 DSGVO notwendig, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.

Ein Hinweisgebersystem, das gemäß dem niederländischen Whistleblower-Schutzgesetz („Wet bescherming klokkenluiders“) eingerichtet wird, ist in dieser Liste weiterhin nicht aufgeführt. Daraus lässt sich schließen, dass die AP eine Datenschutz-Folgenabschätzung für ein solches Hinweisgebersystem nicht als zwingend erforderlich ansieht.

Dies bedeutet für Unternehmen und Organisationen, die ein Hinweisgebersystem nach dem niederländischen Whistleblower-Schutzgesetz einrichten möchten, dass sie nicht verpflichtet sind, eine DSFA durchzuführen.

Dennoch sollten sie stets sicherstellen, dass alle anderen Datenschutzanforderungen gemäß DSGVO erfüllt werden, um die Rechte und Freiheiten der betroffenen Personen zu schützen.

Denn dass die niederländische Datenschutzbehörde dieses Thema durchaus ernst nimmt beweist folgender Sachverhalt

So hat die AP kürzlich eine Geldstrafe von 150.000 Euro gegen  International Card Services BV (ICS) verhängt, weil das Unternehmen vor der Einführung digitaler Identifikationsverfahren keine DSFA durchgeführt hatte.

(Einzusehen hier) https://www.vpngids.nl/nieuws/ap-deelt-boete-van-150-000-euro-uit-aan-ics/

Zusätzlich gab es im Mai 2024 eine Mitteilung der AP, die verdeutlicht, dass Organisationen, die Kameras mit Gesichtserkennung verwenden möchten, so gut wie immer eine DSFA durchführen müssen.

Dies gilt auch für Unternehmen, die große Mengen personenbezogener Daten verarbeiten oder neue technologische Lösungen anwenden. Diese Anforderungen sind Teil der Bemühungen der AP, sicherzustellen, dass die Rechte und Freiheiten natürlicher Personen geschützt werden.

Fortschritte beim Datenschutz und internationale Zusammenarbeit in Tunesien

Tunesien hat in den letzten Monaten weitere Schritte unternommen, um den Schutz personenbezogener Daten zu stärken und sich an internationale Standards anzupassen

Stärkung der Datenschutzbehörde

Die tunesische Datenschutzbehörde, Instance Nationale de Protection des Données Personnelles, hat ihre Bemühungen intensiviert, Datenschutzverletzungen zu verhindern und die Rechte der tunesischen Bürger zu schützen. Die Behörde ist befugt, umfassende Kontrollen durchzuführen, Datenschutzverletzungen zu untersuchen und Maßnahmen zur Sicherstellung des Schutzes personenbezogener Daten zu ergreifen. Sie arbeitet nach eigener Aussage daran, die Transparenz und Effizienz ihrer Prozesse zu erhöhen,.

Initiativen und zukünftige Maßnahmen

Die tunesische Datenschutzbehörde plant, über die neue mobile Anwendung und Website den Bürgern einen besseren Zugang zu Informationen über ihre Datenschutzrechte zu ermöglichen. Diese digitalen Plattformen sollen auch die Einreichung von Beschwerden erleichtern und die allgemeine Transparenz der Datenschutzprozesse verbessern. Die mobile Anwendung soll es den Nutzern zusätzlich ermöglichen, ihre Datenschutzrechte effizienter wahrzunehmen und regelmäßig über aktuelle Entwicklungen informiert zu werden.

Internationale Zusammenarbeit

Durch die Teilnahme an der Konvention 108+ hat Tunesien Zugang zu einem breiten Netzwerk internationaler Datenschutzbehörden und kann von den Erfahrungen und Best Practices anderer Länder profitieren. Diese internationale Zusammenarbeit ist, nach eigener Aussage der tunesischen Datenschutzbehörde, ein wichtiger Faktor für die Verbesserung des Datenschutzes in Tunesien. Die Integration internationaler Datenschutzstandards soll dazu beitragen, Tunesiens rechtlichen Rahmen zu modernisieren und an globale Entwicklungen anzupassen​

Weitere Informationen finden Sie hier:
https://www.coe.int/en/web/data-protection/-/tunisia-30th-country-to-sign-convention-108-

Neue Datenschutzänderungen in Litauen ab Juli 2024

Litauen hat ab dem 1. Juli 2024 eine bedeutende Änderung an seinen Datenschutzgesetzen vorgenommen. Diese Änderungen zielen darauf ab, die nationale Gesetzgebung an die Datenschutz-Grundverordnung (DSGVO) anzupassen und den Rahmen für den Umgang und Schutz personenbezogener Daten im Land zu verbessern.

Die rechtliche Landschaft für den Datenschutz in Litauen wird zu einem sehr großen Teil durch die Datenschutz-Grundverordnung (DSGVO) und dem Gesetz über den rechtlichen Schutz personenbezogener Daten (LPPD) geregelt:

Diese Gesetze bilden einen Rahmen für den Schutz personenbezogener Daten in Litauen und gewährleisten, dass nationale Bestimmungen mit den europäischen Datenschutzstandards übereinstimmen.

Wichtige Bestimmungen des LPPD

Das LPPD, in Verbindung mit der DSGVO, definiert dabei die Rolle und Befugnisse der staatlichen Datenschutzaufsichtsbehörde (SDPI) und des Inspektors für journalistische Ethik, einschließlich der Untersuchung von Verstößen und der Verhängung von Geldbußen.

Einige beachtenswerte Aspekte des LPPD umfassen:

  • Verarbeitung von persönlichen Codes: Persönliche Codes dürfen nur unter bestimmten Bedingungen gemäß der DSGVO verarbeitet werden, wobei ihre öffentliche Offenlegung und Nutzung für Direktmarketing verboten ist.
  • Mitarbeiterdaten: Arbeitgeber dürfen Daten über die Qualifikationen und beruflichen Fähigkeiten eines Bewerbers von früheren Arbeitgebern sammeln, wobei die vorherige Zustimmung des Bewerbers für aktuelle Arbeitgeber erforderlich ist.
  • Videoüberwachung: Arbeitgeber müssen Mitarbeiter über Videoüberwachungsmaßnahmen informieren und Transparenz gewährleisten.
  • Daten von Kindern: Die Verarbeitung von Daten von Kindern für Dienste der Informationsgesellschaft ist mit der Zustimmung des Kindes erlaubt, wenn es mindestens 14 Jahre alt ist.

Diese Bestimmungen sorgen dafür, dass der Datenschutz in verschiedenen Bereichen des öffentlichen und privaten Sektors gewahrt bleibt.

Mit den Änderungen ab dem 1. Juli 2024 verstärkt Litauen sein Engagement für den Schutz personenbezogener Daten.

Die neuen Änderungen am LPPD, umfassen dabei mehrere wesentliche Neuerungen:

  • Verbesserte Beschwerdebehandlung: Maßnahmen zur Gewährleistung einer schnellen und effizienten Bearbeitung von Beschwerden und Untersuchungen, um die Rechte einer größeren Anzahl von Betroffenen zu schützen.
  • Verarbeitung von Strafregisterdaten: Arbeitgeber haben die Möglichkeit, Strafregisterdaten von Mitarbeitern und Bewerbern zu verarbeiten, wobei die berechtigten Interessen der Arbeitgeber mit dem Schutz der Rechte der Betroffenen in Einklang gebracht werden.
  • Veröffentlichung von Entscheidungen: Datenschutzbehörden, wie die staatliche Datenschutzaufsichtsbehörde (SDPI) und der Inspektor für journalistische Ethik, müssen ihre Entscheidungen veröffentlichen, um Transparenz und Verantwortlichkeit zu fördern.

Diese Änderungen sollen, den Schutz personenbezogener Daten zu verstärken und Litauens Gesetze mit dem breiteren europäischen Rahmen in Einklang bringen, um robuste Schutzmaßnahmen für die Privatsphäre der Einzelnen zu gewährleisten.

Information on current legal changes and effects on your website

On 14 May 2024, the Telemedia Act (TMG) was replaced by the Digital Services Act (DDG). In addition, the Telecommunications Telemedia Data Protection Act (TTDSG) is now the Telecommunications Digital Services Data Protection Act (TDDDG).

The following changes must therefore be made to websites:

Data protection notices often contain a reference to Section 25 para. 1 TTDSG, especially when it comes to naming the legal basis for consent in the area of tracking tools, such as Google Analytics. Please amend the provision so that it now reads Section 25 para. 1 TDDDG and no longer Section 25 para. 1 TTDSG.

If you have mentioned Section 5 TMG on your imprint page, please change this to Section 5 DDG.

This will keep your website up to date.

New version of the TISAX VDA ISA catalogue

The new version of the TISAX VDA ISA catalogue is now available. This updated version contains extended requirements that are aligned with the latest security standards. Companies are advised to familiarise themselves with the new requirements in order to continue to optimally protect their data.

TISAX (Trusted Information Security Assessment Exchange) is of great importance to the automotive industry as it enables a standardised assessment of information security. With TISAX certification, companies can demonstrate to their business partners and customers that they meet high security standards and are able to effectively protect sensitive information. Compliance with these standards offers a decisive advantage at a time when data protection and information security are becoming increasingly important

Overview of the AI Regulation Part 1

Introduction

The AI Act, which was passed on 21 May 2024, is the world’s first law on the regulation of artificial intelligence. It is expected that many industries will have to deal intensively with this regulation in the future.

It is planned that the AI Regulation will come into effect 20 days after its publication in the Official Journal of the European Union. Publication in the Official Journal of the European Union is scheduled for June/July 2024.

A staggered system of transitional periods will then come into effect. Initially, 6 months after coming into effect, the provisions on prohibited AI systems will apply and their use must be discontinued. 24 months after entry into force, the other provisions of the AI Regulation, such as the transparency obligations for generative AI systems, will apply. One exception is the obligations relating to high-risk AI systems, for which a transitional period of 36 months after entry into force is envisaged.

The purpose of the regulation, as stated in Art. 1 I of the AI Regulation, is to strengthen social trust in AI applications. For this reason, compliance requirements are placed on AI that are proportionate to the respective threat of interference with fundamental rights. With this risk-based approach, the AI Regulation should be able to react flexibly to future technical developments. For affected companies, the main challenges are likely to lie in the formalisation of the certification process and the implementation of the compliance management system.

II. Overview of key content

The definition of artificial intelligence contained in Art. 3 No. 1 AI Regulation, which is decisive for the material scope of application and on the basis of which the respective requirements for the development and use of AI are determined, deserves particular attention.

According to this definition, an AI system is a machine-based system that is designed to operate with varying degrees of autonomy, demonstrates adaptability after deployment and derives explicit or implicit goals from inputs to produce results such as predictions, content, recommendations or decisions that can influence physical or virtual environments.

This broad definition is further specified and limited by the recitals of the AI Regulation.Recital 12, for example, expressly clarifies that an application is not considered AI within the meaning of the standard if it is performed automatically on the basis of rules established by humans. Rather, AI requires independent reasoning: „An essential characteristic of AI is its ability to reason.“

A) Scope of application

Due to the digital nature of AI systems and the possibility of continuous further development during operation, it is sometimes difficult to draw clear boundaries with regard to the applicability of the AI Regulation.

Temporal scope of application

In terms of time, the AI Regulation aims to regulate AI throughout its entire life cycle. This means that the AI Regulation not only sets out requirements for the development of AI, but also provides for numerous obligations after it has been placed on the market, such as monitoring obligations. This is nothing new from the perspective of product liability law. The obligation to monitor the respective product after it has been placed on the market has always been an integral part of product liability law.

Personal scope of application

The personal scope of application includes both the deployer and the provider. According to Art. 3 No. 4 of the AI Regulation, the operator is the natural or legal person, public authority, agency or other body which uses an AI system under its authority, unless the AI system is used in the course of a personal, non-professional activity.

According to Art. 3 No. 3 of the AI Regulation, the provider is the natural or legal person, public authority, agency or other body which develops or has developed an AI-system or an AI-model for general purposes and places it on the market or puts it into service under its own name or trademark, regardless of whether this is done for remuneration or free of charge.

Local scope of application

According to Art. 2 I a) of the AI Regulation, the local scope of application covers providers that place an AI system or a system with a general purpose on the market or put it into operation in the Union. It also covers operators established in the Union. In addition to the establishment principle, the market place principle also applies.

The AI Regulation therefore also addresses providers and operators that are based in a third country but whose AI system operates in the Union. This is intended to prevent companies in third countries from not having to comply with the requirements of the AI Regulation.

(to be continued in Overview AI Regulation Part 2)

Overview of the AI Regulation Part 2

B) Risk-based approach of the AI Regulation

As already described in the Overview of the AI Regulation Part 1, the AI Regulation follows a risk-based approach.This means that the degree of regulation depends on the severity of the risks posed by the AI applications. In order to be able to assess which requirements need to be met, an affected organisation must first check what type of AI system is involved. AI systems are generally divided into four categories:

– According to Art. 5 I AI Regulation into AI systems for prohibited practices

– According to Art. 6 AI Regulation in high-risk systems

– According to Art. 50 of the AI Regulation into AI systems with limited risk

– According to Art. 95 of the AI Regulation in low-risk AI systems

Additional requirements are demanded for systems with a general purpose. More on this later. In order to be able to assess which requirements must be met, an affected organisation must first check what type of AI system it has.

a) Prohibited practices

Prohibited practices are listed in Art. 5 of the AI Regulation. It is assumed that the risk posed by these systems for those affected is too serious to authorise their use.For example, the placing on the market, commissioning and use of AI for subliminal manipulation outside of a person’s awareness is prohibited if this manipulation is significant and is intended to cause physical or psychological harm to that person or another person.

b) High-risk systems

The regulation of AI high-risk systems represents a large part of the AI Regulation.The European legislator has not included a precise definition of high-risk systems in the law. Instead, it aims to remain as adaptable as possible and not to set excessively narrow limits. Points of reference are therefore distributed across Art. 6 of the AI Regulation and Art. 7 of the AI Regulation. According to Art. 6 I of the AI Regulation, a high-risk system exists if it is used as a safety component for a product or is itself a product that is subject to certain EU regulations. Art. 7 I of the AI Regulation authorises the EU Commission to draw up a catalogue of life situations or applications that fall under this definition. Further use cases can be added by the EU Commission in the future. For example, AI systems that are to be used for the recruitment or selection of natural persons, in particular for placing targeted job advertisements, analysing and filtering applications and evaluating applicants, have been defined as high-risk systems.

Requirements for high-risk systems

Art. 8 et seq. AI Regulation define the compliance requirements for high-risk AI systems.The central provision here is likely to be Art. 9 of the AI Regulation, which requires the establishment of a risk management system that covers the entire life cycle of the AI. The risk analysis should take into account the risks to health, safety and fundamental rights that the AI system poses when used appropriately.

c) AI systems with limited risk

Art. 50 of the AI Regulation sets out information obligations for both operators and providers of AI systems with limited risk. The user must be informed that they are interacting with an AI in order to be able to prepare for this. According to Art. 50 I of the AI Regulation, AI systems must be designed in such a way that a normal person clearly recognises that they are interacting with an AI.

d) AI systems with minimal risk

For AI systems that neither fall under Art. 50 of the AI Regulation nor constitute a high-risk system, a code of conduct can be followed voluntarily in accordance with Art. 95 of the AI Regulation. According to the legislator, this is intended to strengthen social trust in AI applications.

e) Special provisions for AI systems for general use

For general purpose AI systems, additional obligations apply in accordance with Art. 51 et seq. AI Regulation, additional obligations apply that must be fulfilled in addition to the requirements of the respective level.

It should be noted that these additional obligations apply exclusively to providers of so-called GPAI (General Purpose Artificial Intelligence). Operators of such systems are not affected by these additional obligations. A GPAI model is an AI model that, even if it has been trained with large amounts of data using large-scale self-monitoring, has significant generality and is capable of competently performing a wide range of different tasks. This is true regardless of how the model is brought to market. It can be integrated into a variety of downstream systems or applications, with the exception of AI models that are used for research, development or prototyping purposes before being brought to market.

A well-known example of a GPAI model is currently ChatGPT. Companies that intend to use or are already using AI systems must therefore consider a number of aspects. It is strongly recommended to prepare accordingly by setting up AI compliance.

The NIS 2 Implementation Act is coming – new cyber regulations before 2024

NIS2UmsuCG – a complicated-sounding string of letters – is coming our way this year and translates as the NIS 2 Implementation and Cyber Security Strengthening Act.

It is estimated that the law will affect at least 30 thousand companies when it is introduced.

It is therefore important that you check whether you also fall under it. This is the case if you belong to the „essential“ and „important“ institutions, or if you are a KRITIS operator. The legislative process is expected to be completed by October 2024.

In any case, you will have to deal with the regulations if you are active in the following sectors:

Essential: energy, transportation, banking, healthcare, drinking water, wastewater, digital infrastructure, ICT service management, administration, financial market, space,

or

Important: Post, waste management, industry, digital services, research, chemical companies, food industry,

and if you have 50 or more employees and generate an annual turnover of 10 million.

However, it is important to note that small companies that generate less turnover or have fewer employees may also fall within the scope of application. If they carry out critical activities that could have an impact on public order, or if they have cross-border effects, they are also affected.

The NIS 2 Directive is also of particular importance for managing directors, CEOs and board members, as they are held accountable. Specifically, this means that these persons must approve and monitor risk management.

If they do not comply with these obligations, this can also result in personal liability. Inadequate or insufficient preparatory actions can also give rise to such liability.

In any case, action should be taken quickly and, if necessary, professional support should be sought. We draw your attention to this in particular as part of our duty to inform. Gindat can also support you in all phases of the process. We recently presented an overview of this topic at our ITQC event to raise your awareness. Feel free to contact us if you have any questions or uncertainties. Our team is always at your disposal.

EU countries agree on supply chain law

The planned EU supply chain law has overcome a decisive hurdle: Despite resistance from the German government, a majority of EU countries support the law to protect human rights. It is intended to ensure that European companies guarantee compliance with human rights and environmental standards in their supply chains – including with their suppliers. In future, companies will have to prove that their imported products from third countries have been manufactured without child labour or environmental damage. The adopted draft is less strict than originally envisaged: The law now applies to companies with 1,000 or more employees and an annual turnover of at least 450 million euros, instead of 500 or more employees and 150 million euros turnover as initially planned. The possibility of civil liability has also been weakened. The EU member states, the EU Parliament and the Commission had already agreed on the law in December.

What companies now need to consider:

  • Due diligence obligations: Carrying out risk analyses and taking preventative measures.
  • Documentation: Regular reports on compliance with standards must be prepared and made publicly available.
  • Complaints mechanisms: Establishment of systems for anonymous reporting of violations.
  • Contract adjustments: Ensuring that suppliers comply with standards.
  • Data protection: Compliance with the GDPR in data processing.

Due to our duty to provide information as your external data protection officer, we would like to sensitise you to these issues and will be happy to answer any questions you may have at any time.