meldungverimi
Dieses Dokument ist Teil der Anfrage „Unterlagen zu Datenschutzverstößen der Verimi GmbH“
Encrypted Message https://outlook.office365.com/Encryption/d... mailbox@datenschutz-berlin.de Abmelden |1^? | Vorgehensweise für Zweifelsfälle | Meldung einer Datenpanne nach Art, 33 EU-DS-GVO (§ 51 BlnDSG) Roland Adrian I Verimi < @verimi.com> Allen antworten l RV Fr 17.09, 23:01 mailbox@datenschutz-berlin.de; Dr. Dirk Woywod | Verimi Encrypt: This message is encrypted. Recipients can't remove encryption. BlnBDI formular daten... BlnBDI formular daten... 428KB 155KB 2 Anlagen (583 KB) Sehr geehrte Damen und Herren, anbei übersenden wir Ihnen das Formular zur Meldung einer Datenpanne durch den Verantwortlichen nach Art, 33 EU-DS-GVO (§ 51 BlnDSG). Bitte beachten Sie, dass diese Meldung lediglich aufgrund der von den Datenschutzaufsichtsbehörden empfohlenen Vorgehensweise für Zweifelsfälle erfolgt. Sämtliche Informationen entnehmen Sie bitte dem Formular sowie dem ebenfalls beigefügten Anhang zum Formular. Für Rückfragen stehen wir Ihnen gern zur Verfügung. Mit freundlichen Grüßen Roland Adrian Dr. Dirk Woywod Geschäftsführung Verimi GmbH Nachrichtenverschlüsselung von Microsoft Office 365 . l von 2 20,09.21, 07:05
Encrypted Message https://outlook.office365.com/Encryption/d... ) 2 von 2 20.09.21, 07:05
MELDUNG EINER DATENPANNE DURCH DEN VERANTWORTLICHEN NACH ART. 33 EU--DS-GVO (§ 51 BlnDSG) I. WO I ST D IE DATEN PANNtPASSIfR'r't! • ^ Feld Text 1. Name des Verimi GmbH Verantwortlichen 2. Straße und Oranienstraße 91 Hausnummer 3. PLZ 10969 4. Ort Berlin 5. Internetseite https://verimi.de/ 6. Name der Roland Adrian meldenden Person 7. Funktion der Geschäftsführer meldenden Person beim Verantwortlichen 8. E-Mail-Adresse @verimi.com der meldenden Person 9. Telefon-Nr. der 0172 meldenden Person
II. WAS IST • a Feld Text 1. Beschreibung Es wurde kürzlich festgestellt, dass vermutlich seit April der 2019 die Benutzernamen und Kennwörter der Nutzerinnen Datenpanne und Nutzer des Verantwortlichen an einer versteckten Stelle in dessen Systemen aufgrund eines Programmierfehlers im Klartext in Log-Dateien geschrieben wurden, was nicht den geltenden Sicherheitsanforderungen des Verantwortlichen entspricht. Die fraglichen Log-Dateien werden bezogen auf den jeweiligen Tag erstellt und aktuell für einen Zeitraum von 8 Wochen aufbewahrt und dann jeweils für den 8 Wochen zurückliegenden Tag gelöscht. Nach Entdecken dieses Umstandes wurde dieser umgehend beseitigt.
2. Zeitpunkt des Vermutlich April 2019 bis 15.9.2021 um 14:00 Uhr. Vorfalls 3. Zeitpunkt der 15.9.2021 gegen 11 Uhr. Kenntnisnahme des Vorfalls 4. Welche Benutzername und Passwort von Nutzerinnen und Datenarten sind Nutzern. betroffen? 5. Die Daten wie vieler Die genaue Anzahl lässt sich derzeit noch nicht Personen sind bestimmen. Es handelt sich nach Annahme des betroffen? Verantwortlichen jedenfalls um weniger als 450000 betroffene Nutzerinnen und Nutzer. 6. Wie viele Jeweils ein Benutzername und ein Passwort pro Nutzerin u personenbezogene bzw. Nutzer. Datensätze sind betroffen?
7. Welche Folgen der Nach Ansicht des Verantwortlichen resultieren aus den Verletzung des vorstehend beschriebenen Umständen keinerlei Schutzes (relevante) Folgen. Eine Meldung der vorstehenden Umstände erfolgt nach Ansicht personenbezogener lediglich aufgrund der von den des Verantwortlichen Daten halten Sie für Datenschutzaufsichtsbehörden empfohlenen wahrscheinlich? Vorgehensweise für Zweifelsfälle. Denn ein unbefugter Zugriff unternehmensfremder Dritter auf die fraglichen Daten ist aufgrund der vorhandenen Sicherheitsmaßnahmen (z, B. Firewall und VPN-Zugriff, überdies sind die Log-Dateien separiert vom restlichen System gespeichert und dort speziell gesichert) de facto ausgeschlossen. Zudem werden Benutzernamen und Passwörter nach den Sicherheitsanforderungen des Verantwortlichen systemweit pseudonymisiert (= gehasht und gesalted). Der vorstehend beschriebene Umstand ist ") daher ein absoluter Ausnahmefall. (s. weitere Ausführungen im Anhang zu diesem Formular) (..)
III.WELCHE GEGENMAßNAHIVIEN WURDEilB101VIÄE»ÄNTW@K^^^ ess Feld Hilfe 1. Welche Innerhalb von drei Stunden ab Kenntnisnahme von den Gegenmaßnahmen vorbeschriebenen Umständen wurde die Ursache (= haben Sie bereits Programmierfehler) nachhaltig beseitigt, sodass Benutzernamen und Passwörter nicht mehr im Klartext in eingeleitet, welche die Log-Dateien geschrieben werden, (s. weitere weiteren Ausführungen im Anhang zu diesem Formular) Gegenmaßnahmen sind geplant? 2. Besteht nach Ihrer Nein. Einschätzung für Sie die Pflicht, die Betroffenen zu benachrichtigen (Art. 34 DS-GVO bzw. § 52 BlnDSG)?
3. Falls nein: Bitte Einerseits liegt hier keiner der in Art. 35 Abs. 3 DSGVO begründen Sie Ihre normierten Fälle vor, die zur Bestimmung eines hohen Entscheidung. Risikos i. S. v. Art. 34 Abs. 1 DSGVO herangezogen werden. Des Weiteren existiert nach Ansicht des Verantwortlichen keine Anhaltspunkte dafür, dass es im Rahmen der vorstehend beschriebenen Umstände zu einem Schadenseintritt kam oder noch käme. (s. weitere Ausführungen im Anhang zu diesem Formular) 4. Falls ja: Wie und Nicht zutreffend. wann wurden (werden) die Betroffenen benachrichtigt und welche Gegenmaßnahmen haben Sie ihnen empfohlen?
IV. SONSTIfiE lyilTTEII.ÜNGEN AN DtE DATENSCHUTZAUFSICHTSBEHÖRDE • Feld Hilfe 1. Falls Sie sich Nicht zutreffend. parallel an andere Behörden gewandt haben,an wen? 2. Wurde Strafanzeige Nein. erstattet? 3. Sonstiger Hinweis Nicht zutreffend.
VerimiGmbH MELDUNG EINER DATENPANNE DURCH DEN VERANTWORTLICHEN NACH ART. 33 EU-DS- GVO (§ 51 BlnDSG) (Anhang) II. Was ist passiert 7. _Welche Folßen der Verletzung des Schutzes personenbezogener Daten halten Sie für wahrscheinlich? (Fortsetzung) Überdies ist auch ein unbefugter, auf den Missbrauch der vorstehend genannten personenbezogenen Daten gerichteter Zugriff durch unternehmensinterne Personen äußerst unwahrscheinlich. Um überhaupt die prinzipielle Möglichkeit des Zugriffs auf Benutzernamen und Passwörterzu erhalten, müssen Mitarbeiter grundsätzlich mindestens drei Monate beim Verantwortlichen angestellt sein und einen Antrag hinsichtlich ihrer jeweiligen Zugriffsberechtigung stellen. Zudem existiert eine Übersicht zu Zugriffsberechtigungen und diese können bei Bedarf jederzeit angepasst werden. Des Weiteren liegen dem Verantwortlichen keinerlei Meldungen von Nutzerinnen und Nutzern über unbefugte Zugriffe auf Nutzeraccounts vor. Alle systemrelevanten Änderungen des Nutzeraccounts werden den Nutzerinnen und Nutzern ohnehin direkt per E-Mail mitgeteilt und erfordern außerdem eine Multi-Faktor-Authentifizierung. Unabhängig davon werden Mitarbeiterinnen und Mitarbeiter im Rahmen interner Richtlinien für die Einhaltung des Datenschutzes sensibilisiert und außerdem geschult. Überdies sei noch erwähnt, dass die vorstehend beschriebenen Umstände einem Administrator nur ganz zufällig bekannt geworden sind, was die Wahrscheinlichkeit der Kenntnisnahme von den Umständen und damit des Missbrauchspotenzial durch Mitarbeiterinnen und Mitarbeiter ebenfalls de facto ausschließt. Schließlich sei noch erwähnt, dass sämtliche Systeme, auf denen die fraglichen Daten liegen, ohnehin verschlüsselt sind. Eine Manipulation der Daten ist daher ohnehin nicht möglich, ohne dass dies entdeckt wird. III. Welche Gegenmaßnahmen wurden vom Verantwortlichen er&riffen oder werden vorgeschlagen? l. Welche Gegenmaßnahmen haben Sie bereits eingeleitet, welche Gegenmaßnahmen sind geplant? (Fortsetzung) Des Weiteren findet seit Feststellung der vorbeschriebenen Umstände eine abteilungsübergreifende, intensive Auseinandersetzung mit der zukünftigen Vermeidung eines derartigen Vorfalls statt. Als Gegenmaßnahmen existierten zuvor bereits ein sog. Sechs- Augen-Prinzip, mit dem alle (sicherheitsrelevanten) Änderungen am Code der vom Verantwortlichen genutzten Software überwacht werden. Außerdem ist der Verantwortliche ISO 27001-zertifiziert, um die Verarbeitung der personenbezogenen Daten möglichst sicher zu gestalten. Des Weiteren werden Benutzernamen und Passwörter prinzipiell systemweit pseudonymisiert (per Hash mit Salt). Zudem wurde ein Dienstleister in Anspruch genommen,
