MDS.LEGAL informiert | BREAKING NEWS

Wir liefern Ihnen verständlich aufbereitete Informationen, die Ihnen helfen, potenzielle Risiken frühzeitig zu erkennen und proaktiv zu handeln.

breaking news | In der heutigen vernetzten Geschäftswelt sind Informationssicherheit, Datenschutz und Compliance-Management keine optionalen Extras mehr, sondern unverzichtbare Grundpfeiler jedes erfolgreichen Unternehmens. Hier bieten wir Ihnen essenzielle und aktuelle Informationen zu diesen kritischen Themen: „Neueste Entwicklungen im Bereich Informationssicherheit“, „praxisnahe Interpretationen von Datenschutzrichtlinien“, „Aufklärung über aufkommende Compliance-Risiken“, „Strategien zur Sensibilisierung Ihrer Mitarbeiter“.

OS-Plattform: Eine Info von Marcus Valentin-HermsEin Beitrag von Marcus Valentin-Herms | 25.03.2025

Die Pflicht auf Streitbeilegung hinzuweisen bleibt trotz

Abschaltung der OS-Plattform

Die OS-Plattform (Online-Streitbeilegungsplattform) wurde von der Europäischen Kommission entwickelt, um Verbrauchern und Unternehmen eine zentrale Anlaufstelle zur außergerichtlichen Beilegung von Streitigkeiten im Online-Handel zu bieten. Sie diente insbesondere dazu, Konflikte aus grenzüberschreitenden Online-Kauf- und Dienstleistungsverträgen effizient und ohne den Rechtsweg zu lösen.

Die drei Hauptfunktionen der OS-Plattform waren dabei: 1. Die Kontaktaufnahme – Verbraucher konnten über ein Online-Formular Kontakt mit Händlern oder Dienstleistern aufnehmen, um eine Lösung für Streitigkeiten zu finden; 2. Weiterleitung von Beschwerden – Beschwerden wurden an eine alternative Streitbeilegungsstelle (ADR) weitergeleitet, die für die jeweilige Streitigkeit zuständig war; 3. Informationspflicht – Händler und Dienstleister mussten auf ihrer Website und in den AGB auf die Plattform hinweisen und einen „klickbaren“ Link bereitstellen.

Es gilt Folgendes zu beachten (Stichtag: 20. Juli 2025)

  1. Bis zum 20. Juli 2025 muss der Link zur OS-Plattform im Impressum und anderen relevanten Stellen beibehalten werden, auch wenn ab dem 20. März 2025 keine neuen Beschwerden mehr angenommen werden.
  2. Ab dem 20. Juli 2025 muss jeglicher Hinweis auf die OS-Plattform von Websites, Impressum, AGB, E-Mail-Signaturen und anderen Stellen entfernt werden.
  3. Unabhängig von der Abschaltung der OS-Plattform bleiben die allgemeinen Informationspflichten zur Verbraucherstreitbeilegung bestehen.
Link zur OS-Plattform bis 20. Juli 2025 beibehalten

Quishing: Ein Beitrag von Guido KerbstiesEin Beitrag von Marcus Valentin-Herms | 07.03.2025

Die elektronische Patientenakte (ePA)

Datenschutz, Sicherheit und Transparenz. Fehlanzeige?

Datenschutz

Es beginnt schon etwas kurios:
Bei Newslettern wird das Double-Opt-in-Verfahren empfohlen, obwohl es sich „lediglich“ um Ihre E-Mail-Adresse handelt. Dieses zweistufige Verfahren stellt sicher, dass Ihre E-Mail-Adresse tatsächlich Ihnen gehört und Sie dem Empfang zugestimmt haben. Es dient primär dem Schutz vor Missbrauch und als Nachweis Ihrer Einwilligung. Die elektronische Patientenakte (kurz: ePA) hingegen, die erheblich sensiblere Daten (nämlich Ihre Gesundheitsdaten) enthält, soll im Opt-out-Verfahren eingeführt werden. Das bedeutet, dass alle gesetzlich Versicherten automatisch eine ePA erhalten, sofern sie nicht aktiv widersprechen.

Wenn Sie also nichts tun, dann erhalten Sie auch keinen Newsletter. Gut. Wenn Sie bei der ePA nichts tun, dann werden Ihre Gesundheitsdaten einfach mal so verarbeitet. Nicht gut. Befunde, Diagnosen und Therapiemaßnahmen finden sich ebenso wie Arztbriefe, elektronische Medikationspläne und Notfalldatensätze. Zusätzliche Dokumente wie elektronisches Zahn-Bonusheft, Untersuchungsheft für Kinder, Mutterpass und Impfdokumentation werden ebenfalls in der ePA verwaltet.

Auch automatische Übermittlungen Ihrer Daten finden statt. So werden Leistungsdaten (z. B. Abrechnungsdaten) automatisch von der Krankenkasse übermittelt. Ebenso werden Verordnungs- und Dispensierdaten von elektronischen Rezepten automatisch in eine elektronische Medikationsliste (eML) überführt. Haben Sie hier noch die Kontrolle?

Sicherheit

Der Abschlussbericht zur Sicherheitsanalyse der elektronischen Patientenakte (ePA)1 zeigt, dass das System grundsätzlich eine solide Sicherheitsarchitektur besitzt, aber dennoch einige Schwachstellen aufweist, die adressiert werden müssen.

Die Sicherheitsbedenken lassen sich in folgende Hauptkategorien einteilen: Technische Schwachstellen (Unbefugter Zugriff auf Daten, Schwachstellen in der Verschlüsselung, Angriffe auf Schnittstellen und Geräte); Organisatorische Schwächen (Rollentrennung und Zugriffsrechte, mangelnde Sicherheitsprozesse, zeitliche Verzögerungen bei Sicherheitsmaßnahmen); Datenschutzrisiken (Metadatenanalyse, Missbrauch von Opt-Out-Verfahren). Klingt das vertrauenswürdig?

Transparenz

Eine Flut an Informationen haben Patienten (Versicherte) durch unterschiedliche Medien erhalten. Im Prozess der Einführung der elektronischen Patientenakte finden wir eine Reihe von Beteiligten. Ob dieser Prozess am Ende für alle Beteiligten transparent ist, bleibt eine Frage der individuellen Ansicht.

Äußerungen über Zweifel am Zeitplan und der Transparenz werden laut. Die Kassenärztlichen Vereinigungen mehrerer Bundesländer fordern mehr Zeit für die ePA-Testphase vor bundesweitem Start2. Der Chaos Computer Club (CCC) äußerte sich bereits zu Sicherheitslücken und schloss sich nun einem offenen Brief von 28 Organisationen an Bundesgesundheitsminister Karl Lauterbach an3. Darin werden fünf Schritte gefordert, um Vertrauen in die ePA herzustellen, darunter transparente Kommunikation und eine unabhängige Sicherheitsbewertung.

Fazit

Die gematik GmbH stellt auf ihrer Webseite zahlreiche Informationen bereit, die den Versicherten einen umfassenden Überblick bieten können. Die gesetzlichen Krankenkassen präsentieren auf ihren Webseiten Apps, mit denen Patienten die Kontrolle über ihre Gesundheitsdaten behalten können
(z. B. welche Informationen mit welchem Arzt geteilt werden sollen).

Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt bestätigt im „Abschlussbericht Sicherheitsanalyse des Gesamtsystems ePA für alle“1, dass noch weitere Maßnahmen erforderlich sind, um die Sicherheit zu gewährleisten. Der Chaos Computer Club (CCC) äußerte erhebliche Bedenken hinsichtlich der Sicherheit der ePA. Ich stelle hingegen die Frage nach der tatsächlichen Transparenz des gesamten Prozesses.

Mein Fazit lautet: Wenn schon eine Opt-out-Lösung eingeführt wird, dann bitte mit klarer und unmissverständlicher Kommunikation, ausreichend Zeit für Information und Sicherheit sowie einer uneingeschränkten Datenkontrolle durch die Patienten selbst.


___
1) https://www.gematik.de/media/gematik/Medien/ePA_fuer_alle/Abschlussbericht_Sicherheitsanalyse_ePA_fuer_alle_Frauenhofer_SIT.pdf
2) https://www.kvb.de/ueber-uns/pressearbeit/20022025
3) https://www.ccc.de/en/updates/2025/epa-transparenz

Quishing: Ein Beitrag von Guido KerbstiesEin Beitrag von Guido Kerbsties | 24.02.2024

Sie können mit dem Begriff Quishing nichts anfangen?
Phishing dürfte Ihnen allgemein bekannt sein. „Über gefälschte E-Mails möchte man an Ihre persönlichen Daten gelangen. In Ihrem Namen einkaufen, oder gleich Ihre gesamte Identität stehlen.“ – Phishing selbst hat sich aber schon weiterentwickelt. „Neben den zahlreichen Phishing-E-Mails, die uns täglich begegnen, sind es nun auch noch QR-Codes, die Sie auf Seiten mit böswilligen Absichten führen.“ Dies nennt sich Quishing (QR-Code-Phishing). Diese Art des „modernen“ Phishings ist besonders gefährlich, da QR-Codes auch auf gut gefälschten (täuschend echten) Dokumenten (zum Beispiel auf Bank- und Behördenbriefen) abgedruckt sein können. Aber nicht nur dort…

QR-Codes: Raffinierte Köder im digitalen Angriffsarsenal – So schützen Sie sich!

Sie dachten, Sie kennen alle Tricks der Cyberkriminellen? Dann sollten Sie sich schleunigst mit „Quishing“ vertraut machen – einer besonders ausgeklügelten Bedrohung für Ihre digitale Sicherheit. Quishing, eine clevere Verschmelzung von „QR-Code“ und „Phishing“, ist ein ausgeklügelter Schachzug im Repertoire der Online-Betrüger. Während klassisches Phishing auf gefälschte E-Mails setzt, nutzt Quishing die Allgegenwärtigkeit und vermeintliche Harmlosigkeit von QR-Codes aus, um an Ihre Daten zu gelangen.

Im Fadenkreuz der Cyberkriminellen

„QR-Codes sind praktisch und allgegenwärtig – doch genau das macht sie zur perfekten Waffe für Cyberkriminelle.“ – Mit einem einzigen Scan können Sie in eine gut getarnte Falle tappen. Die Gefahr lauert überall: an Parkautomaten, in E-Mails, auf Flyern oder sogar auf offiziell wirkenden Dokumenten.

Ein Fallbeispiel
In mehreren deutschen Städten wurden gefälschte QR-Codes auf Parkautomaten entdeckt. Diese täuschend echten Codes, versehen mit dem Logo des Parkdienstleisters EasyPark, führten arglose Nutzer auf eine Fake-Website. Dort wurden sie zur Eingabe sensibler Kreditkarteninformationen verleitet – ein potenziell kostspieliger Fehltritt.

Quishing zeigt eindrucksvoll, wie kreativ Cyberkriminelle werden, um an Ihre Daten zu gelangen. In unserer zunehmend digitalisierten Welt ist Wachsamkeit der beste Schutz. Bleiben Sie informiert, bleiben Sie geschützt – Ihre digitale Sicherheit liegt uns am Herzen.

Wie können Sie sich schützen?
Seien Sie misstrauisch:
Hinterfragen Sie jeden QR-Code, bevor Sie ihn scannen.
Prüfen Sie die Quelle:
Stammt der Code wirklich von der angegebenen Organisation
Nutzen Sie offizielle Apps:
Verwenden Sie bei Diensten wie Parken immer die offiziellen Apps der Anbieter.
Achten Sie auf Anzeichen von Manipulation:
Sieht der QR-Code wie ein nachträglich angebrachter Aufkleber aus?
Geben Sie niemals sensible Daten preis:
Seriöse Dienste werden Sie nie nach Kreditkarteninformationen über einen QR-Code fragen.

IT-Sicherheit und Best Practices: Ein Beitrag von Marcus Valentin-HermsEin Beitrag von Marcus Valentin-Herms | 24.01.2024

IT-Sicherheit in Unternehmen

Anforderungen, Umsetzung und Best Practices

Erfolgskritische IT-Security-Schutzbereiche
Für ein umfassendes Sicherheitskonzept müssen Unternehmen verschiedene Schutzbereiche berücksichtigen:

  • Netzwerksicherheit
  • Endgeräteschutz
  • Datensicherheit und Verschlüsselung
  • Identitäts- und Zugriffsmanagement
  • Schwachstellenmanagement
  • Incident Response und Notfallmanagement

NIS-2: Neue Anforderungen an die Cybersicherheit
Die NIS-2-Richtlinie der EU stellt erhöhte Anforderungen an die Cybersicherheit von Unternehmen. Ein zentraler Aspekt ist der Aufbau einer effektiven Meldekette für Sicherheitsvorfälle. Unternehmen müssen:

  • Klare Verantwortlichkeiten definieren
  • Prozesse zur schnellen Erkennung und Meldung von Vorfällen etablieren
  • Regelmäßige Übungen zur Überprüfung der Meldekette durchführen

IT-Sicherheits-Assessment: Inhalt und Ablauf
Ein IT-Sicherheits-Assessment hilft Unternehmen, den aktuellen Stand ihrer Sicherheitsmaßnahmen zu evaluieren. Typische Schritte umfassen:

  • Bestandsaufnahme der IT-Infrastruktur und -Prozesse
  • Risikoanalyse und Bewertung von Schwachstellen
  • Überprüfung bestehender Sicherheitsmaßnahmen
  • Erstellung eines Berichts mit Handlungsempfehlungen
  • Entwicklung eines Maßnahmenplans zur Verbesserung der IT-Sicherheit

Aufbau operativer Resilienz
Die Anforderungen von NIS-2, CRA (Cyber Resilience Act) und DORA (Digital Operational Resilience Act) zielen darauf ab, die operative Resilienz von Unternehmen zu stärken. Wichtige Aspekte sind:

  • Implementierung robuster Business Continuity Management (BCM) Prozesse
  • Regelmäßige Durchführung von Notfallübungen und Simulationen
  • Aufbau redundanter Systeme und Datenbackups
  • Entwicklung einer Cybersecurity-Strategie, die Prävention, Detektion und Reaktion umfasst

Standards als Basis der IT-Security Compliance
Anerkannte Standards bieten eine solide Grundlage für die Umsetzung von IT-Sicherheitsmaßnahmen:

  • ISO 27001: Internationaler Standard für Informationssicherheits-Managementsysteme
  • BSI IT-Grundschutz: Umfassender Leitfaden des Bundesamts für Sicherheit in der Informationstechnik
  • VdS 10.000: Richtlinien für Informationssicherheit in kleinen und mittleren Unternehmen

Technische und organisatorische Maßnahmen (TOM)
Ein effektives IT-Sicherheitskonzept basiert auf einer Kombination technischer und organisatorischer Maßnahmen:

  • Implementierung von Firewalls und Intrusion Detection Systemen
  • Regelmäßige Sicherheitsupdates und Patch-Management
  • Verschlüsselung sensibler Daten
  • Schulung und Sensibilisierung der Mitarbeiter
  • Zugriffskontrollen und Berechtigungsmanagement
  • Erstellung und regelmäßige Aktualisierung von IT-Sicherheitsrichtlinien

IT-Sicherheit und Best Practices: Ein Beitrag von Marcus Valentin-HermsDer nächste Beitrag folgt in Kürze

Doppelte Expertise: MDS.LEGAL und JMC.LEGAL | Rechtsanwälte

Nach oben scrollen