Fehlende #ITSicherheit bei der Support-Webseite der #BRAK für das besondere elektronische Anwaltspostfach (#beA): Was war gestern (28.09.2020) auf bea.brak.de los? Ein Thread mit einer ersten chronlogischen Übersicht (ohne Anspruch auf Vollständigkeit).
28.09.2020 – 12:52 Uhr: @Kanzlei_Delhey weißt daraufhin, dass die #beA-Supportseite nicht wie gewohnt erreichbar ist. Statt der üblichen Seite erscheint eine frisch aufgesetzte Wordpress-Instanz:
28.09.2020 – 13:15 Uhr: Die Wordpress-Instanz meldet „Fehler beim Aufbau einer Datenbankverbindung“. Möglicherweise, weil die zugehörige Datenbank gelöscht oder verschoben wurde:
28.09.2020 – 13:56 Uhr: Offenbar wurde Wordpress erneut auf dem Server installiert. Das Formular um die Seite einzurichten ist frei aus dem Internet aufrufbar. Eine Übernahme der Seite durch Dritte ist damit problemlos möglich:
28.09.2020 – 14:15 Uhr: Der Verdacht, dass nicht die #BRAK die Installation abgeschlossen hat, scheint sich zu bestätigen. Die Wordpress-Installation wird, wie @BenBremert bemerkt, für den öffentlichen Zugriff gesperrt:
28.09.2020 – 14:52 Uhr: @reg_nerd verweist darauf, dass das Problem über "Anfängerfehler" hinausgeht und offenbar, dass es kein "ordentliches Prozessmanagement" gibt:
Zum Sicherheitsproblem bei der Wordpress-Installation äußert sich die #BRAK nicht.
28.09.2020 – 19:13 Uhr: Spätestens seit diesem Zeitpunkt ist unter bea.brak.de eine statische Wartungsseite ereichbar, wie der Tweet von @KanzleiHoenig zeigt:
. Neben der höchst kreativen Stellungnahme der #BRAK durfte auch ich meine Einschätzung abgeben. Danke dafür.
30.09.2020 - 09:10 Uhr: Die #beA-Supportseite ist weiterhin offline. Die #BRAK hat außerdem den Hinweis auf die Seite unter brak.de gelöscht. Wer Unterstützung bei der Nutzung des beA sucht, findet die Seite aber im @internetarchive unter web.archive.org/web/*/https://….
30.09.2020 - 14:15 Uhr: Die Supportwebseite der #BRAK für das #beA ist seit über 48 Stunden nicht erreichbar. Weil die Erklärungen der BRAK zum Vorgang wenig überzeugend sind, habe ich jetzt via @fragdenstaat eine #IFG-Anfrage gestellt: fragdenstaat.de/a/198826#Anwaltspostfach
#SchremsII: Der Beschluss des VG Wiesbaden vom 01.12.2021 (Az. 6 L 738/21.WI) nach dem die Hochschule RheinMain auf ihrer Webseite den Dienst „Cookiebot“ nicht nutzen darf ist jetzt bei beck-online als BeckRS 2021, 37288 abrufbar (€). #DSGVO#Datenschutz
Erste Einschätzung👇
Ausgangspunkt des Verfahrens ist ein Antrag eines Nutzers, der sich nach eigener Angabe regelmäßig im Onlinekatalog der Hochschulbibliothek über Fachliteratur erkundigt. Dabei ist dem Nutzer aufgefallen, dass die Dienste „Google Tag Manager“ und „Cookiebot“ eingesetzt werden.
Er hat die Hochschule sodann zur Abgabe einer strafbewehrten Unterlassungsverpflichtung augefordert, die von der Hochschule jedoch abgelehnt wurden. Es folgte der Antrag auf einstweiligen Rechtsschutz beim VG Wiesbaden.
Meine erste Einschätzung: Schon die Überschrift stellt klar, dass mit Maßnahmen gegen Verantwortliche, die MS Office 365 einsetzen nicht zurechnen ist, zumindest nicht unter dem Gesichtspunkt Auftragsverarbeitung. Bei Drittstaatentransfers könnte es anders aussehen.
Vielleicht kann mal jemand vom @BSI_Bund bei der Bundesrechtsanwaltkammer #BRAK anrufen und dort erklären, wie man eine Wordpress-Installation für die Support-Seiten für sensible Infrastruktur maintained?
Das LG Hamburg hat mit Urteil vom 04.09.2020 (Az. 324 S 9/19) entschieden, dass ein Anspruch auf immateriellen Schadensersatz wegen einer #Datenschutz-verletzung eine "benennbar und insoweit tatsächliche Persönlichkeitsverletzung" erfordert. Volltext: rechtsprechung-hamburg.de/jportal/portal…
Das LG Hamburg schließt sich in seiner Entscheidung dem LG Karlsruhe (Urteil vom 02.08.2019, Az. 8 O 26/19) an und hält die Rechtsprechung des LG Düsseldorf (Urteil vom 05.03.2020, Az. 9 Ca 6557/18) zum #Schadensersatz bei unzureichender #Auskunft für nicht übertragbar.
Im vorliegenden Fall geht das LG Hamburg von einem Unterlassungsstreitwert von 3.000€ aus, wodurch sich auch die erstattungsfähigen Rechtsanwaltskosten deutlich reduziert. Das AG hatte einen Unterlassungsstreitwert von 9.000 € für angemessen erachtet.
Das @JM_NRW arbeitet derzeit eine einheitliche, softwarebasierte #Videokonferenztechnik für die Gerichte in #NRW zur Verfügung zustellen, "welche die Kommunikation mit externen Verfahrensbeteiligten ermöglicht und [...] Datenschutz und die Datensicherheit [...] genügt. #128aZPO