Cyberangriffe per E-Mail

Nach wie vor lĂ€uft die meiste geschĂ€ftliche Kommunikation mit internen und externen Partnern per E-Mail ab. Damit ist es ein beliebtes Ziel fĂŒr Kriminelle. Mit Cyberangriffen versuchen sie von ihren Opfern wertvolle Informationen zu erhalten. Dem versucht das Bayerische Landesamt fĂŒr Datenschutzaufsicht (BayLDA) entgegenzuwirken, indem es auch die Absicherung von E-Mail-Accounts großflĂ€chig in Bayern kontrollieren will.

Read more

Update: EDSA nimmt Stellung zum Trans-Atlantic Data Privacy Framework

Der EuropĂ€ische Datenschutzausschuss (EDSA) hat eine Stellungnahme zum Entwurf eines Angemessenheitsbeschlusses fĂŒr das Trans-Atlantic Data Privacy Framework veröffentlicht. Darin werden die wesentlichen Verbesserungen, wie die EinfĂŒhrung von Anforderungen an Notwendigkeit und VerhĂ€ltnismĂ€ĂŸigkeit fĂŒr die Datenerhebung, befĂŒrwortet. Kritisiert wird jedoch weiterhin das Festhalten am Instrument der MassenĂŒberwachung und die fehlende Transparenz im Rechtschutzverfahren. Der endgĂŒltige Angemessenheitsbeschluss muss noch erlassen werden und wĂŒrde die dringend benötigte Rechtssicherheit schaffen. Der Leitgedanke der Vereinbarung bleibt weiterhin ein der EU gleichwertiges Datenschutzniveau bei der DatenĂŒbermittlung in die USA sicherzustellen.

In einer Pressemitteilung Ă€ußerte sich der Bundesbeauftragte fĂŒr den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber wie folgt:

Wir sehen den Willen, ein angemessenes Schutzniveau fĂŒr Betroffene, deren personenbezogenen Daten an Unternehmen in die USAÂ ĂŒbermittelt werden, zu schaffen. Deutliche Fortschritte gibt es insbesondere im Bereich des Government Access fĂŒr Zwecke der nationalen Sicherheit. Bedenken haben wir, ob die neuen Regelungen in allen Punkten ein Schutzniveau gewĂ€hrleisten, das den EU-Datenschutzstandards der Sache nach gleichwertig ist.

 

Foto von Hunter Harritt auf Unsplash

DSGVO-Bußgeld: Wie teuer kann es werden?

Wir hatten kĂŒrzlich darĂŒber berichtet, dass die von Aufsichtsbehörden verhĂ€ngten Bußgelder wegen DatenschutzverstĂ¶ĂŸen tendenziell steigen. Zur Wahrheit gehört jedoch auch, dass die extrem hohen Strafen, welche dann auch in der Medienberichterstattung landen, meist Tech-Giganten wie Google, Meta (Facebook) oder Amazon treffen. In unserer Beratungspraxis fragen Mandanten oft nach einer individuellen RisikoeinschĂ€tzung: Wie hoch könnte ein Bußgeld fĂŒr einen ganz konkreten Verstoß ausfallen? Diese Frage lĂ€sst sich jedoch kaum seriös beantworten, hĂ€ngt die Bemessung der Strafe doch von zu vielen verschiedenen Faktoren hat. Einen “Bußgeldkatalog” wie beim “Zu-schnell-Fahren” gibt es nicht. Wir möchten dennoch versuchen, anhand von einigen Bußgeldern, die von den deutschen Behörden verhĂ€ngt wurden, das Spektrum aufzuzeigen. 

Insgesamt wurden in Deutschland seit Geltung der DSGVO 329 Bußgelder verhĂ€ngt. Europaweit sind es 2.427 solcher Strafen. Ein Großteil der in Deutschland verhĂ€ngten Bußgelder betrifft FĂ€lle unerlaubter Telefonwerbung (insbesondere durch Energieversorger und Telekommunikationsanbieter). HierfĂŒr wurden Bußgelder zwischen 5.000,00 und 300.000,00 Euro verhĂ€ngt, was die Bandbreite verdeutlicht. Erschreckend viele Bußgelder mussten gegen Polizistinnen und Polizisten wegen unberechtigter Datenbankabfragen verhĂ€ngt werden.

Unternehmen

Bußgeld

DSGVO-Verstoß

H&M Hennes & Mauritz Online Shop A.B. & Co. KG

35.258.708,00 Euro

Erfassung privater Informationen hunderter Mitarbeiter (“Bespitzelung”)

notebooksbilliger.de AG

10.400.000,00 Euro

UnrechtmĂ€ĂŸige VideoĂŒberwachung von Mitarbeitern und Kunden ĂŒber mindestens zwei Jahre

BREEBAU GmbH

1.900.000,00 Euro

Verarbeitung sensibler Daten von Mietinteressenten (z.B. Körpergeruch, Frisur) ohne Rechtsgrundlage

AOK Baden-WĂŒrttemberg

1.240.00,00 Euro

Nutzung der Daten von 500 Gewinnspielteilnehmern zu Werbezwecken ohne Rechtsgrundlage (hier: Einwilligung)

Hannoversche Volksbank

900.000,00 Euro

Auswertung von Kundendaten ohne Rechtsgrundlage

Unbekannt (produzierendes Gewerbe)

400.000,00 Euro

Aufzeichnung von Kundenanrufen ohne Einwilligung

Verschiedene Energieanbieter

5.000,00 bis 300.000,00 Euro

Telefonwerbung

Delivery Hero Germany GmbH

195.407,00 Euro

Mehrere VerstĂ¶ĂŸe, u.a. keine Löschung ehemaliger Kundendaten, unterwĂŒnschte Werbe-E-Mails

Finanzunternehmen

80.000,00 Euro

UnsachgemĂ€ĂŸe Entsorgung personenbezogener Daten

Online-Shop-Betreiber

65.500,00 Euro

Betrieb eines Online-Shops mit veralteter, unsicherer Version von xt:Commerce

Hamburger Verkehrsverbund GmbH

20.000,00 Euro

VerspÀtete Meldung einer Datenpanne

Knuddels GmbH & Co. KG

20.000,00 Euro

Hackerangriff, Verlust von Daten von 330.000 Nutzern wegen unzureichender Sicherheitsvorkehrungen

Kapitalgesellschaft

18.200,00 Euro

Auskunft an Betroffene mehrmals nicht erfĂŒllt

Unternehmen der Erwachsenenbildung

13.021,00 Euro

Fehlende Joint Controller Vereinbarung

Schwimmbad-Betreiber

12.000,00 Euro

Unerlaubte VideoĂŒberwachung, fehlender AV-Vertrag, keine Benennung eines Datenschutzbeauftragten

Rapidata GmbH

10.000,00 Euro

Fehlende Benennung eines Datenschutzbeauftragten

Labor

7.638,00 Euro

Keine DatenschutzerklĂ€rung, unrechtmĂ€ĂŸige Verwendung von Google Tools

Handel

1.200,00 Euro

Nichterteilung einer Auskunft

Verein

500,00 Euro

Versendung einer E-Mail an einen falschen Verteiler

BeschÀftigter eines Restaurants

250,00 Euro

Nutzung von Kontaktdaten (Corona-Kontaktverfolgung) zu privaten Zwecken

 

Rechtlicher Hintergrund

Den Rahmen fĂŒr die Höhe von Bußgeldern gibt Art. 83 Abs. 4 und 5 DSGVO vor: Die Höchstgrenze betrĂ€gt fĂŒr schwerwiegendere DatenschutzverstĂ¶ĂŸe 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatz des Unternehmens, je nach dem, welches der höhere (!) Betrag ist. Innerhalb des breiten Spektrums von null bis zu eben jener Höchstgrenze soll eine angemessene Strafe festgelegt werden. Bei der Zumessung des Betrages sind nach Art. 83 Abs. 2 Satz 2 DSGVO folgende Kriterien zu berĂŒcksichtigen:

  • Art, Schwere und Dauer des Verstoßes (insbesondere Art, Umfang, Zwecks der betreffenden Datenverarbeitung, Zahl der betroffenen Personen, Ausmaßes des Schadens);
  • VorsĂ€tzlichkeit oder FahrlĂ€ssigkeit des Verstoßes;
  • etwa ergriffene Maßnahmen zur Schadensminderung;
  • Grad der Verantwortung (insbesondere technische und organisatorische Maßnahmen);
  • etwaige frĂŒhere einschlĂ€gige VerstĂ¶ĂŸe des Unternehmens;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Kategorien der personenbezogenen Daten, die betroffen sind (je sensibler, desto schwerer wiegt der Verstoß);
  • Art und Weise, wie der Aufsichtsbehörde der Verstoß bekannt wurde (z.B. Selbstanzeige oder Fremdanzeige);
  • Einhaltung etwaiger vorher von der Behörde angeordneten Maßnahmen;
  • Einhaltung genehmigter Verhaltensregeln oder Zertifizierungsverfahren;
  • sonstige erschwerende oder mildernde UmstĂ€nde (z.B. durch den Verstoß erlangte finanzielle Vorteile).

Einerseits gibt die DSGVO den Behörden also einen recht konkreten Bemessungskatalog an die Hand. Andererseits bleibt dennoch ein erheblicher Ermessensspielraum, weshalb manche Entscheidungen auf den ersten Blick willkĂŒrlich erscheinen, auch weil es allein in Deutschland 17 zustĂ€ndige Aufsichtsbehörden gibt (eine fĂŒr jedes Bundesland, Bayern hat sogar zwei). Die an den oben genannten Beispielen verdeutlichte Bandbreite der BetrĂ€ge liegt angesichts der Vielzahl denkbarer Konstellationen und Fallgestaltungen auf der Hand. Um eine EU-weit einheitliche Bemessungspraxis herzustellen, hat der EuropĂ€ische Datenschutzausschuss (EDSA) im letzten Jahr Guidelines veröffentlicht, welche eine praktische Methodik festlegen. Diese hier zu erlĂ€utern, wĂŒrde den Rahmen sprengen.

 

Foto von Ibrahim Boran auf Unsplash

Countdown lÀuft: Umsetzungsfrist der neuen Standarddatenschutzklauseln endet

Die EU-Kommission hatte die neuen Standarddatenschutzklauseln (SCC) bereits im Juni letzten Jahres veröffentlicht. Die darin festgesetzte Frist zur Umsetzung der SCC in AltvertrĂ€gen endet in wenigen Tagen. Diese sollen das europĂ€ische Datenschutzniveau fĂŒr die Übertragung personenbezogener Daten in DrittlĂ€nder außerhalb der EU sicherstellen.

Read more

Update: Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework

Nachdem US-PrĂ€sident Joe Biden am 07.10.2022 ein Dekret fĂŒr ein neues Datenschutzabkommen zwischen den USA und der EU unterzeichnet hatte, erging nun der erwartete Angemessenheitsbeschluss der EU-Kommission. Darin stellte die Kommission fest, dass die USA ein der EU angemessenes Schutzniveau fĂŒr die DatenĂŒbermittlung sicherstellen könne. Unter anderem sollen US-Unternehmen kĂŒnftig verpflichtet werden, personenbezogene Daten nach der Übertragung zu löschen, wenn sie fĂŒr den Zweck, fĂŒr den sie erhoben wurden, nicht mehr erforderlich sind. Daneben sollen EU-BĂŒrger bei VerstĂ¶ĂŸen ihre Beschwerde gegenĂŒber einem neu geschaffenen US-Gericht fĂŒr Datenschutz erheben können. Dadurch soll ein effektiver Rechtsschutz fĂŒr EU-BĂŒrger und die sichere Übertragung von transatlantische Datenströme gefördert werden.

Der österreichische DatenschĂŒtzer Max Schrems, der mit seinem Vorgehen vor dem EuropĂ€ischen Gerichtshof das Privacy Shield Abkommen gekippt hatte, Ă€ußerte sich kritisch gegenĂŒber dem Entwurf:

Da sich der Entscheidungsentwurf auf die bereits bekannte Executive Order stĂŒtzt, glaube ich kaum, dass diese einer Anfechtung vor dem Gerichtshof standhalten wird. Die EuropĂ€ische Kommission scheint immer wieder Ă€hnliche Entscheidungen zu erlassen, die einen eklatanten Verstoß gegen unsere Grundrechte darstellen.

noyb [Datenschutzorganisation von Max Schrems] erwÀgt rechtliche Schritte.

 

Wie geht es weiter?

Die Kommission hat ihren Beschlussentwurf dem EuropĂ€ischen Datenschutzausschuss (EDSA) vorgelegt, um seine Zustimmung einzuholen. Nach Abschluss des Verfahrens kann der endgĂŒltige Angemessenheitsbeschluss erlassen werden. Das könnte bereits im FrĂŒhjahr 2023 geschehen.

 

Photo by Conny Schneider on Unsplash

 

Update: Google Ă€ußert sich zu Google Fonts

Anfang diesen Jahres hatte das Landgericht MĂŒnchen I einem Internetnutzer Schadensersatz zugesprochen, weil seine Daten durch die externe Einbindung von Google Fonts an Google Server in den USA ĂŒbermittelt wurden (wir hatten berichtet). Dieses Urteil nahmen einige zum Anlass, ein lukratives GeschĂ€ft mit Abmahnungen gegenĂŒber Website-Betreibern zu machen, die Google Fonts einsetzen. Zwischenzeitlich rollte eine regelrechte Abmahnwelle ĂŒber Deutschland und Österreich. Bis heute wenden sich Unternehmen an uns, die Post von AbmahnanwĂ€lten erhalten haben.

Nun Ă€ußert sich endlich auch der Tech-Gigant Google selbst in einem Blogbeitrag zu der Problematik.

In Anbetracht der jĂŒngsten Ereignisse und der Medienberichterstattung ĂŒber Google Fonts halten wir es fĂŒr notwendig, die folgende ErklĂ€rung abzugeben:

[…] Google respektiert die PrivatsphĂ€re des Einzelnen. Die Google Fonts-Web-API ist so konzipiert, dass die Erfassung, Speicherung und Verwendung von Daten auf das beschrĂ€nkt wird, was fĂŒr die effiziente Bereitstellung von Schriftarten und fĂŒr Nutzungsstatistiken erforderlich ist. Diese Daten werden sicher und getrennt von anderen Daten aufbewahrt. Google verwendet die von Google Fonts gesammelten Informationen nicht fĂŒr andere Zwecke und insbesondere nicht fĂŒr die Erstellung von Profilen von Endnutzern oder fĂŒr Werbung. Außerdem ist die Tatsache, dass die Server von Google notwendigerweise IP-Adressen erhalten, um Schriftarten zu ĂŒbertragen, keine Besonderheit von Google und entspricht der Funktionsweise des Internets.

Wenig ĂŒberraschend verteidigt Google das eigene GeschĂ€ftsmodell und stellt die IP-Übermittlung als rein technisch notwendigen Vorgang dar. An der rechtlichen WĂŒrdigung dĂŒrfte dieses Argument jedoch in einem hypothetischen Gerichtsverfahren wenig Ă€ndern, schlichtweg weil es eine einfache, datensparsame Alternative gibt: die lokale Speicherung der Schriftart.

Auf der anderen Seite: Was heißt “lokal”? Kein Unternehmen hostet seine Website auf eigenen Servern im Keller, sondern bei kommerziellen Hosting-Providern. Dazu kommt: Websites sind heute nicht mehr statische html-Skripte. Stattdessen sind sie aus einer Vielzahl verschiedener Inhalte unterschiedlichster Art von verschiedenen Anbietern zusammengesetzt (Fotos, Videos, Landkarten, Animationen, Chatfunktionen etc.). Dieser Content wird in aller Regel von externen Diensten bereitgestellt, sodass beim Aufruf fast jeder Website Datenverbindungen zu mehreren externen Servern aufgebaut werden. Wo lĂ€uft die Grenze zwischen “guten” und “bösen” Dienstleitern? Welche Datenverbindungen sind erforderlich und welche nicht? Es stellt sich hier die grundsĂ€tzliche Frage: Was fĂŒr ein Internet möchten wir? Welche Antwort die Politik und Gesetzgebung mittelfristig auf diese Frage findet, bleibt abzuwarten.

 

Photo by Brett Jordan on Unsplash