DATENSCHUTZ NEWSLETTER

Liebe Kund*innen und Abonnent*innen des Newsletters,

ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:

Schadenersatz nach Hacking von E-Mailkonten
Datenschutz in den Koalitionsverhandlungen
Mitarbeiterschulungen zu künstlicher Intelligenz
Aktuelles aus dem Datenschutz

1. Schadenersatz nach Hacking von E-Mailkonten

Das OLG Schleswig-Holstein hat vor Weihnachten mit dem Urteil 12 U 9/14 den Fall behandelt, den ich im letzten Jahr ein dutzend Mal auf dem Tisch hatte. Eine Firma, bzw. ein E-Mailaccount von Mitarbeiter:innen wird gehackt, und niemand merkt es. Die Hacker beobachten das Konto über einen längeren Zeitraum. Dann klinken sie sich in ein Geschäft ein und manipulieren eine Rechnung. Die gefälschte Rechnung wird beim Empfänger nicht als solche erkannt und dieser zahlt auf das Konto der Hacker. Das Geld ist dann weg.

Rein rechtlich, und auch weiter unbestritten, ist es so, dass diese Zahlung keine Erfüllung der Forderung darstellt, da die Zahlung nicht an das richtige Unternehmen ging. Damit kann das Unternehmen die Erfüllung der Forderung weiter fordern und der Schaden liegt bei der Firma, die die gefälschte Rechnung nicht erkannt und beglichen hat.

Hiergegen hat sich eine betroffene Firma gewährt. Das OLG Schleswig-Holstein hat nun den Datenschutz und die DS-GVO herangezogen und entschieden, dass der Versender der E-Mail bei sensiblen Dokumenten, hierzu gehören auch Rechnungen größer Beträge, es technisch sicherstellen muss, dass diese Rechnung unverfälscht beim Empfänger ankommen. Der Empfänger hat keine Sorgfaltspflicht prüfen zu müssen, ob das Bankkonto in der Rechnung richtig ist oder diese, sofern es nicht offensichtlich ist, verfälscht wurde. Es steht ihm vom Verursacher Schadenersatz aus Art. 82 Abs. 2 DS-GVO zu. Verursacher ist nach DS-GVO die verantwortliche Stelle. Damit hat dann der Versender der Rechnung den Schaden. Ihn trifft die Rechenschaftspflicht nachzuweisen, dass er ausreichende Maßnahmen zum sicheren Versand der Rechnung getroffen hat. Kann er das nicht nachweisen, haftet er für den Schaden.

Und an dieser Stelle wird es in der Praxis sehr kompliziert. In den meisten Fällen befinden sich mehrere Person in einem solchen E-Mailverkehr, nämlich das Unternehmen A, das Unternehmen B und noch dritte Personen, wie Vermittler. Den Schadenersatz muss leisten, wer die Ursache herbeiführt, also das Unternehmen oder die Person, die gehackt wurde und es nicht bemerkt hat. Das kann jeder im E-Mailverkehr sein: Unternehmen A, Unternehmen B oder ein Vermittler. Frage ist also: Wie weißt man nach, wer gehackt wurde? Und hier liegt das Problem. Alle werden sagen: "Ich war es nicht!" Und es gibt keine rechtlichen Möglichkeiten Logfiles der anderen Unternehmen zu bekommen oder diese prüfen zu lassen. Und dann gilt der Grundsatz der DS-GVO, dass das verantwortliche Unternehmen, die Firma A, die die die Rechnung verschickt hat, nachweisen muss, dass sie nicht ursächlich für die Verfälschung der Rechnung ist. Das ist aber nicht möglich, weil es einen solchen absoluten Nachweis nicht gibt. Die falsche Rechnung geht zum Beispiel direkt von Firma A an Firma B. Das würde bedeuten, dass der Account von Firma A gehackt wurde. Es kann aber genauso gut sein, dass der Empfänger, Firma B, gehackt wurde. Die E-Mail kommt dort an. Bevor der Mitarbeiter sie sieht, löscht der Hacker die Mail und importiert stattdessen eine gleiche Mail mit gefälschter Rechnung. Und Firma B sagt dann, es war Firma A. Wie soll Firma A sich entlasten? Oder der Vermittler wird gehackt, die falsche Rechnung kommt über eine Spoofing-Domain. Theoretisch könnte jeder Beteiligte gehackt sein, wenn das passiert. Alle sagen dann: "Nein, ich war es nicht!" Firma A muss sich entlasten, kann es aber nicht, auch wenn der Vermittler die Sicherheitslücke hatte. Der Schaden bleibt also immer bei dem Unternehmen, dass die Rechnung stellt und verschickt, egal ob es gehackt wurde oder jemand anderes. Ich habe Fragen bei diesem Urteil. Es ist grundsätzlich richtig, dass derjenige, der den Schaden verursacht, auch die Haftung hat, aber es muss natürlich auch feststellbar sein, wer es war. Und wer es nicht war, der muss auch eine tatsächliche Möglichkeit haben, sich entlasten zu können. In dieser Form macht das ganze keinen Sinn. Ich bin gespannt, ob der Fall vor den BGH kommt.

2. Datenschutz in den Koalitionsverhandlungen

CDU und SPD sind beide keine großen Fans von Datenschutz und Informationsfreiheit. Das ist bekannt. Es wird nun in den Koalitionsverhandlungen geplant, dass die Datenschutz-behörden der Länder zentralisiert werden sollen. Mit anderen Worten: Die Landesdaten-schutzbehörden werden abgeschafft und es gibt nur noch eine Bundesbehörde für Datenschutz. Dagegen laufen die Landesdatenschutzbehörden Sturm. Und das auch zurecht. Es ist keine Frage von weniger Bürokratie und mehr Effizienz. Die dezentrale Aufsicht ist richtig und wichtig. Die Behörden tun noch einiges mehr als nur Datenschutzpannen bearbeiten. Sie beraten vor allem auch, und sie sind Ansprechpartner lokaler Unternehmen und Behörden. Seitens der lokalen Datenschutzbehörden gibt es daher einen Gegenvorschlag mit drei Punkten: Eine zentrale Zuständigkeit für Forschung und für Unternehmen mit Standorten in mehreren Bundesländern. Mehr Effizienz durch die Ausweitung eines Eine-für-Alle-Prinzips (EfA) auf die Datenschutzbehörden. Die Prüfergebnisse einer Landesbehörde binden alle Behörden. Und die Datenschutzbehörden wünschen sich eine Stärkung der Datenschutzkonferenz (DSK), die als Institution verankert als auch ein Entscheidungsgremium werden soll. Gerade letzteres täte in meinen Augen sehr viel Sinn machen.

Neben diesen Plänen hat die CDU vorgeschlagen das Informationsfreiheitsgesetz abzuschaffen. Anders als beim Datenschutz geht es hier nicht um personenbezogene Daten, sondern um Transparenz in der Arbeit von Behörden und Politik. Der Ansatz hat eine gewisse Ironie: Leiter der Verhandlungsgruppe, die auf diese Idee kam, war der CDU-Politiker Philip Amthor. Dieser geriet im Mai 2023 in die so genannte Augustus-Intelligence-Affäre. Die Affäre wurde damals mit Hilfe des Informationsfreiheitsgesetzes aufgedeckt. Mit anderen Worten: Herr Amthor will jetzt das Gesetz abschaffen, dass ihm zum Verhängnis wurde. Für mich hat das einen ordentlichen Beigeschmack. Wir leben in sehr seltsamen Zeiten, wo Politik offensichtlich meint, dass man dem Souverän keine Transparenz, also Rechenschaft, schuldet.

3. Mitarbeiterschulungen zu Künstlicher Intelligenz

Das Thema ist bei meinen Kunden immer wieder auf der Agenda, da derzeit hierzu viel in Medien berichtet wird. Eine unmittelbare Pflicht zu solchen Schulungen aus dem EU-AI Act besteht nicht. Artikel 5 der Verordnung ist relativ weich gefasst. Vielmehr ist jedes Unternehmen in der Pflicht dafür Sorge zu tragen, dass im Unternehmen gesetzliche Vorschriften und Compliance umgesetzt werden. Das betrifft drei Fälle. Fall 1 wäre ein Unternehmen, welches Künstliche Intelligenz herstellt/anbietet. Dass die Mitarbeiter dort auch dafür geschult sein müssen, versteht sich von selbst. Fall 2: Unternehmen, die Hochrisiko-KI nutzen. Also Unternehmen, die KI zur Verarbeitung von sensiblen personenbezogenen Daten, Beurteilungen, Bewertungen, Biometrie oder auf Feldern einsetzen, wo ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Wenn man sowas tut, muss man spezielle Vorschriften einhalten und natürlich auch seine Mitarbeiter:innen dafür schulen. Fall 3: Für alle sonstigen Unternehmen gilt nur eine einzige Regel, nämlich: Keine personenbezogenen Daten in KI eingeben. Tut man das nicht, kann man KI beliebig nutzen. Eine Schulung ist dafür nicht verpflichtend notwendig.

Nicht verpflichtend notwendig heißt aber nicht, dass Schulungen zu KI nicht sinnvoll sind, wenn man sie nutzen will. Auch wenn keine personenbezogenen Daten verarbeitet werden und es sich nicht um Hochrisiko-KI handelt, kann man versehentlich Urheberrechte oder Persönlichkeitsrechte anderer verletzten bzw. damit Ergebnisse erzielen, die in verschiedener Form einen Schaden für das Unternehmen bewirken. Mit KI ist es wie mit allen Dingen: Nimmt man es sich als Arbeitsmittel zur Hilfe und weiß nicht, wie es funktioniert und was es macht, dann macht man damit unter Umständen "etwas Dummes". Fazit ist also: Niemals personenbezogene Daten in eine KI geben. Ansonsten sind Schulungen zur Nutzung nicht verpflichtend, aber sie sind schon sinnvoll, weil KI durchaus auch falsche Ergebnisse liefern kann.

4. Aktuelles aus dem Datenschutz

Ich möchte diesem Teil mit diesem Thema starten: Donald Trump hat angeordnet, und das Pentagon hat es umgesetzt, dass die Cyberabwehr und Cyberschutzmaßnahmen gegen Russland eingestellt werden. Das beunruhigt mich zu tiefst. In meinen Augen eine verantwortungslose Handlung, die nicht nur Auswirkungen auf die USA haben wird. Wir müssen uns auf deutlich mehr Cyberangriffe und Hybride Kriegsführung als bisher einstellen. Cyberschutz- und Angriffsabwehrmaßnahmen sind so wichtig wie nie zuvor. Dieses schließt auch Intrusion-Abwehr ein. Wenn dieses jetzt etwas dramatisch klingt: Es ist dramatisch und darf nicht unterschätzt werden!

Alles kann gehackt werden, auch die Rewe App beim Einkaufen. Vielleicht nutzt der ein oder andere von Ihnen die Vorteile der App, wenn man bei Rewe einkauft. Aus dem Einkauf geht ein Guthaben auf die App, das bei den nächsten Einkäufen genutzt werden kann. Es ist möglich mit einem Partner gemeinsam Guthaben zu sammeln. Genau letztere Funktion wird von den Hackern genutzt, um die App zu missbrauchen. Man verbindet sich mit einem Konto als Partner, geht dann einkaufen und nutzt das Guthaben auf diesem Konto. Laut Rewe gibt es keine Sicherheitslücke. Das Einloggen passiert durch schwache Passwörter die mit Brutforce-Methoden geknackt werden. Also auch bei einem Rewe Konto sollte man ein starkes Passwort wählen. Ansonsten klauen einem Hacker das Guthaben.

Die Niedersächsische Datenschutzaufsicht teilt mit, dass man sich an einer europaweiten Prüfaktion beteiligt. Unter der Koordination der EDSA (Europäische Datenschutzaufsicht) gucken sich 32 Aufsichtsbehörden in verschiedenen Ländern der EU die Umsetzung des Rechts auf Löschung an. Ein Recht auf "digitales Vergessenwerden" ist eines der Grundprinzipien der DS-GVO. Doch halten die Unternehmen und Behörden das auch ein? Das wollen unsere Aufsichtsbehörden näher herausfinden. Ich bin auf das Ergebnis gespannt und habe so eine Ahnung, dass es nur mittelmäßig gut ausfallen wird.

Google schickt eine Information zu seinem Produkt Chromecast. Dieses sind Wireless-Dongles, die man zum Beispiel an einen Fernseher anschließt, um dorthin ein Bild von seinem Smartphone zu übertragen. Chromecast-Geräte der 2. Generation haben eine Funktionsstörung. Ich habe so ein Gerät und auch die Funktionsstörung. Interessant ist aber, dass es gar keine Updates vorher gab. Die Updates müssen also automatisch erfolgen, ohne dass man als Endverbraucher irgendeine Information hierzu bekommt. Und ohne, dass man selbst über Updates entscheiden oder etwas rückgängig machen kann. Ich frage mich, was Google noch so automatisch macht, ohne dass die Endverbraucher informiert werden.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik), hat einen seiner Newsletter überarbeitet. Interessant sind aber vor allem die Inhalte. Zwei Jahre zurück hätte man vor allem über Phishing und Sicherheitslücken gesprochen. Nun finden sich da folgende Themen: "Was digitale Gewalt so gefährlich macht", "Wie man sich vor Love-Scam schützen kann", Sextortion unter Jugendlichen nimmt zu" und "Täuschend echte Promi-Videos." Das ist sehr bemerkenswert und macht deutlich, wie sehr sich das Bedrohungsszenario verschoben hat. Immer mehr stehen psychosoziale Risiken im Mittelpunkt.

Ich möchte abschließend nochmal das Thema Passkeys ansprechen. Man kann sagen, dass Passwörter langsam an Bedeutung verlieren und das sichere Einloggen immer mehr über Passkeys erfolgt. Die Passkeys sind auch deutlich komfortabler. Nutzen sie diese unbedingt immer, wenn es möglich ist bzw. vom Anbieter zur Verfügung gestellt wird.

Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren.

Eigentlich wollte ich das Thema Barrierefreiheit im Internet behandeln. Das neue Barrierefreiheitsststärkungsgesetz (BFSG), das im Sommer in Kraft tritt, und BITV 2.0 kommt dann im nächsten Newsletter. Es ist auch ein sehr spannendes Thema.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter

Ich möchte mich vom Newsletter abmelden. Ich habe Fragen zu meinen Rechten und möchte die Datenschutzerklärung lesen. Ich weiß nicht, warum ich diese E-Mail bekomme oder möchte dem Absender eine Nachricht schicken.

Der Verfasser ist IT-Sicherheitsbeauftragter (ISB) sowie Datenschutzbeauftragter (DSB) und führt die Befähigung nach Artikel 37 DS-GVO sowie § 38 BDSG. Im Rahmen der Dienstverhältnisse mit Kunden besteht für die Richtigkeit der im Newsletter gemachten Aussagen eine Haftung gemäß den vertraglichen Vereinbarungen. Eine Haftung für sonstige Abonnent*innen des Newsletters, die kein Dienstverhältnis mit dem Verfasser haben, wird ausgeschlossen. Es wird darauf hingewiesen, dass der Newsletter sich auf die Rechtslage im Sinne des Datenschutzes bezieht. Sachverhalte können im Sinne des Datenschutzes rechtskonform sein, jedoch trotzdem gegen andere Rechtsnormen verstoßen und aufgrund dieser nicht erlaubt sein. Der Newsletter beinhaltet allgemeine Information und stellt keine Rechtsberatung dar.

IMPRESSUM:

Tobias Lange - Unternehmensberater

Externer Datenschutzbeauftragter (DSB)
Informationssicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de