Hamburg, den 04. November 2022
DATENSCHUTZ NEWSLETTER
Liebe Kund*innen und Abonnent*innen des Newsletters,
ich freue mich, Ihnen eine weitere Ausgabe des Newsletters präsentieren zu dürfen und habe heute die folgenden Themen für Sie:
- BSI in der Kritik
- Schmerzensgeld für Identitätsdiebstahl
- Abmahnwelle Google Fonts
- Aktuelles aus dem Datenschutz
1. BSI in der Kritik
Der Präsident des BSI (Bundesamt für Sicherheit in der Informationstechnik) ist in die Kritik geraten und soll wegen Kontakten nach Russland ggf. abberufen werden. Inzwischen ist er auch abberufen worden. Wie richtig oder falsch das ist, kann ich nicht beurteilen. Es liegt mir auch fern darüber zu spekulieren. Vielmehr möchte ich hier auf etwas anderes hinweisen. Die Kritik am Präsidenten des BSI steht im Zusammenhang mit dem Cyber-Sicherheitsrat Deutschland. Diesen hatte der jetzige Präsident des BSI, Arne Schönbohm, einmal gegründet. Der Name des Vereins transferiert dabei das Programm: Zweck des Vereins ist die Cyber-Sicherheit in Deutschland. Arne Schönbohm trat aber vor einigen Jahren aus dem Vorstand des Vereins zurück und andere folgten. Gleichzeitig kamen immer mehr und neue Mitglieder dazu. Die Kontrolle darüber, wer dabei welche Interessen vertritt, ging verloren. So begann das Problem. Zum Beispiel wurde auch die Berliner Firma Protelion GmbH Mitglied im Verein Cyber-Sicherheitsrat Deutschland. Diese Firma wurde jetzt, im Zusammenhang mit der Abberufung von Schönbohm als BSI Präsident, aus dem Verein ausgeschlossen, weil Sie ggf. Spionage für Russland tätigen könnte. Ob dem so ist oder nicht, kann ich ebenso nicht beurteilen.
Ich möchte in dem Zusammenhang auf ein grundlegendes Dilemma hinweisen: Der Name, die Tätigkeit sowie die Zertifizierungen von Vereinen und Unternehmen sagen nichts darüber aus, welche Gesinnung und Motivation hinter den federführenden Personen steht. So kann man als IT-Sicherheitsfirma, mit Zertifikaten ohne Ende, auftreten, ohne dass das Ziel der tatsächlich bestmögliche Schutz der Kunden ist. Meistens sind wirtschaftliche Interessen größer als die Interessen effektive Schutzmaßnahmen zu bieten. Im schlimmsten Fall will der vermeintliche Partner für die IT-Sicherheit an geheime Daten seines Auftraggebers kommen. Es ist in diesem Markt also keinesfalls „alles Gold, was glänzt“. Wer wirklich schutzwürdige geheime Daten verarbeitet, der sollte bei der Wahl der Partner sehr vorsichtig sein und diese genau überprüfen. Es gibt sehr einfache effektive Möglichkeiten von Geheimnisverrat in solchen Geschäftsbeziehungen. Gängig ist z.B. das Zurverfügungstellen eines E-Mailservers als Sicherheitsmaßnahme. Die E-Mails eines Unternehmens werden dann bei der IT-Sicherheitsfirma auf deren Servern verarbeitet. Im Zweifelsfall kann dort dann jeder mit Zugriff auf diesen Server auch mitlesen. Ich stelle regelmäßig fest, dass sich Kunden um solche Details wenig Sorgen machen, weil das Bewusstsein dafür nicht vorhanden ist. Es kommen ein paar junge dynamische Menschen daher, erzählen was von IT-Bedrohungen und den effektiven Schutz davor zu haben, technisch versteht es keiner genau und man vertraut der Sache einfach, weil sich alles gut und schlüssig anhört. Mit Glück gibt es dann noch einen Auftragsverarbeitungsvertrag dazu. Das allein macht es aber auch nicht sicherer, denn wenn der Schaden da ist, hilft es nicht jemanden verklagen zu können, der dann insolvent ist.
Lange Rede, kurzer Sinn: Schauen Sie genau, wen Sie als Partner für IT-Sicherheit, und auch auf allen anderen Gebieten, ins Boot holen. Tolle Namen, kompetent klingendes Gerede und viele Zertifikate sind keine Garantie, dass ein Dienstleister wirklich ihre bestmöglichen Interessen vertreten will!
2. Schmerzensgeld für Identitätsdiebstahl
Es wird nach 4 Jahren DS-GVO definitiv interessanter und gefährlicher, wenn es um Datenpannen geht. Es entwickelt sich so langsam eine Rechtsprechung, die viele der bisher offenen Fragen klärt. Das Landgericht Zwickau hat jüngst ein Urteil erlassen, wonach Facebook-Nutzern, die von einer Datenpanne betroffen waren, ein Schmerzensgeld von EUR 1.000,00 zugesprochen wurde. Auch ein Urteil des LG München zu einem vergleichbaren Fall wurde jüngst final rechtskräftig. Hier wurde dem Kläger ein Schmerzensgeld von EUR 2.500,00 sowie die Erstattung aller zukünftig entstehenden Schäden aus einem Identitätsdiebstahl zugesprochen. In beiden Fällen ist es zu keiner nachweislich materiellen Schädigung der Kläger gekommen. Auch entstanden keine immateriellen Nachteile. Vielmehr trugen die Kläger allein vor, dass ihr Schaden im Verlust der Kontrolle über ihre Daten bestünde, was auch im Erwägungsgrund Nr. 75 zur DS-GVO so vorgesehen ist. Dieses genügte dem Gericht als Rechtsgrundlage für ein Schmerzensgeld. Und diese Rechtsprechung setzt sich zunehmend durch. Auch das LG Essen hat schon entsprechend entschieden.
In der Praxis bedeutet das, wer nicht angemessene technische und organisatorische Maßnahmen (TOMs) zum Schutz personenbezogener Daten implementiert hat und Daten in einer Datenpanne, welcher Art auch immer, verliert, der wird den betroffenen Personen ein Schmerzensgeld zahlen müssen. Es kommt dabei nicht darauf an, ob die verlorenen Daten irgendwie genutzt wurden und daraus ein nachweisbarer Schaden entstanden ist. Die Datenpanne allein löst den Anspruch aus. Die Frage ist dann nur noch die Höhe des Schmerzensgeldes, die sich nach dem Umfang und der Qualität der verlorenen Daten, wie einigen anderen Aspekten, richtet. Folgerichtig betrifft dieser Sachverhalt dann auch jede unrechtmäßige Übertragung von personenbezogenen Daten, zum Beispiel im Rahmen von Tracking auf Webseiten. Somit könnte für den Einsatz von Google Analytics ohne vorherige Einwilligung ein Schmerzensgeld fällig werden. Wenn es EUR 100,00 Schmerzensgeld für Google Fonts gibt und EUR 2.500,00 für einen kompletten Identitätsdiebstahl, dann dürften EUR 500,00 für Google Analytics realistisch sein.
Damit wird es ernster im Datenschutz. Seien es auch nur EUR 500,00 Schmerzensgeld; wenn man es an mehrere hundert Kunden zahlen muss, dann kommt schnell eine sechsstellige Summe zustande. Und damit kann die Insolvenz drohen. Man sollte daher die betrieblichen Versicherungen, seine Webseiten und seine TOMs überprüfen. Ggf. können Geschäftsführer*innen hierfür auch persönlich haftbar gemacht werden. Ich empfehle ausdrücklich eine Betriebs- oder Geschäftsführerhaftpflichtversicherung, die explizit auch diese Risiken abdeckt.
Ich nehme dieses auch zum Anlass, dass ich solche Risiken bei meinen Kunden demnächst deutlicher als ich es bisher getan habe anspreche.
3. Abmahnwelle Google Fonts
Nach der Welle ist vor der Welle! Was für Corona galt, scheint auch hier zu gelten. Kaum war es mal einen Monat diesbezüglich etwas ruhiger geworden, schon schlägt jemand anderes zu. Und zwar in Person eines Martin Ismail aus Hannover, der einen Rechtsanwalt Namens Kilian Lenard in Berlin hat. Und beide zusammen haben wohl tausende Schreiben verschickt.
Genau wie bisher wird dabei das Urteil des LG München I aus dem Februar dieses Jahres genannt und die Summe von EUR 100,00 gefordert. Herr RA Lenard fordert im weiteren dann EUR 170,00 als Angebot zu einer gütlichen Beilegung. Ich empfehle zuerst einmal allen betroffenen Kunden umgehend Google Fonts lokal einzubinden. Die Tatsache, dass der Einsatz von Google Fonts in Webseiten, ohne eine vorherige Einwilligung, rechtswidrig ist, ist richtig und keinesfalls neu. Des weiterem empfehle ich auf keinen Fall eine Zahlung zu leisten. Meiner Auffassung nach ist das Vorgehen in diesem Fall rechtsmissbräuchlich und es besteht kein Anspruch auf eine solche Zahlung, auch wenn eine nachweisliche rechtswidrige Nutzung von Google Fonts vorliegt.
Herr Martin Ismail gibt in seinen Schreiben an, dass er einer Interessengemeinschaft Datenschutz angehört. Auf der Webseite dieser Organisation kann man nachlesen, dass Herr Ismail Vertreter dieser Interessengemeinschaft ist. Dabei ist nicht erklärt, ob es sich um einen Verein oder eine BGB-Gesellschaft handelt, wer Mitglied ist etc. Vielmehr tritt Herr Ismail als Einzelunternehmer auf, so dass man ihm gewerbliche wirtschaftliche Interessen unterstellen muss. Ähnlich kurios ist die Webseite des Herrn RA Lenard, die ebenso erst jüngst, und allem Anschein nach nur hierfür, eingerichtet wurde. In den verschickten Schreiben macht Herr RA Lenard eine Persönlichkeitsrechtsverletzung geltend. Ob Unterlassung gefordert wird, ist nicht deutlich zu erkennen. Ebenso ist auch nicht zu erkennen, ob mit der Zahlung eine Unterlassung nicht mehr gefordert wird. Alles in allem haben die Anschreiben des Herrn RA Lenard nicht die sonst übliche Form, wie man diese aus ähnlichen Fällen kennt.
Kurios hin oder her, der Sachverhalt ist am Ende in meinen Augen doch recht simpel: Herr Ismail gibt selbst an, dass er einer „Interessengemeinschaft Datenschutz“ angehört und in diesem Sinne aktivistisch handelt. Er hat dabei das Internet bewusst nach Webseiten durchsucht, welche rechtswidrig Google Fonts nutzen, um sich vorsätzlich der Verletzung seiner Persönlichkeitsrechte, wie Herr RA Lenard sie nennt, als Mittel zum Zweck auszusetzen, um entsprechende Schreiben verschicken zu können, welche der Erreichung seines Ziels Datenschutzverfehlungen auf Webseiten zu bekämpfen dienen sollen. Was dabei seine tatsächliche Motivation ist, sei dahingestellt. Klar ist in jedem Fall, dass die Forderung keinen Schmerzensgeldcharakter besitzt, sondern eine Abmahnung darstellt. Doch können derartige Abmahnungen nur durch Aufsichtsbehörden oder Verbraucherverbände erfolgen, da Herr Ismail sich hier auch nicht auf das wettbewerbsrecht berufen kann. Somit sehe ich diese Sache sehr gelassen. Auch glaube ich nicht, dass Herr Ismail die finanziellen Mittel hat und riskieren will, tausende solcher wenig erfolgversprechenden Klagen zu führen.
Meine Kunden können sich, wenn Sie betroffen sind, in der Sache an mich wenden. Hierfür stehen auch, wenn notwendig, meine mit mir kooperierenden Rechtsanwälte zur Verfügung. Ich muss darauf hinweisen, dass obige Ausführungen lediglich meine Meinung als Datenschützer in der Sache beinhalten und keine Rechtsberatung darstellen. Letzteres ist mir nicht erlaub und liegt mir auch fern.
4. Aktuelles aus dem Datenschutz
Die wichtigste Nachricht des Monats kommt aus den USA. Dort wurde ein neues Datenschutzabkommen auf den Weg gebracht. Die EU muss nun ein Verfahren einleiten, damit dieses Abkommen den Status eines Angemessenheitsbeschlusses erlangt. Dieses will die EU auch umgehend tun. Das Verfahren soll bis spätestens Ende März 2023 abgeschlossen sein. Danach können auch wieder US-amerikanische Anbieter, rechtlich gleichgestellt den europäischen, genutzt werden. Im wesentlichem sind in dem neuen Abkommen zwei Punkte zu nennen: Der Zugriff auf personenbezogene Daten von EU-Bürgern durch US-Geheimdienste wird beschränkt und es wird ein Gremium geschaffen, welches Betroffenenrechte durchführen soll. Der liebe Max Schrems, der sich selbst Datenschutzaktivist nennt und bereits das EU-US-Privacy-Shield Abkommen weggeklagt hatte, kündigte umgehend an, auch gegen dieses Abkommen zu klagen. Genießen wir also ein paar Jahre, bis wir dann wieder ohne Abkommen dastehen.
Ansonsten gibt es nichts anderes als immer zu berichten. Bei den Cyber-Angriffen traf es im letzten Monat, unter vielen anderen, die Metro-Kette. Es sind insbesondere auch Daten von Mitarbeiter*innen abgezogen worden. Wie wir oben gelernt haben, stände diesen jetzt ein Schmerzensgeld zu. Das führt zu der interessanten Frage, ob eine solche Forderung aus der Belegschaft zu Nachteilen im Beschäftigungsverhältnis führen könnte und wie gefährlich es für die eigene Kariere wird, wenn man seine Rechte gegen den Arbeitgeber konsequent einklagt?
Laut dem BSI hat der Meta-Konzern, zu dem Facebook und WhatsApp gehören, chinesische Entwickler verklagt, weil diese in großem Stil (Was auch immer das heißt?) WhatsApp Accounts gekapert haben sollen. Das lassen wir einfach mal so stehen. Wer Näheres wissen will, kann dieses bei t3n nachlesen.
Das BSI hat eine Prüfung der Apple Geräte iPad und iPhone sowie von deren IOS-Systemen vorgenommen. Dieses in Bezug auf die Sicherheit der Nutzung der E-Mail, Kalender und Kontaktfunktionen in Hinblick auf eine ausreichende Sicherheit für den Gebrauch für sichere dienstliche Kommunikation. Die Prüfung viel positiv aus und einem solchen Einsatz der Geräte steht nichts entgegen. Mehr dazu kann man beim BSI nachlesen.
Eine neue Malware namens „Chaos“ wurde entdeckt. Auch hiervor warnt das BSI. Diese Malware betrifft Windows wie Linux Systeme gleichermaßen und nutzt diese für DDoS-Attacken sowie Kryptomining. Alle Systeme sollten mit sicheren Passwörtern und 2-Faktor-Authentisierung versehen sein und die letzten Sicherheitsupdates haben. Das gilt natürlich immer und grundsätzlich.
Besonders interessant fand ich im Oktober einen Vortrag in meinem Netzwerk zu dezentralen Cloudspeicher-Lösungen unter Einsatz von Blockchain-Technologie und einer Verschlüsselung mit eigenen Keys. Allerdings musste ich es mir mehrfach anhören, um den Ansatz zu verstehen, und feststellen, dass die Zukunft offensichtlich noch komplexer wird. Irgendwann verstehen die Technik nur noch einige wenige Experten, was zu neuen Risiken führen wird.
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter geht es u.a. um die Thematik DSFA (Datenschutzfolgenabschätzung) für M365.
Herzliche Grüße
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
Ich möchte mich vom Newsletter abmelden. Ich habe Fragen zu meinen Rechten und möchte die Datenschutzerklärung lesen. Ich weiß nicht, warum ich diese E-Mail bekomme oder möchte dem Absender eine Nachricht schicken.
Der Verfasser ist IT-Sicherheitsbeauftragter (ISB) sowie Datenschutzbeauftragter (DSB) und führt die Befähigung nach Artikel 37 DS-GVO sowie § 38 BDSG. Im Rahmen der Dienstverhältnisse mit Kunden besteht für die Richtigkeit der im Newsletter gemachten Aussagen eine Haftung gemäß den vertraglichen Vereinbarungen. Eine Haftung für sonstige Abonnent*innen des Newsletters, die kein Dienstverhältnis mit dem Verfasser haben, wird ausgeschlossen. Es wird darauf hingewiesen, dass der Newsletter sich auf die Rechtslage im Sinne des Datenschutzes bezieht. Sachverhalte können im Sinne des Datenschutzes rechtskonform sein, jedoch trotzdem gegen andere Rechtsnormen verstoßen und aufgrund dieser nicht erlaubt sein. Der Newsletter beinhaltet allgemeine Information und stellt keine Rechtsberatung dar.
IMPRESSUM:
Tobias Lange – Unternehmensberater
Externer Datenschutzbeauftragter (DSB)
Externer IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de