|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
|
Hamburg, den 01. Juni 2023
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:
|
- Ein neues EUGH Urteil
- 5 Jahre DS-GVO
- Spoofing
- Aktuelles aus dem Datenschutz
|
1. Ein neues EUGH Urteil
Aufgrund der Vorlage eines österreichischen Gerichts hat der EUGH mehrere Fragen beantwortet, die für die gesamte EU relevant sind, also auch für Deutschland. Es geht dabei um das Thema Schadenersatz und Schmerzensgeld nach Art. 82 DS-GVO, wenn eine unrechtmäßige Verarbeitung personenbezogener Daten stattgefunden hat.
|
Die erste Antwort ist dabei recht harmlos: Ein Schadensersatzanspruch, also auch ein Schmerzensgeld, entsteht nicht allein schon deswegen, weil gegen eine Bestimmung der DS-GVO verstoßen wurde. Diese Entscheidung kann uns aufatmen lassen, denn damit sind nicht Tor und Tür sperrangelweit offen für Schadensersatzansprüche, ohne dass eine betroffene Person tatsächlich beeinträchtigt wurde.
|
Mit einer weiteren Antwort wird es dann komplizierter: Es geht darum, ob einzelne Staaten einen Schadensersatzanspruch auf einen gewissen Grad der Erheblichkeit beschränken dürfen. Dieses verneint das EUGH, was in der Praxis heißt, dass auch jeder geringfügige Bagatellschaden zu einem Schadensersatzanspruch führt. In Deutschland war diese Sichtweise bereits in einigen Gerichtsurteilen zur gängigen Praxis geworden. Damit ist auch das sehr bekannte Google Fonts Urteil des LG München I sozusagen bestätigt worden. Dieses hatte entschieden, dass allein durch die unrechtmäßige Verarbeitung personen-bezogener Daten durch die Nutzung des Dienstes Google Fonts in einer Webseite, was zu einem subjektiven Gefühl einer betroffenen Person die Hoheit über Ihre Daten verloren zu haben führt, ein immaterieller Schaden entstanden ist. Dieser ist in diesem Fall sehr geringfügig anzusetzen, da die Risikobehaftung eines Missbrauchs im Falle der Verarbeitung mit Google Fonts äußerst niedrig anzusetzen ist, muss aber trotzdem gutgemacht werden, da eine Erheblichkeitsschwelle für einen Schaden nicht rechtens ist. Und dann wurden EUR 100,00 Schmerzensgeld verhangen. Mit dem neuen Urteil des EUGH sieht nun alles danach aus, dass diese Rechtsprechung sich verfestigt und für fast jede nicht rechtmäßige Speicherung und Verarbeitung personenbezogener Daten von einer betroffenen Person Schadenersatz verlangt werden kann. Dieses ganz egal wie unerheblich der Vorfall ist.
|
Diese Rechtsprechung des EUGH stärkt damit die Rechte der betroffenen Personen in sehr deutlicher Form, aber es erhöht auch die Risiken von Unternehmen in gleichem Maße, bereits für kleinste Bagatellsachen auf Schadenersatz in Anspruch genommen zu werden.
|
2. 5 Jahre DS-GVO
Mein Fazit fällt sehr gemischt aus. Wieder ist die DS-GVO ein Jahr älter geworden, wieder sind die eigentlichen Probleme im Datenschutz nicht gelöst worden. Wir sehen zunehmend mehr Gerichtsurteile und mehr Strafen. Inzwischen trifft es auch schon mal die Global-Player, aber in der Praxis ist die DS-GVO vor allem für die kleinen und mittlerem Unternehmen eine stetige Gefahr geworden, für menschliches Versagen sofort zahlen zu müssen. Für die großen Internet-Riesen ist die DS-GVO immer noch ein weitgehend zahnloser Tiger.
|
Wir sehen den Datenschutz auch zunehmend als Wächter jedes behördlichen, rechtlichen oder unternehmerischen Prozesses, in dem personenbezogene Daten irgendwie verarbeitet werden, und der sofort zuschlägt, wenn jemand meint, in seinen Rechten verletzt worden zu sein. Es ist natürlich einerseits wünschenswert ein Instrument zu haben, das Privatpersonen ein effektives Mittel gibt, gegen Rechtsverletzungen vorzugehen. Andererseits ist die potentielle Führung eines Datenschutzverfahrens über jedes menschliche Versagen und jede Bagatelle nicht verhältnismäßig. Und diese Entwicklung trifft die kleinen und mittleren Unternehmen ungleich stärker, so meine persönliche Meinung.
|
Auf der Seite der Global-Player bei der Verarbeitung personenbezogener Daten, Google, Meta, Apple, Microsoft, Amazon und Co., ist der Datenschutz nicht vorangekommen. Da hilft auch keine jüngst gegen Facebook, welches zum Meta Konzern gehört, erlassene Strafe von 1,2 Milliarden Euro. Alle Beobachter gehen davon aus, dass diese nie, schon gar nicht in einer näheren Zukunft, bezahlt werden wird. Und das tiefere Problem dabei ist, das wir als Gesellschaft immer noch nicht über eine der grundlegenden Fragen unserer Zeit entschieden haben: Wollen wir Internetangebote für umsonst haben, und stattdessen mit unseren Daten zahlen, oder nicht? Wollen wir, dass die Internetkonzerne alles über uns wissen, weil "Geiz so geil" ist? Wir haben uns daran gewöhnt, dass es für alles eine kostenlose App gibt. Es bedürfte eines gesellschaftlichen Wandels, weg von der "alles muss so billig wie möglich sein" Mentalität. Dann hätte auch der Datenschutz eine Chance. Aber so gewinnt der Daten-Kapitalismus immer wieder, weil die Masse der Menschen ihre Apps gerne zum Null-Tarif haben möchte.
|
3. Spoofing
Mit dem Einzug von KI (künstliche Intelligenz), die inzwischen auch bei Internetkriminellen in großem Maße genutzt wird, ist auch das Spoofing raffinierter geworden. Immer mehr meiner Kunden leiden darunter. Bei diesem Phänomen, das E-Mails betrifft, muss man zuerst folgendes verstehen: E-Mails haben quasi drei Adressen, nämlich einen tatsächlichen Absender, einen Absender, den man als Absender sieht, und eine Adresse, an die eine Antwort verschickt werden soll. Im Spoofing wird die Absenderadresse, die man sehen kann, genutzt, um eine Identität vorzutäuschen, die man gar nicht ist.
|
In der Praxis läuft das so: Ein Internetkrimineller sitzt zum Beispiel in Pakistan und lässt eine KI, also einen Algorithmus, Webseiten im Internet durchsuchen, wo man eine Vielzahl an E-Mailadressen von Personen findet. Dieser Algo findet also das Unternehmen X und auf dessen Webseite 10 dort arbeitende Personen mit E-Mailadressen. Diese werden kopiert. Nun erkennt der Algo eine dieser E-Mailadressen als die E-Mail einer Führungsperson, zum Beispiel der Geschäftsführer:in. Von einem Server in Pakistan wird dann, mit der für Empfänger:innen sichtbaren Absenderadresse dieser Geschäftsführer:in, eine E-Mail an die übrigen 9 Personen geschickt. Diese denken, die E-Mail ist von ihrem Boss. Ist sie tatsächlich aber nicht. Dank des Fortschritts in KI können die Hacker die E-Mail auch in perfektem Deutsch oder jeder anderen Sprache verfassen. Daneben kreiert ihnen die KI sinnmachende Texte, so dass es den anderen Mitarbeiter:innen, die diese vermeintliche E-Mail von ihrem Boss bekommen, nur sehr schwer auffällt, dass es sich hier um einen Identitätsdiebstahl und einen Angriff auf das Unternehmen handelt. In der Regel sind in diesen E-Mails Links, die angeklickt werden sollen. Diese führen dann dazu, dass Malware heruntergeladen wird, zum Beispiel um die EDV des Unternehmens zu verschlüsseln.
|
Auf der andere Seite ist die Spoofing-Technik an sich eine sehr wichtige E-Mail-Funktion. So werden heutzutage zum Beispiel Rechnungen, wie auch meine Rechnungen, von einer Buchhaltungssoftware in einer Cloud verfasst und auch gleich von dort automatisiert verschickt. Dieses erfolgt von den Servern der Buchhaltungssoftware, aber mit den E-Mails der Rechnungssteller:innen als Absender. Diese Form des Versands von dritten Servern ist eine sehr wichtige Technik. Man kann auf Spoofing also nicht einfach so verzichten und es blockieren.
|
Genau letzteres macht das Vorgehen gegen Spoofing auch so schwierig. Man muss auf Seiten der Empfänger:innen filtern und dazu viele komplizierte Einstellungen vornehmen, um nicht versehentlich auch gewollte E-Mails zu blockieren. Das größte Problem hierbei ist, dass die meisten seriösen Absender ihre E-Mail Accounts im DNS nicht richtig konfiguriert haben. Mit korrekten SPF-Einträgen, DKIM und DMARC stehen gute Mittel zur Wahl, die das korrekte Filtern von eingehenden E-Mails leicht machen würden. In der Praxis erlebe ich aber leider andauernd, dass Absender ihre Accounts nicht entsprechend ausgerüstet haben. Dieses Feld der IT-Sicherheit hat, wie auch die meisten anderen Felder der IT-Sicherheit, immer noch nicht die Bedeutung, die es haben müsste.
|
4. Aktuelles aus dem Datenschutz
Ich muss mit dieser Geschichte beginnen, die der NDR, bekanntlich das Beste im Norden, berichtet: Die Marine bekommt fünf neue Schiffe. Das zweite Schiff innerhalb dieses Auftrags ist die Korvette "Emden". Sie wurde Anfang Mai in Hamburg getauft. Nun sollte man davon ausgehen, dass das Schiff zeitnah in Dienst gestellt wird, aber es gibt da ein Problem: Der Flottenadmiral berichtet, dass das nigelnagelneue Schiff, genau wie das Schwesterschiff "Köln", nicht zulassungsfähig ist, weil es für Hackerangriffe anfällig ist. Digitalisierung können wir in Deutschland! - Der eigentliche unlustige Funfact an der Geschichte, und das ist kein Witz, ist aber der, dass die Nachbesserung laut der Marine zwei bis zweieinhalb Jahre dauern wird.
|
Natürlich muss ich auch die 1,2 Milliarden Euro Strafe gegen Facebook erwähnen. Das eigentlich interessante an dieser Strafe ist, dass die irische Aufsichtsbehörde die Strafe nie verhängen wollte. Sie wurden vom EDSA (Europäischer Datenschutz-Ausschuss) dazu gezwungen. Genau das wird der Sache vermutlich auch zum Verhängnis werden. Ich gehe persönlich derzeit nicht davon aus, dass diese Strafe jemals gezahlt werden wird.
|
Der europäische Raum für Gesundheitsdaten (EHDS), der im Mai 2022, also vor einem Jahr, in der EU-Kommission mit einem Verordnungsentwurf an den Start gebracht wurde, entwickelt sich in kleinen Schritten vorwärts. Man kann das bei dem Europaabgeordneten Patrick Breyer kritisch nachlesen. Die Frage ist, ob wir das in dieser Form wirklich wollen oder der Ansatz in die Falsche Richtung geht: Freigabe unserer Gesundheitsdaten für die Forschung und auch grenzüberschreitend für das Gesundheitswesen, alle Daten, ohne wenn und aber.
|
Das BSI (Bundesamt für die Sicherheit in der Informationstechnik) weißt daraufhin, dass auch Passwort-Manager Sicherheitslücken haben und entsprechend dort gespeicherte Passwörter verloren gehen können. Eigentlich keine neue Erkenntnis, aber es ist immer wieder gut das zu erwähnen.
|
Wie das Online-Magazin der Heise Gruppe berichtet, wurde der Online Dienst "Discord" gehackt. Dieser hat ca. 250 Millionen Nutzer:innen. Es wurden bereits Daten geleakt. Der Angriff erfolgte offensichtlich über einen Drittanbieter-Support-Agent. Der Rest der Geschichte ist wie immer: Die Nutzer:innen werden informiert, das Unternehmen gibt an, die Sicherheitslücke geschlossen zu haben und seine Server zukünftig besser zu schützen.
|
In Ludwigsburg bei Stuttgart hat ein Mitarbeiter des Landratsamts einen E-Mail Anhang mit Malware geöffnet. Die IT-Infrastruktur fuhr sodann herunter und die Behörde war 2 Tage offline. Inzwischen läuft die EDV mit ein paar Einschränkungen wieder, wie die Stuttgarter Nachrichten berichten.
|
|
Bei Facebook gibt es zur Abwechslung mal keinen Hack oder keine Sicherheitslücke, sondern eine Bug. Dieser sorgt dafür, dass Accounts automatisch Freundschaftsanfragen an Profile schicken, die die Nutzer:innen einfach mal angeguckt hatten. Das Internet verbindet halt Menschen. Standortdaten von Toyota-Fahrzeugen waren übrigens auch jahrelang einsehbar und einen Angriff auf die Autowerkstattkette ATU gab es ebenso. Alles wie immer in Deutschland und der Welt. Der ganz normale Wahnsinn.
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Themen für den nächsten Newsletter habe ich mir noch nicht überlegt, aber es wird sicher bis dahin vil im Datenschutz passieren.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter (DSB)
Externer IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
|
|
|
|
|
|
|
