Vorsicht Sicherheitsrisiko: aktuelle Warnungen des BSI

Stand: 03.05.2024 In der Polizeilichen Kriminalstatistik (PKS) für das Jahr 2021 wurden 146.363 Cyberdelikte verzeichnet – dies bedeutet eine Zunahme um mehr als zwölf Prozent gegenüber dem Jahr 2020. Diese Entwicklung macht deutlich, dass die Cyberkriminalität weiter zunimmt. So waren die Schäden durch Cyberangriffe, die nach offiziellen Zahlen im Jahr 2021 allein für Deutschland auf 223,5 Milliarden Euro beziffert wurden, doppelt so hoch wie im Jahr 2019. Aus diesem Grund soll dieser Artikel einen Überblick über aktuellen Warnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geben. Kritische Schwachstelle bei Microsoft-Exchange-Server in Deutschland Im Februar wurde eine weitere kritische Schwachstelle in Exchange bekannt. Diese Schwachstelle wird aber nicht mit einem Patch geschlossen, sondern kann stattdessen durch die Aktivierung der „Extended Protection for Authentication [...]

Auskunft, Löschung, Widerruf, Widerspruch – Betroffenenrechte richtig erfüllen

Stand: 27.02.2024 Die DS-GVO hat nicht nur umfangreiche Spielregeln für die Verarbeitung von personenbezogenen Daten aufgestellt, sondern zugleich auch diejenigen Personen, deren Daten verarbeitet werden, mit unterschiedlichen Rechten ausgestattet. Ob Auskunft, Löschung, Widerruf, Widerspruch oder Datenübertragung – Unternehmen müssen ihre Datenverarbeitungsprozesse kennen und sowohl technisch als auch organisatorisch in der Lage sein, die datenschutzrechtlichen Ansprüche ihrer Kunden, Lieferanten, Geschäftspartner und Arbeitnehmer zu erfüllen. Und wenn nicht? Abwarten, Tee trinken, sehen, was passiert und aussitzen ist in Zeiten der DS-GVO jedenfalls keine lukrative Strategie mehr. Das hat das Bußgeld von knapp 200.000 Euro gegen eine große Lieferdienstkette eindrucksvoll bewiesen. Unser Artikel beantwortet deshalb verschiedene Fragen aus dem Betriebsalltag zu Betroffenenrechten und erklärt, welche Verstöße gegen die DS-GVO die Berliner Aufsichtsbehörde mit dem sechsstelligen [...]

EuGH: Ungutes Gefühl ist kein immaterieller Schaden

Stand: 20.02.2024 Dass sich an Kassen und Warenausgaben von Einzelhandelsläden regelmäßig Warteschlangen bilden und reges Gedränge herrscht, ist nicht ungewöhnlich. Immer wieder gibt es auch den einen oder anderen Wartenden, der es etwas eilig hat und sich vordrängelt. In diesem skurrilen Fall hat das Vordrängeln allerdings zu einer Personenverwechslung geführt, die wiederum eine Schadensersatzforderung wegen Verletzung der Vertraulichkeit zur Folge hatte. Der Rechtsstreit landete vor dem Amtsgericht (AG) Hagen, das sich mit einer Reihe von Vorlagefrage an den Europäischen Gerichtshof (EuGH) wendete. Dieser verschärfte mit seinem Urteil noch einmal die Anforderungen an Schadensersatzansprüche nach Art. 82 DS-GVO bei Datenschutzverstößen: Ein ungutes Gefühl über einen möglichen Datenmissbrauch reicht allein nicht aus, um einen Schadensersatzanspruch zu begründen. Der Schadensersatzanspruch nach Art. 82 DS-GVO Betroffene Personen, [...]

Wichtige Entscheidungen zur Datenübermittlung in Drittländer

Stand: 15.02.2023 Ein immer wichtiger werdender Bereich des Datenschutzes sind die Voraussetzungen des sog. Drittstaatentransfers. Sollen personenbezogene Daten aus der EU/dem EWR an ein Drittland im Sinne der DS-GVO übermittelt werden, müssen stets die Zulässigkeitsvoraussetzungen der Art. 44–50 DS-GVO eingehalten werden. Dadurch soll sichergestellt werden, dass das durch die DS-GVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird (Art. 44 S. 2 DS-GVO) und personenbezogene Daten außerhalb der EU/des EWR ebenfalls angemessen geschützt sind. Die Übermittlung personenbezogener Daten in ein Drittland stellt einen eigenen Verarbeitungsschritt dar, dessen Zulässigkeit zusätzlich zu den übrigen allgemeinen Vorgaben der DS-GVO zur Datenverarbeitung geprüft und sichergestellt werden muss. In der Praxis wird diese zweistufige Prüfung besonders häufig bei der Wahl bestimmter Software-Produkte wichtig: Beispielsweise ist eine Datenverarbeitung von Kundendaten [...]

Anspruch auf Schadensersatz – wie entscheiden die Gerichte

Stand: 15.02.2024 Vor Inkrafttreten der DS-GVO wurde Betroffenen bei einer Verletzung des Schutzes ihrer personenbezogenen Daten von Gerichten selten bis nie Schadensersatz zugesprochen. Inzwischen hat sich dies allerdings geändert. Betroffene sind in Bezug auf den Datenschutz sowie ihre Rechte sensibilisiert und wehren sich gegen (vermeintliche) Verstöße. Infolgedessen müssen Gerichte in ganz Deutschland immer häufiger Problemstellungen zum Datenschutz und damit zusammenhängenden Verletzungen klären und entscheiden, ob betroffenen Personen Schadensersatz zusteht. Eine Zusammenfassung der neuesten Rechtsprechung und der verhängten Bußgelder finden Sie in unserem Artikel „Aktuelle Urteile und Bußgelder“. Vier Jahre nach Inkrafttreten der DS-GVO steht der Schutz personenbezogener Daten immer häufiger im Fokus von Rechtsstreitigkeiten. Ein wichtiger Bereich ist hier der Schadensersatzanspruch betroffener Personen aus Art. 82 DS-GVO bei Verstößen gegen [...]

Datenschutz in der Urlaubszeit

Stand: 04.12.2023 Auch zu Weihnachten bahnt sich wieder die Urlaubswelle ihren Weg durch Unternehmen und Abteilungen. Der Datenschutz macht allerdings keine Ferien und so gibt es auch im Zusammenhang mit dem Thema Urlaub eine ganze Reihe datenschutzrelevanter Aspekte – angefangen bei A wie Aushang von Urlaubslisten über die klassischen Abwesenheitsinformationen und den Urlaubssmalltalk bis Z wie Zugangssicherung durch risikobewussten Umgang mit Betriebsschlüsseln. Urlaubspläne: Aushang oder digital – was ist datenschutzrechtlich möglich? In vielen Unternehmen werden die Urlaubspläne von Beschäftigten ausgehängt und dadurch öffentlich zugänglich gemacht. In anderen Unternehmen wird ein digitaler Urlaubskalender geführt. Beide Vorgänge sind aus datenschutzrechtlicher Sicht aber kritisch zu betrachten. Bei beiden Plänen handelt es sind rechtlich gesehen um Dokumente, die personenbezogene Informationen enthalten. Die verschiedenen Verarbeitungsvorgänge der Erhebung, Speicherung und [...]

DS-GVO-konform durch die Adventszeit – was müssen Unternehmen beachten?

Stand: 13.11.2023 Das Weihnachtsgeschäft steht vor der Tür und auf klassische Aktionen wie Weihnachtskarten und -präsente an Kunden, den Online-Adventskalender, Wunschzettelaktionen, Weihnachtsgewinnspiele und Co. soll auch dieses Jahr nicht verzichtet werden. Nach Möglichkeit soll der Absatz mit Werbeaktionen noch einmal angekurbelt und die Beziehungen zu Kunden und Lieferanten gestärkt werden. Viele wollen auch die Gelegenheit nutzen und – zumindest in kleinem Rahmen – den Mitarbeitern zum Jahresabschluss für ihren Einsatz zu danken, insbesondere da die immer noch spürbare Inflation die meisten Unternehmen und ihre Mitarbeiter vor besondere Herausforderungen gestellt hat. Damit bei all diesen Aktionen nicht der teure Bumerang in Form von Abmahnungen, Beschwerden oder gar Bußgeldern aufgrund von Datenschutzverstößen zurückkommt, gilt es, einiges zu beachten. Unabhängig davon, welche Aktionen Unternehmen zur Weihnachtszeit [...]

Cybersicherheit in der Adventszeit

Stand: 09.11.2023 Mit der Advents- und Weihnachtszeit beginnt für Unternehmen der „Jahresendspurt“, der ihre Beschäftigten in der Regel noch einmal besonders fordert. Im (Einzel-)Handel herrscht Hochsaison für die zahlreichen Weihnachtseinkäufe und auch in anderen Bereichen gilt es, Projekte abzuschließen und die letzten To-Do's für das Jahr 2022 abzuarbeiten. Allerdings machen sich auch Cyberkriminelle die Advents- und Weihnachtssaison zu Nutze, um im Trubel Daten von Personen und datenverarbeitenden Stellen abzugreifen oder durch Schadsoftware-Angriffe und Fake-Shops Geld einzunehmen. Die Cyberkriminalität hat – unabhängig vom Ukraine-Krieg – in den letzten Jahren stark zugenommen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt in seinem „Bericht zur Lage der IT-Sicherheit in Deutschland“ (Lagebericht 2023) fest: „Die Bedrohung im Cyber-Raum ist damit so hoch wie nie zuvor“. Beispielsweise wurden [...]

Besinnlicher Weihnachtsmarktbesuch trotz Videoüberwachung?

Dass Weihnachten vor der Tür steht, merkt man bereits in fast allen Bereichen des täglichen Lebens. So gibt es bereits seit Wochen Lebkuchen und Glühwein zu kaufen und der erste Weihnachtsmarkt wurde in Sachsen bereits eröffnet. So ist es kein Wunder, dass sich auch die Gerichte bereits auf Weihnachten vorbereiten. Und so kam es, dass im Oktober ein Urteil zur Videoüberwachung eines Weihnachtsmarktes fiel. Der Fall In der Innenstadt von Hannover fand zwischen dem 22.11.2022 und dem 22.12.2022 der jährliche Weihnachtsmarkt statt. Für den gesamten Weihnachtsmarkt ordnete die Polizeiinspektion Besondere Dienste die Videoüberwachung an. Daraufhin stellte die Polizei auf dem Weihnachtsmarkt vier Kameras auf. Begründet wurde diese Maßnahme mit einer sogenannten Datenschutzfolgenabschätzung (DSFA), die am 17.11.2022 durchgeführt wurde. Der Weihnachtsmarkt würde zu einem [...]

Achtung, Virus: Nicht nur Corona-Viren sind gefährlich

Stand: 13.10.2023 Sasser, Stuxnet, Nimda – was aussieht wie eine harmlose Aneinanderreihung von Buchstaben, kann in Wahrheit für Unternehmen ziemlich gefährlich werden. Bei den genannten Begriffen handelt es sich um drei der berüchtigtsten Computerviren. Viele Computer, egal ob privat oder geschäftlich genutzt, sind nicht ausreichend gegen die Risiken der Onlinewelt geschützt und somit ein gefundenes Fressen für Kriminelle. Diese infizieren ebensolche Rechner mit Viren und sorgen so für erhebliche Schäden mit gravierenden, teils existenzgefährdenden Folgen für die Betroffenen. Häufig werden Daten gelöscht, ausspioniert oder verschlüsselt, Onlinebanking-Transaktionen zugunsten der Kriminellen manipuliert oder Bestellungen im Namen der Betroffenen getätigt. Teilweise werden sogar die infizierten PCs für Cyberangriffe auf andere Personen oder Unternehmen eingesetzt – ein finanzielles und datenschutzrechtliches Fiasko für betroffene Unternehmen. Ein solider Schutz ist [...]

Nach oben