LfDI Bremen: LfDI verhängt gegen die BREBAU GmbH Geldbuße

/in /von

Am heutigen Tage hat die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) als datenschutzrechtliche Aufsichtsbehörde die BREBAU GmbH mit einer Geldbuße nach Artikel 83 Datenschutzgrundverordnung (DSGVO) belegt.

Die BREBAU GmbH hat mehr als 9.500 Daten über Mietinteressent:innen verarbeitet, ohne dass es hierfür eine Rechtsgrundlage gab. Beispielsweise Informationen über Haarfrisuren, den Körpergeruch und das persönliche Auftreten sind für den Abschluss von Mietverhältnissen nicht erforderlich. Bei mehr als der Hälfte der Fälle handelte es sich darüber hinaus um Daten, die nach der DSGVO besonders geschützt sind. Rechtswidrig verarbeitet wurden auch Informationen über die Hautfarbe, die ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung und über den Gesundheitszustand. Auch hat die BREBAU GmbH Anträge Betroffener auf Transparenz über die Verarbeitung ihrer Daten bewusst konterkariert.

Die nach Artikel 83 DSGVO verhängte Geldbuße beläuft sich auf rund 1,9 Millionen Euro. Der außerordentlichen Tiefe der Verletzung des Grundrechts auf Datenschutz wäre eine deutlich höhere Geldbuße angemessen gewesen. Weil die BREBAU GmbH im datenschutzrechtlichen Aufsichtsverfahren umfassend kooperierte, sich um Schadensminderung, eigene Aufklärung des Sachverhalts und darum bemühte, dass entsprechende Verstöße sich nicht wiederholen, konnte die Höhe der Geldbuße erheblich reduziert werden.

Anlässlich dieses Aufsichtsverfahrens äußerte die Landesbeauftragte für Datenschutz und Informationsfreiheit, Dr. Imke Sommer: „Im Zusammenhang mit der öffentlichen Diskussion über den Fall, der diesem datenschutzrechtlichen Aufsichtsverfahren zugrunde liegt, bin ich häufig gefragt worden, ob die DSGVO Diskriminierungen verbietet. Die Antwort auf diese Frage ist kompliziert, weil die DSGVO in spezifischer Weise auf Sachverhalte schaut. Nach der DSGVO ist es nur in wenigen Ausnahmefällen überhaupt erlaubt, Daten über Hautfarbe, ethnische Herkunft, Religionszugehörigkeit, sexuelle Orientierung und über den Gesundheitszustand zu verarbeiten. Damit sorgt die DSGVO dafür, dass diese besonders geschützten Daten in den allermeisten Fällen gar nicht erst erhoben und gespeichert werden dürfen. Nicht erhobene Daten können nicht missbraucht werden. In diesem Sinne schützt die DSGVO auch vor Diskriminierungen.“

Die Webseite der bremischen Landesbeauftragten für Datenschutz und Informationsfreiheit kann hier abgerufen werden.

Bitkom: IT Sicherheitsmaßnahmen vor Konfliktaustragungen im Cyberraum

/in /von

Konflikte werden heutzutage auch im digitalen Raum ausgetragen. Zwar ist die Situation in der Ukraine in diesem Sinne noch nicht hierzulande angekommen, doch sollten Unternehmen ihre IT-Sicherheit für einen Ernstfall prüfen. Der Bitkom nennt fünf Maßnahmen, die Unternehmen jetzt ergreifen sollten.

Die Offensive Russlands begann im digitalen Raum bereits einige Zeit vor dem Einmarsch in die Ukraine. „Während Cyberangriffe auf militärische Zielsysteme, Behörden und Institutionen bereits seit längerem stattfinden, spielte der digitale Raum in den ersten Tagen des russischen Angriffskriegs nur eine nachgelagerte Rolle. Mit zunehmender Kriegsdauer könnte sich dies wieder ändern, und das kann unmittelbare Konsequenzen für Deutschland und seine Wirtschaft haben. Denn die Distanzen im digitalen Raum sind kurz und die Grenzen nicht so klar, wie sie sein müssten“, erklärt Bitkom-Sicherheitsexperte Sebastian Artz. „Es gibt keinen Grund zur Panik, aber mit dem Angriffskrieg Russlands ist auch im deutschen Cyberraum volle Aufmerksamkeit und größtmögliche Wachsamkeit aller Unternehmen, Organisationen und staatlichen Stellen geboten.“

Der Digitalverband Bitkom gibt deshalb fünf konkrete Hinweise, welche Vorbereitungen und Vorsichtsmaßnahmen insbesondere kleine und mittelständische Unternehmen jetzt für ihre IT-Sicherheit treffen sollten:

1. Risiken und Auswirkungen von Cyberangriffen minimieren

Unternehmen sollten ihre Schutzmaßnahmen insgesamt verstärken. Betriebssysteme und Software müssen auf dem aktuellen Stand sein, Sicherheitsupdates sind zügig einzuspielen. Sichere – also komplexe und für jedes System unterschiedliche – Passwörter können signifikant das Schutzniveau erhöhen bei. Möglichst alle Logins mit Außenanbindung sollten über eine Multi-Faktor-Authentifizierung geschützt werden. Privilegien und Administrationsrechte sollten für einzelne NutzerInnen eingeschränkt werden und die Komplexität von verwendeten Diensten insgesamt verringert werden. Eine solche Härtung der Systeme ist ratsam, obwohl sie nicht nutzungsfreundlich ist und die Produktivität einschränkt, denn sie schützt die eigene Infrastruktur und unternehmenssensible Daten. Zudem ist die unternehmenseigene Back-up-Strategie zu prüfen und nachzuziehen, sodass alle relevanten Unternehmensdaten gesichert sind und zusätzlich Sicherheitskopien offline auf einem externen Datenträger existieren.

2. Verantwortlichkeiten klar definieren

Unternehmen müssen in einem Angriffsfall reaktionsfähig sein. Verantwortlichkeiten im Sicherheitsbereich müssen klar definiert sein und entsprechende Anlaufstellen eingerichtet werden – sowohl intern als auch bei externen Dienstleistern. Es gilt sicherzustellen, dass zu jeder Zeit ausreichend Personal einsatzfähig ist. Urlaubszeiten oder Vertretungen bei Krankheit müssen dabei einkalkuliert werden. Außerdem ist es sinnvoll sich darauf vorzubereiten, auch ohne die Hilfe externer Dienstleister kurzfristig reagieren zu können – bei großflächigen Cyberangriffen könnten Externe an Kapazitätsgrenzen stoßen.

3. Beschäftigte sensibilisieren

Alle Erfahrungen zeigen: Der Mensch bleibt eines der größten Sicherheitsrisiken, ist aber auch Schutzgarant eines Unternehmens. Alle Beschäftigten sollten zielgruppengerecht für das erhöhte Risiko von Cyberangriffen sensibilisiert werden. Dazu gehört, potenzielle Gefahren verständlich zu erklären und Schritt-für-Schritt-Anleitungen bereitzustellen, wie sich Beschäftigte im Falle eines Angriffs verhält und an wen sie sich wenden müssen. Gegebenenfalls können kurzfristige Sicherheitsschulungen sinnvoll sein. Ziel ist es, die Wachsamkeit in der Belegschaft zu erhöhen. Besonders für den E-Mail-Verkehr gilt, Hyperlinks und Anhänge nicht vorschnell zu öffnen und ungewöhnliche Anweisungen mit Skepsis zu betrachten. An Unternehmen werden auch sehr gezielte und gut gemachte Phishing-Mails geschickt, wodurch der Fake nur anhand weniger Details wie etwa eines falsch geschriebenen Namens oder einer falschen Durchwahl in der Signatur entdeckt werden kann.

4. Notfallplan erstellen

Für den Fall eines Angriffs sollte im Unternehmen ein Notfallplan bereitliegen, der das weitere Vorgehen dokumentiert. Neben den technischen Schritten, die eingeleitet werden müssen, sollte der Plan auch organisatorische Punkte wie die Kontaktdaten relevanter Ansprechpersonen im Unternehmen sowie die Notfallkontakte der offiziellen Anlaufstellen beinhalten. Auch rechtliche Aspekte wie Meldepflichten bei Datenschutzverletzungen müssen berücksichtigt werden. Des Weiteren gehört eine vorbereitete Krisenkommunikation dazu, um schnell alle relevanten Stakeholder wie Kunden, Partner sowie die Öffentlichkeit zu informieren.

5. Informationen offizieller Stellen beobachten

Die Sicherheitslage ist hochdynamisch und kann sich von Tag zu Tag ändern. Unternehmen sollten daher die Meldungen von Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie der Allianz für Cybersicherheit (ACS) stets beobachten.

Foto ohne Einwilligung – Beschäftigte erhält 5.000 Euro Schadensersatz

/in /von

ArbG Münster, Urt. v. 25.03.2021 – 3 Ca 391/20
Mit einem Urteil vom 25.03.2021 (3 Ca 391/20) hat das Arbeitsgericht (ArbG) Münster entschieden, dass einer Beschäftigten einer Hochschule eine Entschädigung in Höhe von 5.000 Euro zusteht, da die Universität ein Foto von der Mitarbeiterin zu Marketingzwecken verwendet hat, ohne die erforderliche Einwilligung eingeholt zu haben.

Was war geschehen?
Folgender Sachverhalt liegt der Entscheidung zugrunde: Die Mitarbeiterin einer Universität wehrte sich in einem arbeitsrechtlichen Verfahren gegen die Verwendung ihres Fotos. Das Foto der Beschäftigten wurde aufgrund ihrer Ethnie und Hautfarbe als Ausweis für die Internationalisierung der Universität genutzt. Die Klägerin arbeitet jedoch als Postdoc und hat somit originär nichts mit der Internationalisierung der Hochschule zu tun. Bei der Erstellung von Foto-Aufnahmen der Universität hat sie aktiv teilgenommen, jedoch keine Einwilligung erteilt. Die Klägerin ließ lediglich mündlich offen, dass sie möglicherweise zustimmen würde, wenn die Fotos für ihre Tätigkeit verwendet würden. Nach Veröffentlichung der Fotos und Kenntnisnahme der Klägerin teilte diese mit, dass sie mit der Art der Verwendung ihrer Bilder nicht einverstanden ist. Die Universität erklärte daraufhin, dass ihr Foto gelöscht worden sei, aber es nicht möglich sei, die bereits gedruckten Broschüren zurückzuziehen. Die Klägerin forderte dann Schadensersatz gemäß Art. 82 DS-GVO, aber ebenso auf Grundlage des Kunsturheberrechtsgesetzes (KUG) und § 823 Bürgerliches Gesetzbuch (BGB).

Klage gegen Arbeitgeber hat Erfolg
Das ArbG Münster entschied, dass der Klägerin ein immaterieller Schadensersatz in Höhe von 5.000 Euro zusteht. Diese Zahlung wird gerne auch als Schmerzensgeld bezeichnet, stellt aber im Sinne der DS-GVO einen immateriellen Schadensersatz und nach Logik des deutschen Schuldrechts eine billige Entschädigung in Geld dar. Bemerkenswert ist, dass die immaterielle Schadenshöhe hier ihrem monatlichen Bruttolohn entspricht. Bei der richterlichen Schadensbemessung wurde ausdrücklich auch die Bedeutung der ethnischen Herkunft und der Hautfarbe der Mitarbeiterin für die Veröffentlichung des Fotos gewürdigt.

Die Entscheidung des Arbeitsgerichts Münster hat die Folgen einer rechtswidrigen Datenverarbeitung noch einmal klargestellt: Wer Bildnisse ohne Zustimmung der betroffenen Person nutzt, muss mit einer nicht unerheblichen Summe für die Entschädigung nach Art. 82 DS-GVO rechnen.