Mit­ar­bei­ter über­weist Hackern 290.000 €

Wie der SWR berich­tet, haben sich kri­mi­nel­le Hacker laut Poli­zei­an­ga­ben Zugriff auf das Mail-Pro­gramm eines Unter­neh­mens in Kai­sers­lau­tern ver­schafft. Dar­über hät­ten die Angrei­fer den Nach­rich­ten­ver­kehr zwi­schen einem Lie­fe­ran­ten und Mit­ar­bei­tern des Unter­neh­mens mit­ver­folgt. Anschlie­ßend sol­len sie sich selbst als die­ser Lie­fe­rant aus­ge­ge­ben haben. Die Betrü­ger schaff­ten es, einen Mit­ar­bei­ter davon zu über­zeu­gen, fast 290.000 Euro auf ein Kon­to zu über­wei­sen, das von dem gewöhn­li­chen Geschäfts­kon­to abweicht.

In meh­re­ren Trans­ak­tio­nen sei das Geld auf ein aus­län­di­sches Kon­to geflos­sen. Als dem Unter­neh­men der Betrug auf­fiel, kon­tak­tier­te es die Poli­zei in Kai­sers­lau­tern. Die­se ermit­telt nun gegen die bis­her unbe­kann­ten Täter. Zudem ver­wei­sen die Beam­ten auf die Zen­tra­le Ansprech­stel­le Cyber­crime (ZAC). Dort­hin kön­nen sich Unter­neh­men wen­den, die Opfer eines Cyber­an­griffs gewor­den sind.

Bür­ger-CERT: Pro­phe­te – Insol­venz durch Cyber-Angriff

Vor weni­gen Tagen hat der tra­di­ti­ons­rei­che Her­stel­ler von Fahr­rä­dern, die Pro­phe­te-Grup­pe aus Rhe­da-Wie­den­brück, Kon­kurs ange­mel­det. Als einen Grund für die Plei­te nennt der vor­läu­fi­ge Insol­venz­ver­wal­ter gegen­über der Frank­fur­ter All­ge­mei­nen Zei­tung einen Hacker-Angriff, der im Unter­neh­men über meh­re­re Wochen zu einem kom­plet­ten Betriebs­aus­fall geführt haben soll. “Die dar­aus resul­tie­ren­den Ver­lu­ste waren für das Unter­neh­men nicht mehr zu bewältigen.”

BSI-Infor­ma­tio­nen zu Ran­som­wa­re: https://​www​.bsi​.bund​.de/​D​E​/​T​h​e​m​e​n​/​U​n​t​e​r​n​e​h​m​e​n​-​u​n​d​-​O​r​g​a​n​i​s​a​t​i​o​n​e​n​/​I​n​f​o​r​m​a​t​i​o​n​e​n​-​u​n​d​-​E​m​p​f​e​h​l​u​n​g​e​n​/​E​m​p​f​e​h​l​u​n​g​e​n​-​n​a​c​h​-​G​e​f​a​e​h​r​d​u​n​g​e​n​/​F​o​r​t​s​c​h​r​i​t​t​l​i​c​h​e​-​A​n​g​r​i​f​f​e​/​F​o​r​t​s​c​h​r​i​t​t​l​i​c​h​e​-​A​n​g​r​i​f​f​e​_​n​o​d​e​.​h​tml

Generalstaats­anwalt­schaft Ber­lin: Durch­su­chun­gen nach Abmahn­wel­le wegen „Goog­le Fonts“-Nutzung

Pres­se­mit­tei­lung vom 21.12.2022

In einem Ver­fah­ren gegen zwei Beschul­dig­te – einen 53‑jährigen Rechts­an­walt mit Kanz­lei­sitz in Ber­lin und des­sen 41‑jährigen Man­dan­ten, dem angeb­li­chen Reprä­sen­tan­ten einer „IG Daten­schutz“ – wur­den heu­te wegen des Ver­dachts des (teils) ver­such­ten Abmahn­be­tru­ges und der (ver­such­ten) Erpres­sung in min­de­stens 2.418 Fäl­len durch die Poli­zei im Auf­trag der Staats­an­walt­schaft Ber­lin Durch­su­chungs­be­schlüs­se in Ber­lin, Han­no­ver, Rat­ze­burg und Baden-Baden sowie zwei Arrest­be­schlüs­se mit einer Gesamt­sum­me vom 346.000 Euro vollstreckt.

Den Beschul­dig­ten wird vor­ge­wor­fen, bun­des­weit Pri­vat­per­so­nen und Klein­ge­wer­be­trei­ben­de, die auf Ihren Home­pages sog. „Goog­le Fonts“ – ein inter­ak­ti­ves Ver­zeich­nis mit über 1.400 Schrift­ar­ten, die das Schrift­bild einer Web­sei­te bestim­men – ein­ge­setzt haben, per Anwalts­schrei­ben abge­mahnt zu haben. Zugleich wur­de die­sen ange­bo­ten, ein Zivil­ver­fah­ren gegen Zah­lung einer Ver­gleichs­sum­me in Höhe von jeweils 170 Euro ver­mei­den zu kön­nen. Dass die behaup­te­ten Schmer­zens­geld­for­de­run­gen wegen Ver­let­zung des Rechts auf infor­ma­tio­nel­le Selbst­be­stim­mung nicht bestan­den, soll den Beschul­dig­ten dabei bewusst gewe­sen sein. Ent­spre­chend sol­len sie auch gewusst haben, dass für die Ange­schrie­be­nen kein Anlass für einen ent­spre­chen­den Ver­gleich bestand, da sie die angeb­li­chen For­de­run­gen gericht­lich nicht hät­ten durch­set­zen kön­nen. Die Andro­hung eines Gerichts­ver­fah­rens soll daher tat­säch­lich nur mit dem Ziel erfolgt sein, die Ver­gleichs­be­reit­schaft zu wecken.

Bei Goog­le Fonts han­delt es sich um ein Tool, das lizenz­frei von der Fir­ma Goog­le für Web­site­be­trei­ber zur Ver­fü­gung gestellt wird. Inter­net­sei­ten, die die­ses nut­zen, über­mit­teln die Inter­net Pro­to­col (IP)‑Adresse in der Regel ohne Kennt­nis und Ein­wil­li­gung von Besu­chern der Web­site auto­ma­tisch an die Fir­ma Goog­le in den USA. Vor die­sem Hin­ter­grund hat das Land­ge­richt Mün­chen mit Urteil vom 20. Janu­ar 2022 (Az. 3 O 17493/​20) ent­schie­den, dass die auto­ma­ti­sche Wei­ter­ga­be der IP‑Adresse (als per­so­nen­be­zo­ge­nes Datum) durch den Betrei­ber einer Web­site einen daten­schutz­recht­li­chen Ein­griff dar­stel­le, in den der Besu­cher der Sei­te nicht ein­ge­wil­ligt habe. In die­ser Vor­ge­hens­wei­se dürf­te also tat­säch­lich ein Ver­stoß gegen die Daten­schutz­grund­ver­ord­nung lie­gen und so auch ein ent­spre­chen­der Unter­las­sungs­an­spruch bestehen, wenn ein unbe­darf­ter Nut­zer eine sol­che Web­site besucht.

Die Beschul­dig­ten aber sol­len gera­de nicht unbe­darft gewe­sen sein: Mit­tels einer eigens dafür pro­gram­mier­ten Soft­ware sol­len sie zunächst Web­sites iden­ti­fi­ziert haben, die Goog­le Fonts nut­zen. In einem zwei­ten Schritt und wie­der unter Nut­zung einer dafür ent­wickel­ten Soft­ware sol­len Sie Web­site­be­su­che durch den beschul­dig­ten 41‑jährigen auto­ma­ti­siert vor­ge­nom­men, die­se letzt­lich also fin­giert haben. Die dann pro­to­kol­lier­ten Web­site­be­su­che sol­len die Grund­la­ge für die Behaup­tung der daten­schutz­recht­li­chen Ver­stö­ße und die Gel­tend­ma­chung von Schmer­zens­geld­an­sprü­chen gewe­sen sein, die durch die Annah­me des „Ver­gleichs­an­ge­bo­tes“ angeb­lich hät­ten abge­wen­det wer­den können.

Die Beschul­dig­ten sol­len daher dar­über getäuscht haben, dass eine Per­son die Web­sites besucht hat (und nicht tat­säch­lich eine Soft­ware). Man­gels Per­son läge dann aber kei­ne Ver­let­zung eines Per­sön­lich­keits­rechts vor.
Da sie die­se Besu­che außer­dem bewusst vor­ge­nom­men haben sol­len, um die IP‑Adressen‑Weitergabe in die USA aus­zu­lö­sen, hät­ten sie fak­tisch auch in die Über­mitt­lung ein­ge­wil­ligt, so dass eben gera­de kein daten­schutz­recht­li­cher Ver­stoß mehr gege­ben war, der eine Abmah­nung hät­te begrün­den kön­nen.
In eini­gen Fäl­len soll zudem über­haupt kei­ne Daten­über­mitt­lung in die USA erfolgt, ein dar­auf basie­ren­der Anspruch aber trotz­dem gel­tend gemacht wor­den sein.

420 Anzei­gen von „Abge­mahn­ten“, die letzt­lich nicht gezahlt haben, lie­gen der Staats­an­walt­schaft Ber­lin inzwi­schen vor. Aus der Aus­wer­tung der Kon­to­un­ter­la­gen der Beschul­dig­ten ergibt sich indes, dass etwa wei­te­re 2.000 Per­so­nen das „Ver­gleichs­an­ge­bot“ aus Sor­ge vor einem Zivil­ver­fah­ren und in der unzu­tref­fen­den Annah­me, der behaup­te­te Anspruch bestün­de tat­säch­lich, ange­nom­men und gezahlt haben.

Die heu­ti­gen Durch­su­chun­gen führ­ten zum Auf­fin­den von Beweis­mit­teln, ins­be­son­de­re Unter­la­gen und Daten­trä­gern, die nun­mehr aus­ge­wer­tet wer­den müs­sen. Sie sol­len unter ande­rem über die Anzahl, Aus­wahl­kri­te­ri­en und Iden­ti­tät, die tat­säch­li­chen Umsät­ze und die genaue Vor­ge­hens­wei­se wei­te­ren Auf­schluss geben.

Link: Gemein­sa­me Pres­se­mel­dung: Durch­su­chun­gen nach Abmahn­wel­le wegen „Goog­le Fonts“-Nutzung – Ber​lin​.de

DSK: neue Ver­si­on der Ori­en­tie­rungs­hil­fe Tele­me­di­en veröffentlicht

Auf ihrer 104. Kon­fe­renz hat die Daten­schutz­kon­fe­renz die geän­der­te Fas­sung der Ori­en­tie­rungs­hil­fe (OH) für Anbie­ten­de von Tele­me­di­en 2021 Ver­si­on 1.1 beschlos­sen. Die­se wur­de nun zusam­men mit einem umfas­sen­den Aus­wer­tungs­be­richt veröffentlicht.

Zum Inkraft­tre­ten des Tele­kom­mu­ni­ka­ti­on-Tele­me­di­en-Daten­schutz­ge­set­zes (TTDSG) im Dezem­ber 2021 ver­ab­schie­de­te die DSK die OH Tele­me­di­en 2021. Die­se setzt sich aus­führ­lich mit den Anfor­de­run­gen des neu­en Geset­zes sowie der Daten
schutz-Grund­ver­ord­nung beim Betrieb von Web­sei­ten aus­ein­an­der und gibt Web­sei­ten­be­trei­ben­den, Anbie­ten­den von Tele­me­di­en sowie Nut­zen­den und Rechts­an­wen­den­den Hil­fe­stel­lun­gen für einen daten­schutz­kon­for­men Betrieb ihrer Webseiten.

Auf Web­sei­ten und in Apps kom­men regel­mä­ßig Tech­no­lo­gien zum Ein­satz – häu­fig von Dritt­dienst­lei­sten­den – die es ermög­li­chen, per­so­nen­be­zo­ge­ne Daten von Nut­zen­den zu ver­schie­de­nen Zwecken zu ver­ar­bei­ten. Ein sehr pra­xis­re­le­van­tes Bei­spiel sol­cher Tech­no­lo­gien sind soge­nann­te Coo­kies, die in den Anwen­dungs­be­reich des neu­en §25 TTDSG fallen.

Im Anschluss an die Ver­öf­fent­li­chung der OH Tele­me­di­en 2021 hat die DSK ein öffent­li­ches Kon­sul­ta­ti­ons­ver­fah­ren ein­ge­lei­tet. Nach Aus­wer­tung der ein­ge­gan­ge­nen Stel­lung­nah­men wur­den ent­spre­chen­de Anpas­sun­gen und Ergän­zun­gen in der Ursprungs­ver­si­on der OH Tele­me­di­en 2021 vor­ge­nom­men. Zudem wur­de die OH Tele­me­di­en 2019 in die aktu­el­le Ver­si­on 1.1 auf­ge­nom­men. Eine aus­führ­li­che Bewer­tung der Stel­lung­nah­men fin­det sich im Aus­wer­tungs­be­richt des Arbeits­kreis Medi­en „Kon­sul­ta­ti­on zur Ori­en­tie­rungs­hil­fe für Anbie­ter von Telemedien“.

Wei­te­re Infor­ma­tio­nen zur Daten­schutz­kon­fe­renz: www​.daten​schutz​kon​fe​renz​-online​.de

DSK: Micro­soft 365 nicht datenschutzrechtskonform!

Die DSK (Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der) stellt unter Bezug­nah­me auf die Zusam­men­fas­sung des Berichts fest, dass der Nach­weis von Ver­ant­wort­li­chen, Micro­soft 365 daten­schutz­rechts­kon­form zu betrei­ben, auf der Grund­la­ge des von Micro­soft bereit­ge­stell­ten „Daten­schutz­nach­trags vom 15.September 2022“ nicht geführt wer­den kann. Solan­ge ins­be­son­de­re die not­wen­di­ge Trans­pa­renz über die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten aus der Auf­trags­ver­ar­bei­tung für Micro­softs eige­ne Zwecke nicht her­ge­stellt und deren Recht­mä­ßig­keit nicht belegt wird, kann die­ser Nach­weis nicht erbracht werden.

ür eine ver­tief­te Bewer­tung der Gesprächs­er­geb­nis­se stellt die DSK die eine Zusam­men­fas­sung der Arbeits­grup­pen­er­geb­nis­se zur Verfügung.

https://​www​.bfdi​.bund​.de/​S​h​a​r​e​d​D​o​c​s​/​D​o​w​n​l​o​a​d​s​/​D​E​/​D​S​K​/​D​S​K​B​e​s​c​h​l​u​e​s​s​e​P​o​s​i​t​i​o​n​s​p​a​p​i​e​r​e​/​1​0​4​D​S​K​-​F​e​s​t​l​e​g​u​n​g​-​M​i​c​r​o​s​o​f​t​-​O​n​l​i​n​e​d​i​e​n​s​t​e​.​p​d​f​?​_​_​b​l​o​b​=​p​u​b​l​i​c​a​t​i​o​n​F​i​l​e​&​v=1

LfDI BW: Ver­hal­tens­re­geln für Auftragsverarbeiter

Mehr Rechts­si­cher­heit im Bereich Auf­trags­ver­ar­bei­tung – stan­dar­di­sier­te Ver­hal­tens­re­geln bie­ten Unter­neh­men Unter­stüt­zung bei der Anwen­dung der Datenschutz-Grundverordnung

LfDI Dr. Ste­fan Brink: „Selbst­re­gu­lie­rung ist eine her­vor­ra­gen­de Mög­lich­keit, Daten­ver­ar­bei­tung maß­ge­nau auf die Bedürf­nis­se von Bran­chen abzu­stim­men – die DS-GVO gibt die­se Mög­lich­keit, die wir jetzt umsetzen.“

Wer in Baden-Würt­tem­berg per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet, muss die euro­päi­schen Regeln der Daten­schutz-Grund­ver­ord­nung (DS-GVO) beach­ten. Für den Daten­schutz ver­ant­wort­li­che Stel­len nut­zen regel­mä­ßig Dienst­lei­ster, die in ihrem Auf­trag per­so­nen­be­zo­ge­nen Daten ver­ar­bei­ten – soge­nann­te Auf­trags­ver­ar­bei­ter. Um hier mehr Über­sicht­lich­keit und Rechts­si­cher­heit zu schaf­fen, hat der LfDI daher die neue natio­na­le Ver­hal­tens­re­gel „Anfor­de­run­gen an die Auf­trags­ver­ar­bei­ter nach Arti­kel 28 DS-GVO – Tru­sted Data Pro­ces­sor“ geneh­migt. Unter­neh­men kön­nen sich fort­an die­se Ver­hal­tens­re­geln zu eigen machen und nut­zen damit die Mög­lich­keit, für sich mehr Rechts­si­cher­heit zu schaffen.

Durch die Selbst­ver­pflich­tung auf die Ver­hal­tens­re­gel „Tru­sted Data Pro­ces­sor“ machen Auf­trags­ver­ar­bei­ter nach außen sicht­bar, dass sie den in der Ver­hal­tens­re­gel fest­ge­leg­ten Vor­ga­ben fol­gen und sich deren Über­wa­chung durch eine vom LfDI akkre­di­tier­te Über­wa­chungs­stel­le unter­wer­fen. Die Über­wa­chungs­stel­le ist Anlauf­stel­le für Beschwer­den und kon­trol­liert regel­mä­ßig die Ein­hal­tung der Ver­hal­tens­re­gel. An der Ent­wick­lung der „Tru­sted Data Pro­ces­sor“ wirk­ten maß­geb­lich Exper­ten der Fach­ver­bän­de „Berufs­ver­band der Daten­schutz­be­auf­trag­ten Deutsch­lands (BvD) e.V.“ und „Gesell­schaft für Daten­schutz und Daten­si­cher­heit (GDD) e.V.“ mit.

Die DS-GVO kennt das Instru­ment der Ver­hal­tens­re­geln (Code of Con­duct), wel­che der Kon­kre­ti­sie­rung von daten­schutz­recht­li­chen Anfor­de­run­gen die­nen soll. Mit der Aner­ken­nung der Ver­hal­tens­re­gel wur­de auch die DSZ Daten­schutz Zer­ti­fi­zie­rungs­ge­sell­schaft mbH als neue Über­wa­chungs­stel­le akkre­di­tiert. Die DSZ bear­bei­tet die Anträ­ge auf Selbst­ver­pflich­tung und über­nimmt die Kon­trol­le und Bear­bei­tung von Beschwerden.

Wei­te­re Informationen:

Der Lan­des­be­auf­trag­te berät Bürger_​innen, Behör­den, Unter­neh­men und bei Fra­gen des Daten­schut­zes. Sei­nen Bera­tungs­an­satz hat er zudem gestärkt, in dem er haus­ei­ge­ne Bil­dungs­zen­trum BIDIB auf­ge­baut und erfolg­reich eta­bliert hat, Hand­rei­chun­gen und Ori­en­tie­rungs­hil­fen her­aus­gibt und zuletzt etwa mit der Vor­la­ge von Daten­schut­zi­cons die über­sicht­li­che Gestal­tung von Daten­schutz­hin­wei­sen för­dert. Mit sei­nem Tool DS-GVO.clever ermög­licht der Lan­des­be­auf­trag­te Ver­ei­nen und klei­nen Unter­neh­men zudem, ein­fach und schnell Daten­schutz­hin­wei­se zu erstellen.

Mit der Akkre­di­tie­rung DSZ Daten­schutz Zer­ti­fi­zie­rungs­ge­sell­schaft mbH folgt der Lan­des­be­auf­trag­te sei­nem pra­xis­ori­en­tier­ten Ansatz zur ein­heit­li­chen und kon­se­quen­ten Umset­zung und Anwen­dung der DS-GVO und bie­tet damit auch baden-würt­tem­ber­gi­sche Unter­neh­men die Mög­lich­keit, ihrer daten­schutz­recht­li­chen Ver­ant­wor­tung mit der Ein­hal­tung der Selbst­ver­pflich­tung wirk­sam nach­zu­kom­men. Auf der Web­sei­te der DSZ unter https://​www​.ver​hal​tens​re​gel​.eu/ fin­den Inter­es­sier­te die Ver­hal­tens­re­gel Tru­sted Data Processor.

Für Rück­fra­gen errei­chen Sie uns unter der Tele­fon­num­mer
0711/​615541 – 23 und per E‑Mail: pressestelle@​lfdi.​bwl.​de

Wei­te­re Infor­ma­tio­nen zu Daten­schutz und Infor­ma­ti­ons­frei­heit fin­den Sie im Inter­net unter www​.baden​-wuert​tem​berg​.daten​schutz​.de oder unter www​.daten​schutz​.de.

BSI: Cyber-Sicher­heit für KMU

Die Bro­schü­re bie­tet KMU einen leicht ver­ständ­li­chen Ein­stieg, um ihr Cyber-Sicher­heits­ni­veau zu ver­bes­sern, denn Infor­ma­ti­ons­si­cher­heit ist die Vor­aus­set­zung für eine siche­re Digi­ta­li­sie­rung. Die Bro­schü­re steigt mit den wich­tig­sten Grund­la­gen der IT-Sicher­heit ein – kurz und knapp anhand von 14 Fra­gen. Sie infor­miert unter ande­rem dar­über, wer für die Infor­ma­ti­ons­si­cher­heit im Unter­neh­men ver­ant­wort­lich ist, war­um Patches und Updates regel­mä­ßig instal­liert wer­den soll­ten, war­um ein Viren­schutz­pro­gramm not­wen­dig und eine Daten­si­che­rung so wich­tig ist.

https://​www​.bsi​.bund​.de/​S​h​a​r​e​d​D​o​c​s​/​D​o​w​n​l​o​a​d​s​/​D​E​/​B​S​I​/​P​u​b​l​i​k​a​t​i​o​n​e​n​/​B​r​o​s​c​h​u​e​r​e​n​/​C​y​b​e​r​-​S​i​c​h​e​r​h​e​i​t​_​K​M​U​.​pdf

Kün­di­gung wegen Ver­stoß gegen„Clean-Desk-Policy“

Die DS-GVO for­dert von Ver­ant­wort­li­chen und Auf­trags­ver­ar­bei­tern in Art. 32 DS-GVO ein Schutz­ni­veau, das dem Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen ange­mes­se­nen ist. Dabei sol­len zur Gewähr­lei­stung der Sicher­heit der ins­be­son­de­re die Risi­ken berück­sich­tigt wer­den, die aus einer Ver­let­zung der Ver­füg­bar­keit, Ver­trau­lich­keit und Inte­gri­tät der per­so­nen­be­zo­ge­nen Daten, der an deren Ver­ar­bei­tung betei­lig­ten IT-Syste­me, Dien­ste und Fach­pro­zes­se her­vor­ge­hen kön­nen. Ziel ist es, die­se Risi­ken ein­zu­däm­men, indem wirk­sa­me tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) umge­setzt wer­den. Auf Grund der tech­nik­neu­tra­len For­mu­lie­rung des DS-GVO fin­den sich dar­in kei­ne kon­kre­ten Maß­nah­men, die Schritt für Schritt abge­ar­bei­tet wer­den kön­nen. Statt­des­sen steht es grund­sätz­lich jedem Ver­ant­wort­li­chen frei, selbst die­je­ni­gen TOM aus­zu­wäh­len, die pas­send zu der eige­nen Art der Ver­ar­bei­tung und Unter­neh­mens­grö­ße sind, sofern damit ein wirk­sa­mes ange­mes­se­nes Schutz­ni­veau erreicht wer­den kann.

Die­se TOM kön­nen und wer­den von Ver­ant­wort­li­chen in sog. „Clean-Desk-Poli­ci­es“ zusam­men­ge­fasst und für die Ein­hal­tung durch die Beschäf­tig­ten in Kraft gesetzt. Die Eta­blie­rung von TOM ist nicht nur für den Schutz von per­so­nen­be­zo­ge­nen Daten ein not­wen­di­ges Muss, son­dern kann auch für den Schutz von sog. Geschäfts­ge­heim­nis­sen ein­ge­setzt werden.

Frü­her wur­de es als aus­rei­chend betrach­tet, dass der Inha­ber eines Geschäfts­ge­heim­nis­ses den sub­jek­ti­ven Wil­len hat­te, eine Infor­ma­ti­on als Geschäfts­ge­heim­nis zu schüt­zen. Mit dem neu­en Geschäfts­ge­heim­nis­ge­setz reicht dies nicht mehr aus, da eine Infor­ma­ti­on nur noch als Geschäfts­ge­heim­nis betrach­tet wird, sofern die­se zum Gegen­stand von tat­säch­li­chen ange­mes­se­nen Schutz­maß­nah­men gemacht und expli­zit durch die­se geschützt wird (vgl. (§ 2 Nr 1 a) GeschGehG). Bestand­teil des orga­ni­sa­to­ri­schen Geheim­nis­schut­zes ist in Unter­neh­men daher oft­mals eine „Clean-Desk-Poli­cy“, die den Mit­ar­bei­ter dazu ver­pflich­tet, bei Ver­las­sen des Schreib­ti­sches kei­ne Geschäfts­ge­heim­nis­se offen oder erkenn­bar lie­gen zu las­sen.

Das LAG Sach­sen hat in einer kürz­lich ver­kün­de­ten Ent­schei­dung klar­ge­stellt, dass die wie­der­hol­te Ver­let­zung orga­ni­sa­to­ri­scher Schutz­maß­nah­men, die zum Schutz von Geschäfts­ge­heim­nis­sen eta­bliert wur­den, die Kün­di­gung des Arbeit­neh­mers recht­fer­tigt (Urteil vom 07.04.2022 – 9 Sa 250/​21).

Im Kern ging der Kün­di­gungs­schutz­kla­ge ging es auch um die Fra­ge, wann die Nicht­be­ach­tung ein­schlä­gi­ger Clean-Desk-Poli­ci­es zu einer Abmah­nung oder aber auch in wie­der­hol­ten Fäl­len zu einer Kün­di­gung füh­ren kann. Im Fall des LAG Sach­sen war die Klä­ge­rin bei der Beklag­ten als Kre­dit­sach­be­ar­bei­te­rin beschäf­tigt. Die von der Beklag­ten in Kraft gesetz­ter umfas­sen­de Richt­li­nie zur Infor­ma­ti­ons­si­cher­heit und Clean-Desk-Poli­cy wur­de von der Klä­ge­rin (der Kün­di­gungs­schutz­kla­ge) zum wie­der­hol­ten Male ver­letzt. Die Richt­li­ni­en ent­hiel­ten Rege­lun­gen mit dem Inhalt, dass Beschäf­tig­te schüt­zens­wer­te Daten stets weg­zu­sper­ren oder ord­nungs­ge­mäß zu ent­sor­gen haben, ihre Arbeits­ge­rä­te beim Ver­las­sen des Arbeits­plat­zes zu sper­ren sind und sen­si­ble Doku­men­te kei­nes­falls offen ein­seh­bar lie­gen gelas­sen wer­den dür­fen.
Nach Auf­fas­sung des Gerichts habe die Klä­ge­rin gegen die Haupt­pflich­ten aus ihrem Arbeits­ver­trag ver­sto­ßen. Unter Beach­tung der vor­her­ge­hen­den Abmah­nun­gen han­de­le es sich laut Gericht ins­ge­samt um erheb­li­che Pflicht­ver­let­zun­gen. Der Arbeit­ge­ber sei nicht ver­pflich­tet gewe­sen, erst noch eine wei­te­re Abmah­nung auszusprechen.

Der Fall macht die Bedeu­tung von ver­schrift­lich­ten Rege­lun­gen rund um den Schutz von per­so­nen­be­zo­ge­nen Daten und auch Geschäfts­ge­heim­nis­sen deut­lich:
Ver­ant­wort­li­che fin­den wich­ti­ge Hin­wei­se, wel­che Inhal­te eine Clean-Desk-Poli­cy ent­hal­ten soll­te, u.a. auch in den Umset­zungs­hin­wei­sen zum Bau­stein INF.7 Büro­ar­beits­platz. Die­se kön­nen selbst­ver­ständ­lich auch im Rah­men einer Home-Office-Rege­lung genutzt wer­den, wo das The­ma Clean-Desk-Poli­cy eben­falls sei­ne Daseins­be­rech­ti­gung haben kann, wie am Arbeits­platz im Unter­neh­men selbst. Hier­für kann das Doku­ment „Daten­schutz­recht­li­che Rege­lun­gen bei Home­of­fice – Check­li­ste mit Prüf­kri­te­ri­en nach DS-GVO“ des BayL­DA emp­foh­len wer­den. Eine noch all­ge­mei­ne­re und umfang­rei­che­re Check­li­ste fin­den Inter­es­sier­te in dem Doku­ment “ Good Prac­ti­ce bei tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men – Gene­ri­scher Ansatz nach Art. 32 DS-GVO zur Sicher­heit„, wel­ches eben­falls vom BayL­DA ange­bo­ten wird.

Goog­le Fonts löst Abmahn­wel­le aus

Pres­se­mit­tei­lung des Thü­rin­ger Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (TLf­DI) vom 02.11.2022

Aus aktu­el­lem Anlass möch­te der Thü­rin­ger Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (TLf­DI), Dr. Lutz Has­se über Fol­gen­des informieren:

Lau­fen­de Abmahn­wel­le
Laut Medi­en­quel­len soll es aktu­ell zu einer Abmahn­wel­le gegen tau­sen­de von Web­sites-Betrei­bern kom­men. Grund ist die dyna­mi­sche Ein­bet­tung von Goog­le Fonts auf deren Web­site, ohne vor­ab die Ein­wil­li­gung der Besu­cher der Web­site ein­zu­ho­len. Auch beim TLf­DI gehen regel­mä­ßig Beschwer­den die­ses Inhalts gegen Sei­ten­be­trei­ber ein. Bei einer dyna­mi­schen Ein­bin­dung wer­den die Schrift­ar­ten von Ser­vern des US-Kon­zerns in den Brow­ser des Besu­chers gela­den und dabei per­so­nen­be­zo­ge­ne Daten, wie z. B. die IP-Adres­se der Benut­zer, in die USA über­mit­telt. Dies ver­stößt laut dem Urteil des Land­ge­rich­tes Mün­chen v. 20. Janu­ar 2022, Az. 3 O 17493/​20, gegen das all­ge­mei­ne Per­sön­lich­keits­recht und die Daten­schutz-Grund­ver­ord­nung. Details fin­den sich in den Urteils­grün­den, abruf­bar unter:

https://www.gesetze-bayern.de/Content/Document/Y‑300-Z-BECKRS-B-2022-N-612?hl=true

Wor­um geht es genau bei Goog­le Fonts?
Goog­le Fonts sind kosten­lo­se Schrift­ar­ten des US-Kon­zern Goog­le, wel­che zur frei­en Ver­fü­gung ste­hen. Dabei ist es nicht jedem Web­site-Betrei­ber bekannt, dass Goog­le Fonts auch durch ein­ge­bet­te­te Goog­le-Dien­ste (z. B. Goog­le Maps, reCAPTCHA) auto­ma­tisch mit­ge­la­den werden.

Der Euro­päi­sche Gerichts­hof ent­schied bereits in sei­nem Urteil vom 16. Juli 2020 (C‑311/​18 „Schrems II“), dass das US-Recht der­zeit den Schutz per­so­nen­be­zo­ge­ner Daten von Bür­gern aus der EU nicht ange­mes­sen gewähr­lei­stet und erklär­te den sog. „Pri­va­cy Shield“ für ungül­tig. Dem­nach gel­ten die USA im daten­schutz­recht­li­chen Sin­ne als „unsi­che­rer Dritt­staat“, der nicht ohne wei­te­res Zugang zu per­so­nen­be­zo­ge­nen Daten­strö­men aus Euro­pa erhal­ten darf. Nähe­res kann auf der Web­site des Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit nach­ge­le­sen werden:

https://​www​.bfdi​.bund​.de/​D​E​/​F​a​c​h​t​h​e​m​e​n​/​I​n​h​a​l​t​e​/​E​u​r​o​p​a​-​I​n​t​e​r​n​a​t​i​o​n​a​l​e​s​/​A​u​s​w​i​r​k​u​n​g​e​n​-​S​c​h​r​e​m​s​-​I​I​-​U​r​t​e​i​l​.​h​tml

Emp­feh­lun­gen des TLf­DI zu Goog­le Fonts zur Ver­mei­dung von Abmah­nun­gen:
Der TLf­DI emp­fiehlt Betrei­bern von Web­sites zu prü­fen, ob sie Goog­le Fonts ein­set­zen und wenn ja, wie der Dienst in die Web­site ein­ge­bun­den wird. Wer dyna­mi­sche Goog­le Fonts nutzt, soll­te die­se Schrift­ar­ten lokal spei­chern und von dort in den eige­nen Inter­net­auf­tritt ein­bin­den. Wer nicht weiß wie das geht, kei­ne Anlei­tun­gen im Inter­net fin­det, soll­te sich an sei­nen Web-Dien­ste­an­bie­ter wen­den. Stra­to hat bspw. eine Anlei­tung veröffentlicht:

BSI-Lage­be­richt 2022: Bedro­hung im Cyber-Raum so hoch wie nie

Die Bedro­hung im Cyber-Raum ist damit so hoch wie nie”, stellt das BSI in sei­nem “Bericht zur Lage der IT-Sicher­heit in Deutsch­land” fest, der am ver­gan­ge­nen Diens­tag ver­öf­fent­licht wur­de. Grund dafür ist nicht nur eine “hohe Bedro­hung durch Cyber­crime”, son­dern auch “ver­schie­de­ne Bedro­hun­gen im Zusam­men­hang mit dem rus­si­schen Angriffs­krieg auf die Ukrai­ne”. Zu den Top-Bedro­hun­gen für die Gesell­schaft zählt das BSI Iden­ti­täts­dieb­stahl, Sextor­ti­on (die Erpres­sung mit Nackt­bil­dern oder ‑vide­os) und Fake-Shops im Inter­net. Mit Blick auf die Wirt­schaft ber­gen Ran­som­wa­re-Schwach­stel­len, offe­ne oder falsch kon­fi­gu­rier­te Online-Ser­ver und zu gro­ße Abhän­gig­kei­ten in den Lie­fer­ket­ten die größ­ten Gefah­ren. Staat und Ver­wal­tung lei­den dem Bericht zufol­ge vor allem unter Ran­som­wa­re-Schwach­stel­len, unter kom­ple­xen, fort­lau­fen­den Angrif­fen auf die IT-Infra­struk­tu­ren und, wie in der Wirt­schaft, unter offe­nen oder falsch kon­fi­gu­rier­ten Online-Ser­vern. (Wei­te­re Zah­len aus dem Bericht fin­den Sie in unse­rer Rubrik “Gut zu wissen”.)

Wei­te­re Infor­ma­tio­nen zum BSI zum Lage­be­richt 2022 (mit Down­load-Mög­lich­keit): https://​www​.bsi​.bund​.de/​D​E​/​S​e​r​v​i​c​e​-​N​a​v​i​/​P​u​b​l​i​k​a​t​i​o​n​e​n​/​L​a​g​e​b​e​r​i​c​h​t​/​l​a​g​e​b​e​r​i​c​h​t​_​n​o​d​e​.​h​tml