EDSA entscheidet über Cookie-Banner und Cloud-Dienste 

Der Europäische Datenschutzausschuss (EDSA) ist in seiner gestrigen Sitzung mit der Task Force Cookie-Banner sowie mit seiner koordinierten Maßnahme zu Cloud-Diensten zu Ergebnissen gekommen.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, begrüßt die Fortschritte zu einer einheitlicheren Aufsicht in diesen Bereichen.

Dazu sagte der BfDI: Eine gut gemachte und faire Internetseite benötigt kein Cookie-Banner, weil sie nur technisch notwendige Cookies verwendet. Wenn Webseitenbetreibende aber unbedingt personenbezogene Daten sammeln wollen, dann dürfen sie sich eine Einwilligung dafür nicht mit unfairen oder rechtswidrigen Mitteln holen. Nach den Richtlinien zu trügerischen Designmustern habe ich mich mit meinen Kolleginnen und Kollegen im EDSA jetzt darauf geeinigt, wie wir das in der Aufsicht möglichst einheitlich umsetzen. Die Ergebnisse des Abschlussberichts der Task Force Cookie-Banner entsprechen nun zum größten Teil dem, was wir in Deutschland schon in der Orientierungshilfe Telemedien festgehalten haben.

Der EDSA hat außerdem seine erste koordinierte Durchsetzungsmaßnahme durchgeführt. Dabei haben die EDSA-Mitglieder die Nutzung von Cloud-Diensten bei öffentlichen Einrichtungen untersucht. Professor Kelber sieht sich durch die Ergebnisse der Untersuchung bestärkt: Meine Behörde berät die Bundesregierung beispielsweise zum Thema souveräne Cloud, unter anderen in den Gremien des IT-Rats und des IT-Planungsrats. Wir betonen dabei immer wieder, dass gerade mit Blick auf die Schwierigkeiten internationaler Datentransfers bei Cloud-Projekten der Datenschutz von Anfang an mitgedacht werden muss. Der EDSA sorgt dafür, dass wir auch hier eine europaweit einheitliche Linie haben.

Die Pressemitteilung des EDSA zur Sitzung finden Sie hier.

Quelle: https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2023/02_EDSA-Cookie-Banner-Cloud-Dienste.html?nn=251944

BSI: Weltweiter Ransomware-Angriff

Bei einem weltweit breit gestreuten Ransomware-Angriff wurden laut Medienberichten tausende ESXi-Server, die u. a. zur Virtualisierung von IT-Fachverfahren genutzt werden, verschlüsselt. Der regionale Schwerpunkt der Angriffe lag dabei auf Frankreich, den USA, Deutschland und Kanada, auch weitere Länder sind betroffen.

Nach derzeitigem Kenntnisstand wird davon ausgegangen, dass dabei die bereits im Februar 2021 gepatchte Schwachstelle CVE-2021-21974 als Angriffsvektor ausgenutzt wird. Das BSI hatte zu dieser Zeit vor der Ausnutzung von Schwachstellen im entsprechenden Produkt gewarnt. Zum aktuellen IT-Sicherheitsvorfall hat das BSI nun eine Cyber-Sicherheitwarnung mit entsprechenden Schutzmaßnahmen veröffentlicht.

Nach bisherigen Erkenntnissen scheint es in Deutschland eine mittlere dreistellige Zahl an betroffenen Systemen zu geben. Konkretere Aussagen zur Betroffenheit und zum Ausmaß möglicher Schäden sind derzeit noch nicht möglich.

Das BSI analysiert diesen IT-Sicherheitsvorfall intensiv und steht im engen Austausch mit seinen internationalen Partnern. Das BSI wird über aktuelle Erkenntnisse informieren.

* ESX und ESXi sind Bezeichnungen von Hypervisoren von VMware zur Virtualisierung von Servern, Rechenzentren und Rechnersystemen. ESX steht hierbei für „Elastic Sky X“, ESXi bedeutet „Elastic Sky X integrated“.

Quelle: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2023/230206_ESXi-Schwachstelle-massiv-ausgenutzt.html

Klaviyo: die nächste Abmahnung droht!

Nach Google Fonts wird jetzt Klaviyo abgemahnt

Im vergangenen Jahr mussten sich Online-Händler mit Massenabmahnungen wegen der Nutzung von Google Fonts herumschlagen. Nun baut sich eine neue Abmahnwelle nach dem gleichen Muster auf. Auch diesmal geht es um die Übermittlung von Daten in die USA.

Massenabmahnungen sind ein regelmäßig auftretendes Problem, mit dem sich viele Online-Händler herumschlagen müssen. Die Absender sind zumeist alte Bekannte, die nach einer Runde nicht in der Versenkung verschwinden, sondern mit einem neuen Abmahngrund weitermachen.

So war es auch bei der letzten großen Welle im vergangenen Jahr, als massenweise DSGVO-Verstöße wegen der dynamischen Einbindung von Google Fonts abgemahnt und Schadensersatzforderungen verschickt wurden.

Einer der Protagonisten: Der Berliner Rechtsanwalt Philipp Brandt und seine Kanzlei brandt.legal. Dieser hatte bereits mit seiner Vorgänger-Kanzlei Baumgarten Brandt jahrelang im Bereich Tauschbörsen-Abmahnungen agiert, wie Christian Solmecke, Partner der Kölner Verbraucherkanzlei WBS, berichtete, der damals zahlreiche Mandanten in Tauschbörsen-Fällen vertreten hatte.

Nun sind die Abmahner von brandt.legal wieder aktiv und verschicken aktuell massenhaft DSGVO-Abmahnung wegen unzulässigen Eingriffs in das allgemeine Persönlichkeitsrecht aufgrund der Nutzung von Klaviyo. So liegen unter anderem dem Händlerbund entsprechende Schreiben vor.

Das Vorgehen wird wie folgt beschrieben. Eine Privatperson meldet sich zunächst für einen Newsletter an und macht danach von ihrem Recht Gebrauch, Auskunft über die personenbezogenen Daten zu erhalten. Wenn das Unternehmen dann darüber informiert, dass die Daten an Klaviyo, ein Marketing-Automation-Unternehmen mit Sitz in den USA, übermittelt wurden, folgt ein Anwaltsschreiben von brandt.legal.

Von ähnlichen Schreiben an seine Mandanten berichtet auch Rechtsanwalt Oliver Eiben von der Kanzlei Rieck & Partner: „Uns liegt ein Schreiben der brandt.legal Rechtsanwälte aus Berlin vor, die für einen Mandanten aus Wien datenschutzrechtliche Abmahnungen versenden. Unserer Mandantschaft wird vorgeworfen einen schweren Datenschutzverstoß aufgrund der Übermittlung von personenbezogenen Daten an das Technologieunternehmen Klaviyo in den USA begangen zu haben und es werden Unterlassungs- und Schadensersatzansprüche geltend gemacht. Der Schadenersatz beläuft sich auf immerhin 5.000 Euro.“ Außerdem werde die Erstattung von Rechtsanwaltsgebühren gefordert – ein zusätzlicher Geldbetrag von 1.728,48 Euro, so Eiben.

Er rät Betroffenen: „Lassen Sie die von den brandt.legal Rechtsanwälten gesetzten Fristen auf keinen Fall untätig verstreichen, aber lassen Sie sich auch nicht durch die hohen Forderungen und die von den Rechtsanwälten dargestellten drohenden Konsequenzen erschrecken. Geben Sie unter keinen Umständen übereilt eine Unterlassungserklärung ab, jedenfalls nicht ohne vorherige Prüfung des Sachverhalts durch einen Rechtanwalt. Zahlen Sie den geforderten Betrag keinesfalls, ohne die Abmahnung vorab gründlich anwaltlich prüfen zu lassen.“

Nicht selten konnte in der Vergangenheit in ähnlich gelagerten Fällen festgestellt werden, dass geltend gemachten Ansprüche nicht oder nicht in voller Höhe bestehen. Betroffene sollten zudem den Umfang des geforderten Unterlassungsversprechens sorgfältig prüfen lassen. Anderenfalls könne es passieren, dass Sie sich zu weitreichend verpflichten, obwohl bereits im Vornherein keine Ansprüche des Abmahners bestehen.

Mitarbeiter überweist Hackern 290.000 €

Wie der SWR berichtet, haben sich kriminelle Hacker laut Polizeiangaben Zugriff auf das Mail-Programm eines Unternehmens in Kaiserslautern verschafft. Darüber hätten die Angreifer den Nachrichtenverkehr zwischen einem Lieferanten und Mitarbeitern des Unternehmens mitverfolgt. Anschließend sollen sie sich selbst als dieser Lieferant ausgegeben haben. Die Betrüger schafften es, einen Mitarbeiter davon zu überzeugen, fast 290.000 Euro auf ein Konto zu überweisen, das von dem gewöhnlichen Geschäftskonto abweicht.

In mehreren Transaktionen sei das Geld auf ein ausländisches Konto geflossen. Als dem Unternehmen der Betrug auffiel, kontaktierte es die Polizei in Kaiserslautern. Diese ermittelt nun gegen die bisher unbekannten Täter. Zudem verweisen die Beamten auf die Zentrale Ansprechstelle Cybercrime (ZAC). Dorthin können sich Unternehmen wenden, die Opfer eines Cyberangriffs geworden sind.

Bürger-CERT: Prophete – Insolvenz durch Cyber-Angriff

Vor wenigen Tagen hat der traditionsreiche Hersteller von Fahrrädern, die Prophete-Gruppe aus Rheda-Wiedenbrück, Konkurs angemeldet. Als einen Grund für die Pleite nennt der vorläufige Insolvenzverwalter gegenüber der Frankfurter Allgemeinen Zeitung einen Hacker-Angriff, der im Unternehmen über mehrere Wochen zu einem kompletten Betriebsausfall geführt haben soll. „Die daraus resultierenden Verluste waren für das Unternehmen nicht mehr zu bewältigen.“

BSI-Informationen zu Ransomware: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Gefaehrdungen/Fortschrittliche-Angriffe/Fortschrittliche-Angriffe_node.html

Generalstaats­anwalt­schaft Berlin: Durchsuchungen nach Abmahnwelle wegen „Google Fonts“-Nutzung

Pressemitteilung vom 21.12.2022

In einem Verfahren gegen zwei Beschuldigte – einen 53‑jährigen Rechtsanwalt mit Kanzleisitz in Berlin und dessen 41‑jährigen Mandanten, dem angeblichen Repräsentanten einer „IG Datenschutz“ – wurden heute wegen des Verdachts des (teils) versuchten Abmahnbetruges und der (versuchten) Erpressung in mindestens 2.418 Fällen durch die Polizei im Auftrag der Staatsanwaltschaft Berlin Durchsuchungsbeschlüsse in Berlin, Hannover, Ratzeburg und Baden-Baden sowie zwei Arrestbeschlüsse mit einer Gesamtsumme vom 346.000 Euro vollstreckt.

Den Beschuldigten wird vorgeworfen, bundesweit Privatpersonen und Kleingewerbetreibende, die auf Ihren Homepages sog. „Google Fonts“ – ein interaktives Verzeichnis mit über 1.400 Schriftarten, die das Schriftbild einer Webseite bestimmen – eingesetzt haben, per Anwaltsschreiben abgemahnt zu haben. Zugleich wurde diesen angeboten, ein Zivilverfahren gegen Zahlung einer Vergleichssumme in Höhe von jeweils 170 Euro vermeiden zu können. Dass die behaupteten Schmerzensgeldforderungen wegen Verletzung des Rechts auf informationelle Selbstbestimmung nicht bestanden, soll den Beschuldigten dabei bewusst gewesen sein. Entsprechend sollen sie auch gewusst haben, dass für die Angeschriebenen kein Anlass für einen entsprechenden Vergleich bestand, da sie die angeblichen Forderungen gerichtlich nicht hätten durchsetzen können. Die Androhung eines Gerichtsverfahrens soll daher tatsächlich nur mit dem Ziel erfolgt sein, die Vergleichsbereitschaft zu wecken.

Bei Google Fonts handelt es sich um ein Tool, das lizenzfrei von der Firma Google für Websitebetreiber zur Verfügung gestellt wird. Internetseiten, die dieses nutzen, übermitteln die Internet Protocol (IP)‑Adresse in der Regel ohne Kenntnis und Einwilligung von Besuchern der Website automatisch an die Firma Google in den USA. Vor diesem Hintergrund hat das Landgericht München mit Urteil vom 20. Januar 2022 (Az. 3 O 17493/20) entschieden, dass die automatische Weitergabe der IP‑Adresse (als personenbezogenes Datum) durch den Betreiber einer Website einen datenschutzrechtlichen Eingriff darstelle, in den der Besucher der Seite nicht eingewilligt habe. In dieser Vorgehensweise dürfte also tatsächlich ein Verstoß gegen die Datenschutzgrundverordnung liegen und so auch ein entsprechender Unterlassungsanspruch bestehen, wenn ein unbedarfter Nutzer eine solche Website besucht.

Die Beschuldigten aber sollen gerade nicht unbedarft gewesen sein: Mittels einer eigens dafür programmierten Software sollen sie zunächst Websites identifiziert haben, die Google Fonts nutzen. In einem zweiten Schritt und wieder unter Nutzung einer dafür entwickelten Software sollen Sie Websitebesuche durch den beschuldigten 41‑jährigen automatisiert vorgenommen, diese letztlich also fingiert haben. Die dann protokollierten Websitebesuche sollen die Grundlage für die Behauptung der datenschutzrechtlichen Verstöße und die Geltendmachung von Schmerzensgeldansprüchen gewesen sein, die durch die Annahme des „Vergleichsangebotes“ angeblich hätten abgewendet werden können.

Die Beschuldigten sollen daher darüber getäuscht haben, dass eine Person die Websites besucht hat (und nicht tatsächlich eine Software). Mangels Person läge dann aber keine Verletzung eines Persönlichkeitsrechts vor.
Da sie diese Besuche außerdem bewusst vorgenommen haben sollen, um die IP‑Adressen‑Weitergabe in die USA auszulösen, hätten sie faktisch auch in die Übermittlung eingewilligt, so dass eben gerade kein datenschutzrechtlicher Verstoß mehr gegeben war, der eine Abmahnung hätte begründen können.
In einigen Fällen soll zudem überhaupt keine Datenübermittlung in die USA erfolgt, ein darauf basierender Anspruch aber trotzdem geltend gemacht worden sein.

420 Anzeigen von „Abgemahnten“, die letztlich nicht gezahlt haben, liegen der Staatsanwaltschaft Berlin inzwischen vor. Aus der Auswertung der Kontounterlagen der Beschuldigten ergibt sich indes, dass etwa weitere 2.000 Personen das „Vergleichsangebot“ aus Sorge vor einem Zivilverfahren und in der unzutreffenden Annahme, der behauptete Anspruch bestünde tatsächlich, angenommen und gezahlt haben.

Die heutigen Durchsuchungen führten zum Auffinden von Beweismitteln, insbesondere Unterlagen und Datenträgern, die nunmehr ausgewertet werden müssen. Sie sollen unter anderem über die Anzahl, Auswahlkriterien und Identität, die tatsächlichen Umsätze und die genaue Vorgehensweise weiteren Aufschluss geben.

Link: Gemeinsame Pressemeldung: Durchsuchungen nach Abmahnwelle wegen „Google Fonts“-Nutzung – Berlin.de

DSK: neue Version der Orientierungshilfe Telemedien veröffentlicht

Auf ihrer 104. Konferenz hat die Datenschutzkonferenz die geänderte Fassung der Orientierungshilfe (OH) für Anbietende von Telemedien 2021 Version 1.1 beschlossen. Diese wurde nun zusammen mit einem umfassenden Auswertungsbericht veröffentlicht.

Zum Inkrafttreten des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) im Dezember 2021 verabschiedete die DSK die OH Telemedien 2021. Diese setzt sich ausführlich mit den Anforderungen des neuen Gesetzes sowie der Daten
schutz-Grundverordnung beim Betrieb von Webseiten auseinander und gibt Webseitenbetreibenden, Anbietenden von Telemedien sowie Nutzenden und Rechtsanwendenden Hilfestellungen für einen datenschutzkonformen Betrieb ihrer Webseiten.

Auf Webseiten und in Apps kommen regelmäßig Technologien zum Einsatz – häufig von Drittdienstleistenden – die es ermöglichen, personenbezogene Daten von Nutzenden zu verschiedenen Zwecken zu verarbeiten. Ein sehr praxisrelevantes Beispiel solcher Technologien sind sogenannte Cookies, die in den Anwendungsbereich des neuen §25 TTDSG fallen.

Im Anschluss an die Veröffentlichung der OH Telemedien 2021 hat die DSK ein öffentliches Konsultationsverfahren eingeleitet. Nach Auswertung der eingegangenen Stellungnahmen wurden entsprechende Anpassungen und Ergänzungen in der Ursprungsversion der OH Telemedien 2021 vorgenommen. Zudem wurde die OH Telemedien 2019 in die aktuelle Version 1.1 aufgenommen. Eine ausführliche Bewertung der Stellungnahmen findet sich im Auswertungsbericht des Arbeitskreis Medien „Konsultation zur Orientierungshilfe für Anbieter von Telemedien“.

Weitere Informationen zur Datenschutzkonferenz: www.datenschutzkonferenz-online.de

DSK: Microsoft 365 nicht datenschutzrechtskonform!

Die DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15.September 2022“ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.

ür eine vertiefte Bewertung der Gesprächsergebnisse stellt die DSK die eine Zusammenfassung der Arbeitsgruppenergebnisse zur Verfügung.

https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/104DSK-Festlegung-Microsoft-Onlinedienste.pdf?__blob=publicationFile&v=1

LfDI BW: Verhaltensregeln für Auftragsverarbeiter

Mehr Rechtssicherheit im Bereich Auftragsverarbeitung – standardisierte Verhaltensregeln bieten Unternehmen Unterstützung bei der Anwendung der Datenschutz-Grundverordnung

LfDI Dr. Stefan Brink: „Selbstregulierung ist eine hervorragende Möglichkeit, Datenverarbeitung maßgenau auf die Bedürfnisse von Branchen abzustimmen – die DS-GVO gibt diese Möglichkeit, die wir jetzt umsetzen.“

Wer in Baden-Württemberg personenbezogene Daten verarbeitet, muss die europäischen Regeln der Datenschutz-Grundverordnung (DS-GVO) beachten. Für den Datenschutz verantwortliche Stellen nutzen regelmäßig Dienstleister, die in ihrem Auftrag personenbezogenen Daten verarbeiten – sogenannte Auftragsverarbeiter. Um hier mehr Übersichtlichkeit und Rechtssicherheit zu schaffen, hat der LfDI daher die neue nationale Verhaltensregel „Anforderungen an die Auftragsverarbeiter nach Artikel 28 DS-GVO – Trusted Data Processor“ genehmigt. Unternehmen können sich fortan diese Verhaltensregeln zu eigen machen und nutzen damit die Möglichkeit, für sich mehr Rechtssicherheit zu schaffen.

Durch die Selbstverpflichtung auf die Verhaltensregel „Trusted Data Processor“ machen Auftragsverarbeiter nach außen sichtbar, dass sie den in der Verhaltensregel festgelegten Vorgaben folgen und sich deren Überwachung durch eine vom LfDI akkreditierte Überwachungsstelle unterwerfen. Die Überwachungsstelle ist Anlaufstelle für Beschwerden und kontrolliert regelmäßig die Einhaltung der Verhaltensregel. An der Entwicklung der „Trusted Data Processor“ wirkten maßgeblich Experten der Fachverbände „Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.“ und „Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.“ mit.

Die DS-GVO kennt das Instrument der Verhaltensregeln (Code of Conduct), welche der Konkretisierung von datenschutzrechtlichen Anforderungen dienen soll. Mit der Anerkennung der Verhaltensregel wurde auch die DSZ Datenschutz Zertifizierungsgesellschaft mbH als neue Überwachungsstelle akkreditiert. Die DSZ bearbeitet die Anträge auf Selbstverpflichtung und übernimmt die Kontrolle und Bearbeitung von Beschwerden.

Weitere Informationen:

Der Landesbeauftragte berät Bürger_innen, Behörden, Unternehmen und bei Fragen des Datenschutzes. Seinen Beratungsansatz hat er zudem gestärkt, in dem er hauseigene Bildungszentrum BIDIB aufgebaut und erfolgreich etabliert hat, Handreichungen und Orientierungshilfen herausgibt und zuletzt etwa mit der Vorlage von Datenschutzicons die übersichtliche Gestaltung von Datenschutzhinweisen fördert. Mit seinem Tool DS-GVO.clever ermöglicht der Landesbeauftragte Vereinen und kleinen Unternehmen zudem, einfach und schnell Datenschutzhinweise zu erstellen.

Mit der Akkreditierung DSZ Datenschutz Zertifizierungsgesellschaft mbH folgt der Landesbeauftragte seinem praxisorientierten Ansatz zur einheitlichen und konsequenten Umsetzung und Anwendung der DS-GVO und bietet damit auch baden-württembergische Unternehmen die Möglichkeit, ihrer datenschutzrechtlichen Verantwortung mit der Einhaltung der Selbstverpflichtung wirksam nachzukommen. Auf der Webseite der DSZ unter https://www.verhaltensregel.eu/ finden Interessierte die Verhaltensregel Trusted Data Processor.

Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de

Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.

BSI: Cyber-Sicherheit für KMU

Die Broschüre bietet KMU einen leicht verständlichen Einstieg, um ihr Cyber-Sicherheitsniveau zu verbessern, denn Informationssicherheit ist die Voraussetzung für eine sichere Digitalisierung. Die Broschüre steigt mit den wichtigsten Grundlagen der IT-Sicherheit ein – kurz und knapp anhand von 14 Fragen. Sie informiert unter anderem darüber, wer für die Informationssicherheit im Unternehmen verantwortlich ist, warum Patches und Updates regelmäßig installiert werden sollten, warum ein Virenschutzprogramm notwendig und eine Datensicherung so wichtig ist.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Cyber-Sicherheit_KMU.pdf