Kategorien
Alle Datenschutz

10,4 Millionen Euro Bußgeld für NBB

Am 21. Dezember vergangenen Jahres verhängte Niedersachsens Landesbeauftragte für Datenschutz (LfD), Barbara Thiel, ein Bußgeld in Rekordhöhe von 10,4 Millionen Euro gegen die Notebookbilliger.de AG (NBB) mit Hauptsitz in Sarstedt bei Hildesheim.

Der Online Händler NBB soll laut LfD in die Persönlichkeitsrechte der Mitarbeiter und Kunden eingegriffen haben, indem diese seit mindestens zwei Jahren in unverhältnismäßigen Ausmaß mit Hilfe von Videokameras beobachtet und überwacht wurden.

Dieser Überwachung fehlte es scheinbar an jeglicher Rechtsgrundlage.

Aus Art. 6 Abs. 1 DSGVO geht hervor, dass eine solche Überwachung einen engen Zeitraum, wie auch eine bestimmte Mitarbeiter-Auswahl erfordere. 

NBB ließ seine ca. 900 Mitarbeiter rund um die Uhr in jeglicher Umgebung (Geschäfts-, Lager- und Aufenthaltsräumen) per Videoüberwachung aufzeichnen. Selbst das Verhalten der Kunden in Wartebereichen wurde kontinuierlich erfasst, womit NBB eindeutig den Schutz personenbezogener Daten vernachlässigte und sich i.S.d. Art. 83 Abs. 5 DSGVO für „besonders gravierende Verstöße“ strafbar machte. 

Hinzu kommt die unverhältnismäßig lange Aufbewahrung des Videomaterials von NBB. Häufig wurde dieses Material erst nach 60 Tagen gelöscht. 

Gemäß Art. 5 DSGVO beträgt die maximale Speicherdauer der Videoüberwachung 72 Stunden und nur in Ausnahmefällen 10 Tage.

Oliver Hellmold, CEO der Notebookbilliger.de AG, weist jegliche Vorwürfe zurück und legt Einspruch gegen den hohen Bußgeldbescheid ein. 

In einer eigenen Pressemitteilung (PDF) und einem FAQ-Artikel rechtfertigt sich das Unternehmen mit der Begründung, lediglich Straftaten wie Diebstähle vorbeugen zu wollen.

LfD betitelt diesen Rechtfertigungsgrund als unverhältnismäßig, da es mildere Mittel gäbe, um solch Ziele zu erreichen. Angefangen bei Stichproben einfacher Taschenkontrollen.

Noch ist das Bußgeld nicht rechtskräftig, sodass gemeinsam auf den nächsten Gerichtstermin gewartet wird. 

Die Videoüberwachung von NBB wurde mittlerweile regelkonform konfiguriert.

Kategorien
Alle Sicherheit

Emotet-Botnetz zerschlagen

Am 27.01.2021 teilten das BKA sowie die Generalstaatsanwaltschaft Frankfurt am Main die erfolgreiche Übernahme der Kontrollserver des Emotet-Botnetzes mit.

Die vom BSI seit 2018 als gefährlichste Schadsoftware der Welt eingestufte Bedrohung wurde somit endgültig abgeschaltet.

Besondere Bekanntheit erlangte Emotet durch Verschlüsselungen der gesamten Infrastruktur von Krankenhäusern, Gerichten und Stadtverwaltungen, sowie unzählige Unternehmen, welche dadurch komplett lahmgelegt wurden. Durch Zahlung eines Lösegeldes konnte man seine Daten wieder freikaufen. In Deutschland alleine entstand durch Emotet ein Schaden i.H.v. mindestens 14,5 Millionen Euro.

Emotet hat seit seinem ersten Auftreten im Jahr 2014 der Öffentlichkeit deutlich gemacht, dass ein umfassender und möglichst auch redundanter Virus- und Malwareschutz in der heutigen Zeit unabdingbar ist. Die Geiselnahme von Geschäftsdaten mit der Androhung der Löschung derselbigen brachte viele Unternehmen an den Rand des Ruins. 

Obschon Emotet nun keine Bedrohung mehr darstellt, so ist zu erwarten, dass mittelfristig neue Bedrohungen erwachsen. Mit den von der Arconda Systems AG präferierten hochwertigen und stets aktuellen Produkten der Marktführer Kaspersky und Malwarebytes ist es sowohl Unternehmen, als auch Privatleuten möglich, Daten zu schützen und bestmöglich einem Schadsoftware-Befall vorzubeugen.

Kategorien
Alle Datenschutz

Der Brexit und die DSGVO

Am 24. Dezember 2020 einigten sich die Europäische Union und das Vereinigte Königreich zum allerletzten Zeitpunkt auf ein gemeinsames Handelsabkommen, um einen „harten Brexit“ abzuwenden. Leider konnten in der Kürze der Zeit nicht alle offenen Fragen befriedigend geklärt werden. 

Der 1.250 Seiten starke Vertrag regelt im „Article FINPROV.10A: Interim provision for transmission of personal data to the United Kingdom“ den Datenschutz.

Die Verarbeitung und Speicherung von personenbezogenen Daten im Vereinigten Königreich ist ab dem 01. 01.2021 erst einmal rechtskonform.

Bis zum 30.04.2021 gilt das Vereinigte Königreich nicht als Drittland.

Diese Frist verlängert sich automatisch bis zum 31.06.2021. Der Vertrag sieht vor, dass beide Seiten der automatischen Verlängerung widersprechen können. 

Nach dem Ende der Übergangszeit – am 01.05.2021 oder am 01.07.2021 – wird das Vereinigte Königreich zum Drittland.

Die anschließende Entwicklung ist schwer zu prognostizieren. Würde die Europäische Kommission per Angemessenheitsbeschluss ein angemessenes Datenschutzniveau im Vereinigten Königreich bestätigen, so wäre das Vereinigte Königreich ein sog. „Sicheres Drittland“, in dem die Verarbeitung und Speicherung von personenbezogenen Daten durchgeführt werden kann.

Die Rechtssituation im Vereinigten Königreich ist mit den USA vergleichbar – die USA ist kein sicheres Drittland, das Safe Harbor ist gescheitert und das EU-U.S. Privacy Shield ist unwirksam. Es ist zu befürchten, dass das Vereinigten Königreich ab dem 01.07.2021 zu einem „unsicheren“ Drittland wird.

Es ist möglich die Datenübertragung in ein Drittland zu legitimieren, wenn die Einwilligung des Betroffenen vorliegt, die Übermittlung für eine Vertragserfüllung erforderlich ist oder zusätzliche überprüf- und durchsetzbare Datenschutzgarantien vorliegen. Aus Sicht der Unternehmen läuft es somit aller Wahrscheinlichkeit nach auf eine Prüfung und Bewertung des Einzelfalles hinaus.

Kategorien
Alle Datenschutz

Risiko behördlich angeordneter Stilllegung von Systemen im Kontext des Art. 58 DSGVO bei schwerwiegenden Verstößen gegen die Regularien der DSGVO

Seit dem 25. Mai 2018 gilt die DSGVO bzw. die Datenschutz-Grundverordnung für private und öffentliche Stellen im gesamten Europäischen Wirtschaftsraum. Die Vereinheitlichung der Regelungen zur Verarbeitung personenbezogener Daten zielt auf den Schutz der betroffenen Personen und deren Daten selbst.

Die Durchsetzung der regulatorischen Anforderungen der DSGVO gerät im Hinblick auf die drastischen Bußgeldandrohungen bei Verstößen in den Fokus unternehmerischen Handelns. 

Die Höhe des Bußgeldrahmens beträgt bei besonders gravierenden Verstößen bis zu 20 Millionen Euro. Bei weniger gewichteten Verstößen befindet sich die maximale Höhe bei ganzen 10 Millionen Euro.

Neben den hohen Bußgeldern verlieren die weiteren Sanktionen bei Datenschutzverletzungen häufig an Beachtung, obwohl diese ebenfalls gravierende Folgen mit sich bringen können.

Im Artikel 58 DSGVO sind Untersuchungsbefugnisse (Absatz 1) und umfassende Abhilfebefugnisse (Absatz 2) der Aufsichtsbehörden gesetzlich geregelt.

Neben der einfachen Offenbarung aller Informationen bezüglich des Datenschutzes, dem unbeschränkten Zugang zu Geschäftsräumen und Datenverarbeitungsanlagen, sind Aufsichtsbehörden nach Erwägungsgrund 129 DSGVO dazu befähigt, vorrübergehend oder endgültig die Verarbeitung personenbezogener Daten zu beschränken. Im Worst-Case-Szenario darf auch ein Verbot verhängt werden.

Eine solche Maßnahme kann abhängig von der Bedeutung der Verarbeitung/Übermittlung personenbezogener Daten die behördlich angeordnete Stilllegung von Systemen nach sich ziehen.

Für Unternehmen, deren Geschäftsmodell vorwiegend auf mit Datenverarbeitungssystemen angebotenen Services wie beispielsweise im Bereich des e-Commerce basiert, können die Folgen gravierend sein. 

Der Art. 34 DSGVO bedingt die Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person – bei einem Shutdown Ihrer Systeme ist eine Beschädigung der Geschäftsbeziehungen auch für die Kunden, die durch den Vorfall nicht direkt betroffen waren kaum zu vermeiden.

Kategorien
Cloud

Erfolgsfaktoren Homeoffice

Aufgrund der aktuellen Entwicklung der Corona-Pandemie wird das Homeoffice auch das Jahr 2021 prägen. Um die Produktivität im Homeoffice zu optimieren, haben wir rückblickend auf 2020 drei Erfolgsfaktoren abgegrenzt. Eine fehlerfrei funktionierende Infrastruktur wie die Arconda Hosted Cloud oder auch Ihre eigene Systemtechnik wird vorausgesetzt, um Kommunikation, Applikationen und Daten via Cloud und Filesharing am Heimarbeitsplatz zu liefern.  

Meta-Kommunikation 

Im Homeoffice verändert sich die ursprüngliche Kommunikationsweise hin zu einer sog. Meta-Kommunikation. Die Mitarbeiter kommunizieren nicht mehr en passant bzw. im Vorbeigehen, weshalb Reflexion wesentlich wird. Kommunikation läuft zu einem größeren Teil nicht mehr als persönliches Gespräch ab, sondern liegt in schriftlicher Form vor – eine analytische Betrachtung des Gesprächsverlaufs wird in der anschließenden Reflektion vereinfacht. Chat-Funktionen von 3CX oder dem inzwischen weit verbreiteten Teams fördern die Meta-Kommunikation. 

Zielorientierte Gruppenführung 

Die Vergabe von Aufgaben und die ständige Überprüfung von Projektschritten kann im Homeoffice nicht wie gewohnt erfolgen. Im Homeoffice ist eine vorwiegend zielorientierte Gruppenführung erforderlich. Es müssen mehr Entscheidungen delegiert werden, um die Mitarbeiter zu mehr Eigeninitiative zu bewegen. Der Fokus muss zwangsläufig eher auf dem Ergebnis als auf dem Arbeitsablauf liegen. 

Asynchrone Zusammenarbeit 

Stundenlange Meeting mit schlechter Produktivität und gutem Kaffee gehören der Vergangenheit an. Es ist auch nicht zielführend, diese 1:1 in Videokonferenzen nachzubilden, die ein noch höheres Maß an Disziplin und Eigeninitiative erfordern. Im Hinblick auf die Produktivität ist es empfehlenswert, optimale technische Voraussetzungen für eine asynchrone Zusammenarbeit bzw. Kollaboration zu schaffen. Eine integrierte Cloudinfrastruktur wie die Hosted Cloud Arconda bietet  technisch mit 2-Faktor Authentifizierung, Remote-Apps, Remotedesktop-Konfigurationen, einem adäquaten Datenschutz und höchster Datensicherheit als auch -verfügbarkeit die erforderliche Plattform. Zusätzlich müssen die Mitarbeiter im Homeoffice eine geeignete Betreuung erfahren, um den reibungslosen Ablauf der Arbeit im Homeoffice zu ermöglichen. Es ist festzustellen, dass die auf den vermehrten Einsatz von IT-Systemen basierende asynchrone Zusammenarbeit wesentlich höhere Anforderung an die Infrastruktur unserer Kunden stellt. 

Es zeichnet sich ab, dass ein Teil der aktuellen Entwicklungen im Bereich Home- oder Mobile-Office zu einer Verbesserung der Arbeitssituation und Produktivität führt. Unabhängig von der einschlägigen flankierenden Gesetzgebung versprechen Investitionen in diesem Bereich eine vergleichsweise gute langfristige Produktivitätssteigerung.