Kategorien
Unternehmen

Provozierter Schadensersatz im Kontext Art. 15-22 DSGVO

Die Gesellschaft für Datenschutz und Datensicherheit (GDD) warnt seit kurzem vor provozierten Schadensersatzansprüchen, aufgrund missbräuchlicher anmutender Anfragen zu Betroffenenrechten gem. Art. 15-22 DSGVO.

Ziel dieserart Missbräuche sind außergerichtliche Zahlungen eines immateriellen Schadenersatzes zzgl. Rechtsanwaltkosten.

Mitarbeiter des GDD habe eine Vermehrung gleichartiger Fälle bemerkt und konnten so eine bestimmte Vorgehensweise feststellen:

  • Eine Kontaktperson versucht auf irgendeine Weise mit Ihrem Unternehmen in Kontakt zu treten und dabei seine personenbezogenen Daten zu hinterlassen. Ideal dafür sind Kontaktformulare oder Newsletter-Abonnements.
  • Nach einigen Wochen meldet sich die Kontaktperson bei Ihrem Unternehmen und fordert Auskunft, wie auch Löschung der gespeicherten Daten (Betroffenenanfrage).

Im Umgang mit der Betroffenenanfrage können den Verantwortlichen Ihres Unternehmens leicht folgende potentielle Fehlern unterlaufen: 

  • Die personenbezogenen Daten werden vorschnell gelöscht und die Betroffenenanfrage ignoriert.
  • Es wird (versehentlich) die falsche Auskunft gegeben, dass keine personenbezogenen Daten der Speicherung vorliegen. Allerdings liegen zumindest Rufnummer/E-Mail-Adresse vor.
  • Es erfolgt keine Reaktion auf die Betroffenenanfrage.

Begehen sie einen der aufgelisteten Fehler, so verstößt Ihr Unternehmen gegen die DSGVO, woraus sich ein Anspruch auf Ersatz eines immateriellen Schadens in vierstelliger Höhe ableiten ließe.

Ihr Unternehmen ist gem. Art. 12 Abs. 3 S.1 DSGVO verpflichtetet, die Kontaktperson binnen eines Monats über die ergriffenen Maßnahmen zu unterrichten. Des Weiteren begründet der Art 15 DSGVO ein Auskunftsrecht bezüglich der Speicherung und Verwendung der personenbezogenen Daten, solange es mit einem überschaubaren Aufwand einhergeht. Aus Art. 17 DSGVO ergibt sich das Recht auf Löschung der personenbezogenen Daten.

So missbräuchlich diese Vorgehensweise auch zu sein scheint, ist sie nicht generell rechtswidrig – seien Sie besonders achtsam mit Betroffenenanfragen!

Generell gilt:

  • Identifizieren Sie die Kontaktperson zuverlässig und überprüfen Sie jegliche Systeme gründlich auf personenbezogene Daten dieser. 
  • Löschen Sie niemals voreilig die gefunden Daten und geben Sie keine falschen Auskünfte bezgl. personenbezogener Daten.
  • Kommen Sie dem Auskunftsrecht und dem Löschverlangen in korrekter Art und Weise nach, dokumentieren Sie dieses sorgfältig und Sie sind vor dem provozierten Schadensersatz im Kontext Art. 15-22 DSGVO geschützt.
Kategorien
Unternehmen

Relaunch Arconda Helpdesk

Unser Arconda Helpdesk steht ihnen ab sofort in seiner neuesten Version unter https://helpdesk.arconda.ag/ und unter dem Menüpunkt Support zur Verfügung:

Mit dem relaunchten Helpdesk bieten wir Ihnen optimalen Support. Selbstverständlich sind Sie mit Ihren prozessrelevanten Daten direkt mit unserem Servicemanagement verbunden – einfach einloggen und schon kann es losgehen. Das Einloggen setzt eine vorherige Autorisierung durch Ihren Kundenbetreuer voraus – sprechen Sie ihn bitte vorher an.

Die Nutzung des ergonomischen Arconda Helpdesk bietet Ihnen zahlreiche Vorteile:

  • Aktueller Bearbeitungsstatus aller von Ihnen oder Ihren Kollegen eingestellten Supportanfragen
  • Vermeidung doppelter Supportanfragen
  • Erstellung von (qualifizierten) Supportanfragen (nur) durch autorisierte Mitarbeiter 
  • Vermeidung von Wartezeiten bei der telefonischen Supportanforderung
  • Erstellung von Supportanfragen außerhalb der Geschäftszeiten
  • Verringerung der Bearbeitungszeit durch genaue Informationen
    • Welches System?
    • Wie ist das Ereignis eingetreten?
    • Was haben Sie beobachtet?
    • Wann ist das Ereignis eingetreten?
    • Wo befindet sich das System?
  • Schneller Überblick über die letzten Supportanfragen 

Wir freuen uns, Sie künftig über den Arconda Helpdesk unterstützen zu dürfen und werden auch weiterhin daran arbeiten, die Kommunikation und die „User experience“ für Sie so angenehm wie möglich zu gestalten.

Kategorien
Systemtechnik

Zimmersignalleuchten gem. VDE-0834

Leider weist nicht jede Schwesternrufanlage Zimmersignalleuchten vor jedem Bewohnerzimmer auf. Dieses war bis zum Inkrafttreten der VDE 0834-1:2016-06 nicht gefordert und teils ist bei einer sehr verwinkelten Gangführung die Signalisierungswirkung eingeschränkt.

Gem. VDE 0834-1:2016-06 Punkt 4.2.1. gilt:

„Vor jedem Raum ist zwingend eine Zimmersignalleuchte vorzusehen, die mindestens den Ruf (rot) und die Anwesenheit (grün) anzeigt. Diese Anzeigen müssen bei Umgebungsleuchtstärken von 500 lx noch einwandfrei zu erkennen sein. Eine Rufauslösung muss innerhalb von einer Sekunde angezeigt werden.“

VDE 0834-1:2016-06

Die VDE 0834 hat keine Gesetzeskraft, womit diese Norm für Planer und Errichter in nicht unbedingt bindend ist. Die Erfüllung einer Norm liegt damit erst einmal im Ermessensspielraum der verantwortlichen Betreiber.

Gibt es jedoch eine Norm, in der der Schutz von Sicherheit, Gesundheit und Leben vorausschauend geregelt wird, so ist sie regelmäßig als eine verbindliche, allgemein anerkannte Regel der Technik (BGH Az.: I ZR 234/89 vom 06.06.1991) zu sehen. Sie wird zur Grundlage bei der Klärung von Schadensfällen und zur Beurteilung der Schuldfrage herangezogen.

Es ist somit dringend empfehlenswert, die Lichtrufanlage konform zu implementieren um entsprechende Diskussionen in einem potentiellen Haftungsfall auszuschließen.

.

10,4 Millionen Euro Bußgeld für NBB

Am 21. Dezember vergangenen Jahres verhängte Niedersachsens Landesbeauftragte für Datenschutz (LfD), Barbara Thiel, ein Bußgeld in Rekordhöhe von 10,4 Millionen Euro gegen die Notebookbilliger.de AG (NBB) mit Hauptsitz in Sarstedt bei Hildesheim.

Der Online Händler NBB soll laut LfD in die Persönlichkeitsrechte der Mitarbeiter und Kunden eingegriffen haben, indem diese seit mindestens zwei Jahren in unverhältnismäßigen Ausmaß mit Hilfe von Videokameras beobachtet und überwacht wurden.

Dieser Überwachung fehlte es scheinbar an jeglicher Rechtsgrundlage.

Aus Art. 6 Abs. 1 DSGVO geht hervor, dass eine solche Überwachung einen engen Zeitraum, wie auch eine bestimmte Mitarbeiter-Auswahl erfordere. 

NBB ließ seine ca. 900 Mitarbeiter rund um die Uhr in jeglicher Umgebung (Geschäfts-, Lager- und Aufenthaltsräumen) per Videoüberwachung aufzeichnen. Selbst das Verhalten der Kunden in Wartebereichen wurde kontinuierlich erfasst, womit NBB eindeutig den Schutz personenbezogener Daten vernachlässigte und sich i.S.d. Art. 83 Abs. 5 DSGVO für „besonders gravierende Verstöße“ strafbar machte. 

Hinzu kommt die unverhältnismäßig lange Aufbewahrung des Videomaterials von NBB. Häufig wurde dieses Material erst nach 60 Tagen gelöscht. 

Gemäß Art. 5 DSGVO beträgt die maximale Speicherdauer der Videoüberwachung 72 Stunden und nur in Ausnahmefällen 10 Tage.

Oliver Hellmold, CEO der Notebookbilliger.de AG, weist jegliche Vorwürfe zurück und legt Einspruch gegen den hohen Bußgeldbescheid ein. 

In einer eigenen Pressemitteilung (PDF) und einem FAQ-Artikel rechtfertigt sich das Unternehmen mit der Begründung, lediglich Straftaten wie Diebstähle vorbeugen zu wollen.

LfD betitelt diesen Rechtfertigungsgrund als unverhältnismäßig, da es mildere Mittel gäbe, um solch Ziele zu erreichen. Angefangen bei Stichproben einfacher Taschenkontrollen.

Noch ist das Bußgeld nicht rechtskräftig, sodass gemeinsam auf den nächsten Gerichtstermin gewartet wird. 

Die Videoüberwachung von NBB wurde mittlerweile regelkonform konfiguriert.

Kategorien
Schadsoftware

Emotet-Botnetz zerschlagen

Am 27.01.2021 teilten das BKA sowie die Generalstaatsanwaltschaft Frankfurt am Main die erfolgreiche Übernahme der Kontrollserver des Emotet-Botnetzes mit.

Die vom BSI seit 2018 als gefährlichste Schadsoftware der Welt eingestufte Bedrohung wurde somit endgültig abgeschaltet.

Besondere Bekanntheit erlangte Emotet durch Verschlüsselungen der gesamten Infrastruktur von Krankenhäusern, Gerichten und Stadtverwaltungen, sowie unzählige Unternehmen, welche dadurch komplett lahmgelegt wurden. Durch Zahlung eines Lösegeldes konnte man seine Daten wieder freikaufen. In Deutschland alleine entstand durch Emotet ein Schaden i.H.v. mindestens 14,5 Millionen Euro.

Emotet hat seit seinem ersten Auftreten im Jahr 2014 der Öffentlichkeit deutlich gemacht, dass ein umfassender und möglichst auch redundanter Virus- und Malwareschutz in der heutigen Zeit unabdingbar ist. Die Geiselnahme von Geschäftsdaten mit der Androhung der Löschung derselbigen brachte viele Unternehmen an den Rand des Ruins. 

Obschon Emotet nun keine Bedrohung mehr darstellt, so ist zu erwarten, dass mittelfristig neue Bedrohungen erwachsen. Mit den von der Arconda Systems AG präferierten hochwertigen und stets aktuellen Produkten der Marktführer Kaspersky und Malwarebytes ist es sowohl Unternehmen, als auch Privatleuten möglich, Daten zu schützen und bestmöglich einem Schadsoftware-Befall vorzubeugen.

Kategorien
DSGVO

Der Brexit und die DSGVO

Am 24. Dezember 2020 einigten sich die Europäische Union und das Vereinigte Königreich zum allerletzten Zeitpunkt auf ein gemeinsames Handelsabkommen, um einen „harten Brexit“ abzuwenden. Leider konnten in der Kürze der Zeit nicht alle offenen Fragen befriedigend geklärt werden. 

Der 1.250 Seiten starke Vertrag regelt im „Article FINPROV.10A: Interim provision for transmission of personal data to the United Kingdom“ den Datenschutz.

Die Verarbeitung und Speicherung von personenbezogenen Daten im Vereinigten Königreich ist ab dem 01. 01.2021 erst einmal rechtskonform.

Bis zum 30.04.2021 gilt das Vereinigte Königreich nicht als Drittland.

Diese Frist verlängert sich automatisch bis zum 31.06.2021. Der Vertrag sieht vor, dass beide Seiten der automatischen Verlängerung widersprechen können. 

Nach dem Ende der Übergangszeit – am 01.05.2021 oder am 01.07.2021 – wird das Vereinigte Königreich zum Drittland.

Die anschließende Entwicklung ist schwer zu prognostizieren. Würde die Europäische Kommission per Angemessenheitsbeschluss ein angemessenes Datenschutzniveau im Vereinigten Königreich bestätigen, so wäre das Vereinigte Königreich ein sog. „Sicheres Drittland“, in dem die Verarbeitung und Speicherung von personenbezogenen Daten durchgeführt werden kann.

Die Rechtssituation im Vereinigten Königreich ist mit den USA vergleichbar – die USA ist kein sicheres Drittland, das Safe Harbor ist gescheitert und das EU-U.S. Privacy Shield ist unwirksam. Es ist zu befürchten, dass das Vereinigten Königreich ab dem 01.07.2021 zu einem „unsicheren“ Drittland wird.

Es ist möglich die Datenübertragung in ein Drittland zu legitimieren, wenn die Einwilligung des Betroffenen vorliegt, die Übermittlung für eine Vertragserfüllung erforderlich ist oder zusätzliche überprüf- und durchsetzbare Datenschutzgarantien vorliegen. Aus Sicht der Unternehmen läuft es somit aller Wahrscheinlichkeit nach auf eine Prüfung und Bewertung des Einzelfalles hinaus.

Kategorien
DSGVO

Risiko behördlich angeordneter Stilllegung von Systemen im Kontext des Art. 58 DSGVO bei schwerwiegenden Verstößen gegen die Regularien der DSGVO

Seit dem 25. Mai 2018 gilt die DSGVO bzw. die Datenschutz-Grundverordnung für private und öffentliche Stellen im gesamten Europäischen Wirtschaftsraum. Die Vereinheitlichung der Regelungen zur Verarbeitung personenbezogener Daten zielt auf den Schutz der betroffenen Personen und deren Daten selbst.

Die Durchsetzung der regulatorischen Anforderungen der DSGVO gerät im Hinblick auf die drastischen Bußgeldandrohungen bei Verstößen in den Fokus unternehmerischen Handelns. 

Die Höhe des Bußgeldrahmens beträgt bei besonders gravierenden Verstößen bis zu 20 Millionen Euro. Bei weniger gewichteten Verstößen befindet sich die maximale Höhe bei ganzen 10 Millionen Euro.

Neben den hohen Bußgeldern verlieren die weiteren Sanktionen bei Datenschutzverletzungen häufig an Beachtung, obwohl diese ebenfalls gravierende Folgen mit sich bringen können.

Im Artikel 58 DSGVO sind Untersuchungsbefugnisse (Absatz 1) und umfassende Abhilfebefugnisse (Absatz 2) der Aufsichtsbehörden gesetzlich geregelt.

Neben der einfachen Offenbarung aller Informationen bezüglich des Datenschutzes, dem unbeschränkten Zugang zu Geschäftsräumen und Datenverarbeitungsanlagen, sind Aufsichtsbehörden nach Erwägungsgrund 129 DSGVO dazu befähigt, vorrübergehend oder endgültig die Verarbeitung personenbezogener Daten zu beschränken. Im Worst-Case-Szenario darf auch ein Verbot verhängt werden.

Eine solche Maßnahme kann abhängig von der Bedeutung der Verarbeitung/Übermittlung personenbezogener Daten die behördlich angeordnete Stilllegung von Systemen nach sich ziehen.

Für Unternehmen, deren Geschäftsmodell vorwiegend auf mit Datenverarbeitungssystemen angebotenen Services wie beispielsweise im Bereich des e-Commerce basiert, können die Folgen gravierend sein. 

Der Art. 34 DSGVO bedingt die Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person – bei einem Shutdown Ihrer Systeme ist eine Beschädigung der Geschäftsbeziehungen auch für die Kunden, die durch den Vorfall nicht direkt betroffen waren kaum zu vermeiden.

Erfolgsfaktoren Homeoffice

Aufgrund der aktuellen Entwicklung der Corona-Pandemie wird das Homeoffice auch das Jahr 2021 prägen. Um die Produktivität im Homeoffice zu optimieren, haben wir rückblickend auf 2020 drei Erfolgsfaktoren abgegrenzt. Eine fehlerfrei funktionierende Infrastruktur wie die Arconda Hosted Cloud oder auch Ihre eigene Systemtechnik wird vorausgesetzt, um Kommunikation, Applikationen und Daten via Cloud und Filesharing am Heimarbeitsplatz zu liefern.  

Meta-Kommunikation 

Im Homeoffice verändert sich die ursprüngliche Kommunikationsweise hin zu einer sog. Meta-Kommunikation. Die Mitarbeiter kommunizieren nicht mehr en passant bzw. im Vorbeigehen, weshalb Reflexion wesentlich wird. Kommunikation läuft zu einem größeren Teil nicht mehr als persönliches Gespräch ab, sondern liegt in schriftlicher Form vor – eine analytische Betrachtung des Gesprächsverlaufs wird in der anschließenden Reflektion vereinfacht. Chat-Funktionen von 3CX oder dem inzwischen weit verbreiteten Teams fördern die Meta-Kommunikation. 

Zielorientierte Gruppenführung 

Die Vergabe von Aufgaben und die ständige Überprüfung von Projektschritten kann im Homeoffice nicht wie gewohnt erfolgen. Im Homeoffice ist eine vorwiegend zielorientierte Gruppenführung erforderlich. Es müssen mehr Entscheidungen delegiert werden, um die Mitarbeiter zu mehr Eigeninitiative zu bewegen. Der Fokus muss zwangsläufig eher auf dem Ergebnis als auf dem Arbeitsablauf liegen. 

Asynchrone Zusammenarbeit 

Stundenlange Meeting mit schlechter Produktivität und gutem Kaffee gehören der Vergangenheit an. Es ist auch nicht zielführend, diese 1:1 in Videokonferenzen nachzubilden, die ein noch höheres Maß an Disziplin und Eigeninitiative erfordern. Im Hinblick auf die Produktivität ist es empfehlenswert, optimale technische Voraussetzungen für eine asynchrone Zusammenarbeit bzw. Kollaboration zu schaffen. Eine integrierte Cloudinfrastruktur wie die Hosted Cloud Arconda bietet  technisch mit 2-Faktor Authentifizierung, Remote-Apps, Remotedesktop-Konfigurationen, einem adäquaten Datenschutz und höchster Datensicherheit als auch -verfügbarkeit die erforderliche Plattform. Zusätzlich müssen die Mitarbeiter im Homeoffice eine geeignete Betreuung erfahren, um den reibungslosen Ablauf der Arbeit im Homeoffice zu ermöglichen. Es ist festzustellen, dass die auf den vermehrten Einsatz von IT-Systemen basierende asynchrone Zusammenarbeit wesentlich höhere Anforderung an die Infrastruktur unserer Kunden stellt. 

Es zeichnet sich ab, dass ein Teil der aktuellen Entwicklungen im Bereich Home- oder Mobile-Office zu einer Verbesserung der Arbeitssituation und Produktivität führt. Unabhängig von der einschlägigen flankierenden Gesetzgebung versprechen Investitionen in diesem Bereich eine vergleichsweise gute langfristige Produktivitätssteigerung. 

Kategorien
Unternehmen

Leistungsabrechnung: Nacht- und Feiertagszuschläge

Vorbehaltlich abweichender vertraglicher Vereinbarungen erfolgt die Leistungsabrechnung der Arconda Systems AG gem. den nachstehend angeführten Konditionen, die der besonderen persönlichen Belastung unserer Serviceteams durch Services außerhalb der üblichen Arbeitszeiten Rechnung tragen:

  • Die Abrechnung von Leistungen erfolgt in 15 min-Schritten je angefangener 15 min.
  • Für Nachtarbeiten in den Zeiten von 20:00 bis 07:00 wird ein Aufschlag von 50 % erhoben
  • Für Arbeiten an Samstagen wird ein Aufschlag von 50 % erhoben
  • Für Arbeiten an Sonn- und Feiertagen am jeweiligen Standort der Arconda Systems AG wird ein Aufschlagssatz von 100% erhoben

Die Abrechnung der jeweiligen Aufschlagssätze erfolgt durch separate Artikel und geeignete Abgrenzungen in unseren Serviceaufträgen, wodurch sich die erforderliche Transparenz einstellt.

Kategorien
Systemtechnik VoIP und 3CX

WLAN ohne Neuverkabelung – „Ethernet over Twisted Pair“

Die Ausleuchtung einer Liegenschaft mit WLAN ist heutzutage keine Herausforderung mehr, sofern eine strukturierte Netzwerkverkabelung vom Typ CAT5, CAT6 oder CAT7 vorliegt, die eine Datenübertragung von bis zu 10 Mbit/s zulässt. Die WLAN-Access Points können in diesem Fall direkt mittels RJ45-Stecker an die vorhandenen Netzwerkdosen angeschlossen werden.

Wenn hingegen in einer Liegenschaft WLAN bereitgestellt werden soll, in der keine strukturierte Netzwerkverkabelung vorhanden ist, dann verbleiben nur zwei Möglichkeiten: Kostenintensive Neuverkabelung oder Nutzung einer ggf. vorhandenen Altverkabelung.

Oftmals existiert zumindest eine Telefonverkabelung – der sog. Klingeldraht, über den seinerzeit die analogen Telefone mit der Telefonanlage verbunden waren. Dieser Klingeldraht, der technisch mindestens aus zwei verdrillten und nicht abgeschirmten Kabeln besteht – wird als Twisted Pair bezeichnet.

Dieser Klingeldraht wird bei der Technik „Ethernet over Twisted Pair“ verwendet, um die physische Schicht der Netzwerkverkabelung herzustellen.

Dank hochentwickelter Transmitter und Receiver werden Übertragungsbandbreiten von 100 Mbit/s – 300 Mbit/s realisiert. Die Technik ist damit noch nicht ausgereizt und wird ständig weiterentwickelt – aktuell sind Bandbreiten von 600 Mbit/s angekündigt. Die maximal einsetzbare Kabellänge variiert herstellerspezifisch zwischen 300 und 400 m und ist damit herkömmlicher CAT5/6/7-Verkabelung überlegen und auch für größere Gebäude (ohne zwischengeschaltete) Switche ausreichend.

Nachdem dann an jedem Endpunkt der alten Telefonverkabelung via „Ethernet over Twisted Pair“ ein WLAN-Access-Point mit jeweils 100 Mbit/s – 300 Mbit/s Datendurchsatz versorgt werden kann, stellt sich die Frage, wie WLAN-Access-Points oder auch Funkzellen VoIP-basierter DECT-Funknetze mit Strom versorgt werden können. 

„Ethernet over Twisted Pair“ unterstützt PoE – Power over Ethernet. Abhängig von den Transmittern können bis zu 20 W bereitgestellt werden, die eine oder auch zwei aktive Netzwerkkomponenten wie einen Access-Point und eine DECT-Funkzelle zusätzlich mit Strom versorgen.

„Ethernet over Twisted Pair“ ist eine ökonomische Möglichkeit, die vorhandene Telefonverkabelung als Plattform für eine Netzwerkverkabelung zu nutzen, ohne Neuverkabelung, ohne Betriebsbeeinträchtigungen und damit auch zeitnah implementierbar.

Neben „Twisted Pair over Ethernet“ können abhängig von Ihrer aktuellen Verkabelungssituation und Anforderungsdefinition auch alternative Techniken wie VDSL oder Ethernet over Coax (EOC) in Betracht kommen, um größere Bandbreite oder weitere Entfernung zu überbrücken. 

Wir nutzen jede vorhandene Verkabelung – sprechen Sie uns an!