Kategorie: DSGVO

Am 22. Oktober 2009 kam das Betriebssystem Windows 7 auf den Markt, am 14.01.2020 wurde der Support von Microsoft offiziell beendet. Seit dem 14.01.2020 stehen für den durchschnittlichen Anwender keine Sicherheitsupdates mehr zur Verfügung. Mit jeder weiteren Sicherheitslücke, die in Windows 7 entdeckt wird, steigt das Risiko, Opfer eines Cyberangriffs oder einer Schadcode-Infektion zu werden. Im Jahr 2020 wurden 388 Sicherheitslücken offiziell bestätigt, in 2021 waren es 253 Lücken gem. den Statistiken der seriösen MITRE Corporation, die von einer Abteilung des U.S. Department of Homeland Security, der CISA (Cybersecurity and Infrastructure Security Agency) finanziert wird.

Die Sicherheit in der Verarbeitung erfordert nach DSGVO Art. 32 Abs. 1 Satz 1 die „Berücksichtigung des Standes der Technik“, der mit dem Einsatz von Windows 7 im Jahr 2023 nicht gegeben ist.

Ein Weiterbetrieb von Windows 7 ist vor diesem Hintergrund als fahrlässig anzusehen und setzt das betreibende Unternehmen dem Risiko der Verhängung drastischer Bußgelder aus.

Darüber hinaus ist zu beachten, dass Cyberversicherungen in diesen Fällen die Leistungen mit hoher Wahrscheinlichkeit verweigern werden.

Windows 7 muss dringend gegen Windows 10 oder Windows 11 ausgetauscht werden – lassen Sie sich von uns beraten, wenn ältere Anwendungen/Programme etc. den Umstieg erschweren.

Die Gesellschaft für Datenschutz und Datensicherheit (GDD) warnt seit kurzem vor provozierten Schadensersatzansprüchen, aufgrund missbräuchlicher anmutender Anfragen zu Betroffenenrechten gem. Art. 15-22 DSGVO.

Ziel dieserart Missbräuche sind außergerichtliche Zahlungen eines immateriellen Schadenersatzes zzgl. Rechtsanwaltkosten.

Mitarbeiter des GDD habe eine Vermehrung gleichartiger Fälle bemerkt und konnten so eine bestimmte Vorgehensweise feststellen:

• Eine Kontaktperson versucht auf irgendeine Weise mit Ihrem Unternehmen in Kontakt zu treten und dabei seine personenbezogenen Daten zu hinterlassen. Ideal dafür sind Kontaktformulare oder Newsletter-Abonnements.
• Nach einigen Wochen meldet sich die Kontaktperson bei Ihrem Unternehmen und fordert Auskunft, wie auch Löschung der gespeicherten Daten (Betroffenenanfrage).

Im Umgang mit der Betroffenenanfrage können den Verantwortlichen Ihres Unternehmens leicht folgende potentielle Fehlern unterlaufen: 

• Die personenbezogenen Daten werden vorschnell gelöscht und die Betroffenenanfrage ignoriert.
• Es wird (versehentlich) die falsche Auskunft gegeben, dass keine personenbezogenen Daten der Speicherung vorliegen. Allerdings liegen zumindest Rufnummer/E-Mail-Adresse vor.
• Es erfolgt keine Reaktion auf die Betroffenenanfrage.

Begehen sie einen der aufgelisteten Fehler, so verstößt Ihr Unternehmen gegen die DSGVO, woraus sich ein Anspruch auf Ersatz eines immateriellen Schadens in vierstelliger Höhe ableiten ließe.

Ihr Unternehmen ist gem. Art. 12 Abs. 3 S.1 DSGVO verpflichtetet, die Kontaktperson binnen eines Monats über die ergriffenen Maßnahmen zu unterrichten. Des Weiteren begründet der Art 15 DSGVO ein Auskunftsrecht bezüglich der Speicherung und Verwendung der personenbezogenen Daten, solange es mit einem überschaubaren Aufwand einhergeht. Aus Art. 17 DSGVO ergibt sich das Recht auf Löschung der personenbezogenen Daten.

So missbräuchlich diese Vorgehensweise auch zu sein scheint, ist sie nicht generell rechtswidrig – seien Sie besonders achtsam mit Betroffenenanfragen!

Generell gilt:

• Identifizieren Sie die Kontaktperson zuverlässig und überprüfen Sie jegliche Systeme gründlich auf personenbezogene Daten dieser. 
• Löschen Sie niemals voreilig die gefunden Daten und geben Sie keine falschen Auskünfte bezgl. personenbezogener Daten.
• Kommen Sie dem Auskunftsrecht und dem Löschverlangen in korrekter Art und Weise nach, dokumentieren Sie dieses sorgfältig und Sie sind vor dem provozierten Schadensersatz im Kontext Art. 15-22 DSGVO geschützt.

Am 24. Dezember 2020 einigten sich die Europäische Union und das Vereinigte Königreich zum allerletzten Zeitpunkt auf ein gemeinsames Handelsabkommen, um einen „harten Brexit“ abzuwenden. Leider konnten in der Kürze der Zeit nicht alle offenen Fragen befriedigend geklärt werden. 

Der 1.250 Seiten starke Vertrag regelt im „Article FINPROV.10A: Interim provision for transmission of personal data to the United Kingdom“ den Datenschutz.

Die Verarbeitung und Speicherung von personenbezogenen Daten im Vereinigten Königreich ist ab dem 01. 01.2021 erst einmal rechtskonform.

Bis zum 30.04.2021 gilt das Vereinigte Königreich nicht als Drittland.

Diese Frist verlängert sich automatisch bis zum 31.06.2021. Der Vertrag sieht vor, dass beide Seiten der automatischen Verlängerung widersprechen können. 

Nach dem Ende der Übergangszeit – am 01.05.2021 oder am 01.07.2021 – wird das Vereinigte Königreich zum Drittland.

Die anschließende Entwicklung ist schwer zu prognostizieren. Würde die Europäische Kommission per Angemessenheitsbeschluss ein angemessenes Datenschutzniveau im Vereinigten Königreich bestätigen, so wäre das Vereinigte Königreich ein sog. „Sicheres Drittland“, in dem die Verarbeitung und Speicherung von personenbezogenen Daten durchgeführt werden kann.

Die Rechtssituation im Vereinigten Königreich ist mit den USA vergleichbar – die USA ist kein sicheres Drittland, das Safe Harbor ist gescheitert und das EU-U.S. Privacy Shield ist unwirksam. Es ist zu befürchten, dass das Vereinigten Königreich ab dem 01.07.2021 zu einem „unsicheren“ Drittland wird.

Es ist möglich die Datenübertragung in ein Drittland zu legitimieren, wenn die Einwilligung des Betroffenen vorliegt, die Übermittlung für eine Vertragserfüllung erforderlich ist oder zusätzliche überprüf- und durchsetzbare Datenschutzgarantien vorliegen. Aus Sicht der Unternehmen läuft es somit aller Wahrscheinlichkeit nach auf eine Prüfung und Bewertung des Einzelfalles hinaus.

Seit dem 25. Mai 2018 gilt die DSGVO bzw. die Datenschutz-Grundverordnung für private und öffentliche Stellen im gesamten Europäischen Wirtschaftsraum. Die Vereinheitlichung der Regelungen zur Verarbeitung personenbezogener Daten zielt auf den Schutz der betroffenen Personen und deren Daten selbst.

Die Durchsetzung der regulatorischen Anforderungen der DSGVO gerät im Hinblick auf die drastischen Bußgeldandrohungen bei Verstößen in den Fokus unternehmerischen Handelns. 

Die Höhe des Bußgeldrahmens beträgt bei besonders gravierenden Verstößen bis zu 20 Millionen Euro. Bei weniger gewichteten Verstößen befindet sich die maximale Höhe bei ganzen 10 Millionen Euro.

Neben den hohen Bußgeldern verlieren die weiteren Sanktionen bei Datenschutzverletzungen häufig an Beachtung, obwohl diese ebenfalls gravierende Folgen mit sich bringen können.

Im Artikel 58 DSGVO sind Untersuchungsbefugnisse (Absatz 1) und umfassende Abhilfebefugnisse (Absatz 2) der Aufsichtsbehörden gesetzlich geregelt.

Neben der einfachen Offenbarung aller Informationen bezüglich des Datenschutzes, dem unbeschränkten Zugang zu Geschäftsräumen und Datenverarbeitungsanlagen, sind Aufsichtsbehörden nach Erwägungsgrund 129 DSGVO dazu befähigt, vorrübergehend oder endgültig die Verarbeitung personenbezogener Daten zu beschränken. Im Worst-Case-Szenario darf auch ein Verbot verhängt werden.

Eine solche Maßnahme kann abhängig von der Bedeutung der Verarbeitung/Übermittlung personenbezogener Daten die behördlich angeordnete Stilllegung von Systemen nach sich ziehen.

Für Unternehmen, deren Geschäftsmodell vorwiegend auf mit Datenverarbeitungssystemen angebotenen Services wie beispielsweise im Bereich des e-Commerce basiert, können die Folgen gravierend sein. 

Der Art. 34 DSGVO bedingt die Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person – bei einem Shutdown Ihrer Systeme ist eine Beschädigung der Geschäftsbeziehungen auch für die Kunden, die durch den Vorfall nicht direkt betroffen waren kaum zu vermeiden.