Autor: Online Redaktion

Für einen Cloudanbieter aus Dänemark sind die schlimmsten Folgen eingetreten, die für ein Unternehmen mit einem Hackerangriff einhergehen können.

Im August des vergangenen Jahres wurde das betroffene Unternehmen Opfer eines großen Hackerangriffs, wie er jederzeit die verschiedensten Unternehmen aus diversen Branchen treffen kann. Die Angreifer haben es geschafft, in die Verwaltungssysteme des Unternehmens einzudringen. Durch diesen Zugriff gelang es Ihnen, zum einen die Unternehmensdaten und zum anderen auch die Daten der Kunden zu verschlüsseln. Mit dieser Verschlüsselung wurde das Unternehmen komplett handlungsunfähig, die Daten sind unwiederbringlich verloren gegangen.

Der Zugriff war den kriminellen aufgrund eines Serverumzugs in ein anderes Rechenzentrum möglich. Durch diesen Umzug waren die Verwaltungs- und Backupsysteme des Unternehmens vorübergehend mit Servern, die bereits vor dem Umzug kompromittiert wurden, in einem Netzwerk verbunden.

Nach dem erfolgreichen Angriff stellten die Hacker an das Unternehmen eine Lösegeldforderung in Höhe von sechs Bitcoins, was ca. 150.000€ entspricht. Diese konnte der Cloudanbieter jedoch nicht zahlen. Der damalige CEO erklärte bereits kurz nach dem Vorfall, dass sich das Unternehmen von dem Vorfall wohl nicht erholen wird.

Dieser massive Verlust traf auch zwei weitere Firmen, die mit dem Cloudanbieter zusammen gehörten. Eines davon ist bereits ebenfalls insolvent, das andere folgt aktuell.

Es wird also deutlich, dass Hackerangriffe oder Angriffe von Cyberkriminellen für Unternehmen massive Auswirkungen haben können. Auch wenn die Angriffe nicht immer so weitreichend sind wie für das dänische Unternehmen, ist die Gefahr jedoch bei jedem einzelnen Vorfall vorhanden.

Deshalb sollten Sie unbedingt dafür sorgen, dass Ihre Systeme immer aktuell sind und auch ausreichend abgesichert werden. Dies können Sie durch regelmäßige Scans und Tests stetig überprüfen. Bei diesen Sicherheitsvorkehrungen können wir Ihnen auch gerne behilflich sein.

In jedem Fall aber sollten Sie Sorge dafür tragen, dass Sie gegen derartige Gefahren ausreichend gesichert sind.

Denn leider haben die Angriffe der Cyberkriminellen in der jüngsten Vergangenheit an Häufigkeit und Intensität massiv zugenommen.

Mit dem Urteil vom 26.10.2023 hat der Europäische Gerichtshof (EuGH) entschieden, dass die Verfolgung von Zielen, die nicht explizit dem Datenschutz dienen, den Auskunftsanspruch des Betroffenen nicht grundsätzlich ausschließt. Dies wird damit begründet, dass der Auskunftsanspruch nach Art. 15 DSGVO generell keiner Begründung bedarf.

Diese Entscheidung kann auf den ersten Blick dazu führen, dass der Auskunftsanspruch übermäßig weit erscheint. Deshalb versucht dieser Beitrag eine kurze Übersicht über die Möglichkeiten zu gewähren, die Verantwortlichen bei unbegründeten oder exzessiven Auskunftsersuchen zur Verfügung stehen.

1. Aufforderung zur Konkretisierung des Auskunftsanspruchs
   Obwohl dies keinen direkten Grund für eine Einschränkung oder eine Ablehnung darstellt, bietet es den Verantwortlichen eine wertvolle Option, um evtl. unnötigen Aufwand zu vermeiden. Diese Möglichkeit basiert auf den Erwägungsgrund 63 Satz 7 der DSGVO, der betont, dass ein Verantwortlicher, der „eine große Menge von Informationen über eine Person“ verarbeitet, vom Betroffenen verlangen kann, sein Auskunftsersuchen auf bestimmte Informationen oder Verarbeitungsvorgänge zu spezifizieren. Dies begrenzt den Aufwand für den Verantwortlichen auf ein realistisches Maß. Sollte der Betroffene eine solche Präzisierung jedoch ausdrücklich ablehnen oder nicht auf die Aufforderung eingehen, ergibt sich daraus allein kein Recht zur Verweigerung der Auskunft.

2. Einwand des Rechtsmissbrauchs gemäß Art. 12 Abs. 5 DSGVO
   Laut Art. 12 Abs. 5 Satz 2 der DSGVO kann der Verantwortliche die Erteilung von Auskünften verweigern, wenn die Geltendmachung des Auskunftsanspruchs offenkundig unbegründet oder exzessiv ist. Obwohl eine datenschutzfremde Motivation des Betroffenen einem Auskunftsanspruch, wie gesagt, nicht entgegensteht, muss trotzdem ein „legitimes Interesse“ vorliegen. Es bleibt daher möglich, zusätzlich zu den exzessiven Anfragen weitere Fälle zu erfassen, in denen der Betroffene keine legitimen Interessen verfolgt, etwa wenn ein Angebot gemacht wird, gegen eine Zahlung auf eine weitere Verfolgung des Anspruchs zu verzichten.

3. Schutz der Rechte und Freiheiten anderer Personen nach Art. 15 Abs. 4 DSGVO
   Art. 15 Abs. 4 DSGVO stellt klar, dass das Recht auf eine Kopie der eigenen personenbezogenen Daten die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. Dies umfasst sowohl die wirtschaftlichen Freiheiten des Unternehmens gemäß Art. 16 der EU-Grundrechtecharta als auch das Geheimhaltungsinteresse des Verantwortlichen an schutzwürdigen Informationen. Die Anwendung dieser Gruppen muss allerdings von Fall zu Fall bestimmt und mit nationalem Recht geprüft werden.

I Gerichtsentscheidungen

1. Personenbezogene Daten: Der Europäische Gerichtshof (EuGH) hat klargestellt, dass nicht alle Daten automatisch personenbezogen sind. Im Fall GVA/Scania wurde entschieden, dass eine Fahrzeugidentifikationsnummer nicht zwangsläufig personenbezogene Daten darstellt. Ob Daten personenbezogen sind, hängt also davon ab, ob das jeweilige Unternehmen die Möglichkeit hat, die Person, zu der die Daten gehören, vernünftigerweise zu identifizieren. Die datenschutzrechtlichen Regelungen greifen demnach erst, wenn eine Identifizierung ohne unverhältnismäßigen Aufwand möglich und wahrscheinlich ist.
2. Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO:
   • Verantwortlichkeit durch Mitwirkung: Der EuGH hat in einem Fall zur litauischen Corona-Warn-App die Rolle des nationalen Zentrums für öffentliche Gesundheit Litauen als Verantwortlichen bestätigt, obwohl die App ohne dessen Genehmigung veröffentlicht wurde. Das Zentrum wurde als verantwortlich eingestuft, weil es aktiv die Datenverarbeitungsparameter mitbestimmt hatte. Eine Verantwortlichkeit kann sich daher auch lediglich aus dem Gesetz ergeben.
3. Rechtmäßigkeit der Datenverarbeitung:
   • Speicherdauer bei Restschuldbefreiungen: Der EuGH hat die Speicherpraxis der SCHUFA kritisiert, die Daten länger als gesetzlich vorgesehen speicherte, und betonte die Schwere des Eingriffs in die EU-Grundrechte der betroffenen Personen. Eine Speicherung für einen längeren Zeitraum als die gesetzlich vorgegebenen 6 Monate sei nicht rechtfertigbar.
4. Auskunftsrecht nach Art. 15 DSGVO: Der EuGH hat entschieden, dass Auskünfte nach dieser Vorschrift grundsätzlich kostenfrei zu erteilen sind, auch wenn nationales Recht eventuell Kosten vorsieht. Das EU-Recht verdrängt hier nationales Recht.
5. Datenschutzverletzungen und Schadenersatz:
   1. Verletzung der Datensicherheitspflicht: Nicht jeder Datenverstoß stellt automatisch eine Verletzung der Datensicherheitspflichten dar. Der Verantwortliche muss jedoch den Nachweis ausreichender Sicherheitsmaßnahmen erbringen.
   2. Schadensersatz: Der EuGH hat bestätigt, dass Schadensersatzansprüche das Vorliegen von tatsächlichen negativen Folgen für den Betroffenen erfordern. Der Schaden kann auch geringfügig sein, muss allerdings auch bezifferbar sein.
6. Bußgelder
   Der EuGH hat präzisiert, dass für die Zuweisung eines Datenschutzverstoßes zur juristischen Person das Handeln einer natürlichen Person ausreicht, die im Rahmen ihrer beruflichen Tätigkeit agiert. Für die Zurechnung eines DSGVO-Verstoßes zu einer juristischen Person reicht es laut dem EuGH aus, wenn der Verstoß von einer „natürlichen Person“ begangen wurde, die im Rahmen der unternehmerischen Tätigkeit und im „Namen“ des Verantwortlichen handelt.

II Gesetzgebung

1. Data Governance Act: Seit dem 24.09.2023 ist der EU Data Governance Act bindend und regelt unter anderem die Weiterverwendung von Daten durch öffentliche Stellen.
2. Data Act: Der Data Act, in Kraft seit dem 11.01.2024, regelt den Umgang mit Daten von vernetzten Geräten und den dazugehörigen Diensten, mit einer Übergangsfrist bis zum 12.09.2025.
3. EU AI Act: Am 09.12.2023 wurde im Trilog eine Einigung zum EU AI Act erzielt, die vom EU-Parlament am 13.03.2024 so übernommen wurde. Der neue AI Act sieht eine Regulierung der Anbieter und Betreiber von KI Systemen anhand von Risikoklassen vor, die sich am Einsatzzweck orientieren. Hinzu gekommen ist im Laufe des Gesetzgebungsverfahrens eine Regulierung von „General Purpose AI“. Der AI Act sieht unter anderem Transparenzpflichten und Meldepflichten sowie ein Verbot bestimmter Hochrisiko-KI-Anwendungen vor.
4. Verbraucherrechtedurchsetzungsgesetz (VDuG): Das am 13.10.2023 in Deutschland in Kraft getretene VDuG ermöglicht es Verbraucherschutzverbänden, Verbraucherrechte gerichtlich durchzusetzen und Schadensersatzansprüche für Verbraucher geltend zu machen. Dazu zählen nun auch Ansprüche die sich aus dem Datenschutzrecht ableiten lassen.

 

Wir freuen uns darauf, Ihnen unser benutzerfreundliches Portal vorzustellen, auf dem Sie mühelos navigieren und umfassend entdecken können, wie und wo Sie genau das finden, was Sie benötigen. Lassen Sie sich von uns zeigen, wie Sie die verschiedenen Funktionen und Ressourcen unseres Portals optimal nutzen können, um Ihre Ziele schnell und effektiv zu erreichen.

Die Datenschutzgrundverordnung (DSGVO) bietet jeder Person, die von Datenverarbeitung betroffen ist, ein Auskunftsrecht. Ein Auskunftsanspruch kann jedoch abgelehnt werden, wenn er offenkundig unbegründet ist oder durch häufige Wiederholung als exzessiv gilt. Alternativ kann für die Bearbeitung des Anspruchs gemäß Art. 12 Absatz 5 DSGVO ein angemessenes Entgelt gefordert werden.

Das Oberlandesgericht Nürnberg beschäftigte sich kürzlich mit der Frage, wann ein Auskunftsanspruch als exzessiv zu bewerten ist (Endurteil vom 29.11.2023, Aktenzeichen 4 U 347/21). Im verhandelten Fall forderte ein ehemaliger Mitarbeiter und Vorstandsmitglied einer Firma umfassende Auskunft über seine gespeicherten Daten, einschließlich Protokolle und E-Mails. Die Firma lehnte dies ab, da sie den Anspruch als missbräuchlich und aufgrund des Aufwands als exzessiv ansah.

Das Gericht widersprach der Auffassung der Firma und entschied zugunsten des Ex-Mitarbeiters. Es stellte klar, dass das Motiv des Antragstellers irrelevant ist und der Aufwand der Datensammlung kein Grund für die Ablehnung sein kann. Es betonte, dass ein erster Antrag nicht grundsätzlich als exzessiv angesehen werden kann.

Die Rechtslage bezüglich des missbräuchlichen Einsatzes des DSGVO-Auskunftsanspruchs bleibt jedoch umstritten. Ein weiteres Beispiel ist ein Urteil des LG Gießen vom 11.01.2023 (Az.: 2 O 178/22), welches einen Anspruch wegen missbräuchlicher Verwendung als unzulässig erklärte. Daher ist eine endgültige Klärung dieser Frage durch höhere Gerichte noch ausstehend.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/aktuelle-urteile/139498-wann-dsgvo-auskunftsanspruch-exzessiv-und-rechtsmissbraeuchlich?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

In Reaktion auf ein bedeutendes Urteil des Europäischen Gerichtshofs (EuGH) vom vergangenen Dezember bereitet der deutsche Gesetzgeber aktuell eine Überarbeitung des Bundesdatenschutzgesetzes vor. Ziel ist es, den Umgang mit persönlichen Daten durch Auskunfteien wie die Schufa strenger zu regulieren. Das EuGH-Urteil hatte die Praxis des sogenannten Kreditscorings kritisiert, insbesondere in Fällen, in denen Auskunfteien wie die Schufa auf umfassende und teils sensible persönliche Daten zugreifen, um die Kreditwürdigkeit von Personen zu bewerten.

Dies verdeutlicht ein Fall aus Deutschland, in dem eine Frau gegen die Schufa klagte, weil sie einen Kredit nicht erhalten hatte. Sie forderte die Löschung eines Eintrags und den Zugang zu ihren Daten. Die Schufa teilte ihr jedoch nur den Score-Wert und allgemeine Informationen zu dessen Berechnung mit. Der EuGH verhandelte diesen Fall und stellte fest, dass dieses Verfahren eine unzulässige automatisierte Entscheidung darstellt.

Die geplanten Gesetzesänderungen zielen darauf ab, den Zugang zu persönlichen Daten einzuschränken und gleichzeitig mehr Transparenz darüber zu schaffen, woher diese Daten stammen. Künftig sollen Auskunfteien nicht mehr automatisch Daten wie Wohnadresse, soziale Medien, Bankbewegungen, Gesundheitsdaten oder Informationen über ethnische Herkunft für das Scoring verwenden dürfen.

Eine wichtige Änderung ist die Verpflichtung der Auskunfteien, die genauen Berechnungsmethoden ihres Scorings offenzulegen, wenn Verbraucher danach fragen. Dies stellt eine signifikante Abkehr von der bisherigen Praxis dar, in der sich die Schufa oft auf das Geschäftsgeheimnis berufen konnte, um detaillierte Auskünfte zu verweigern.

Diese legislativen Anpassungen sind noch nicht final, da sie die Zustimmung des Bundestags und des Bundesrats benötigen. Bundesverbraucherschutzministerin Steffi Lemke hat die Änderungen jedoch bereits begrüßt und betont, dass sie dazu beitragen werden, Diskriminierung durch Scoring-Verfahren zu vermeiden und den Verbraucherschutz zu stärken.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/gesetze/139518-strengere-regeln-schufa-kreditscoring?utm_source=newsletter&utm_medium=email&utm_campaign=wee

Nutzer des Facebook Marketplace sollten aus Sicherheitsgründen die Website „Have I Been Pwned?“ überprüfen, da laut Heise eine Datenbank mit rund 200.000 Einträgen und Informationen von 77.267 Nutzern von Kriminellen kopiert wurde.

In der Datenbank befinden Namen, E-Mail-Adressen, Passwörter und Telefonnummern. Obwohl die Passwörter verschlüsselt sind und derzeit sicher scheinen, wird dennoch empfohlen, sie zu ändern, da die gestohlenen Daten bereits in einem Hacker-Forum aufgetaucht sind. Diese Daten wurden im Oktober 2023 von einem Cyberkriminellen, bekannt unter dem Namen „agoatson“, illegal über Discord durch Ausnutzung eines Schwachpunktes eines Cloud-Service-Anbieters von Facebook kopiert.

Dies ist nicht das erste Mal, dass Facebook von einem Datenleck betroffen ist. Im Jahr 2021 wurden etwa 1.5 Milliarden Datensätze von Facebook-Nutzern im Darknet entdeckt und zum Verkauf angeboten. Solche Vorfälle haben zu erheblichen Strafen geführt und offenbaren das Ausmaß, in dem Unternehmen Zugang zu Nutzerdaten haben können. Eine Untersuchung der US-Verbraucherorganisation Consumer Reports ergab, dass die Daten eines Nutzers Verbindungen zu 48.000 Unternehmen aufwiesen.

Die Überprüfung über „Have I been Pwned?“ können wir gerne für Sie vornehmen. Hierfür können Sie uns gerne über unser Kontaktformular kontaktieren.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/digital-tech/cyberkriminalitaet/139594-facebook-marketplace-daten-77-000-usern-geleakt?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Der Digital Services Act, der ab dem 17. Februar vollständig in Kraft getreten ist, bringt wichtige Änderungen für Online-Händler mit sich. Dieses Gesetz zielt darauf ab, den europäischen Verbrauchern sicheres Online-Shopping zu ermöglichen und hat daher direkte Auswirkungen auf Verkäufer auf Plattformen wie eBay, Amazon und Kaufland.

Ein zentraler Punkt des Gesetzes ist Artikel 30, der verlangt, dass Plattformen gewährleisten, dass Händler nur dann Produkte anbieten dürfen, wenn umfassende Kontaktinformationen vorliegen. Hierzu zählen Name, Adresse, Telefonnummer, E-Mail-Adresse, eine Kopie des Identitätsdokuments des Unternehmers, Zahlungskontodaten, gegebenenfalls das Handelsregister und die Handelsregisternummer. Zudem wird eine Selbstbescheinigung benötigt. Diese Selbstbescheinigung ist eine Neuerung, bei der sich Händler verpflichten, ausschließlich Waren anzubieten, die den EU-Rechtsvorschriften entsprechen.

Mit der Einführung dieses Gesetzes müssen Marktplatzbetreiber strengere Kontrollen durchführen, was für die Händler bedeutet, dass sie sorgfältig alle geforderten Unterlagen bereitstellen müssen, um Konflikte, besonders auf Plattformen wie Amazon, zu vermeiden.

Allerdings enthält der Digital Services Act in Artikel 29 eine Ausnahmeregelung für sehr kleine Plattformen, die sich speziell an Kleinst- und Kleinunternehmer richten, wie zum Beispiel Handmade-Märkte. Dies bietet eine gewisse Flexibilität für kleinere Akteure im Online-Handel.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/gesetze/139555-plattform-haendler-muessen-selbstbescheinigung-einreichen?utm_source=newsletter&utm_medium=email&utm_campaign=wee

Der Digital Services Act (DSA), der seit 2020 entwickelt wird, zielt darauf ab, die rechtlichen Rahmenbedingungen für digitale Dienste in der EU zu aktualisieren. Insbesondere soll er sicherstellen, dass Online-Vermittlungsdienste wie Suchmaschinen, soziale Netzwerke und Online-Marktplätze illegale Inhalte schneller und systematischer entfernen.

Seit dem 17. Februar 2024 ist ein neuer Abschnitt des DSA in Kraft, der sich auch Hosting-Anbieter auswirkt. Diese müssen seitdem die folgenden  Anforderungen erfüllen:

– zentrale Kontaktstelle für Meldungen mutmaßlicher rechtswidriger Inhalte einrichten und bekannt machen
– Regelungen zur Inhaltsmoderation in ihren Nutzungsbedingungen bzw. Allgemeinen Geschäftsbedingungen darlegen
– ein Verfahren für die Meldungen und Bearbeitung rechtswidriger Inhalte einrichten
– Transparenzberichte erstellen

Diese Änderungen haben direkte Auswirkungen auf die rechtlichen Dokumente der Unternehmen, die entsprechend aktualisiert werden müssen. Dazu gehören das Impressum, die Allgemeinen Geschäftsbedingungen und Datenschutzerklärungen.

Der DSA weist zudem Parallelen zur bestehenden Verordnung zur Bekämpfung terroristischer Online-Inhalte auf. Ähnliche Anforderungen, wie die Einrichtung von Kontaktstellen für behördliche Meldungen oder Strategien zur Bekämpfung terroristischer Inhalte in den AGB, sind auch hier vorgesehen. Zudem könnten bei Nichteinhaltung des DSA Sanktionen drohen. Obwohl die nationalen Umsetzungsgesetze noch in Entwicklung sind, könnten bald Bußgelder von bis zu 50.000 Euro verhängt werden. Die Nichtbeachtung der neuen Vorschriften könnte auch als Wettbewerbsverstoß gewertet werden.

Gerne können Sie uns diesbezüglich kontaktieren. Wir stellen Ihnen diese Rechtstexte gerne zur Verfügung.

Weitere Informationen finden Sie hier:
https://www.hb-ecommerce.eu/2024/02/12/digital-services-act-und-tco-verordnung-welche-pflichten-gelten-fuer-anbieter-von-hosting-diensten/

Internationale Sicherheitsbehörden, darunter die britische National Crime Agency, das FBI, Europol sowie das BKA und LKA Schleswig-Holstein, haben einen bedeutenden Erfolg im Kampf gegen die Cyberkriminalität erzielt. Sie griffen die berüchtigte Hackergruppe Lockbit an, die für ihre Ransomware-Attacken bekannt ist. Bei einem gezielten Einsatz an einem Montagabend konnten wichtige Teile ihrer Infrastruktur unter Kontrolle gebracht werden.

Im Rahmen dieser Operation wurden 34 Server und 200 Kryptowährungs-Wallets beschlagnahmt und zwei Personen in Polen und der Ukraine verhaftet. Trotz dieser Erfolge sind einige Webseiten der Gruppe und sensible Daten der Opfer noch immer zugänglich.

Lockbit, eine der führenden Hackergruppen weltweit, hat sich auf Ransomware-Angriffe spezialisiert. Diese Angriffe zielen darauf ab, Unternehmensdaten zu verschlüsseln und die Freigabe nur gegen Lösegeld zu erlauben. Die Gruppe hat zahlreiche Ziele ins Visier genommen, darunter Unternehmen und Einrichtungen im Gesundheitswesen wie Boeing, die britische Royal Mail und verschiedene Krankenhäuser. Seit 2020 wurden mindestens 1.700 US-Organisationen von Lockbit angegriffen.

Durch ein Partnerprogramm, das anderen kriminellen Akteuren ermöglicht, ihre Dienste gegen eine Gewinnbeteiligung von 20 Prozent zu nutzen, hat die Gruppe ihre Aktivitäten erweitert. Diese Strategie verstärkt ihre Reichweite und Macht im Bereich der Cyberkriminalität.

Die jüngsten Erfolge im Kampf gegen Lockbit senden eine klare Botschaft an ähnliche Netzwerke. Sie zeigen, wie wichtig und wirksam die internationale Zusammenarbeit in der digitalen Ära ist. Gleichzeitig betonen sie die anhaltende Herausforderung, gegen solche agilen und technisch fortgeschrittenen Bedrohungen vorzugehen.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/digital-tech/cyberkriminalitaet/139576-behoerden-kapern-websites-gefaehrlichsten-hacker-kollektive?utm_source=newsletter&utm_medium=email&utm_campaign=ohn