Wiesbadener-Kreis

Tools und Programme, die auf einem Rechner installiert werden, ohne genutzt zu werden, stellen im Falle eines Hacking-Angriffs ein unnötiges Sicherheitsrisiko dar.
Im Folgenden beschreibt die Firma Sophos den Ablauf eines realen Hackerangriffs mit der (vergleichsweise unbekannten) Ransomware Midas, der sich von Oktober bis Dezember 2021 in einem Unternehmen abspielte.

Die betroffene Firma nutzte eine typische IT- und Sicherheitsinfrastruktur mit Windows-Servern, auf denen virtuelle Maschinen liefen. Es existierte eine flache Topologie und alles war via VPN zugänglich, also kaum Kontrolle darüber, wer auf die Rechner zugreift.
Es war kein Zero-Trust-Modell vorhanden, welches die Zugriffe kontrolliert und eingeschränkt hätte. Das System war nach außen abgeschirmt, aber nicht nach innen.

Am 13. Oktober, zwei Monate vor dem eigentlichen Angriff, infiltrierten Hacker das System und wurden auf mehreren Computern des internen Netzwerkes aktiv.
Dabei erstellten sie u. a. Skripte, verschoben Dateien und starteten Remote-Verbindungen, um alles auf den Angriff vorzubereiten. Sie nutzen dabei Tools wie AnyDesk und Teamviewer, die auf allen Computern installiert waren, obwohl sie nie genutzt wurden.
Die tatsächliche Verteilung der Ransomware auf die Netzwerkcomputer fand aber erst am 7. Dezember statt.

Tools wie AnyDesk und Teamviewer wurden vorher vom IT-Team auf den Rechnern getestet, jedoch nie entfernt.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/das-problem-ungenutzter-und-vergessener-tools-18299

Wir möchten Sie heute über Neuerungen im myGINDAT Portal informieren.

Wir haben eine neue Kachel auf myGINDAT zu den Schulungsinstanzen.

Wenn Sie diese anklicken werden Ihnen unter dem Text der Erreichbarkeit  5 Fragen angezeigt, und wir möchten Sie bitten diese Fragen zu beantworten.

Durch die Beantwortung der Fragen, haben wir die Möglichkeit Ihre Online-Schulung noch besser auf Sie und Ihr Unternehmen abstimmen zu können.

Heutzutage wird es immer wahrscheinlicher, dass ein Unternehmen früher oder später ins Visier eines Cyberangriffs gerät.
Die Firma Sophos entwickelte einen Incident-Response-Plan in 10 Schritten, um im Falle einer Cyberattacke die Kontrolle zu behalten, den Schaden zu minimieren und Folgekosten zu verhindern.

1. Alle Beteiligten und Betroffenen festlegen
   Alle entscheidenden Personen müssen in die Incident-Planung einbezogen werden. Es sollten außerdem alternative Kommunikationswege geschaffen werden, die im Falle eines Angriffs nicht in Mitleidenschaft gezogen werden.
2. Kritische Ressourcen identifizieren
   Das Schadensausmaß im Ernstfall muss ermittelt werden. Dabei sind Prioritäten zu vergeben, welche Ressourcen und Systeme in welchem Umfang geschützt werden müssen.
3. Ernstfall-Szenarien üben und durchspielen
   Anstatt nach Handlungsanleitungen zu suchen oder nach der Intuition zu handeln, sollten Übungsszenarien (mit unterschiedlichen Arten von Angriffen) vorbereitet und erprobt werden.
4. Security-Tools bereitstellen
   Es sollte in Präventive Maßnahmen investiert werden, wie etwa Security-Lösungen für Netzwerk, Server, Cloud und E-Mails, KI-gestützte Automation, sowie eine Verwaltungs- und Alarmkonsole, um Angriffe möglichst frühzeitig zu erkennen.
5. Maximale Transparenz sicherstellen
   IT- und Sicherheitsteams müssen einen Überblick über alle Vorgänge haben, um alle angreifbaren Punkte in Systemen zu kennen und angemessen auf Angriffe reagieren zu können.
6. Zugriffskontrolle implementieren
   Nicht alle Mitarbeiter benötigen dieselben Zugriffsrechte. Mehrstufige Authentifizierung und selektive Vergabe von Administrator-Rechten schränken die potenziellen Schäden eines Angriffs ein. Zusätzlich sollte darüber nachgedacht werden, ein Zero-Trust-Konzept zu erstellen und umzusetzten.
7. In Analyse-Tools nutzen
   Es sollten Tools wie EDR (Endpoint Detection and Response) oder XDR (Extended Detection and Response) eingerichtet werden, die Systeme nach Indikatoren für einen im Gange befindlichen Angriff absuchen.
8. Reaktionsmaßnahmen festlegen
   Wird ein Angriff erstmal entdeckt, muss die IT wissen, welche Maßnahmen gegen welche Angriffsform eingesetzt werden müssen.
9. Awareness-Trainings durchführen
   Mitarbeiter sollten im Training ein simuliertes Angriffs-Szenario durchgehen, um  sie für die korrekte Handhabung einer Notsituation und die Risiken ihrer eigenen Handlungen zu sensibilisieren.
10. Managed Security Services
    Idealerweise hat man einen Incident-Response-Plan zusammen mit einem geschulten Team. Dies ist nicht für jedes Unternehmen umsetzbar – man kann dennoch in Erwägung ziehen, einen externen Dienstleister wie einen Provider von MDR (Managed Detection and Response) zu verpflichten.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/gut-vorbereitet-fuer-den-cyber-ernstfall-18279

Seit der Einführung unseres Kundenportals myGINDAT (https://www.gindat.de/anmeldung.html) arbeiten wir permanent an dem Ausbau und Erweiterung der Website.

Im Vergleich zum Vorjahr können wir Ihnen noch mehr Funktionen anbieten, die Sie beim Aufbau und Überwachen Ihres Datenschutzmanagementsystems unterstützen.
Neben der Erstellung Ihrer Verarbeitungsverzeichnisse, können Sie zwischenzeitlich auch Ihre Dienstleisterliste online pflegen sowie Ihre technischen und organisatorischen Maßnahmen dokumentieren.

Auch der Upload von Dokumenten, wie z.B. die verabschiedete Datenschutzrichtlinie (Richtlinie Betriebliche Datenschutzorganisation_DSGVO), ist bereits seit einigen Monaten möglich.

Ab sofort bietet Ihnen das Kundenportal aber auch die Möglichkeit, alle notwendigen Audits, die Ihr Datenschutzbeauftragter in seiner Funktion durchführen muss, zu überwachen.
Sehen Sie jederzeit, wann der nächste Datenschutz-Jahresbericht fällig ist, oder wann wieder ein Website-Security-Audit durchgeführt wird.

Auch die Fälligkeit einer neuen Gebäudebegehung zur Prüfung der physikalischen Sicherheit Ihrer Organisation oder die Notwenigkeit eines neuen Netzwerkscans zur Überprüfung der internen Infrastruktur, können Sie ab sofort einsehen.
Falls ein geplanter Termin unserseits mal nicht passt, können Sie diesen auch bequem im Portal direkt neu terminieren. Bitte beachten Sie jedoch, dass der Termin eine Frist von 3 Monaten nicht übersteigen kann.

Derzeit arbeiten wir an einem Hinweisgebersystem, damit Sie die Whistleblower-Richtlinie in Ihrem Unternehmen rechtskonform umsetzen können.

Sollte ein Termin dennoch einmal nicht passen, können Sie uns weiterhin auch telefonisch erreichen.
Bei Fragen zum Kundenportal stehen wir Ihnen wie gewohnt montags bis freitags von 08:00 Uhr bis 17:00 Uhr unter der 02191 909 430 oder per Mail unter info@gindat.de zur Verfügung.

Dass die Daten der Luca-App auch für die Strafverfolgung interessant sind, dürfte wenig überraschen. Da die Privatsphäre der App nicht auf technischer Ebene gesichert ist, war es auch nur eine Frage der Zeit, bis Behörden Zugang auf die Daten anfordern. Noch fehlt dazu eine klare Rechtsgrundlage um die Daten zur Ermittlung von Zeugen zu nutzen, was der Staatsanwaltschaft aber erst im Nachhinein aufgefallen sein will.

So geschehen, als es in einer Kneipe zu einem Sturz kam. Die betroffene Person verstarb mehrere Tage später an den Folgen, woraufhin die Polizei ermittelte und zwecks Zeugenbefragung die Luca-Daten der Kneipe erfragte. Als sie die Daten zunächst nicht erhielten, wandte sich die Polizei an das Gesundheitsamt, welches ebenfalls bei der Kneipe eine Herausgabe anforderte, die daraufhin auch erfolgte.

Diese Nutzung der Daten außerhalb der ursprünglich gedachten Kontaktverfolgung ist mittlerweile nur ein weiterer Kritikpunkt. Denn angesichts der zurückgegangenen Nutzung (in Bayern wurden 2 Wochen lang keine Daten abgefragt) dürfte sie mittlerweile zur tatsächlichen Bekämpfung der Pandemie kaum noch nützen. Dazu kommt, dass Luca scheinbar auch in Erwägung zieht, die Nutzerdaten in Zukunft nicht mehr für die Pandemie-Nachverfolgung, sondern auch gewinnbringend zu nutzen, indem die Luca-App für Events oder die Gastronomie eingesetzt wird.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2022/mainz-polizei-nutzte-luca-daten-von-kneipenbesuchern-ohne-rechtsgrundlage/

Am 1. Dezember ist das Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten, das die ePrivacy-Richtlinie in nationales Recht umsetzt. Das Gesetz enthält u.a. Regelungen für Webseitenbetreiber, die Cookies oder ähnliche Technologien einsetzen möchten.

Schutz der Privatsphäre bei Endeinrichtungen

Die zentrale Regelung, die Betreiber von Webseiten beachten müssen, ist § 25 TTDSG.

Nach § 25 Absatz 1  Satz 1 TTDSG ist  „die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, (…) nur zulässig, wenn der Endnutzer (…) eingewilligt hat.“

Das Gesetz stellt – im Einklang mit der höchstrichterlichen Rechtsprechung – klar, dass das Gesetz bereits dann zur Anwendung kommt, wenn Informationen in der Endeinrichtung (z. B. Laptop, Smartphone oder Tablet) gespeichert oder ausgelesen werden. Das bedeutet, dass Cookies oder sonstige Technologien auch dann von der Regelung erfasst werden, wenn keine personenbezogenen Daten verarbeitet werden, also Informationen, die keine Rückschlüsse auf die Identität des Webseitenbesuchers zulassen. Damit geht die Regelung über die DSGVO hinaus. Denn Zweck der Norm ist nicht nur der Schutz von personenbezogenen Daten, sondern der Schutz vor Fremdzugriffen.

Werden die Information auf einer Endeinrichtung gespeichert oder ausgelesen, so ist nach § 25 Absatz 1  Satz 1 TTDSG die Einwilligung des Besuchers der Website notwendig. Zu beachten ist, dass es nicht nur um die Speicherung/Auslesung von Cookies geht, auch wenn dies der häufigste Anwendungsfall ist, sondern auch um andere Technologien wie:

• Web Storage: Wie ein Cookie, aber mit größerer Kapazität.
• Web-Beacons, auch Zählpixel genannt, sind kleine 1×1-Pixel-große Grafiken. Beim Zugriff auf diese Internetinhalte wird der Pixel vom Server geladen und dokumentiert den Abruf der Website.
• Browser-Fingerprinting: Beim Browser-Fingerprinting wird der Besucher anhand von Informationen wie Bildschirmauflösung, Betriebssystemversion oder installierte Schrift wiedererkannt.

Abgrenzung zur DSGVO

Beim Speichern und Auslesen von personenbezogenen Daten konkurriert das TTDSG mit der DSGVO.

Werden Cookies oder andere Technologien, die keine personenbezogenen Daten erfassen, eingesetzt, so ist § 25 TTDSG anwendbar. Möglich ist jedoch auch die Speicherung bzw. der Zugriff auf Cookies mit personenbezogenen Daten. In dem Fall ist das TTDSG vorrangig (vgl. Artikel 95 DSGVO), da es das speziellere Gesetz darstellt.

Die weitere Verarbeitung, z. B. die Bildung von Nutzerprofilen, wird vom § 25 TTDSG nicht erfasst, weshalb die Erlaubnisnormen der DSGVO zu beachten sind. In diesem Zusammenhang ist darauf hinzuweisen, dass die Verwendung von Pseudonymen z. B. in Form einer eindeutigen Identifizierungsnummer nicht dazu führt, dass kein Personenbezug vorliegt, da IDs oder Kennungen dazu genutzt werden können die einzelnen Besucher zu unterscheiden und zu adressieren.

Kommt sowohl das TTDSG als auch die DSGVO zur Anwendung, sind keine separaten Einwilligungen erforderlich. Die Besucher müssen jedoch ausreichend über die Verarbeitungen informiert werden.

Ausnahme

Nach § 25 Absatz 2 Nr. 2 TTDSG ist die Einholung einer Einwilligung entbehrlich, wenn der Dienst unbedingt erforderlich ist, um einen Dienst zur Verfügung zu stellen, den der Besucher der Website ausdrücklich wünscht. Das sind z. B. Warenkorb-Cookies oder Systeme zur Betrugsprävention.

Max Macht
Volljurist

Digitale-Dienste-Gesetz und Digitale-Märkte-Gesetz:

Mit diesen beiden Verordnungen sollen Grundregeln für die digitale Welt geschaffen werden, u. a. um große Plattformen wie Google, Amazon und Apple in deren Macht einzuschränken.

Die EU-Staaten verhandeln aktuell noch mit dem EU-Parlament über einzelne Bestimmen der zwei Gesetze, wie etwa eine Verpflichtung für Netzwerke und Messenger-Dienste, den Austausch von Nachrichten interoperabel (mit anderen Diensten) zuzulassen, stärkeren Schutz vor Online-Tracking und die Forderung, auf Pornoplattformen Handynummer und E-Mail-Adresse zu hinterlegen, bevor man Videos hochladen kann.

Kennzeichnungspflicht für politische Werbung: 

Die Kennzeichnungspflicht soll sowohl online für Facebook, Youtube, etc. als auch offline gelten.

Verhaltenskodex gegen Desinformation:

Mit dem Ziel, Fake News und Wahlbeeinflussung besser bekämpfen zu können, soll der (bereits existierende) Verhaltenskodex zur Bekämpfung von Desinformation der EU überarbeitet werden.

Verordnung zur Regulierung von künstlicher Intelligenz:

KI soll reguliert werden, indem hochriskante Anwendungen genehmigungspflichtig gemacht werden bzw. teilweise ganz verboten werden sollen. Biometrische Videoüberwachungsmaßnahme sollen allerdings weiterhin in „wenigen, eng definierten Ausnahmefällen“ zugelassen sein.

ePrivacy-Verordnung:

Hier existieren noch große Differenzen zwischen dem Gesetzesentwurf des EU-Staaten-Rats (welche den Schutz der Privatsphäre schwächen würde) und der des EU-Parlaments (welche Privatsphäre stärken soll). Die Verhandlungen laufen.

Übrigens existiert eine Ausnahme von der aktuell existierenden ePrivacy-Richtlinie, für die die EU-Kommission einen neuen Vorschlag vorlegen will. Zuvor erlaubt die Ausnahme Netzwerkdiensten wie Facebook, private Nachrichten auf Inhalte bezüglich Kindesmissbrauchs zu untersuchen. Im neuen Vorschlag soll diese Untersuchung sogar verpflichtend vorgeschrieben werden.

Zugriff auf verschlüsselte Inhalte:

Laut geleakten  EU-Dokumenten soll 2022 ein Gesetzesentwurf kommen, der den Strafverfolgungsbehörden Zugriff auf verschlüsselte Inhalte ermöglichen soll.

Ebenso gibt es neue Überlegungen vonseiten der EU-Kommission, Telekommunikationsdienstleister zu einer Vorratsdatenspeicherung zu verpflichten, obwohl solche Ansätze in der Vergangenheit vom Europäischen Gerichtshof gekippt wurden.

Digitaler Identitätsnachweis

Aus einer ganzen Reihe elektronischer IDs, die auf nationaler Ebene existieren, soll nun eine einheitliche, europaweite Lösung entstehen.

European Cyber Resilience Act

Es soll ein gemeinsamer Standard zum Schutz internetfähiger Geräte entstehen, ausgelöst durch die zunehmenden Ransomware-Attacken in Zeiten von Covid-19.

Einheitliche Ladegeräte und Recht auf Reparatur:

Mit einheitlichen Ladegeräten und Ladeanschlüssen sollen zukünftig elektrische Geräte europaweit nachhaltiger werden. Ebenso soll ein Vorschlag zum Recht auf Reparatur für elektronische Geräte kommen.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2021/jahresvorschau-was-die-eu-netzpolitisch-fuer-2022-plant/

Wenn man durchs Internet surft, so fällt auf, dass ein großer Teil der rechtlichen Anforderungen nicht erfüllt werden. Was aufgrund der steigenden Komplexität auch nicht verwundert. Als Betreiber einer Website hat man u.a. die nachfolgenden Fragestellungen zu beachten:

• Was muss bei der Einholung einer Einwilligung beachtet werden?
• Was ist das TTDSG? Was muss beachtet werden?
• Muss man auch eine Einwilligung bei Cookies ohne Personenbezug einholen?
• Darf man noch Daten in die USA übermitteln?
• Welche rechtlichen Tücken gibt es bei Consent-Tools (z.B. Cookiebot)?
• Wer haftet bei einer datenschutzrechtswidrigen Website?
• Welche technischen und organisatorischen Anforderungen sind zu berücksichtigen?

Die GINDAT möchte Sie gerne in der neuen Reihe – Datenschutzrechtliche Anforderungen an eine Website – auf die aktuellen Schwierigkeiten aufmerksam machen. In Teil 1 wird es um das TTDSG (Das Telekommunikation-Telemedien-Datenschutzgesetz) gehen und die Abgrenzung zur DSGVO.

Serverstandort in Deutschland – mehr Schein als Sein

Seitdem der EuGH entschieden hat, dass der Privacy Shield keine geeignete Grundlage zu Übermittlung von personenbezogenen Daten in die USA darstellt, gab es eine Vielzahl von Diskussionen, Tipps und Empfehlungen.

(Mehr zum Sturz des Privacy Shield finden Sie in unserem Artikel unter https://www.gindat.de/news/detail/eugh-erklaert-privacy-shield-fuer-ungueltig.html)

Die ganzen bisherigen Empfehlungen lassen sich bisher jedoch in der Praxis nicht, oder nur schwer umsetzen.

Jetzt gibt es einige US-Unternehmen und sogar Datenschützer, die meinen, die Lösung gefunden zu haben – die Daten sollen nur noch auf Servern in Deutschland/ Europa verarbeitet werden. So fände nämlich keine Übermittlung in die USA statt und die DSGVO wäre für die Server anwendbar.

Hört sich zunächst gut an, ist aber leider nur eine Marketingstrategie und löst das Problem nicht.

Denn der EuGH hat den Privacy Shield für nicht ausreichend erklärt, da US-Gesetze zur Anwendung kommen, die mit europäischem Recht nicht vereinbar sind. Es handelt sich dabei um die folgenden Gesetze:

• CLOUD Act
• USA Patriot Act
• USA Freedom Act
• Foreign Intelligence Surveillance Act (FISA)

Diese Gesetze statten die US-Behörden mit weitreichenden Befugnissen aus, die es Ihnen erlauben auch auf personenbezogene Daten aus Europa zuzugreifen. Gegen diese Eingriffe steht den Bürgern der EU dagegen kein effektiver Rechtsschutz zur Verfügung. Die Lösung des Problems kann daher nur darin bestehen, dass die Behörden in den USA aus rechtlichen Gründen oder tatsächlichen Gründen daran gehindert werden, auf die Daten zuzugreifen. Doch das ist bei einem Serverstandort in Deutschland bzw. Europa nicht der Fall.

Zunächst ist zu beachten, dass die Unternehmen aus den USA die US-Gesetze weiterhin beachten müssen. Ein amerikanisches Unternehmen kann die Herausgabe der Daten nämlich nicht mit der Begründung ablehnen, dass sich die Server nicht in den USA befinden.

Ein Serverstandort führt auch nicht zu einem tatsächlichen Hindernis, da der Sinn eines Servers gerade darin besteht, dass die Daten überall von der Welt aus abgerufen werden können.

 Was ist bei deutschen bzw. europäischen Dienstleistern zu beachten?

Auch der Einsatz deutscher oder europäischer Dienstleister birgt Gefahren, da diese häufig amerikanische Subunternehmer einsetzen. Somit wird das Problem nur verlagert. Man kann sich als Unternehmen auch nicht darauf berufen, dass der Dienstleister dafür verantwortlich ist, die Daten in die USA rechtssicher zu übermitteln.

Lösungen?

Wie oben bereits beschrieben gibt es derzeit verschiedene Lösungsmöglichkeiten, die jedoch alle ihre praktischen Probleme mit sich bringen.

Standardvertragsklauseln

Zunächst sind die sogenannten Standardvertragsklauseln abzuschließen, die gewährleisten sollen, dass der Dienstleister ein angemessenes Datenschutzniveau garantiert. Um die Rechtsprechung des EuGH hat die EU-Kommission neue Standardvertragsklauseln erlassen (mehr dazu finden Sie unter https://www.gindat.de/news/detail/datenuebermittlung-in-drittlaender-neue-standardvertragsklauseln.html)

Da die Standardvertragsklauseln jedoch nicht die Anwendbarkeit der US-Gesetze ausschließen können, stellen sie grundsätzlich nur eine erste Maßnahme dar. Ausgenommen sind davon Fälle, in denen auf den ersten Blick erkennbar ist, dass keine sensiblen Daten oder Daten in einem erheblichen Umfang in die USA übermittelt werden sollen.

Zusätzliche Maßnahmen

Die Schwierigkeit bei der Übermittlung personenbezogener Daten in die USA stellen die zusätzlichen Maßnahmen dar.

• Serverstandort in Deutschland/ Europa
  Problem: Marketingmaßnahme, hilft nicht weiter.

• Verschlüsselung: Eine geeignete und effektive Maßnahme stellt die Verschlüsselung der Server dar.
  Problem: Wird von den meisten Dienstleistern nicht unterstützt

• Transfer Impact Assessment: Es handelt sich dabei um eine Risikoanalyse zur Beurteilung der rechtliche Lage in den USA, dabei darf auch berücksichtigt werden, wie hoch die Wahrscheinlichkeit ist, dass die US-Behörden von ihren Befugnissen Gebrauch machen.
  Problem: Die erforderliche Prüfung wird insbesondere für KMUs kaum wirtschaftlich und rechtlich zu bewältigen sein.

• Einwilligung: Die DSGVO erlaubt die Einwilligung der betroffenen Person zur Übermittlung in Drittländer ohne Angemessenheitsbeschluss.
  Problem: Einwilligungen sind immer freiwillig und können jederzeit widerrufen werden. Die Regelung wird von vielen restriktiv ausgelegt, das heißt, dass eine Einwilligung nur rechtmäßig ist, wenn nur eine gelegentliche Übermittlung von Daten in die USA erfolgt. Folgt man der Auslegung können z.B. Webseiten die Übermittlung von Daten in die USA in der Regel nicht auf eine Einwilligung stützen.

Verzicht auf US-Dienstleister?

Sollte man also auf US-Dienstleister verzichten, wenn man keine geeigneten Maßnahmen findet, personenbezogene Daten rechtskonform in die USA zu übermitteln?

Man wird hier als Unternehmen abwägen müssen. Denn gelingt die rechtskonforme Übermittlung nicht, setzt man sich einem Haftungsrisiko aus. Die Datenschutzbehörden können nach Artikel 83 Absatz 5 c DSGVO Bußgelder in Höhe von 20.000 000 verhängen und betroffene Personen (Arbeitnehmer, Kunde usw.) können Schadenersatzansprüche gerichtlich geltend machen.

In der Regel wird jedoch die Umstellung auf europäische Dienstleister auch nicht die Lösung sein, denn unabhängig von Kosten, Zeitaufwand und technischen Problemen, gibt es meistens mit Blick auf die Qualität keine ernsthaften Alternativen zu USA-Dienstleistern.

Nichtsdestotrotz sollte man seine Dienstleister überprüfen und versuchen ein angemessenes Datenschutzniveau zu erreichen. Falls das nicht möglich ist, ist zumindest zu prüfen, ob der Umstieg auf einen anderen Dienstleister in Betracht gezogen werden kann. Die Prüfung und Abwägung ist für die Behörden zu dokumentieren. So hat schon das BayLDA bemängelt, dass Unternehmen Dienstleister ohne vorherige Abwägung einsetzen (https://gdprhub.eu/index.php?title=BayLfD_(Bavaria)_-_LDA-1085.1-12159/20-IDV).

Beim Einsatz neuer Dienstleister sollte man kritisch bleiben, und sich mit dem Datenschutzbeauftragten absprechen, da viele Dienstleister Ihre Versprechen nicht einhalten können.

Fazit

Bis dahin bleibt die rechtliche Lage leider unbefriedigend, es bleibt zu hoffen, dass eine politische Lösung entwickelt wird, die die Unternehmen entlastet.

Max Macht
Volljurist

Seit diesem Monat gilt das neue TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), welches von Webseitenbetreibern eine explizite Nutzereinwilligung für das Speichern und Auslesen von Cookies und ähnlichen Technologien verlangt. Die einzige Ausnahme hiervon sind Cookies, die unbedingt erforderlich sind, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung stellen kann.

Nach mehreren Jahren sind den Anforderungen der E-Privacy-Richtlinie der EU damit endlich genüge getan. Da die meisten Webseitenbetreiber bereits 2020 DSGVO-konforme Cookiebanner eingerichtet haben dürften, sollte sich in der Praxis mit dem neuen Gesetz wenig ändern.

Was bisher allerdings noch nicht umgesetzt wird, sind die Regelungen von Cookie-Managern, PIMS (Personal Information Managementservices) oder Single-Sign-Ons – also Dienste zur Einwilligungsverwaltung. Diese sollen noch per Rechtsverordnung reguliert werden.
Anforderungen an solche Dienste wurden auch schon von der Verbraucherzentrale Bundesverband ausgesprochen: demnach solle der Verbraucher generelle Spezifikationen und Widersprüche festlegen können, sodass diese für jede besuchte Seite einfach übernommen werden können. Für solche Dienste kämen auch Browser-Erweiterungen infrage. Die VZBV betont, dass Einwilligungen so einfach abgelehnt und widerrufen werden müssten, wie sie erteilt werden können. Wichtig ist dabei, dass Bereitsteller eines solchen Einwilligungsdienstes „kein wirtschaftliches Eigeninteresse an der Erteilung der Einwilligung und an den verwalteten Daten haben und unabhängig von Unternehmen sind, die ein solches Interesse haben können“.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/ttdsg-neue-cookie-regelung-in-kraft-getreten-2112-161473.html