Ersatz immaterieller Schäden wegen Datenschutzverstößen nach Art. 82 DSGVO

Viele werden nicht müde darauf hinzuweisen, dass ein immaterieller Schaden auch nach der DSGVO ersatzfähig sein kann. Aus diesen Sätzen liest man mittlerweile teilweise doch sehr überraschende Schlussfolgerungen, die den Eindruck erwecken, dass bereits ein Unwohlsein wegen eines Verstoßes gegen die DSGVO automatisch zu einem Schadensersatzanspruch führt.

Das Zauberwort in dieser Hinsicht, das viele zu übersehen scheinen, ist das Wort kann. Vor diesem Hintergrund ist allein die Feststellung, dass auch immaterieller Schaden ersatzfähig sein kann, weder neu noch sonderlich bahnbrechend. Im deutschen Recht gibt es diese Möglichkeit bereits seit Jahrzehnten und ist in Art. 82 I DSGVO explizit geregelt.

Derzeitiger Status Quo der Rechtsprechung zum Schadensersatz aus der DSGVO.

Mit der Entscheidung in der Rs. C-300/21 positionierte sich der EuGH erstmals zu den Voraussetzungen des datenschutzrechtlichen Schadensersatzanspruches nach Art. 82 DSGVO.

Der EuGH stellte hier fest, dass ein bloßer Verstoß gegen die DSGVO keinen Schadensersatzanspruch begründet – erforderlich ist ein konkreter Schaden, der kausal auf einem Datenschutzverstoß beruht. Der DSGVO-Schadensersatz hat keine Straffunktion und kann nur zum Ausgleich von individuellen Schäden herangezogen werden. Anders als z.B. im amerikanischen Recht.

Der BGH folgt offenbar der gleichen Ansicht. In seinem Beschluss vom 12.12.2023 (Az. VI ZR 277/22) betont er das die als Schaden geltend gemachten negativen Folgen eines Datenschutzverstoßes der Anspruchsteller konkret benennen muss. Das Einfügen von Textbausteinen scheint hierzu nicht ausreichend.

Es ist also notwendig, dass ein Nachweis eines konkreten Schadens erfolgt und auch dargelegt werden muss, wer für diesen Schaden verantwortlich ist.

Wer muss aber nun was beweisen?

Die Faustregel im deutschen Zivilrecht lautet dazu generell:

Der Anspruchssteller trägt die Beweislast für die rechtsbegründenden Tatbestandsmerkmale, der Anspruchsgegner für die rechtshindernden, rechtsvernichtenden und rechtshemmenden Merkmale.

Vereinfacht ausgedrückt gesagt, muss der Kläger beweisen, dass sein Anspruch besteht. Der Verteidiger muss beweisen, dass der Anspruch nicht besteht.

Was den Schaden betrifft, hat der EuGH bereits klargestellt, dass Anspruchssteller einen solchen, auch in der DSGVO, nach den oben beschriebenen Regeln nachzuweisen hat.

Auch für die Kausalität zwischen Verstoß und Schaden besteht Einigkeit, dass der Kläger die Beweislast trägt.

Wer die Beweislast für den Verstoß selbst gegen die DSGVO trägt, ist jedoch sehr umstritten.

Grund hierfür ist die in Art. 5 II DSGVO geregelte Rechenschaftspflicht. Danach ist der Verantwortliche für die Einhaltung der in Art. 5 I DSGVO genannte Datenschutzgrundsätze verpflichtet, die der Verantwortliche auch nachweisen können muss.

Viele argumentieren nun, dass hieraus eine generelle Beweispflicht des Verantwortlichen entsteht, da die Einhaltung der DSGVO in seinen Pflichtenkreis gehört.

Nach dem Grundsatz der Verfahrensautonomie ist es Sache der Mitgliedsstaaten, die verfahrensrechtliche Modalität der Rechtsbehelfe zu regeln. Daher sind die Beweisregeln des jeweiligen nationalen Prozessrechtes anzuwenden. Die in Art. 5 II DSGVO normierte Rechenschaftspflicht gilt eben nur gegenüber Datenschutzaufsichtsbehörden, denen es nach Art. 58 I a DSGVO gestattet ist, den Verantwortlichen zur Bereitstellung von Informationen anzuweisen.

Die Rechenschaftspflicht begründet also „nur“ eine Pflicht außerhalb des Prozesses, nicht aber eine zivilrechtlich bindende Beweislastregel. Dies schon deshalb, weil niemand eine Pflicht hat, sich im Prozess zu verteidigen und vorzutragen. Schon der Wortlaut der Norm zeigt also, dass hier nicht die Prozesssituation gemeint sein kann.

Kind-Hörgeräte: Cyberangriff verursacht Lieferchaos

Eine Ransomware-Attacke hat den deutschen Hörgerätehersteller Kind, mit Sitz in Großburgwedel, schwer getroffen, wodurch die Lieferkette zu Hunderten von Filialen deutschlandweit unterbrochen wurde. Der Cyberangriff, der am 6. Februar stattfand, hat die IT-Infrastruktur des Unternehmens stark beeinträchtigt, was zu erheblichen Betriebsstörungen führte. Trotz der unmittelbaren Reaktion des Unternehmens, die betroffenen Systeme zu isolieren, und der laufenden Bemühungen, den Schaden zu beheben, bleibt die Wiederherstellung der vollen Arbeitsfähigkeit eine Herausforderung.

Die Unternehmensgruppe, die seit 1952 besteht und mittlerweile auch in anderen Geschäftsfeldern wie Augenoptik und Arbeitsschutzkleidung tätig ist, beschäftigt über 3.500 Mitarbeiter und betreibt mehr als 700 Fachgeschäfte. Der Angriff hat nicht nur interne Prozesse gestört, sondern auch direkte Auswirkungen auf etwa 3.000 Mitarbeiter und den Service in rund 600 Geschäften in Deutschland, Österreich, der Schweiz und Luxemburg. Derzeit sind keine Lieferungen an diese Geschäfte möglich, was die Geschäftstätigkeit erheblich beeinträchtigt, obwohl die Filialen geöffnet bleiben und Kundenberatung weiterhin möglich ist.

Kritische Stimmen, wie die des IT-Experten Günter Born, hinterfragen die Einschätzung des Unternehmens bezüglich der Schadensbegrenzung, da der Betrieb immer noch nicht vollständig wiederhergestellt ist und Mitarbeiter in einigen Bereichen auf manuelle Arbeitsmethoden zurückgreifen müssen.

Dieser Vorfall unterstreicht die zunehmende Bedrohung durch Cyberkriminalität für Unternehmen in Deutschland, wie jüngste Angriffe auf andere bedeutende Firmen zeigen. Die Ermittlungen laufen, während Kind daran arbeitet, die Sicherheit zu erhöhen und die vollständige Betriebsfähigkeit wiederherzustellen.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/keine-neuen-hoergeraete-kind-gruppe-kann-nach-cyberangriff-filialen-nicht-beliefern-2402-182251.html?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Datendiebstahl in Frankreich: Millionen Betroffene

Cyberangriffe haben die persönlichen Daten von mehr als 33 Millionen Menschen in Frankreich, also fast der Hälfte der Bevölkerung, kompromittiert. Dies stellt nach Angaben der französischen Datenschutzbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) den größten Datendiebstahl in der französischen Geschichte dar. Die Angriffe richteten sich gegen Viamedis und Almerys, zwei Serviceanbieter des französischen Gesundheitsversicherungssystems, und resultierten in der unerlaubten Beschaffung von Daten wie Geburtsdaten, Familienstand, Sozialversicherungsnummern und weiteren Informationen. Bankdetails oder medizinische Daten wurden nicht entwendet.

Experte Yann Padova betrachtet diesen Vorfall als den signifikantesten Datendiebstahl in Frankreich. Die CNIL hat angekündigt, zu prüfen, ob die ergriffenen Sicherheitsmaßnahmen den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entsprechen. Nach einem Bericht von Euronews nutzten die Hacker Phishing-Methoden, um sich Zugang zu den Systemen zu verschaffen. Die betroffenen Personen werden von ihren Krankenversicherungen über den Vorfall informiert. Die CNIL warnt vor der Möglichkeit, dass die gestohlenen Daten für zielgerichtete Phishing-Angriffe verwendet werden könnten.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/cyberangriff-hacker-erbeuten-daten-von-jedem-zweiten-buerger-frankreichs-2402-182100.html?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Gerichtsurteil zu Call-ID-Spoofing im Online-Banking

Beim Online-Banking ist das sogenannte Spoofing, bei dem Betrüger eine falsche Identität vorspiegeln, eine verbreitete Masche. Beim Call-ID-Spoofing verwenden sie gefälschte Telefonnummern, um Vertrauen zu erschleichen. Ein Gerichtsurteil des LG Köln stellte klar, dass Kunden, die unter solchen Umständen handeln, nicht als grob fahrlässig gelten. In einem Fall verlor ein Sparkassenkunde 14.000 Euro durch einen solchen Betrug, nachdem er auf einen getarnten Anruf reagierte und unbewusst Transaktionen autorisierte.

Im spezifischen Fall erhielt der Kunde im September 2022 einen Anruf, bei dem die ihm bekannte Nummer seiner Bank angezeigt wurde. Der Anrufer behauptete, das Konto sei wegen Betrugsfällen gesperrt und könne durch Freigabe über die pushTAN-App entsperrt werden. Der Kunde folgte der Anweisung, nicht wissend, dass er einem Betrüger aufsaß, der Call-ID-Spoofing nutzte.

Das Gericht entschied, dass die Bank den vollen Betrag erstatten muss, da der Kunde nicht adäquat autorisiert hatte. Diese Entscheidung betont die Verantwortung der Banken, bei Betrugsfällen ihre Kunden zu schützen und stützt sich auf rechtliche Grundlagen, die eine solche Erstattung vorsehen. Das Urteil verdeutlicht zudem, wie wichtig es für Verbraucher ist, sich über die Risiken des Online-Bankings und die Betrugsmethoden wie Spoofing bewusst zu sein, um sich besser schützen zu können.

Dieser Fall wirft auch ein Licht auf die fortschrittlichen Methoden, die Betrüger nutzen, und die Notwendigkeit für Banken, ihre Sicherheitsmaßnahmen ständig zu aktualisieren, um ihre Kunden zu schützen. Es zeigt außerdem, dass Kunden bei verdächtigen Anrufen oder Aufforderungen, die ihre Finanztransaktionen betreffen, äußerst vorsichtig sein und die Echtheit der Anfragen kritisch überprüfen sollten. Die Rolle der Gerichte bei der Klärung solcher Fälle ist entscheidend, um Präzedenzfälle zu schaffen, die sowohl Verbrauchern als auch Finanzinstituten Orientierung bieten.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/aktuelle-urteile/139492-bank-kundschaft-fehlbetraege-manipulation?utm_source=newsletter&utm_medium=email&utm_campaign=wee

EuGH klärt: Schadensersatz bei Datenpannen erfordert Beweis des Missbrauchs

Der Europäische Gerichtshof (EuGH) legte am 15. Januar 2024 in einem Urteil (Az. C-687/21) fest, dass bei Datenschutzverletzungen ein immaterieller Schadensersatz nur dann gerechtfertigt ist, wenn eindeutig ein Missbrauch personenbezogener Daten erfolgt. Diese Entscheidung folgte einem Vorfall, bei dem ein Saturn-Kunde fälschlicherweise Daten eines anderen erhielt, ohne dass diese missbraucht wurden.

Der EuGH erklärte, dass ein subjektives Unbehagen oder die Angst vor potenziellem Datenmissbrauch nicht ausreicht, um einen immateriellen Schaden anzuerkennen. Entscheidend ist der Nachweis, dass die Daten tatsächlich missbraucht wurden. Diese Klarstellung erschwert die Durchsetzung von Schadensersatzansprüchen bei Datenpannen, wenn kein konkret nachweisbarer Schaden entstanden ist.

Diese Rechtsprechung dient als Schutz für Unternehmen vor unbegründeten Klagen und trägt zur Rechtssicherheit bei. Sie zeigt auch die Grenzen des Schadensersatzrechts im Kontext der Datenschutz-Grundverordnung (DSGVO) auf und betont die Notwendigkeit eines nachweisbaren Schadens. Die Entscheidung wird als pragmatisch und unternehmensfreundlich betrachtet, da sie die Beweislast bei Datenschutzklagen klärt und potenzielle Massenklagen erschwert.

Weitere Informationen finden Sie hier:
https://www.lto.de/recht/nachrichten/n/c68721-eugh-dsgvo-schadensersatz-anspruch-immaterieller-schaden-personenbezogene-daten-datenschutz/

Rechtswidrige Cookie-Banner / Prüfen Sie Ihre Webseite

Datenschutzprobleme bezüglich Cookie-Hinweisen auf Webseiten sind ein anhaltendes Thema, das Datenschützer und deutsche Gerichte beschäftigt. Eine Untersuchung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) hat gezeigt, dass viele Webseiten nicht den rechtlichen Anforderungen entsprechen, weil sie den Nutzern keine adäquate Möglichkeit bieten, Cookies abzulehnen. Dieses Problem wurde besonders deutlich durch einen Fall, in dem das Oberlandesgericht Köln WetterOnline wegen ähnlicher Verstöße verurteilte.

Die Datenschutzkonferenz betonte, dass Webseiten eine gleichwertige Option zum Ablehnen von Cookies bereitstellen müssen, neben der Möglichkeit, alle Cookies zu akzeptieren. Diese Anforderung entspricht den Vorgaben des Gesetzes zum Datenschutz in der Telekommunikation und bei Telemedien (TTDSG) sowie der Datenschutz-Grundverordnung (DSGVO). Webseitenbetreiber sind nun aufgefordert, ihre Cookie-Hinweise entsprechend anzupassen, um rechtlichen Maßnahmen zu entgehen.

Darüber hinaus wurden nicht nur Webseiten, sondern auch Smartphone-Apps auf Datenschutzverstöße hin überprüft. Bei dieser Prüfung wurden fast durchgängig Verstöße bei den untersuchten Apps festgestellt, einschließlich der unerlaubten Erhebung sensibler Daten ohne vorherige Zustimmung der Nutzer. Diese Erkenntnisse verdeutlichen die dringende Notwendigkeit einer strengeren Überwachung und Durchsetzung der Datenschutzrichtlinien auf digitalen Plattformen.

Die Praxis zeigt, dass die Gestaltung von Cookie-Bannern oft darauf abzielt, Nutzer zur Zustimmung zu bewegen, indem Ablehnoptionen schwer auffindbar oder optisch weniger hervorgehoben sind. Dies wurde besonders im Fall von WetterOnline deutlich, wo das Oberlandesgericht Köln feststellte, dass die Gestaltung des Cookie-Consent-Tools nicht den rechtlichen Anforderungen entsprach. Die optische Hervorhebung des Akzeptieren-Buttons und das Fehlen einer gleichwertigen Ablehnoption führten dazu, dass Nutzereinwilligungen als nicht freiwillig angesehen wurden.

Diese Entscheidung unterstreicht die Bedeutung von Transparenz und informierter Zustimmung im digitalen Raum. Webseitenbetreiber müssen sicherstellen, dass ihre Cookie-Hinweise klar und verständlich sind und den Nutzern eine echte Wahlmöglichkeit bieten. Die Einhaltung dieser Prinzipien ist entscheidend, um das Vertrauen der Nutzer zu gewinnen und rechtliche Risiken zu minimieren. In diesem Zusammenhang spielen auch die Gerichte eine wichtige Rolle, indem sie durch ihre Urteile Maßstäbe für die rechtskonforme Ausgestaltung von Cookie-Hinweisen setzen und damit den Datenschutz im digitalen Zeitalter weiter formen.

Wir raten Ihnen Ihre Webseiten regelmäßig auf die Anforderungen zu überprüfen. Gerne können wir dies für Sie übernehmen und eine Webseiten-Sicherheitsprüfung erstellen.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/gesetze/139540-hunderte-webseiten-mit-rechtswidrigen-cookie-bannern?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Morris II: Innovativer KI-Wurm setzt neue Maßstäbe in der Cybergefahr

Ein selbstverbreitender KI-Wurm namens Morris II wurde von Sicherheitsexperten entwickelt. Dieser Wurm hat die Fähigkeit, in GenAI-Ökosystemen zu navigieren, sensible Informationen zu erfassen und sich eigenständig zu verbreiten. Ben Nassi, einer der beteiligten Forscher, wies auf das Potenzial hin, dass dieser Wurm eine bisher unbekannte Form des Cyberangriffs darstellt.

Die Erprobung des Wurms erfolgte in einer kontrollierten Umgebung, wobei die Fähigkeiten des Wurms gegen KI-basierte E-Mail-Assistenten, einschließlich Googles Gemini Pro, OpenAIs ChatGPT 4.0 und Metas LLaVA, getestet wurden. Diese KI-Modelle wurden dahingehend manipuliert, dass sie selbstständig neue, potenziell schädliche Anweisungen generierten.

Laut einer Studie, die auf einer spezialisierten Website zusammen mit einem Demonstrationsvideo vorgestellt wurde, konnten die Forscher zeigen, dass der Wurm in der Lage ist, KI-Modelle zu veranlassen, schädliche Eingaben zu replizieren und weiterzuverbreiten, ähnlich klassischen Cyberangriffstechniken wie SQL-Injection oder Pufferüberlauf.

Obwohl die Schwachstelle im Design des GenAI-Ökosystems liegt und nicht direkt bei den KI-Diensten von Google oder OpenAI, wurden diese Unternehmen über die Entdeckungen informiert. Die Forscher erwarten, dass solche KI-Würmer in den nächsten Jahren auch außerhalb kontrollierter Umgebungen auftreten könnten.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/gemini-chatgpt-und-llava-neuer-wurm-verbreitet-sich-in-ki-oekosystemen-selbst-2403-182790.html

Cyberattacke: Produktionsstopp bei Varta AG

Die Varta AG, ein namhafter Batteriehersteller, sah sich gezwungen, nach einem Cyberangriff ihre IT-Systeme und die gesamte Produktion temporär herunterzufahren. Der Vorfall, der diese Woche Dienstag eintrat, hat alle fünf Produktionsstätten sowie die Unternehmensverwaltung betroffen. Als Reaktion darauf wurden die Systeme als Vorsichtsmaßnahme vom Netz genommen und die Fertigung vorübergehend eingestellt, um den Angriff zu analysieren und zu bewältigen.

Obwohl die spezifische Art des Cyberangriffs noch untersucht wird, hat Varta AG bereits mit der Überprüfung der IT-Systeme begonnen, um die Auswirkungen zu bewerten und die Datenintegrität zu sichern. Unklar ist jedoch, ob Varta AG einem Ransomware-Angriff oder einer Lösegeldforderung ausgesetzt war. Bisher finden sich keine Informationen über einen Einbruch bei Varta auf den Darknet-Seiten bekannter Cyberkrimineller. Der Umfang des entstandenen Schadens ist momentan noch unbestimmt. Varta betont, dass eine Task-Force in Zusammenarbeit mit Cybersicherheitsexperten daran arbeitet, den regulären Betrieb so schnell wie möglich wieder aufzunehmen und den Vorfall aufzuarbeiten.

Dieser Sicherheitsvorfall unterstreicht die zunehmende Bedrohung durch Cyberangriffe auf Industrieunternehmen, wie kürzlich auch andere große Firmen betroffen waren. Ransomware-Angriffe zählen zu den vorherrschenden Risiken für die IT-Sicherheit. Zur Vorbeugung und effektiven Abwehr solcher Angriffe bieten wir Ihnen verschiedenste Schulungen u.a. die Security Awareness Schulung um Ihre Mitarbeiter zu sensibilisieren.

Weitere Informationen finden Sie hier:
https://www.heise.de/news/Cybervorfall-Varta-AG-haelt-Produktion-an-9627488.html?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Vorsicht vor Deepfakes – Millionenschaden in Honkong

In einem internationalen Unternehmen aus Hongkong wurde ein Mitarbeiter durch Deepfake-Technologie dazu verleitet, rund 24 Millionen Euro an Betrüger zu überweisen, die sich als Finanzvorstand des Unternehmens ausgaben. Die Betrüger organisierten eine Videokonferenz, bei der der Mitarbeiter dachte, bekannte Kollegen würden teilnehmen, jedoch waren alle Teilnehmer Deepfake-Replikationen.

Die Replikationen wurden auf mithilfe von öffentlich zugänglichen Video- und Audiomaterialen erstellt. Somit sahen diese aus wie die Kollegen und klangen auch so. Obwohl der Mitarbeiter zunächst misstrauisch war, ließ er sich überzeugen und überwies schließlich das Geld. Der Betrug wurde erst entdeckt, als der Mitarbeiter den Vorfall bei der Firmenzentrale nachprüfte.

Dies ist einer von vielen Fällen, bei denen Betrüger Deepfake-Technologie nutzen, um Menschen zu täuschen. Behörden weltweit sind zunehmend besorgt über die fortgeschrittenen Möglichkeiten dieser Technologie und ihre schädlichen Auswirkungen.

Zudem wurden Ende Januar pornografische Bilder von der amerikanischen Sängerin Taylor Swift verbreitet, die von künstlicher Intelligenz generiert wurden. Die Bilder wurden Millionen Mal aufgerufen, bevor sie von den sozialen Plattformen entfernt wurden.

Wir raten Ihnen vorsichtig mit Ihren Daten und eingehenden Mails umzugehen. Halten Sie bei einem Verdacht, immer Rücksprache mit Ihrer IT-Abteilung oder Ihrem Datenschutzbeauftragten.

Weitere Informationen finden Sie hier:
https://www.businessinsider.de/leben/international-panorama/deepfake-unternehmen-ueberweist-23-millionen-an-betrueger/

DSGVO-Verstoß: Millionenstrafe für Uber

Die niederländische Datenschutzbehörde hat ein Bußgeld in Höhe von insgesamt 10 Millionen Euro gegen das US-amerikanische Unternehmen Uber verhängt, das seinen europäischen Hauptsitz in den Niederlanden hat. Der Vorwurf lautet, dass Uber die allgemeinen Auskunftsrechte, die sich aus der Datenschutzgrundverordnung (DSGVO) ergeben, nicht ausreichend für seine europäischen Fahrer:innen beachtet hat.

Die niederländische Datenschutzbehörde, die Autoriteit Persoonsgegevens (AP), hat Uber überprüft und festgestellt, dass das Unternehmen nicht ausreichend transparent darüber informiert hat, wie lange es die Daten seiner europäischen Fahrer speichert und in welche Drittländer sie übertragen werden.

In der von der AP veröffentlichten Entscheidung vom 11. Dezember 2023 wird darauf hingewiesen, dass es den Fahrer:innen schwer gemacht wurde, Anträge auf Einsicht oder Herausgabe ihrer persönlichen Daten zu stellen. Obwohl es in der von Uber bereitgestellten App ein digitales Formular zur Antragstellung gab, war dieses sehr gut versteckt. Selbst wenn Fahrer es schafften, dieses Hindernis zu überwinden, hatten sie Schwierigkeiten, die angeforderten Daten zu nutzen, da sie in schwer zugänglichen Formaten bereitgestellt wurden und nur auf Englisch zur Verfügung standen.

Bei der Bestimmung der Strafe wurden die Unternehmensgröße und die Schwere der Verstöße in Betracht gezogen. Gegenwärtig ist Uber nicht verpflichtet, das Bußgeld zu zahlen, da noch über die von Uber eingelegte Berufung entschieden werden muss. Die Behörde informierte jedoch, dass Uber bereits Schritte unternommen hat, um die Auskunftsrechte besser zu berücksichtigen.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/aktuelle-urteile/139487-millionenstrafe-uber-dsgvo-verstoss?utm_source=newsletter&utm_medium=email&utm_campaign=ohn