Zum Inhalt Zum Menü

Datenschutz-Newsletter Oktober 2024

Neuigkeiten zur W+ST DSGVO App

Wir haben diesen Sommer bei allen unseren Mandanten die neue W+ST DSGVO App eingeführt und Ihnen entsprechende Zugänge zu der Software eingerichtet. Die KI-basierte Softwarelösung unterstützt Sie und uns optimal bei der Umsetzung der datenschutzrechtlichen Pflichten in Ihrem Unternehmen. Nicht nur das Verzeichnis der Verarbeitungstätigkeiten wird über die Software abgebildet, sondern auch Datenschutzerklärungen werden automatisch generiert sowie Ihre Unternehmenswebseite regelmäßig auf Datenschutzkonformität überprüft. Zudem dient die Software als zentraler Ablageort für bei Ihnen bereits vorhandene Datenschutz-Dokumente.

Die W+ST DSGVO App sorgt jetzt für noch mehr Sicherheit Ihrer dort hinterlegten Unternehmensdaten mittels Einführung der 2-Faktor-Authentifizierung für jeden angelegten Zugang. Bei Eingabe Ihrer Login-Daten werden Sie automatisch hinsichtlich der Einrichtung der 2-Faktor-Authentifizierung für Ihren Zugang abgefragt. Wir möchten Ihnen dringend empfehlen, von der Option Gebrauch zu machen, um dem unberechtigten Zugriff durch Dritte vorzubeugen.

Jetzt 2. Faktor-.Authentifizierung für Ihren Account direkt einrichten über die W+ST DSGVO APP

Neuer DSK-Beschluss: geänderte DSGVO-Anforderungen bei Asset Deals

Die Datenschutzkonferenz (DSK) hat kürzlich ihre Richtlinien zur Übertragung von Kundendaten bei Asset Deals überarbeitet, was zu mehr Verwirrung führt. Im Vergleich zu einem Share Deal, bei dem die gesamte Firma und deren Anteile übernommen werden, erwirbt der Käufer beim Asset Deal nur bestimmte Unternehmensbestandteile, wie z.B. Kundendaten.

In einem früheren Beschluss von 2019 hatte die DSK eine „angepasste Widerspruchslösung“ grundsätzlich für möglich angesehen: Kunden konnten vom bisherigen Betreiber angeschrieben und auf die Datenübertragung sowie eine Opt-Out-Möglichkeit hingewiesen werden. Nun hat die DSK ihre Position in einem neuen Beschluss vom 11.09.2024 angepasst.

Der aktuelle Beschluss sieht Folgendes vor:

1. Vor dem Asset Deal: Eine Übertragung von Daten vor dem Vertragsabschluss ist nur mit ausdrücklicher Einwilligung der betroffenen Kunden zulässig.

2. Nach dem Asset Deal sind mehrere Szenarien zu unterscheiden:

a) Vertragsanbahnung: Wenn noch kein Vertragsverhältnis zwischen dem Datenveräußerer und dem Kunden besteht, kann die Übertragung auf einem berechtigten Interesse (Art. 6 Abs. 1 f DSGVO) basieren. In diesem Fall kann die bereits bekannte Widerspruchslösung mit einer Frist von 6 Wochen angewendet werden.

b) Laufende Vertragsbeziehung:

  • Übernimmt der Erwerber die Verpflichtungen aus dem bestehenden Vertrag, kann die Datenverarbeitung auf die Rechtgrundlage der Vertragserfüllung (Art. 6 Abs. 1 b DSGVO) gestützt werden.
  • Wenn der Erwerber keine Verpflichtungen übernimmt und lediglich der Veräußerer von seiner Schuld freigestellt wird (sog. Erfüllungsübernahme), ist zu prüfen, ob berechtigte Interessen der Kunden einer Datenübertragung entgegenstehen, dann wäre eine Einwilligung erforderlich. In der Regel dürften jedoch die Interessen an einer ordnungsgemäßen Erfüllung überwiegen.

c) Beendete vertragliche Beziehung: Hier ist eine Datenübertragung nur mit Einwilligung möglich.

3. Gesundheitsdaten: Hier ist stets eine Einwilligung erforderlich.

Insgesamt führt der neue Beschluss der DSK zu erheblichen Unsicherheiten. Es bleibt unklar, ob die 2019 eingeführte Widerspruchslösung weiterhin praktiziert werden darf oder ob die neuen Regelungen diese ersetzen. Das Dokument gibt hierzu keine klare Auskunft, was die bereits relativ eindeutigen Vorgaben von 2019 nun in Frage stellt.

Kein Anspruch auf rein europäisches Daten-Hosting

Ein Nutzer eines internationalen Social Media-Dienstes hat laut einem Urteil des Landgerichts Traunstein (Az.: 9 O 173/24) keinen Anspruch darauf, dass seine Daten ausschließlich in Europa gespeichert werden. Die Klägerin, die als Nutzerin bei dem beklagten internationalen Anbieter registriert war, hatte Klage erhoben und verschiedene Ansprüche geltend gemacht, darunter Unterlassung, Schadensersatz und Auskunft.

Ihre Vorwürfe bezogen sich auf zwei Hauptpunkte:

1. Anlasslose Überwachung von Chat-Nachrichten und Sammlung von „Off-Daten“:

Das Gericht wies diesen Teil der Klage zurück, da die Klägerin nicht ausreichend nachweisen konnte, dass ihre Daten systematisch überwacht oder gesammelt wurden. Die Datenschutzrichtlinie des Betreibers erfüllte die gesetzlichen Anforderungen, und die Verarbeitung der Daten erfolgte rechtmäßig, insbesondere im Rahmen von Scans zur Identifikation kinderpornografischer Inhalte. Zudem wurde festgestellt, dass die Verarbeitung von „Off-Daten“ (Aktivitäten außerhalb der Diensttechnologie) durch die Einwilligung der Nutzer gedeckt ist.

2. Datenübermittlung in die USA (insb. an die NSA):

Die Klägerin machte geltend, dass die Übertragung ihrer Daten in die USA unerlaubt sei. Das Gericht stellte jedoch fest, dass ein pauschaler Anspruch auf eine Speicherung der Daten ausschließlich in Europa nicht besteht, da der Betreiber global tätig ist. Es ist notwendig, dass Daten international ausgetauscht werden, um die Plattform funktionsfähig zu halten. Die Übermittlung in die USA wurde als datenschutzrechtlich zulässig angesehen, da sie auf einem Angemessenheitsbeschluss der EU-Kommission beruht und die Anforderungen der DSGVO erfüllt. Für den vorangegangenen Zeitraum stellen darüber hinaus die Standardvertragsklauseln 2010 und 2021 eine ausreichende Rechtsgrundlage dar.

Das Gericht kam zu dem Schluss, dass die Klägerin die Bedingungen und Funktionsweise des Dienstes hätte kennen müssen und dass die Entscheidung des Unternehmens, Daten in den USA zu verarbeiten, von den Nutzern akzeptiert werden muss, da sie nicht gezwungen sind, den Dienst zu nutzen.

Insgesamt führte das Urteil zu einer Bestätigung der rechtlichen Grundlagen für internationale Datenübertragungen und stellte klar, dass Nutzer keinen absoluten Anspruch auf eine lokale Datenverarbeitung haben, wenn sie einen global agierenden Dienst verwenden.

EuGH-Urteil: Datenschutzbehörden sind nicht immer zum Tätigwerden verpflichtet

Anders als das VG Ansbach, welches das BayLDA zum Tätigwerden verurteilte (sehen Sie unseren Artikel aus dem Newsletter des vergangenen Monats: „Aufsichtsbehörde zum Tätigwerden verurteilt“), hat sich der EuGH in seinem Urteil vom 26.09.2024 gegen eine Verpflichtung zum Ergreifen von Abhilfemaßnahmen ausgesprochen.

Hiernach sind Datenschutzbehörden nicht immer verpflichtet, bei festgestellten Verstößen gegen den Datenschutz automatisch Abhilfemaßnahmen (insb. Verhängung von Geldbußen) zu ergreifen, v. a. dann nicht, wenn der verantwortliche Datenverarbeiter bereits effektive Schritte unternommen hat.

Im zugrundeliegenden Sachverhalt meldete eine deutsche Sparkasse dem Landesdatenschutzbeauftragten einen Vorfall, bei dem eine Mitarbeiterin mehrmals unbefugt auf Kundendaten zugegriffen hatte, aber den Kunden nicht informierte, da das Risiko für ihn als gering eingeschätzt wurde. Die Mitarbeiterin hatte schriftlich erklärt, keine Daten kopiert oder weitergegeben zu haben, und die Sparkasse hatte interne Disziplinarmaßnahmen ergriffen.

Nachdem der Kunde dennoch von dem Vorfall erfuhr und eine Beschwerde beim Landesdatenschutzbeauftragten einreichte, entschied dieser, dass keine weiteren Maßnahmen notwendig seien. Der Kunde klagte daraufhin, um den Landesdatenschutzbeauftragten zu zwingen, gegen die Sparkasse vorzugehen. Das zuständige Gericht wandte sich an den Gerichtshof der Europäischen Union, der bestätigte, dass die Aufsichtsbehörde nicht immer handeln muss, wenn der Verantwortliche bereits adäquate Maßnahmen zur Behebung des Verstoßes sowie zur Prävention ergriffen hat.

Die DSGVO erlaubt den Behörden einen gewissen Ermessensspielraum, um sicherzustellen, dass ein hohes und einheitliches Schutzniveau für personenbezogene Daten gewährleistet bleibt.

91 Millionen Geldbuße gegen Meta wegen unsicherer Passwortspeicherung

Die Irische Datenschutzbehörde hat gegen Meta eine Geldbuße von 91 Millionen Euro verhängt, weil das Unternehmen Nutzer-Passwörter unverschlüsselt gespeichert hat. Laut einer aktuellen Pressemitteilung der Behörde hat Meta im Jahr 2019 der Irischen Datenschutzbehörde (DPC) mitgeteilt, dass Passwörter von Nutzern im Klartext, also ohne jegliche Verschlüsselung, auf internen Systemen gespeichert wurden.

Das Bußgeld wurde verhängt, da Meta gegen mehrere Vorgaben der DSGVO verstoßen hat. Insbesondere stellte die Behörde fest, dass Meta versäumt hat, geeignete Sicherheitsmaßnahmen zum Schutz der Passwörter zu implementieren und den Vorfall rechtzeitig zu melden. Die DPC stellte in ihrer Entscheidung mehrere spezifische Verstöße fest:

  1. Artikel 33 Abs. 1 DSGVO: Meta hatte die DPC nicht über den Vorfall eines Datenmissbrauchs informiert, der die Speicherung von Nutzerpasswörtern im Klartext betraf.
  2. Artikel 33 Abs. 5 DSGVO: Es fehlte an der Dokumentation von Datenverletzungen in Bezug auf die unverschlüsselte Speicherung der Passwörter.
  3. Artikel 5 Abs. 1 f DSGVO: Meta hatte keine geeigneten technischen oder organisatorischen Maßnahmen getroffen, um die Passwörter der Nutzer vor unbefugter Verarbeitung zu schützen.
  4. Artikel 32 Abs. 1 DSGVO: Es wurde versäumt, angemessene technische und organisatorische Maßnahmen zu implementieren, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko angemessen ist, einschließlich der fortlaufenden Vertraulichkeit der Nutzerpasswörter.

Die Entscheidung wurde am 26. September 2024 bekannt gegeben, nachdem im Juni 2024 ein Entwurf zur Entscheidung den anderen betroffenen Aufsichtsbehörden in der EU/EWR vorgelegt wurde, ohne dass es dazu Einwände gab. Die Entscheidung ist jedoch noch nicht rechtskräftig.

Updates erforderlich: Microsoft schließt im Oktober ca. 120 kritische Sicherheitslücken

Anteaser: Microsoft-Schwachstellen erlauben Angreifern u. a. durch erhöhte Berechtigungen die Systeme zu übernehmen. Daher sollten Sie noch heute Ihre Versionen überprüfen und Updates schnellstmöglich installieren.

Im Oktober 2024 behebt Microsoft etwa 120 Sicherheitslücken in seinen Produkten. Betroffen sind fast alle Windows-Versionen bis hin zu Windows 11 24H2 und Windows Server 2022. Von diesen Schwachstellen sind fünf öffentlich bekannt, und mindestens zwei werden bereits aktiv angegriffen.

Unter den kritischen Lücken sind die CVE-2024-43573 und CVE-2024-43583, die beide eine sog. Spoofing-Schwachstelle in MSHTML darstellen und es Angreifern ermöglichen, ihre Berechtigungen zu erhöhen und Systeme zu übernehmen. Eine weitere gefährliche Schwachstelle, CVE-2024-43572, betrifft die Microsoft Management Console (MMC) und ermöglicht es, Admins Malware-infizierte Snap-Ins zu senden, die dann Windows übernehmen können.

Zusätzlich gibt es die Schwachstelle CVE-2024-6197, die eine Remote-Code-Ausführung erlaubt und ebenfalls in vielen Windows-Versionen präsent ist. Eine andere kritische Schwachstelle betrifft den Microsoft Configuration Manager (CVE-2024-43468), die es Angreifern ermöglicht, remote Code ohne Benutzerinteraktion auszuführen. Auch Hyper-V ist betroffen, wobei die Schwachstelle CVE-2024-20659 Angreifern erlaubt, Sicherheitsfunktionen zu umgehen. Microsoft empfiehlt dringend, die entsprechenden Updates zeitnah zu installieren.

Kerstin Kiefer

Kerstin Kiefer

Rechtsanwältin

E-Mail schreibenAnrufen

Über die Verfasserin

Frau Rechtsanwältin Kerstin Kiefer, geb. 1971, legte nach dem Studium und dem 1. Juristischen Staatsexamen an der Universität Trier das 2. juristische Staatsexamen vor dem OLG Koblenz ab. Nach einer Tätigkeit bei der KPMG Düsseldorf in den Bereichen des Wirtschafts- und Steuerrechts trat Frau Kiefer im Jahr 2000 in die W+ST-Gruppe ein. Seit 2024 ist sie Gesellschafterin der W+ST Rechtsanwaltsgesellschaft mbH. Frau Kiefer ist außerdem Geschäftsführerin der W+ST Data Security GmbH Rechtsanwaltsgesellschaft und Datenschutzbeauftragte. Schwerpunkte ihrer Tätigkeit sind das Datenschutzrecht, IT-Recht, AGB-Recht und Berufsrecht. Aktuell ist sie in der Fortbildung zur Fachanwältin für IT-Recht.

Themenvielfalt

Das könnte Sie interessieren

Eine Frau sitzt an einem Tisch, auf welchem sich Dokumente stapeln und bearbeitet ein ,vor ihr liegendes, Diagramm.

Homeoffice im Ausland

Wenn Arbeitnehmer, insbesondere Grenzgänger, im Homeoffice im Ausland arbeiten, stellt sich die...

Arrow Right