Nachhaltigkeit
Nachhaltigkeitsberichterstattung – Was kommt durch die CSRD auf Unternehmen zu?
Mit der im November 2022 vom EU-Parlament verabschiedeten Corporate Sustainability Reporting...
Lesedauer ca.
11 Minuten
Wir haben diesen Sommer bei allen unseren Mandanten die neue W+ST DSGVO App eingeführt und Ihnen entsprechende Zugänge zu der Software eingerichtet. Die KI-basierte Softwarelösung unterstützt Sie und uns optimal bei der Umsetzung der datenschutzrechtlichen Pflichten in Ihrem Unternehmen. Nicht nur das Verzeichnis der Verarbeitungstätigkeiten wird über die Software abgebildet, sondern auch Datenschutzerklärungen werden automatisch generiert sowie Ihre Unternehmenswebseite regelmäßig auf Datenschutzkonformität überprüft. Zudem dient die Software als zentraler Ablageort für bei Ihnen bereits vorhandene Datenschutz-Dokumente.
Die W+ST DSGVO App sorgt jetzt für noch mehr Sicherheit Ihrer dort hinterlegten Unternehmensdaten mittels Einführung der 2-Faktor-Authentifizierung für jeden angelegten Zugang. Bei Eingabe Ihrer Login-Daten werden Sie automatisch hinsichtlich der Einrichtung der 2-Faktor-Authentifizierung für Ihren Zugang abgefragt. Wir möchten Ihnen dringend empfehlen, von der Option Gebrauch zu machen, um dem unberechtigten Zugriff durch Dritte vorzubeugen.
Jetzt 2. Faktor-.Authentifizierung für Ihren Account direkt einrichten über die W+ST DSGVO APP
Die Datenschutzkonferenz (DSK) hat kürzlich ihre Richtlinien zur Übertragung von Kundendaten bei Asset Deals überarbeitet, was zu mehr Verwirrung führt. Im Vergleich zu einem Share Deal, bei dem die gesamte Firma und deren Anteile übernommen werden, erwirbt der Käufer beim Asset Deal nur bestimmte Unternehmensbestandteile, wie z.B. Kundendaten.
In einem früheren Beschluss von 2019 hatte die DSK eine „angepasste Widerspruchslösung“ grundsätzlich für möglich angesehen: Kunden konnten vom bisherigen Betreiber angeschrieben und auf die Datenübertragung sowie eine Opt-Out-Möglichkeit hingewiesen werden. Nun hat die DSK ihre Position in einem neuen Beschluss vom 11.09.2024 angepasst.
Der aktuelle Beschluss sieht Folgendes vor:
1. Vor dem Asset Deal: Eine Übertragung von Daten vor dem Vertragsabschluss ist nur mit ausdrücklicher Einwilligung der betroffenen Kunden zulässig.
2. Nach dem Asset Deal sind mehrere Szenarien zu unterscheiden:
a) Vertragsanbahnung: Wenn noch kein Vertragsverhältnis zwischen dem Datenveräußerer und dem Kunden besteht, kann die Übertragung auf einem berechtigten Interesse (Art. 6 Abs. 1 f DSGVO) basieren. In diesem Fall kann die bereits bekannte Widerspruchslösung mit einer Frist von 6 Wochen angewendet werden.
b) Laufende Vertragsbeziehung:
c) Beendete vertragliche Beziehung: Hier ist eine Datenübertragung nur mit Einwilligung möglich.
3. Gesundheitsdaten: Hier ist stets eine Einwilligung erforderlich.
Insgesamt führt der neue Beschluss der DSK zu erheblichen Unsicherheiten. Es bleibt unklar, ob die 2019 eingeführte Widerspruchslösung weiterhin praktiziert werden darf oder ob die neuen Regelungen diese ersetzen. Das Dokument gibt hierzu keine klare Auskunft, was die bereits relativ eindeutigen Vorgaben von 2019 nun in Frage stellt.
Ein Nutzer eines internationalen Social Media-Dienstes hat laut einem Urteil des Landgerichts Traunstein (Az.: 9 O 173/24) keinen Anspruch darauf, dass seine Daten ausschließlich in Europa gespeichert werden. Die Klägerin, die als Nutzerin bei dem beklagten internationalen Anbieter registriert war, hatte Klage erhoben und verschiedene Ansprüche geltend gemacht, darunter Unterlassung, Schadensersatz und Auskunft.
Ihre Vorwürfe bezogen sich auf zwei Hauptpunkte:
1. Anlasslose Überwachung von Chat-Nachrichten und Sammlung von „Off-Daten“:
Das Gericht wies diesen Teil der Klage zurück, da die Klägerin nicht ausreichend nachweisen konnte, dass ihre Daten systematisch überwacht oder gesammelt wurden. Die Datenschutzrichtlinie des Betreibers erfüllte die gesetzlichen Anforderungen, und die Verarbeitung der Daten erfolgte rechtmäßig, insbesondere im Rahmen von Scans zur Identifikation kinderpornografischer Inhalte. Zudem wurde festgestellt, dass die Verarbeitung von „Off-Daten“ (Aktivitäten außerhalb der Diensttechnologie) durch die Einwilligung der Nutzer gedeckt ist.
2. Datenübermittlung in die USA (insb. an die NSA):
Die Klägerin machte geltend, dass die Übertragung ihrer Daten in die USA unerlaubt sei. Das Gericht stellte jedoch fest, dass ein pauschaler Anspruch auf eine Speicherung der Daten ausschließlich in Europa nicht besteht, da der Betreiber global tätig ist. Es ist notwendig, dass Daten international ausgetauscht werden, um die Plattform funktionsfähig zu halten. Die Übermittlung in die USA wurde als datenschutzrechtlich zulässig angesehen, da sie auf einem Angemessenheitsbeschluss der EU-Kommission beruht und die Anforderungen der DSGVO erfüllt. Für den vorangegangenen Zeitraum stellen darüber hinaus die Standardvertragsklauseln 2010 und 2021 eine ausreichende Rechtsgrundlage dar.
Das Gericht kam zu dem Schluss, dass die Klägerin die Bedingungen und Funktionsweise des Dienstes hätte kennen müssen und dass die Entscheidung des Unternehmens, Daten in den USA zu verarbeiten, von den Nutzern akzeptiert werden muss, da sie nicht gezwungen sind, den Dienst zu nutzen.
Insgesamt führte das Urteil zu einer Bestätigung der rechtlichen Grundlagen für internationale Datenübertragungen und stellte klar, dass Nutzer keinen absoluten Anspruch auf eine lokale Datenverarbeitung haben, wenn sie einen global agierenden Dienst verwenden.
Anders als das VG Ansbach, welches das BayLDA zum Tätigwerden verurteilte (sehen Sie unseren Artikel aus dem Newsletter des vergangenen Monats: „Aufsichtsbehörde zum Tätigwerden verurteilt“), hat sich der EuGH in seinem Urteil vom 26.09.2024 gegen eine Verpflichtung zum Ergreifen von Abhilfemaßnahmen ausgesprochen.
Hiernach sind Datenschutzbehörden nicht immer verpflichtet, bei festgestellten Verstößen gegen den Datenschutz automatisch Abhilfemaßnahmen (insb. Verhängung von Geldbußen) zu ergreifen, v. a. dann nicht, wenn der verantwortliche Datenverarbeiter bereits effektive Schritte unternommen hat.
Im zugrundeliegenden Sachverhalt meldete eine deutsche Sparkasse dem Landesdatenschutzbeauftragten einen Vorfall, bei dem eine Mitarbeiterin mehrmals unbefugt auf Kundendaten zugegriffen hatte, aber den Kunden nicht informierte, da das Risiko für ihn als gering eingeschätzt wurde. Die Mitarbeiterin hatte schriftlich erklärt, keine Daten kopiert oder weitergegeben zu haben, und die Sparkasse hatte interne Disziplinarmaßnahmen ergriffen.
Nachdem der Kunde dennoch von dem Vorfall erfuhr und eine Beschwerde beim Landesdatenschutzbeauftragten einreichte, entschied dieser, dass keine weiteren Maßnahmen notwendig seien. Der Kunde klagte daraufhin, um den Landesdatenschutzbeauftragten zu zwingen, gegen die Sparkasse vorzugehen. Das zuständige Gericht wandte sich an den Gerichtshof der Europäischen Union, der bestätigte, dass die Aufsichtsbehörde nicht immer handeln muss, wenn der Verantwortliche bereits adäquate Maßnahmen zur Behebung des Verstoßes sowie zur Prävention ergriffen hat.
Die DSGVO erlaubt den Behörden einen gewissen Ermessensspielraum, um sicherzustellen, dass ein hohes und einheitliches Schutzniveau für personenbezogene Daten gewährleistet bleibt.
Die Irische Datenschutzbehörde hat gegen Meta eine Geldbuße von 91 Millionen Euro verhängt, weil das Unternehmen Nutzer-Passwörter unverschlüsselt gespeichert hat. Laut einer aktuellen Pressemitteilung der Behörde hat Meta im Jahr 2019 der Irischen Datenschutzbehörde (DPC) mitgeteilt, dass Passwörter von Nutzern im Klartext, also ohne jegliche Verschlüsselung, auf internen Systemen gespeichert wurden.
Das Bußgeld wurde verhängt, da Meta gegen mehrere Vorgaben der DSGVO verstoßen hat. Insbesondere stellte die Behörde fest, dass Meta versäumt hat, geeignete Sicherheitsmaßnahmen zum Schutz der Passwörter zu implementieren und den Vorfall rechtzeitig zu melden. Die DPC stellte in ihrer Entscheidung mehrere spezifische Verstöße fest:
Die Entscheidung wurde am 26. September 2024 bekannt gegeben, nachdem im Juni 2024 ein Entwurf zur Entscheidung den anderen betroffenen Aufsichtsbehörden in der EU/EWR vorgelegt wurde, ohne dass es dazu Einwände gab. Die Entscheidung ist jedoch noch nicht rechtskräftig.
Anteaser: Microsoft-Schwachstellen erlauben Angreifern u. a. durch erhöhte Berechtigungen die Systeme zu übernehmen. Daher sollten Sie noch heute Ihre Versionen überprüfen und Updates schnellstmöglich installieren.
Im Oktober 2024 behebt Microsoft etwa 120 Sicherheitslücken in seinen Produkten. Betroffen sind fast alle Windows-Versionen bis hin zu Windows 11 24H2 und Windows Server 2022. Von diesen Schwachstellen sind fünf öffentlich bekannt, und mindestens zwei werden bereits aktiv angegriffen.
Unter den kritischen Lücken sind die CVE-2024-43573 und CVE-2024-43583, die beide eine sog. Spoofing-Schwachstelle in MSHTML darstellen und es Angreifern ermöglichen, ihre Berechtigungen zu erhöhen und Systeme zu übernehmen. Eine weitere gefährliche Schwachstelle, CVE-2024-43572, betrifft die Microsoft Management Console (MMC) und ermöglicht es, Admins Malware-infizierte Snap-Ins zu senden, die dann Windows übernehmen können.
Zusätzlich gibt es die Schwachstelle CVE-2024-6197, die eine Remote-Code-Ausführung erlaubt und ebenfalls in vielen Windows-Versionen präsent ist. Eine andere kritische Schwachstelle betrifft den Microsoft Configuration Manager (CVE-2024-43468), die es Angreifern ermöglicht, remote Code ohne Benutzerinteraktion auszuführen. Auch Hyper-V ist betroffen, wobei die Schwachstelle CVE-2024-20659 Angreifern erlaubt, Sicherheitsfunktionen zu umgehen. Microsoft empfiehlt dringend, die entsprechenden Updates zeitnah zu installieren.
Nachhaltigkeit
Mit der im November 2022 vom EU-Parlament verabschiedeten Corporate Sustainability Reporting...
Allgemein
Die Richter des Bundessozialgerichts haben in drei Urteilen vom 20.07.2023 (Az.: B 12 BA 1/23...
Allgemein
Wenn Arbeitnehmer, insbesondere Grenzgänger, im Homeoffice im Ausland arbeiten, stellt sich die...