Zum Inhalt springen Zur Navigation springen
Datenschutz – Jahresrückblick 2024 – Teil 4

Datenschutz – Jahresrückblick 2024 – Teil 4

Aus grünen werden bunte Blätter und wenn das Laub gefallen ist, werden die kahlen Äste mit funkelnden Lichtern geschmückt. Die Weihnachtsvorbereitungen sind im vollen Gange und das Jahr neigt sich dem Ende zu. Kommen wir zum Abschluss unseres Jahresrückblicks 2024 mit den Monaten Oktober bis Dezember.

Oktober – erste Gedanken an die Silvesterplanung kommen auf

Zum Beginn des Oktobers legt der EuGH den Begriff des berechtigten Interesses abermals aus. Auslöser war ein Fall aus den Niederlanden. Dort hatte ein Tennisverband die Kontaktdaten von den Mitgliedern des dem Verband angehörenden Tennisvereinen an Sponsoren weitergegeben. Diese Sponsoren versandten in der Folge Werbung an die Mitglieder. Nach einigen Beschwerden wurde ein Bußgeld in Höhe von 525.000 Euro gegen den Verband verhängt. Dieser wiederum klagte gegen das Bußgeld beim Bezirksgericht Amsterdam. Der Tennisverband berief sich auf sein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO.  Der Verband argumentierte, dass als berechtigtes Interesse im Sinne der DSGVO jedes Interesse des Verantwortlichen in Betracht käme, solange es nicht gesetzeswidrig sei.
Auf den ersten Blick bestätigte der EuGH diese Ansicht auch, doch in der detaillierten Betrachtung könnte der Verband am Ende doch den Kürzeren ziehen.

Mit dem jetzt im Dezember in Kraft getretenen Cyber Resilience Act (CRA) zielt die EU darauf ab, die Cybersicherheit von Produkten mit digitalen Elementen zu verbessern. Alle Produkte, die digitale Elemente enthalten, unterfallen dieser EU-Verordnung. Sie soll dafür sorgen, dass schon bei der Entwicklung solcher Produkte Prüfschritte etabliert werden, welche die Cybersicherheitsanforderungen und Vorgaben zur Behandlung von Schwachstellen einhalten.

Auftragsverarbeiter und Verantwortlicher – soweit so gut. Problem aber: In der Praxis bedient sich häufig auch der Auftragsverarbeiter wiederum eines (Unter-) Auftragsverarbeiters und dieser eventuell wiederum eines Weiteren. Sie arbeiten in einer Kette, wie wohl bereits im Oktober schon die Elfen und Wichtel beim Basteln der Geschenke für den Weihnachtsmann. Der Verantwortliche hat es da schwer über alle Datenweitergaben und deren ausreichende Sicherheit einen Überblick zu behalten. Doch bleibt die Verantwortung bestehen? Welche Risiken gibt es?

Blöd, wenn durch den Kamin am Heiligabend nicht der Weihnachtsmann rutscht, sondern der Hacker sich dieses „ungeschützten Einganges“ bedient, weil mangels Feuerholz kein ausreichender Schutz vor Eindringlingen vorhanden ist. Ist der Hacker erstmal drin, hat er oft freies Spiel. Zur Bekämpfung aktiver Angriffe und Bedrohungen auf Computersysteme und Netzwerke, aber auch zur Minimierung der Auswirkungen und der nachträglichen Inbetriebnahme der Systeme kommen sog. Incident Response Teams zum Einsatz. Das Incident Response Team ist eine spezialisierte Gruppe von IT-Sicherheitsexperten, die mithilfe speziell entwickelter Tools forensische Analyse durchführt und nach Anomalien sucht. Sie helfen also dabei herauszufinden, auf welchem Wege Angreifer in die Systeme gelangt sind und wie sie, wenn nötig wieder ausgesperrt werden können. Neben der akuten Eindämmung bereits entstandener Schäden ist aber auch die Vorbereitung auf solche Angriffe ebenfalls ein wichtiger Schritt für einen erfolgreichen Incident Response Einsatz. Für die Teams ist es immens hilfreich, wenn sie die Systeme des betroffenen Kunden bereits kennen, da es für einen erfolgreichen Einsatz auch auf die Schnelligkeit ankommt. Sowohl das rechtzeitige Erkennen von Anomalien sowie die schnelle Eindämmung von Sicherheitsvorfällen können helfen, Schäden so gering wie möglich zu halten.

Nach der langen Anreise in den (bspw. Winter-)Urlaub will man eigentlich nur noch direkt auf die Piste, oder jedenfalls erstmal ins Bett. Doch zuerst erfolgt das Check-in im Hotel. Dort werden Name, Geburtsdatum, Staatsangehörigkeit und weitere Daten abgefragt. Doch was darf ein Hotelbetreiber eigentlich alles an Daten abfragen und sind die Kameras überall legal?

November – wir warten schon gespannt auf den ersten Schnee

Mit Urteil vom 18. November entschied der BGH im sogenannten „Scraping-Komplex“, dass auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene Daten infolge eines DSGVO-Verstoßes einen immateriellen Schaden gemäß Art. 82 DSGVO begründen kann. In dem Fall ging es darum, dass es unbekannten Dritten gelungen war, durch Eingabe randomisierter Ziffernfolgen in die Kontakt-Import-Funktion Telefonnummern ausfindig zu machen und den zugehörigen Nutzerkonten zuzuordnen und so Nutzerdaten abzugreifen. Allein der Umstand, dass es durch dieses Scraping von Daten zu einem kurzzeitigen Verlust der Kontrolle über eigene personenbezogene Daten gekommen war, reichte vorliegend aus. Eine nachweisliche missbräuchliche Verwendung der personenbezogenen Daten oder sonstige spürbare negative Folgen musste der Betroffene nicht vorweisen.

Haben Sie geplant, im nächsten Jahr ein paar Monate aus der Sonne zu arbeiten oder direkt nach der Arbeit auf den Skipisten in den Schweizer Alpen oder den italienischen Dolomiten die nächste Abfahrt zu nehmen? Dann eignet es sich zu wissen, unter welchen Voraussetzungen ein solcher Workation-Aufenthalt datenschutzrechtlich möglich ist.

Als Verantwortlicher obliegen einem viele Pflichten im Hinblick auf die Einhaltung datenschutzrechtlicher Vorgaben. Diese Pflichten können auch bestehen, wenn der Vertrag mit dem Auftragsverarbeiter, dem er sich bedient hat, gar nicht mehr besteht. Nach Ansicht des OLG Dresden mit Urteil vom 15. Oktober 2024, haftet der Verantwortliche auch dann für den Verlust von Daten durch einen Hackerangriff, wenn die Daten trotz Vertragsende nicht gelöscht wurden und der Verantwortliche nicht zeitnah nach Vertragsende eine schriftliche Bestätigung über die Datenlöschung eingeholt hat.

Im November freuen wir uns abschließend noch mitteilen zu dürfen, dass wir als intersoft consulting services neben der ISO 27001 Zertifizierung nun auch nach der ISO 27701 zertifiziert sind.

Dezember – Glühwein, Stollen und hoffentlich eine kurze Auszeit

Ja ist denn heut schon Weihnachten? 5000 EUR Schadenersatz erhielt ein Kläger vom ArbG Mainz zugesprochen, welches die Nennung der Datenschutzhinweise zur Erfüllung des Auskunftsanspruches als ungenügend ansah. Nach Angabe des Gerichts käme es weniger darauf an, wie sehr der Kläger ‚gelitten‘ habe, als vielmehr darauf, ab welchem Betrag beim Beklagten ein Leidensdruck entstehe. Datenschutzrechtliche Bestimmungen würden nach Ansicht des Gerichts nicht ausreichend ernst genommen, wenn bei Verstößen keine empfindlichen Folgen zu fürchten wären.

Weihnachtszeit ist auch die Zeit, in der man sich gern mit geliebten Menschen umgibt und Gedanken an schwere Zeiten gern beiseite schiebt. Doch das Thema Vorsorge für den Fall der Fälle kommt eigentlich nie so richtig gut gelegen. Umso wichtiger ist es, sich rechtzeitig damit auseinander zu setzen. Im Bereich des Datenschutzes können Regelungen zum digitalen Nachlass die Abwicklung des Vermögens für die Hinterbliebenen erleichtern und rechtlich verbindlich für Klarheit sorgen. Besteht keine Kenntnis über bestehende Verträge, haben es Erben oder Angehörige schwer, Informationen darüber in Erfahrung zu bringen. Auskunftsansprüche nach Art. 15 DSGVO oder aus Vertrag i. V. m. § 1922 BGB als Dritte geltend zu machen ist schwer, da sich Unternehmen mit der Herausgabe an „Dritte“ eher zurückhalten und auf die Einhaltung der Rechtslage oft erst verklagt werden müssen. Sinnvoll ist es daher, wenn der Erblasser für Accountdaten und Zugänge einen Passwort-Manager nutzt, in welchem neue Passwörter mitsamt der Benutzernamen digital abgelegt werden können. Dieses Master-Passwort, welches für den Todesfall an eine nahestehende vertrauensvolle Person weitergegeben wird, kann somit ausreichen, um an die notwendigen Hinterlassenschaften zu gelangen.

Wie wichtig ein guter Überblick über die Auftragsverarbeiter ist, haben wir im Oktober schon dargestellt. Um sicherzugehen, dass sein Unternehmen nur zuverlässige und qualifizierte Auftragnehmer einsetzt, für den ist die Einführung eines Auftragnehmer-Managements unerlässlich. Neben den Regelungen in der DSGVO für die Einbindung neuer Dienstleister hält auch die ISO 27701 Vorgaben bereit. Die ISO-Normen können beim Aufbau des Managementsystems bzw. des Prozesses zum Einsatz und Prüfung von Dienstleistern auch dann als Leitfaden herangezogen werden, wenn eine Zertifizierung an sich gar nicht angestrebt wird.

Wer sich nicht an die Regeln hält, begibt sich schnell auf Glatteis und schlittert der Gefahr entgegen, hohe Bußgelder zu kassieren. So erging es einem in Bayern ansässigen Tech-Unternehmen, gegen welches ein Bußgeld von rund 3,2 Millionen Euro verhängt wurde. Über zwei Jahre lang hatte es personenbezogene Daten ohne Einholung einer Einwilligung für Marketingzwecke verarbeitet und dabei leider auch ein Tool eines US-Anbieters genutzt, womit Daten an einen Drittstaat übermittelt wurden. Trotz der hohen Summe soll sich hier aber sogar noch der schnelle Stopp der Verarbeitung, die Kooperationsbereitschaft und die Etablierung verstärkter Kontrollmechanismen im Unternehmen strafmildernd ausgewirkt haben.

Jedes Ende ist ein neuer Anfang

Das war er nun, der Jahresrückblick 2024. Dr. Datenschutz geht in einen kleinen Weihnachtsurlaub und kommt gestärkt im Jahr 2025 zurück! Wir sind gespannt, was für neue Themen rund um Datenschutz, Cybersicherheit und KI uns im nächsten Jahr begleiten werden.

Wir bedanken uns für die zahlreichen Leser unserer Blogbeiträge, wünschen frohe Weihnachten und freuen uns auf ein Wiedersehen auf Dr. Datenschutz im neuen Jahr.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.