Heiko Gossen
Lothar Symanofsky
Was ist in der KW 15 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
- Karriere bei migosens:
- Was bietet Dir migosens: https://migosens.de/karriere/
- zur Stellenanzeigen: https://migosens-gmbh.jobs.personio.de/
- Cyberangriff legt Genios lahm
- EuGH Urteil zu Haftung nach Art. 82 Abs. 3 / C‑741/21
- Datenabfluss in Estland betrifft fast Hälfte der Bevölkerung
- Kabinett stimmt Quick-Freeze-Verfahren zu
- US-Bundesgesetz für den Datenschutz soll kommen
- Sicherheitslücke in Windows
Empfehlungen & Lesetipps
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/eugh-urteil-zur-bemessung-von-schadensersatz-datenschutz-news-kw-15-2024
#TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge: Herzlich willkommen zum Datenschutztalk. Ihrem wöchentlichen Datenschutzrück, Es ist Freitag, Freitag, der zwölfte April zweitausendvierundzwanzig. Mein Name ist Heiko Gossen. Und mein Name ist Lothar Sumonowski. Wir haben heute natürlich wieder unseren äh Jahres nein nicht jahresübliche Wochenrückblick. Nein, wir sind noch nicht am Jahresende. Äh wir haben heute wieder unseren Wochenrückblick. Wir gucken wieder auf die Welt des Datenschutzes. Was passiert ist. Da hätten etliche Themen natürlich mit dabei. Aber wir haben heute nicht nur spannende Themen rund um das Thema Datenschutz, sondern wir haben auch eine kleine aber feine Änderungen unserer Ansprache. Wir möchten nämlich, dass Sie zukünftig gerne weglassen und euch unsere treuen Zuhörer nämlich duzen. Wir ja hoffen natürlich, dass äh wir dadurch einerseits noch eine entspanntere und persönlichere Atmosphäre hier vielleicht schaffen können gemeinsam, aber natürlich auch ähm dass wir dann locker und direkt äh auf viel Verständnis stoßen, wenn wir, Hier einen kleinen Paradigmenwechsel vornehmen. Was hältst du von Lothar? Findst du gut. Ich finde das sehr gut, ne? Zum einen ja es hat sich schon mittlerweile in der Geschäftswelt auch ähm schon etabliert, ne? Das das respektvolle Du zu nutzen. Äh es macht sehr viel sehr viel einfacher, sehr viel unkomplizierter und ähm ja, unterstreicht auch so die Die Zusammenarbeit, ne? Also ich finde das äh wirklich eine sehr gute Idee. Ja und das bringt mich nämlich, zum nächsten Punkt. Auch da haben wir nämlich direkt das Du gewählt äh nämlich in unserer aktuellen Stellenausschreibung. Das Team vergrößert sich wieder und wir haben eine aktuelle Stellenausschreibung für den Consultant. Datenschutz im Innendienst. Das heißt, wenn du zum Beispiel gerne eigenständig und lösungsorientiert, natürlichen Datenschutz-Fragen beraten möchtest, insbesondere bei unseren Kunden, wo wir externe Datenschutzbeauftragter sind, dann ähm ist natürlich bist du sehr gerne willkommen, wenn du zum Beispiel vielleicht einen juristischen Hintergrund hast oder vielleicht auch in anderen Bereichen dir schon Datenschutz. Angeeignet hast, dann bist du herzlich willkommen. Dir hier unsere, Bewerbung zu schicken. Beim Innendienst ist es halt vor allen Dingen so, dass wir da verzichten auf Kundentermine vor Ort, also es ist keine Reisetätigkeit. Das erhöht natürlich noch mal ein Stück weit die Flexibilität der Arbeitszeit. Und ich glaube, wir haben halt auch ein sehr ausgewogenes Verhältnis zwischen Präsenz und Homeoffice-Möglichkeiten, also von daher glaube ich, ein ähm ja eine attraktive Arbeitsplatz. Wer also in einem kollegialen und vielfältigen Team von Laura, die ja äh unsere Zuhörer hoffentlich auch alle gut kennen, arbeiten möchte mit einer offenen Feedback-Kultur und regelmäßigem fachlichen Austausch. Ich glaube, der ist halt bei uns gut aufgehoben. Vor allen Dingen, wenn man halt auch noch mal die persönlichen Karriere- und Weiterbildungsmöglichkeiten äh hier bei uns kennenlernen möchte, den laden wir sehr herzlich ein mit uns über seine Karriere bei Miguessens zu sprechen. Also von daher. Meldet euch gerne. Es ist auch recht einfach. Unter Microsens Punkt DE Slash Karriere kommt man direkt Auf die auf die Karriereseite, da sind relativ weit oben auch die Stellenanzeigen verlinkt oder wir packen in die auch nochmal den Link direkt zu den Stellenanzeigen. Und damit Lothar würde ich sagen gehen wir kurz in unseren Themenüberblick. Was hast du mitgebracht? Genau, also wir haben euch mitgebracht zum einen ähm einen äh Cyberangriff auf die äh Banken des äh Anbieters Genius. Ähm dann bleiben wir weiter bei ähm, Pannen- und Datenschutzverstößen. Wir sind in Estland. Wir haben einen Datendiebstahl bei einem Apothekendienstleister. Ähm dann sprechen wir über den Vorschlag eines äh Bundesgesetzes in den USA zum, Sehr spannendes Thema und zum Schluss habe ich noch einen Hinweis zu Veröffentlichungen und Veranstaltungen. Ich hätte heute mit dabei unser Titelthema, nämlich einen druckfrisches EuGH-Urteil, hört zum Thema auch wieder Schadensersatz. Aber auch Bemessung von Schadensersatzforderungen. Dann gucken wir auf das Verfahren im Bereich der Vorortsdatenspeicherung als zumindest mal Alternative. Und ich hätte eine aktuelle Sicherheitslücke in Windows, wo ich nochmal für sensibilisieren möchte. Ja, das ist doch wieder ein bunter Strauß und dann Lothar starte doch mal mit dem Cyberangriff. Wir starten durch. Ja und zwar haben wir Berichten von Heise zufolge seit Montag ähm einen Ausfall der Datenbanken des Anbieters Genius. Ähm diese Datenbanken sind nicht mehr erreichbar und zwar das in Folge eines Rensemware Angriffs, ne? Das heißt äh hier sind wir, erpresserischen Angreifern ähm auf der Spur. Insgesamt sind drei Wettpräsenzen äh der Genius nicht mehr erreichbar Ähm welche Auswirkungen hat der Ausfall? Ähm dann gucken wir uns mal an, was die Genius so macht. Ähm sie ist ein Tochterunternehmen, der Frankfurter Allgemeinen Zeitung sowie der Handelsblatt Media Group und sie bietet Volltextdatenbanken an ähm in denen äh wissenschaftliche oder wirtschaftliche Texte sowie Presseartikel zu finden sind, die genutzt werden äh ja vor allem zu Recherchezwecken, von Hochschuleinrichtung und Stadtbibliotheken Das hat natürlich äh drastische Auswirkungen auf den Hochschulbetrieb, ähm die Aber auch schon reagiert haben und auf ihren Webseiten über den Ausfall ähm berichten und darauf hinweisen. Angaben zu den Ursachen und vor allem ähm ja zu weiteren Dauer des Ausfalls wurden bislang noch nicht äh gemacht, ähm allerdings sagt Genius, dass sie an einer Lösung äh mit Hochdruck arbeiten. Wunderbar. Dann schauen wir zum europäischen Gerichtshof. Der Europäische Gerichtshof hat jetzt in einer jüngsten Entscheidung noch mal zum Thema immaterieller Schadensersatz und Haftung des Verantwortlichen entschieden. Im aktuellen Urteil geht es darum um die Frage inwieweit der immaterielle Schadensersatz natürlich einerseits ähm einen Schaden überhaupt begründen und nachweisen muss oder ob der Verlust der Kontrolle schon ausreicht. Hier hat der EuGH noch mal die bisherige äh Auslegung seiner eigenen Rechtsprechung bestätigt und stellte klar, dass halt da der immaterielle Schaden auch Nachgewiesen werden muss. Hm, jetzt wird’s aber noch mal ein bisschen spannender und zwar geht es um die Haftung des Verantwortlichen unter anderem in diesem äh Vorlageverfahren aus Deutschland. Und hier wurde gefragt, inwieweit halt ein Verantwortlicher sich berufen kann, dass es ein menschliches Versagen eines Mitarbeiters war, der nach Artikel 29 natürlich ähm verpflichtet ist und damit der Verantwortliche aber seine eigenes Verschulden. Entsprechend sich von befreien kann. Und hier hat der Europäische Gerichtshof nochmal klargestellt, dass äh das nicht funktioniert. Der Verantwortliche kann sich halt nicht einfach dadurch von seiner Haftung befreien, dass er auf die Fahrlässigkeit oder Fehlverhalten von einer ihm unterstellten Person sich beruft. Das heißt für eine mögliche Befreiung des Verantwortlichen kann es also nicht ausreichen, dass er nachweist Dass die ihm unterstellte Person ihre Verpflichtung, die Weisungen zu befolgen, nicht nachgekommen ist. Ist auch meines Erachtens konsequent, weil ansonsten würden natürlich auch bestimmte Haftungsregelungen ja sehr schnell ins Leere laufen. Von daher finde ich das schon persönlich äh gut nachvollziehbar. Dann hat der EuGH noch zur Bemessung des Schadensersatzes entschieden und hier wurde unter anderem die Frage gestellt, inwieweit zum einen die Bemessungsgrundlagen für die Bußgelder auch für die Schadensersatzforderung herangezogen werden können. Und ob mehrere Verstöße gegen die DSGVO, die dieselbe Person betreffen. Auch dann eine Addition von verschiedenen Schadensersatzbemessungen quasi nach sich zieht, also man durch mehrere Verstöße dann halt auch einen höheren Schadensersatz bekommt Da hat der EuGH noch mal klargestellt, dass halt Die Zielrichtung des Schadensersatzes halt auf die Begleichung eines entstandenen Schaden abzielt und daher die ähm Bemessungsgrundlagen für äh Bußgelder hier nicht herangezogen werden dürfen und dass daher auch nicht die Addition von mehreren Verstößen eine Erhöhung der Schadensersatzforderung rechtfertigt, sondern es geht halt sehr konkret um den nachgewiesenen Schaden und dafür einen angemessenen Schadensersatz zu finden. Vielleicht noch mal ganz kurz zum Hintergrund und das ist halt das, was ich halt auch für die Praxis noch mal besonders relevant sehe, ist halt, dass halt hier es da um einen Kunden von Juris ging und der hatte halt dann äh Werbung bekommen, hatte diesen äh Werbeemails und Werbenachrichten widersprochen, hat aber anschließend weiterhin Werbung bekommen und daraufhin hatte Juris sich halt Versucht sozusagen hier aus der Schadensersatzforderung zu befreien, indem man halt auf die Nachlässigkeit eines Mitarbeiters hingewiesen hatte. Ein ja gängiges, also es passiert einem ja selber oft, ne, dass man Werbung äh widerspricht und auch ähm E-Mail, Newsletter und Ähnliches widerspricht und dann geht es weiter, ne? Also man bekommt dann nach wie vor die Werbung, ne, also ist schon ähm ich sage mal kein kein Einzelfall, ne. Okay, wir sind in Estland. Ähm Heise berichtet hier von einem Datendiebstahl auch größerem Ausmaß. Ähm wir sind hier bei einem ähm Apotheken äh Dienstleister, äh Apotheken und Krankenhausbedarf wird angeboten und von diesem sind 700.000 Kundendatensätze Gestohlen worden ähm durch einen Angriff. Der Anbieter selber hat seine Kunden über diesen Datenabfluss informiert ähm und hierbei sind, persönliche ähm Daten äh abhanden gekommen, so zum Beispiel Identifikationsnummern, E-Mail-Adressen, Telefonnummern, aber auch Kaufinformationen. Hierbei hat der Hersteller informiert, dass es äh keine Daten zu verschreibungspflichtigen Medikamenten oder Passwörtern handelt. Ähm die Daten selber stammen aus den Jahren 2tausend4zehn bis 2tausend20, Die konkrete Vorgehensweise, äh wie die Cyber-Angreifer vorgegangen sind, ähm dazu gibt es keine Hinweise. Ähm, Allerdings ähm ist schon ja durch äh blickbar, dass äh der Anbieter Alium-OPI ähm heißt die Firma, keine ausreichenden Schutzvorkehrungen ähm getroffen habe. Was genau darüber kann man auch nur spekulieren. Ähm allerdings hat in diesem Zusammenhang der Leiter der äh Abteilung der. Informationssicherheitsbehörde drauf hingewiesen, dass äh solche Angriffe meist durch die Übernahme von User-Accounts stattfinden und starten und ah das, Maßnahmen wie zum Beispiel eine Multifaktor-Authentifizierung oder der Einsatz von VPN-Sicherheitslösungen äh hilfreich sind, um das Sicherheitsniveau zu heben äh also da kann man schon ähm Rückschlüsse ziehen, vermuten, äh was die Hintergründe dieses Angriffs gewesen sind. Ich mache weiter mit dem Thema Forratsdatenspeicherung, Das Kabinett hat nach langem Ringen und etwas Aussitzen nun den Weg frei für ein mögliches Quick-Freeze-Verfahren gemacht. Die SPD-Minister geben nun ihren Widerstand auf. Der Kompromiss ist wohl auf der anderen Seite die ähm ja Verlängerung der Mietpreisbremse. Da hatten sich äh die FDP-Politiker gegen gestemmt in Reaktion halt auf diese, Botthaltung der SPD in der Frage vor Ortsdatenspeicherung versus Quickfreeze. Freeze Verfahren ist eine datenschutzfreundlichere Alternative zur halt anlasslosen Vorratsdatenspeicherung, da halt in diesem Verfahren, Alle Daten für einen bestimmten Zeitraum von den Providern gespeichert werden müssen, sondern halt Ermittlungsbehörden, Daten zum Beispiel unter bestimmten Voraussetzungen beim Provider einfrieren lassen können, sich dann im Nachgang um den richterlichen Beschluss kümmern können, also diese gewinnen, etwas Zeit, Um die Daten, die beim Provider sowieso gespeichert werden und anfallen, aber vielleicht nach sehr kurzer Zeit auch wieder gelöscht würden, somit zu erhalten. Und, Damit natürlich auch eine Strafverfolgung vielleicht zu verbessern. Der FDP-Berichterstatter Lieb hat wohl gegenüber Beckaktuell bestätigt, dass ähm die bestehende Regelung für die Vorratsdaten, wohl nicht aus dem Gesetz gestrichen werden soll. Auch das ist ein Teil des Kompromisses. Der Gesetzestext ist eigentlich schon vom äh Bundesverfassungsgericht als nicht anwendbar erklärt worden. Aber man lasse das wohl gewissermaßen als ja totes Recht stehen. Mir hat nicht ganz sicher erschlossen, was das bringen soll, aber die SPD möchte wohl weiterhin über das Thema IP-Adresse und eventuell weiterhin auch eine irgendeine Form der anlasslosen Speicherung wohl sprechen. Von daher ist das, vermute ich mal, der Hintergrund, vielleicht ist es auch nur Kosmetik zur Gesichtswahrung. I don’t know, aber es ist wohl ähm ja ein Schritt, der äh meines Erachtens in die richtige Richtung geht, also sprich, dass wir halt Thema und wir haben ja schon oft hier darüber berichtet und es gab ja also ich ich glaube die Hälfte aller Anfragen aus Deutschland beim EuGH betraf wahrscheinlich das Thema Vorratsdatenspeicherung oder nicht nur aus Deutschland, es gab ja auch Fälle aus Frankreich und so weiter, aber ähm, Ja, von daher sind wir, glaube ich, ganz froh, wenn das Thema vielleicht dann irgendwann auch mal geklärt ist. Obwohl man hat das Thema ja schon als Evergreen ein wenig lieb gewonnen, ne? Also es äh verlässt einen nicht, ne. Ja, ein bisschen schon. Ja. Ey, wir brauchen so ein paar, die sich durchziehen. Wir Clevio Air Eye und Vorratsdatenspeicherung, ja, das stimmt. Wir sind in den USA und zwar gibt es hier ähm einen Vorschlag zu einem äh einheitlichen Bundesgesetz zum Datenschutz. Am vergangenen Sonntag haben zwei Damen und zwar die Republikanerin Kathe McMorris und die Demokratin Maria Kentwell, einen Vorschlag eingereicht zur ähm ja Erstellung, zur Verabschiedung eines ähm Bundesgesetzes in den USA zum Thema Datenschutz. Es handelt sich hierbei um das American Privacy Rights Act, wurde dem US Senat vorgelegt, Und ähm ja beide sehen hier eine gute Gelegenheit, mal einen einheitlichen Datenschutz und Sicherheitsstandard auf Bundesebene zu schaffen. Die Grundsätze in diesem Vorschlag erinnern ja in vielen äh das, was wir aus Europa und äh insbesonders aus der DSGVO kennen. Ähm zum Beispiel ähm von bewussten und freiwilligen Einwilligungen von Ansätzen, Vermeidung ähm auch eine Einführung. Das ist Novum der Kategorie sensible Daten hat Einzug gehalten, ähm aber auch Ähnlichkeit zur KI-Verordnung der EU. Das sind Punkte, die zu erkennen sind. Ähm von daher sind wir da schon ja deutlich dabei, uns zu harmonisieren. Des Weiteren wird vorgeschlagen, dass die Datenschutzaufsicht in diesem äh Konstrukt die unabhängige US-Wettbewerbs- und Verbraucherschutzbehörde übernehmen soll. Welche Auswirkungen hätte ähm ein Gesetz auf Basis äh dieses Vorschlags? Ähm wenn es zur Anwendung kommen sollte, dann würden ja einige Datenschutzgesetze einzelner Staaten für unanwendbar werden und Traditionell ist dieser juristische Verdrängungsvorgang von lokalen Gesetzen durch Bundesgesetze oftmals auch der Grund für das Scheitern von. Allerdings wird ähm dieser Vorschlag, dieser gemeinsame Vorschlag nun ähm ja auch als sehr ähm ja hoffnungsvoll betrachtet, weil er von beiden äh Lagern, von den republikanischen und von den demokratischen Seiten eingebracht und äh auch vertreten wird. Jetzt gilt es daran, äh Mehrheiten im Senat zu, ähm um abzuwarten, was tatsächlich da passiert. Also sehr spannendes Thema. Wir halten euch auf dem Laufenden. Ja, das war auch mein erster Gedanke, als du solltest das Die halt aus unterschiedlichen Parteien kommen, dass das ja natürlich vielleicht eine ganz gute Voraussetzung wäre für den Erfolg eines solchen Gesetzes. Was also wir hatten’s ja hier auch in der Silvesterfolge ähm schon mal thematisiert, ob Ob das vielleicht etwas sein könnte, wenn man in die USA blickt. Ja, von daher, ich bin da Natürlich positiv überrascht, dass man das jetzt angeht und wenn wir es schaffen, so was in den USA zu etablieren, also nicht wir, sondern die USA es schaffen, Dann könnte das natürlich grundsätzlich auch das Thema Angemessenheit von den USA vielleicht langfristig noch mal auf stabilere Füße stellen. Absolut und interessanterweise beide Damen ähm aus zwei unterschiedlichen politischen Lagern, aber ein äh eine Sache vereint, die scheint sie trotzdem und zwar ist das die jeweilige Zugehörigkeit zu Handelsausschüssen, ne. Also da hat man offensichtlich auch äh tatsächlich ähm, Die ähm ja den Handel und ähm ja die äh die Freizügigkeit äh bezüglich von, als ähm ja Herausforderung identifiziert. So äh kann man es vermuten. Ein weiterer Fakt ähm dass es vielleicht doch erfolgreich sein wird. Wir gehen weiter, Um nicht aktuelle Windows-Systeme werden derzeit wieder verstärkt Angriffen. Es gibt wieder Sicherheitslücken, die sind auch schon ein bisschen bekannt, aber wer Windows nutzt, sollte sicherstellen, dass er natürlich die aktuellen Updates installiert hat. Sonst sind die Systeme wahrscheinlich aktuell verwundbar, dass die Systeme natürlich aktuelle Updates erhalten sollen, ist nichts Neues. Aktuell haben wir aber eine, Schwachstelle, die von Angreifern wieder auch verstärkt wohl angegangen wird. Hier geht es, In einer zumindest auch um Windows-Sicherheitsfunktion, der sogenannte Smartscreen-Filter, Da wird halt geprüft, ob das System eine hoch runtergeladene Datei aus einer vertrauenswürdigen Quelle stammt. Und hier gibt’s wohl eine Schwachstelle, die dann verhindert, dass halt diese, dieser Alarm sozusagen oder diese Verhinderung in Kraft tritt und die Datei ist dann trotzdem ausführbar. Das heißt also Angreifer versuchen genau diese Prüfung gerade zu umgehen in den laufenden Attacken und von daher, Ähm berichtet halt auch äh aktuell, dass es da jetzt wieder vermehrt derartige Attacken gibt. Von daher noch mal die Erinnerung daran. Zu gucken, dass wirklich die aktuellen Minus-Updates alle installiert sind. Wir sind schon fast am Ende. Es bleibt uns nur noch ähm ja in dem Rubrik Veröffentlichungen und Veranstaltungen ähm äh Tipps zu geben, was wir uns am Wochenende ähm zu Gemüte führen können Und zwar ähm ganz interessant ähm haben wir eine Veröffentlichung eines KI-Leitfadens und zwar der Schulbehörde in äh Hamburg, das ist eine eine Leitlinie äh von ja KI Systemen äh wie ähm die Einsatzszenarien sind, welche Auswirkungen das hat und so weiter äh und das Ganze ist gerichtet an äh Lehrkräfte und ähm, Ja, alle die das Thema dort interessiert und auch weitertragen können und sollen. Ähm also ich werd’s auf jeden Fall lesen. Klingt auf jeden Fall gerade mit den aktuellen KI-Themen, die wir in allen Ecken und Enden haben. Nach einer guten Empfehlung. Vielen Dank dafür. Ja, mir bleibt zum Schluss nur noch mal auf die Stelle hinzuweisen. Wie gesagt, wer, ein, zwei Jahre Erfahrung im Datenschutz hat oder vielleicht auch ein bisschen länger und Lust hat, bei uns hier im Team mitzuarbeiten, im coolen Team, wie ich ähm glaube, zurecht sagen zu dürfen, mit viel Spaß. In der Kundenbetreuung, im Innendienst vor allen Dingen ohne Reisetätigkeit, der ist wirklich gerne willkommen, sich noch mal auf Miguccins Punkt DE, Slash Karriere äh uns anzusehen. Natürlich die aber vor allen Dingen natürlich auch noch mal die Stellenausschreibung konkret und jede Bewerbung hier reinkommt. Wird gesichtet und wir freuen uns wie gesagt über Leute, die mitmachen wollen. Von daher fühlen sich frei und keine falsche Scheu. Wir freuen uns. In diesem Sinne, dir vielen Dank, Lothar. Ich danke dir, Heiko. Und Ihnen schon mal ein schönes Wochenende. Bleiben Sie uns gewogen und auf bald. Alles gut, bis dann, tschüss.
