Unser Datenschutz-Update im September 2023

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den September 2023.

1. Nachrichten aus der Welt des Datenschutzes

Wie verhalte ich mich bei einem Cyberangriff

Davor fürchten sich Unternehmen: Plötzlich sind alle Systeme verschlüsselt, man kommt an keine Daten mehr und ist handlungsunfähig. Gleichzeitig wird eine hohe Geldsumme gefordert, ansonsten würden Daten öffentlich gemacht oder in sonstiger Weise missbraucht. Teilweise werden Phishing-Emails vom gekidnappten Server verschickt. Zu den wirtschaftlichen Schäden des Unternehmens kommen zusätzlich Risiken, dass es zu Schäden bei den Betroffenen der Datenschutzverletzung kommt. Diese Schäden zu verhindern bzw. zu minimieren fällt ebenfalls in den Aufgabenbereich des Unternehmens.

Was datenschutzrechtlich im Fall eines Cyberangriffs zu tun ist und welche Schritte erforderlich sind, schildert der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen jetzt ausführlich. Das Unternehmen muss danach:

• Den Angriff stoppen bzw. so weit wie möglich eingrenzen 
• Die Ursache aufklären, den Umfang untersuchen, den Ablauf nachvollziehen und dokumentieren und die Folgen abschätzen 
• Insbesondere die möglichen Auswirkungen und das daraus folgende Risiko die Rechte und Freiheiten der natürlichen betroffenen Personen bestimmen
• Erforderliche Maßnahmen veranlassen, um mögliche Auswirkungen für die betroffenen Personen so weit wie möglich abzumildern 
• Ggf. müssen oder sollten die betroffenen Personen über den Vorfall benachrichtigt werden 
• Erforderliche Vorkehrungen treffen, um die Systeme gegen erneute Angriffe zu schützen und die Schutzmaßnahmen den Gefahren entsprechend anpassen. 

Die sorgfältige Aufklärung des Falls ist nicht nur nötig, um zukünftige Schutzmaßnahmen zu treffen, sondern auch, um das Risiko für betroffene Personen hinreichend einschätzen zu können, um zu entscheiden, ob ein Datenschutzvorfall gemeldet werden muss. 

Achtung: Handelt es sich um einen meldepflichtigen Datenschutzvorfall, muss die Meldung innerhalb von 72 Stunden erfolgen!

In dieser Zeit muss man also das Ausmaß der Schäden und drohenden Risiken für die Betroffenen geprüft haben. Dazu müssen vor allem folgende Punkte geklärt werden:

• Was genau ist mit den Daten passiert, bzw. was kann mit ihnen noch geschehen? Wurden sie gelöscht, veröffentlicht, missbraucht, vervielfältigt etc.? Sind diese (unrechtmäßigen) Verarbeitungen noch zu erwarten?
• Welche Kategorien von Personen sind betroffen?
• Welche Kategorien personenbezogener Daten sind betroffen?
• Wie viele Personen sind ungefähr betroffen?
• Wie viele Datensätze sind ungefähr betroffen?

Achtung: Sind Sie Auftragsverarbeiter:in müssen Sie Ihre Auftraggeber:innen immer – unabhängig von ihrer Risikoabschätzung – rechtzeitig informieren ggf. inklusive des Zeitpunkts der Meldung und bei der Erfüllung ihrer Verpflichtungen gem. DSGVO unterstützen. 

Wichtig für die Risikoabschätzung sind Art und Umfang der möglichen Risiken abzuschätzen und wie wahrscheinlich es ist, dass diese möglichen Schäden eintreten. Besteht kein Risiko oder ein nur geringes, haben die Unternehmen Glück. Sie müssen den gesamten Vorfall zwar sorgfältig dokumentieren, aber weder die Behörde noch die Betroffenen benachrichtigen. 

Ist jedoch das Risiko höher bzw. hoch, muss eine Meldung gemacht werden (innerhalb von 72 Stunden nach Bemerken des Vorfalls) und bei hohem Risiko müssen die Betroffenen benachrichtigt werden. 

Doch auch bei nicht so hohem Risiko sollte man die Betroffenen benachrichtigen, damit sie selber möglichen Auswirkungen vorbeugen können. 

Schwere und Eintrittswahrscheinlichkeit der Schäden können in einer Risikomatrix eingetragen und die Risikostufe abgelesen werden. 

Eine ausführliche Auflistung von möglichen Sicherheitsmaßnahmen, die getroffen werden sollten, ebenso wie eine Auflistung der Dokumentationen, die vorgenommen werden müssen, ist ebenfalls vom LDI Nordrhein-Westfalen bereitgestellt.

Fazit: Neben der Aufregung über den Vorfall und die Sorgen über die Handlungsfähigkeit des Unternehmens selbst dürfen die datenschutzrechtlichen Verpflichtungen nicht vergessen oder auf die lange Bank geschoben werden. So schnell wie möglich muss untersucht und eingeschätzt werden, ob eine Meldepflicht besteht und weitere Maßnahmen getroffen werden müssen.

Mehr dazu finden Sie hier: 

Kurzpapier 18 Risiko für die Rechte und Freiheiten natürlicher Personen  

Hilfe, ein Cyberangriff!

Ich habe einen Vorfall – Was soll ich tun?

2. Entscheidungen des Monats

Meta verliert gegen norwegische Datenschutzbehörde im einstweiligen Rechtsschutz

Im Juli verhängte die norwegische Datenschutzbehörde im Eilverfahren ein vorübergehendes Verbot für verhaltensorientiertes Marketing auf Facebook und Instagram. Meta, die Muttergesellschaft, beantragte beim Gericht die Aussetzung der Entscheidung. Gleichzeitig stellte Meta einen Antrag auf eine einstweilige Verfügung. 

Die norwegische Datenschutzbehörde hatte Meta ein Verbot erteilt, personenbezogene Daten nutzen, um Werbung personalisiert auszuspielen, ohne vorher die Zustimmung der Betroffenen einzuholen. Als die Frist zur Umsetzung des Verbots im August abgelaufen war, musste Meta bereits täglich Strafe in Höhe von 90.000,00 € zahlen. Meta hatte angekündigt, Nutzerinnen und Nutzer in der EU um Zustimmung zur Verarbeitung ihrer Daten für personalisierte Werbung zu bitten. Diese Ankündigung reichte der Datatilsynet nicht und sie verhängte die Strafe.

Norwegen ist zwar nicht EU-Mitglied, die DSGVO gilt für das Land im Europäischen Wirtschaftsraum (EWR) aber dennoch. Grundsätzlich ist die irische Datenschutzbehörde für die Aufsicht von Meta zuständig, denn dort hat das Unternehmen seinen europäischen Sitz. Doch auch andere nationale Behörden wie jene in Norwegen dürfen in Notfällen eigene Maßnahmen ergreifen.

Bereits im Streit mit der irischen Datenschutzbehörde hatte Meta angekündigt eine DSGVO-konforme Einwilligung einholen zu wollen, nachdem das „berechtigte Interesse“ vom EuGH klar verneint worden war. Die Einwilligung ist jedoch an die Nutzungsbedingungen gekoppelt, so dass fraglich ist, ob sie wirklich freiwillig genannt werden kann. 

Die norwegische Datenschutzbehörde sieht noch eine andere Verletzung, die Meta begeht: „Wenn Meta entscheidet, welche Werbung jemandem gezeigt wird, entscheidet es auch, was jemandem nicht gezeigt werden soll.“ Darin liege eine Verletzung bzw. unrechtmäßige Einschränkung der Informations- und Meinungsfreiheit. 

Das Bezirksgericht Oslo hat nun die einstweilige Verfügung Metas abgelehnt. Nach norwegischem Recht kann nicht mit einstweiligen Verfügungen gegen Geldstrafen vorgegangen werden. Betroffene müssen zu anderen Rechtsmitteln greifen, um sich gegen Geldstrafen zu wehren, wenn Behörden versuchen, diese einzutreiben. Gegen das eigentliche Verbot könne sich Meta ebenfalls mit rechtlichen Mitteln wehren, eine Entscheidung über das Verbot sei jedoch nicht Aufgabe eines Eilverfahrens. Auch das Risiko einer Rufschädigung sah das Gericht nicht. Stattdessen würde es dem Ruf Metas nützen, wenn es Bescheide von Behörden auch befolgte.

Bis zu einer gerichtlichen Entscheidung über das Verbot laufen die täglichen Geldstrafen also weiter. Sollte ein Gericht das Verbot tatsächlich für unrechtmäßig halten, bekäme Meta die Zahlungen zurück. 

Mehr dazu finden Sie hier: Verbot von Überwachungswerbung: Meta verliert vor Gericht gegen norwegische Datenschutzbehörde

Werbenachrichten über Social-Media an Nutzer:innen der Plattformen fallen unter das UWG

In einem jüngsten Urteil des Oberlandesgerichts Hamm wurde eine bestimmte Marketingpraxis als rechtswidriger Spam eingestuft, die für Unternehmen, die Portale wie Xing, LinkedIn etc. nutzen, Folgen haben kann. 

Im Fall hatte eine Klägerin über Immobilienportale erstmalig Kontakt zu Inserent:innen aufgenommen und Dienste angeboten, ohne deren vorherige ausdrückliche Einwilligung einzuholen. 

Die Klägerin argumentierte, dass die über die Internetportale gesendeten Nachrichten nicht als elektronische Post im Sinne des Gesetzes betrachtet werden sollten. Ihrer Meinung nach wurden diese Nachrichten nicht direkt an die potenziellen Verkäufer gesendet, sondern an die Portale selbst. 

Das Gericht wies diese Argumentation zurück und betonte, dass sie nicht im Einklang mit dem Schutzzweck der entsprechenden Vorschrift (§ 7 Abs. 2 Nr. 3 UWG a.F.) stehe.

Zusätzlich stellte das Gericht fest, dass die Kontaktaufnahmen der Klägerin, die darauf abzielten, den Inserent:innen Maklerdienste anzubieten, selbst dann nicht von einer Einwilligung gedeckt waren, wenn ein generelles Interesse der potenziellen Verkäufer:innen an einer Kontaktaufnahme bestand. Die Tatsache, dass Verbraucher:innen eine Anzeige auf dem Portal schalten und ihre Telefonnummer für die Kontaktaufnahme angeben, bedeutet nicht automatisch, dass sie Anrufe von Makler:innen akzeptieren, die darauf abzielen, Maklerdienste anzubieten oder Maklerverträge abzuschließen. Dieses Urteil unterstreicht die Bedeutung der Einhaltung der Datenschutzgesetze und des Schutzes vor unerwünschter Werbung, insbesondere im digitalen Zeitalter.

Fazit: Für andere Plattformen wie Xing und LinkedIn bedeutet das Urteil, dass Vorsicht geboten ist, wenn Nutzerinnen und Nutzer der Plattformen über „Mitteilungen“ angeschrieben werden, um Dienstleistungen oder Produkte anzubieten. Die Tatsache, dass die Personen auf der Plattform ein Profil haben, bedeutet nicht, dass sie mit der Zusendung von Werbung ungefragt einverstanden sind. Ohne Einwilligung sollte deshalb nicht an die Personen direkt Werbung geschickt werden. Wie das Urteil des OLG Hamm zeigt, sind Nachrichten über Social Media nicht vom UWG ausgenommen. 

Mehr dazu finden Sie hier: openJur

3. Das schreiben die Anderen zum Datenschutz

• Künstliche Intelligenz und Transparenz – eine datenschutzrechtliche Unmöglichkeit?
• Informationen über Beschäftigte in der Probezeit
• Auskunftsanspruch: Unternehmen muss Namen von Mitarbeiterin nennen

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.