11. November 2022
Mit Beschluss vom 10.11.2022 (Az. I ZR 186/17) hat der Bundesgerichtshof (BGH) entschieden, dem Europäischen Gerichtshof (EuGH) die Frage zur Vorabentscheidung vorzulegen, ob eine Rechtsverletzung „infolge einer Verarbeitung“ im Sinne von Art. 80 Abs. 2 DSGVO geltend gemacht wird, wenn ein Verband zur Wahrung von Verbraucherinteressen seine Klage darauf stützt, die Rechte einer betroffenen Person seien verletzt, weil die Informationspflichten gemäß Art. 12 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 13 Abs. 1 Buchst. c und e DSGVO über den Zweck der Datenverarbeitung und den Empfänger der personenbezogenen Daten nicht erfüllt worden seien.
Sachverhalt
In dem Verfahren, das durch den BGH nun bis zur Entscheidung des EuGHs über die Vorlagefrage ausgesetzt wurde, geht es um eine Auseinandersetzung zwischen der Meta Platform Ireland Limited (Meta) und dem Dachverband der Verbraucherzentralen der Bundesländer (VZBV). Meta betreibt das soziale Netzwerk „Facebook“. Dieses hat in seinem Netzwerk im Jahr 2012 ein sog. „App-Zentrum“ installiert, über welches Nutzer Online-Spiele anderer Anbieter spielen können. In diesem Rahmen wurde auch auf die erfolgende Datenverarbeitung hingewiesen und eine Einwilligung der Nutzer eingeholt. Unter dem Button „Sofort spielen“ waren folgende Hinweise zu lesen: „Durch das Anklicken von Spiel spielen (oben) erhält diese Anwendung: Deine allgemeinen Informationen, Deine-Mail-Adresse, Über Dich, Deine Statusmeldungen. Diese Anwendung darf in deinem Namen posten, einschließlich dein Punktestand und mehr.“ Bei einem Spiel endeten die Hinweise mit dem Satz: „Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten.“ Die Einwilligung beurteilte der Verbraucherschutzverband als nicht datenschutzkonform und machte wegen des Vergehens wettbewerbsrechtliche Unterlassungsansprüche gemäß § 8 Abs. 3 Nr. 3 UWG und § 3 Abs. 1 Satz 1 Nr. 1 UKlaG geltend. Auch sei der abschließende Hinweis bei einem Spiel eine den Nutzer unangemessen benachteiligende Allgemeine Geschäftsbedingung (AGB).
Unterlassungsansprüche und Betroffenheit für den BGH problematisch
Das Verfahren beschäftige sich mit der grundsätzlichen Frage, ob ein Verstoß des Betreibers eines sozialen Netzwerks gegen die datenschutzrechtliche Informationspflicht, die Nutzer dieses Netzwerks über Umfang und Zweck der Erhebung und Verwendung ihrer Daten zu unterrichten, wettbewerbsrechtliche Unterlassungsansprüche begründen kann. Des Weiteren stelle sich die Frage, ob Verbraucherschützer auch ohne einen Auftrag konkret Betroffener vor Gericht ziehen dürften. Der BGH zieht in dieser Sache nun zum zweiten Mal den EuGH zurate.
Erste Vorlage an den EuGH (wir berichteten)
Mit Beschluss vom 28.05.2020 (Az. I ZR 186/17) hatte der BGH ursprünglich entschieden, dem EuGH die Frage zur Vorabentscheidung vorzulegen, ob unter Anderem Verbraucherschutzverbände berechtigt seien, Datenschutzverstöße gerichtlich geltend machen zu können. Der EuGH hatte dann entschieden, dass Verbraucherzentralen auch ohne Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen klagen können.
Neue Entscheidung für BGH „unerwartet“
Der BGH vertrete die Ansicht, dass Verbraucherschutzverbände nicht automatisch klagebefugt seien. Man wolle konkret wissen, ob in dem Fall aus Sicht des EuGHs die Voraussetzung erfüllt sei, dass die Rechte einer betroffenen Person gemäß der DSGVO „infolge einer Verarbeitung“ verletzt worden seien. Es sei fraglich, ob diese Voraussetzung erfüllt sei, wenn – wie im Streitfall – die sich aus Art. 12 Abs. 1 Satz 1, Art. 13 Abs. 1 Buchst. c und e DSGVO ergebenden Informationspflichten verletzt worden seien. Die Entscheidung sei wichtig für eine Fülle anhängiger Verfahren.
„Angesichts der massenhaften Datenschutzverstöße auf den großen Digitalplattformen sei es enttäuschend, dass sich dieses schon sehr lange laufende Grundsatzverfahren wieder verzögere“, so der Leiter des Teams Rechtsdurchsetzung beim VZBV, Heiko Dünkel.
Meta gab bisher noch kein offizielles Statement zu der erneuten Vorlage ab. Der Anwalt des Konzerns, Christian Rohnke, hatte bei der Verhandlung am BGH jedoch betont, dass Facebook das fragliche Vorgehen inzwischen geändert habe.
10. November 2022
Unter Federführung von „Algorithm Watch“ haben insgesamt 24 zivilrechtliche Organisationen, darunter „Amnesty International“ und „Reporter ohne Grenzen“ einen Brief an die Bundesregierung veröffentlich. Inhalt des offenen Briefes ist die Forderung, dass sich die Regierung bei den Verhandlungen im europäischen Rat zur „Artificial Intelligence“-Verordnung für ein striktes Verbot der biometrischen Überwachung einsetzen solle.
Der Verordnungsentwurf zu künstlicher Intelligenz
Hintergrund der Artificial Intelligence Verordnung ist die Frage, wie die Europäische Union (EU) einen sicheren Rechtsrahmen für den Umgang mit künstlicher Intelligenz schaffen kann. Hiermit befasst sich die europäische Kommission bereits seit 2018. Im April 2021 hatte diese einen Verordnungsentwurf vorgelegt.
In ihrem offenen Brief stellten die unterzeichnenden Organisationen fest, dass nach Art. 5 Abs. 1 lit. d des Verordnungsentwurfes der Einsatz von biometrischer Überwachung grundsätzlich verboten sei. Allerdings sehe der Artikel eine Vielzahl an Ausnahmen vor, nach denen die Mitgliedstaaten Technologien zur Identifikation von Personen anhand ihrer biometrischer Daten in öffentlichen Räumen einsetzten können.
Kritik an der Verordnung
Die Möglichkeit sog. „biometrischer Echtzeit-Fernidentifizierungssysteme“ einsetzen zu können, kritisierten nun Algorithm Watch und die weiteren unterzeichnenden Organisationen in ihrem offenen Brief.
Dabei erinnerten die unterzeichnenden Organisationen an den Koalitionsvertrag der Bundesregierung. Laut Algorithm Watch und den weiteren Organisationen habe die Bundesregierung im Koalitionsvertrag beabsichtigt, dass „(…) biometrische Identifikation im öffentlichen Raum durch eine EU-weite Gesetzgebung ausgeschlossen werden muss.“
Diesbezüglich stellten die Organisationen fest, dass die Verordnung in ihrer derzeitigen Fassung zu einem möglichen Verbot der biometrischen Identifikation beitragen könne. Vor allem Art. 5 Abs. 1 lit. d des Verordnungsentwurfes interpretieren die Organisationen als ein sinnvolles Instrument für ein solches künftiges Verbot.
Jedoch weise der Verordnungsentwurf im Hinblick auf ein Verbot biometrischer Identifikation noch Lücken auf. Die Organisationen kritisierten, dass sich Art. 5 Abs. 1 lit. d des Verordnungsentwurfs nur auf „Echtzeit“ Systeme zur biometrischen Identifikation beziehe. Außerdem sei das Verbot zum Einsatz biometrischer Überwachung lediglich auf Strafverfolgungsbehörden beschränkt. Demnach sei es möglich, dass andere öffentliche oder private Stellen die Überwachungssysteme einsetzten. Überdies, so die Organisationen, weichen die Ausnahmen des Art. 5 des Verordnungsentwurfes das Verbot auf.
Zudem können Mitgliedstaaten sich auf die „nationale Sicherheit“ berufen, um den Einsatz künstlicher Intelligenz zu rechtfertigen. Folglich sei es möglich, dass aufgrund dieser Rechtfertigung Überwachungssysteme eingesetzt werden.
Fazit
Die Organisationen forderten in ihrem Brief, dass sich die Bundesregierung für ein Verbot biometrischer Überwachung in weiteren Verhandlungen auf europäischer Ebene einsetze. Es gehe darum, Grundrechtsverletzungen die biometrische Überwachung erzeugen könnten zu verhindern.
Wieder einmal äußern sich kritische Stimmen im Kontext der Nutzung von Google Fonts. Bereits in unserem letzten Beitrag wurde die Problematik unfreiwilliger Übermittlungen personenbezogener Daten in ein Drittland, durch die Nutzung der von Google eingebetteten Fonts behandelt.
Kritik aus Hessen und Sachsen
Dieses Mal melden sich die hessische und sächsische Datenschutzaufsichtsbehörde zu Wort. Grund für das Aktivwerden der Behörden waren die aktuell stark zunehmenden Beratungsanfragen zu Abmahnungen aufgrund des Einsatzes der Google Schriftarten.
Forderungen von Schadensersatz
Dem Urteil des Landgerichts München vom 20. Januar 2022 nach könnte eine Nutzung der Google Web-Fonts auf eigenen Homepages wohl einen Verstoß gegen die DSGVO darstellen. So würden in den Fällen einer Nutzung dynamischer Fonts stets personenbezogene Daten von Webseitenbesucher*innen wie IP-Adressen an amerikanische Server weitergeleitet. Abgesehen eines unter strengen Regeln stehenden Transfer von Daten in einen Drittstaat, der kein ausreichendes Datenschutzniveau im Sinne der DSGVO bietet, werden zudem in seltensten Fällen Einwilligungen i. S. d. Art. 6 Abs. 1 lit. a DSGVO eingeholt. So ist das Urteil der Auslöser einer Abmahnwelle gegen Website-Betreiber, welche mit empfindlich hohen Geldforderungen konfrontiert werden.
Fazit
Betreiber von Webseiten sollten allgemein auf einen dynamischen Einsatz von Schriftarten verzichten und auf ein lokales Speichern umstellen, so die hessische und sächsische Behörde.
9. November 2022
Wer Fotos von sog. Falschparkern zum Zwecke der Übermittlung an die Polizei anfertigt, verstößt laut dem Verwaltungsgericht Ansbach (VG) in der Regel nicht gegen Datenschutzrecht.
Hintergrund
Die beiden Kläger fotografierten ordnungswidrig geparkte Fahrzeuge, um diese Fotos mitsamt Anzeige an die zuständige Polizei zu übersenden. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) verwarnte daraufhin die beiden Männer. Das Landesamt rügte, dass mit den Fotos oft auch nicht erforderliche, über den Parkvorgang hinausgehende Daten erhoben würden. So würden auch bspw. andere Fahrzeuge oder Menschen abgelichtet werden. Insgesamt hätten die beiden Kläger daher kein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 Satz 1 Buchst. f Datenschutz-Grundverordnung (DS-GVO) an dieser Datenverarbeitung.
Dagegen erwiderten die Kläger, dass für die Verfolgung des Parkverstoßes eine möglichst genaue Dokumentation der Ordnungswidrigkeit erforderlich sei.
Der Tenor
Die 14. Kammer des VG Ansbach gab den zwei Klagen gegen die Verwarnungen des BayLDA statt. Das Gericht urteilte, dass es sich bei dem Vorgehen um eine rechtmäßige Datenverarbeitung handelte. Die genaue Begründung liegt allerdings noch nicht vor. Gegen die beiden Entscheidungen kann der Antrag zur Zulassung der Berufung zum Bayerischen Verwaltungsgerichtshof gestellt werden.
3. November 2022
Das Landgericht (LG) Zwickau erließ am 14. September 2022 ein Versäumnisurteil (Az. 7 O 334/22) gegen den U.S.-Konzern „Meta“ und sprach dem Kläger dabei einen Anspruch auf immateriellen Schadensersatz gegen den Konzern zu. Grund für den Schadensersatz nach Art. 82 DSGVO in Höhe von 1000 Euro waren mehrere Verstöße gegen die Datenschutz-Grundverordnung (DSGVO).
Unzureichende Informationen
Zunächst stellte das Gericht fest, dass Meta seinen nach Art. 13 und 14 DSGVO bestehenden Informationspflichten nicht ausreichend nachgekommen sei. Demnach liege keine nach Art. 5 Abs. 1 lit. a DSGVO erforderliche faire und transparente Verarbeitung vor.
Insbesondere, so das Gericht, fehlten Informationen darüber, auf welche Weise und zu welchen Zwecken „Facebook“ die Telefonnummern seiner Nutzer verarbeite. Diese könnten auf der von Meta bereitgestellten Social-Media-Plattform Facebook ihre Telefonnummern freiwillig angeben.
Konkret sei es problematisch, dass Facebook nicht darüber informiere, dass Dritte die angegebenen Telefonnummern einsehen könnten. Dies sei möglich, obwohl der Nutzer sein Profil auf die Funktion „privat“ einstelle. Zusätzlich könnten Dritte die Telefonnummern abgreifen und diese für unlautere Zwecke weiterverwenden. Darüber informiere Facebook den Nutzer allerdings nicht.
Ferner sei der Informationsumfang über die sog. „Zwei-Faktor-Authentifizierung“ als problematisch zu bewerten. Dabei informiere Facebook lediglich darüber, dass er die Telefonnummern der Nutzer neben der Zwei-Faktor-Authentifizierung auch für „weitere Zwecke“ verwende. Eine genaue Erläuterung, welche weiteren Zwecke gemeint seien, erfolge nicht.
Außerdem bewertete das Gericht die Such-Option mittels Telefonnummer als kritisch. Dieser ermögliche es Nutzern andere Nutzer mit Hilfe der hinterlegten Telefonnummer zu suchen. Darüber informiere Facebook die Nutzer grundsätzlich. Doch diese Information sei nur über eine Unterverlinkung einzusehen.
Unzureichende Sicherheitsmaßnahmen
Darüber hinaus stellte das Gericht fest, dass Facebook gegen den Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO verstoßen habe. Demzufolge habe der Konzern keine angemessene Sicherheit für die verarbeiteten personenbezogenen Daten gewährleistet. Insbesondere habe Facebook es versäumt, hinreichende technische und organisatorische Maßnahmen zum Schutz der Nutzerdaten zu ergreifen.
Hintergrund dieser Sicherheitslücke war ein Vorfall aus dem Jahr 2019. Mit Hilfe eines automatisierten Verfahrens konnten unbekannte Dritte eine große Anzahl an Nutzerdaten abgreifen. Aus der Sicht des Gerichts hätte Facebook mehr Sicherheitsmaßnahmen ergreifen müssen, um den Datendiebstahl zu verhindern. Insbesondere habe das Unternehmen sog. „Sicherheitscapachas“ verwenden können. Diese Methode stelle sicher, dass ein Mensch und kein automatisiertes System die Daten abfrage.
Außerdem stellte das Gericht einen Verstoß gegen Art. 33 und 34 DSGVO fest. Demnach sei Facebook dazu verpflichtet gewesen, die zuständige Aufsichtsbehörde über den 2019 geschehenen Vorfall zu informieren. Dem sei das Unternehmen nicht nachgekommen.
Fazit
Abschließend stellte das Gericht fest, dass aufgrund der dargelegten Verstöße der Kläger einen erheblichen Kontrollverlust über seine personenbezogenen Daten erlitten habe. Mithin bestehe für die betroffene Person ein ersatzfähiger Schaden.
Bei der britischen Interverse Group Limited sorgte das Zusammenspiel aus einer trügerischen E-Mail und einem unvorsichtigen Mitarbeiter für einen größeren Datenschutzvorfall.
Was sind “Phishing-Mails”?
Unter dem Begriff Phishing versteht man Versuche von Kriminellen, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben: So auch im vorliegenden Fall.
Der Mitarbeiter des Unternehmens öffnete eine E-Mail, welche eine mit Malware versehene Zip-Datei enthielt. Dadurch erhielten die Angreifer Zugriff auf den Computer des Mitarbeiters, wodurch weitere Systeme und Server infiziert und Anti-Viren-Programme deinstalliert werden konnten.
Durch die so ermöglichte Abschaltung der Schutzmaßnahmen war es den Betrügern möglich, Zugang zu personenbezogenen Daten von über 100.000 Beschäftigten des Unternehmens zu erhalten. Enthalten waren dabei unter anderem Namen, Telefonnummern, Bankverbindungen, Sozialversicherungsnummern sowie Gehaltsinformationen. Dies stellt für Betrüger eine überaus gute Ausbeute dar.
Meldung: Art. 33 DSGVO
Das Unternehmen meldete daraufhin den Vorfall gem. Art. 33 DSGVO bei der britischen Datenschutzbehörde ICO, woraufhin diese den Vorfall prüfte. Das Ergebnis dieser Untersuchung fiel jedoch schlecht für das betroffene Unternehmen aus: Die ICO stellte fest, dass nur unzureichende technische und organisatorische Maßnahmen vorhanden waren. So war etwa das Betriebssystem, das auf den Servern eingesetzt wurde, veraltet, der betroffene Mitarbeiter, der die schadhafte Mail öffnete, war nicht datenschutzrechtlich geschult worden, Schwachstellentests sind nicht durchgeführt worden und einer Meldung des Virenscanners wurde keine Beachtung geschenkt. Dies stellt ein absolutes Fehlerhaften dar. Lediglich die umfassende Kooperation des Unternehmens mit der ICO, sowie eine nachträgliche Verbesserung der Sicherheitsmaßnahmen konnten das Bußgeld in Höhe von 5.057.878 Euro etwas abmildern.
Fazit
Der Fall macht deutlich, wie wichtig und unumgänglich es für Unternehmen ist, angemessene technische und organisatorische Maßnahmen zu implementieren und die Cybersicherheit auf dem aktuellen Stand zu halten. Die DSGVO sieht in Art. 32 Abs. 1 vor, dass technische und organisatorische Maßnahmen dem Stand der Technik entsprechen müssen.
Zielgerichtete Beratung durch Experten und entsprechende Schulungen von Mitarbeitern, unter anderem etwa zur Sensibilisierung und Erkennung von Angriffsversuchen von Dritten, können das Risiko eines Datenschutzvorfalls verringern. Investitionen in diesem Bereich können so Bußgelder in Millionenhöhe verhindern.
Wie nach Recherchen von Cybernews bekannt wurde, gab es bei Thomson Reuters kürzlich ein Datenleck, bei dem mindestestens drei seiner Datenbanken, darunter die drei Terrabyte große Datenbank ElasticSearch für jedermann zugänglich war.
Die betroffenen Daten
Thomson Reuters, der Nachfolger der Nachrichtenagentur Reuters, ist ein Medienkonzern mit Hauptsitzen in New York und Toronto. Der Konzern bietet seinen Kunden verschiedene Produkte wie das Medientool Reuters Connect, die Datenbank Westlaw oder auch andere Recherche-Suites an. Die von dem Datenleck betroffene Datenbank ElasticSearch enthält Informationen aus allen Plattformen des Konzerns und wird bevorzugt von Unternehmen eingesetzt, die mit umfangreichen, ständig aktualisierten Datenmengen arbeiten.
Laut Cybernews waren die Daten mehrere Tage lang verfügbar. Es waren sensible Daten betroffen, wie beispielsweise Informationen zu Lieferketten, Zugangsdaten zu Servern Dritter und Anmelde- und Kennwortrücksetzungsprotokolle, in denen die E-Mail-Adresse der Kontoinhaber und die genaue Zeit, zu der die Passwortänderung gesendet wurde, ersichtlich waren.
Die Reaktion des Konzerns
Thomson Reuters reagierte unverzüglich auf den Hinweis, schaltete die Server ab und leitete eine Untersuchung ein. Laut dem Unternehmen seien zwei der drei betroffenen Server so konzipiert gewesen, dass sie öffentlich zugänglich waren. Der dritte sei als sogenannter nicht-produktiver Server nur mit einer kleinen Untergruppe von Kunden verbunden gewesen und enthalte keine Anwendungsdaten. Zudem habe das Leck überwiegend Kunden in den USA betroffen, welche informiert worden seien.
Dagegen zweifeln die Forscher von Cybernews an, dass das Leck so harmlos war, wie es Thomson Reuters erscheinen lässt. Ihnen zufolge hat das Unternehmen Daten zugänglich gemacht, die in kriminellen Foren wegen des möglichen Zugriffs auf andere Systeme Millionen wert wären.
Fazit
Von außen lässt sich kaum beurteilen, wie schwer das Datenleck tatsächlich war. Es zeigt jedoch, wie wichtig es für Unternehmen ist, ihre digitale Infrastruktur kontinuierlich zu überprüfen, damit Sicherheitslücken nicht wie im vorliegenden Fall tagelang ungesehen bestehen bleiben und das Unternehmen angreifbar machen.
Der Europäische Gerichtshof (EuGH) hat entschieden, dass der Widerruf gegen eine einheitliche Einwilligung, aufgrund derer mehrere Verantwortliche personenbezogene Daten zum selben Zweck verarbeiten dürfen, nur gegen einen dieser Verantwortlichen erfolgen muss.
Sachverhalt
Der Beschwerdeführer wendete sich gegen den belgischen Telefonanbieter Proximus, der unter anderem öffentlich zugängliche Telefonverzeichnisse und Telefonauskunftsdienste anbietet. Darin sind Namen, Adressen und Telefonnummern enthalten, die von Anbietern öffentlich zugänglicher Telefondienste an Proximus übermittelt und auch von Proximus an andere Anbieter und Suchmaschinen wie Google weitergeleitet werden.
Nachdem seine wiederholte Aufforderung, seine Daten nicht in solchen Verzeichnissen zu führen, erfolglos waren, legte der Beschwerdeführer Beschwerde bei der belgischen Datenschutzbehörde ein. Die Datenschutzbehörde verhängte daraufhin ein Bußgeld in Höhe von 20.000 Euro und gab Proximus unter anderem auf, „dem Widerruf der Einwilligung des fraglichen Teilnehmers unverzüglich in angemessener Weise Rechnung zu tragen und den Aufforderungen dieses Teilnehmers, mit denen er sein Recht auf Löschung der ihn betreffenden Daten ausüben wolle, Folge zu leisten“.
Hiergegen klagte Proximus mit der Begründung, eine Einwilligung im Sinne der DSGVO sei nicht erforderlich. Vielmehr müssten Teilnehmer im Wege eines Opt-out selbst beantragen, nicht im Verzeichnis geführt zu werden.
Entscheidung
Der EuGH bestätigte in seiner Entscheidung zunächst das Einwilligungserfordernis bei der Veröffentlichung personenbezogener Daten in einem öffentlichen Teilnehmerverzeichnis. Sofern dritte Anbieter solcher Verzeichnisse denselben Zweck verfolgen, erstreckt sich diese Einwilligung auf jede weitere Verarbeitung der Daten. Dazu muss die betroffene Person nicht zwangsläufig zum Zeitpunkt der Einwilligung sämtliche Anbieter kennen. Allerdings genügt dann im Umkehrschluss eine einzige Widerrufserklärung gegenüber irgendeinem der Verantwortlichen. Der muss sämtliche anderen Verantwortlichen eigenständig über den Widerruf informieren.
Fazit
Die Entscheidung wird sich voraussichtlich auch auf andere Bereiche auswirken, in denen sich Verantwortliche auf eine einheitliche Einwilligung stützen. Für Betroffene bedeutet es eine erhebliche Erleichterung, den Widerruf nur an einen einer gegebenenfalls unbekannten Anzahl von Verantwortlichen richten zu müssen.
28. Oktober 2022
Wir freuen uns über unsere erneute Top-Platzierung im aktuellen Ranking der Kanzleimonitor*-Studie 2022-23 und bedanken uns bei allen Mandanten, die uns empfohlen haben!
Im Bereich Datenschutzrecht belegen wir mit zahlreichen direkten Empfehlungen den 5. Platz. Damit kann sich unsere Kanzlei in einem starken Mitbewerberfeld wieder neben diversen Großkanzleien (u.a. Taylor Wessing, Osborne Clarke) in der absoluten Spitzengruppe im Datenschutzrecht behaupten.
Drei unserer Anwälte werden zudem im aktuellen Ranking persönlicher Empfehlungen namentlich aufgeführt: Kristin Bauer, Dr. Karsten Kinast und Benjamin Schuh.
Umso mehr freut uns dieses Studienergebnis, da es sich hierbei um eine transparente, direkte Bewertung aus dem Mandantenkreis handelt und durch die eigene Berufsgruppe der Juristen erfolgt.
Vielen Dank an alle Mandanten, die uns (wieder) empfohlen haben!
*Der Kanzleimonitor (kanzleimonitor.de – Empfehlung ist die beste Referenz) stellt jährlich ein umfassendes Ranking der 100 am häufigsten empfohlenen Anwälte und Kanzleien in jedem Rechtsgebiet zur Verfügung. Diese Übersicht soll Unternehmensjuristen aller Branchen als Auswahlkriterium für die Mandatierung von Wirtschaftskanzleien dienen.
26. Oktober 2022
Gestern veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Lagebericht zur IT-Sicherheit in Deutschland für den Zeitraum Juni 2021 bis Mai 2022. Daraus geht hervor, dass die Bedrohung im Cyberraum so hoch wie nie sei. Als Grund für diese hohe Bedrohung machte das BSI zwei Faktoren aus. Einerseits stellten Cybercrime, insbesondere durch „Ransomware“ eine Gefahr dar. Andererseits sei die Cybersicherheit durch Hacker- und Sabotage-Angriffe im Zusammenhang mit dem Ukrainekrieg bedroht.
Bedrohung durch „Ransomware“
In dem Bericht befasste sich das BSI und die zuständige Ministerin des Innern und für Heimat, Nancy Faeser zunächst mit der sog. „Ransomware“. Insbesondere Unternehmen seien Opfer dieser Art von Hackerangriff.
„Ransomware“ ist eine Schadsoftware, mit der Hacker lokale oder vernetzte Daten oder Systeme verschlüsseln. Diese Verschlüsselung verhindere für den Nutzer den Zugang zu seinen Daten. Ziel des Angriffs können entweder einzelne Dateien, wie Bild- oder Videodateien oder umfangreiche Dateisätze, wie ganze Datenbanken oder Serversysteme sein. Um die Verschlüsselung aufzuheben, bedarf es eines bestimmten Tools. Die Hacker drohen den betroffenen Personen damit, das Entschlüsselungstool zu vernichten. Außerdem verlangen sie Lösegeld, verbunden mit der Aussicht das Entschlüsselungstool auszuhändigen. Darüber hinaus könne es vorkommen, dass die Hacker zusätzlich damit drohen, erlangte Dateien zu veröffentlich. Das BSI stellte fest, dass die Kombination aus Lösegeld- und Schweigegelderpressung der Regelfall sei.
Um sich vor „Ramsomware“-Angriffe zu schützen, sei es erforderlich, dass Unternehmen die Nutzung ihrer Systeme durch unbefugte Personen erschweren. Dafür können sie eine Mehrfaktor-Authentisierung, ein Virtuelles Privates Netz (VPN) und strenge Passwortvorgaben einsetzen.
Cyberkriminalität im Zusammenhang mit dem Ukrainekrieg
Das BSI identifizierte als weitere große Bedrohung für die Cybersicherheit in Deutschland vielfältige Aktivitäten im Zusammenhang mit dem Ukrainekrieg. Dabei sei es zu einer Vielzahl an verschiedenen Hackerangriffen gekommen.
Zu Beginn des Krieges setzten Hacker gegen die Ukraine sog. „Wiper“ ein. Diese Softwareprogramme sorgen dafür, dass Daten gelöscht werden. So haben Hacker, beispielsweise die Daten von ukrainischen Banken gelöscht. Auch seien Soziale-Medien das Ziel von Hackerangriffen. In Deutschland haben Hacker pro-russische Kommentare verfasst. Besonders aufgefallen sei die pro-russische Hacker-Gruppe „Killnet“. Sie habe sog. „Distributed Denial of Servies-Angriffe” (DDoS-Angriffe) auf Ziele in Ländern der EU durchgeführt. Unter diesen „DDos”-Angriffen seien „Überlastungsangriffe auf Internetdienste“ zu verstehen.
Zu Hackerangriffen im Zusammenhang mit dem Ukrainekrieg zählte das BSI auch Angriffe des Hacker-Kollektivs „Anonymous“. Es habe Unternehmen außerhalb Russlands angegriffen, die geschäftliche Beziehungen zu Russland pflegten.
Fazit
Laut BSI sei „eine Erhöhung der Resilienz gegenüber Cyber-Angriffen (…)“ die Hauptaufgabe aller betroffenen Stellen aus Staat, Wirtschaft und Gesellschaft.
Für die Vorstellung des Lageberichts war ursprünglich ein früherer Termin vorgesehen. Dieser wurde aber wegen der Freistellung des BSI-Präsidenten Arne Schönbohm verschoben (wir berichteten).
Pages: 1 2 ... 25 26 27 28 29 ... 274 275 
