Das österreichische Außenministerium wurde in der Nacht auf Sonntag das Ziel eines schweren Angriffs auf seine IT-Systeme. Wie die Behörde in einer mit dem Innenministerium gemeinsam erklärten Stellungnahme darlegte, liegt aufgrund des Ausmaßes des Angriffs die Vermutung nahe, dass ein staatlicher Akteur dafür verantwortlich ist.
Genauere Details zum Ablauf und zur Art des Angriffs sind bis jetzt noch nicht bekannt. Laut Regierungsvertretern wurde der Angriff schnell bemerkt. Trotz eingeleiteter technischer Gegenmaßnahmen dauert dieser jedoch weiterhin an.
Die Ministerien legten dar, dass es einen hundertprozentigen Schutz gegen Cyberangriffe trotz intensiver Sicherheitsvorkehrungen nicht gebe. Dabei verwiesen sie auch auf die jüngst erfolgten Angriffe auf andere europäische Staaten. Anfang 2018 war auch das Datennetzwerk der Bundesregierung von einem ähnlichen Fall betroffen.
Nachdem Anfang Dezember 2019 bei der Justus-Liebig-Universität Gießen (JLU) ein Hackerangriff auf die IT-Infrastruktur entdeckt wurde und seitdem alle Server abgeschaltet worden waren, nimmt die Universität nun wieder ihren Normalbetrieb auf. Bei dem Angriff handelte es sich vermutlich um die Malware Emotet. Die Lehrplattform Stud.IP, die Homepage, das Prüfungsverwaltungssystem sowie die digitalen Systeme der Universitätsbibliothek gingen oder sollen in Kürze wieder online gehen.
Im Rahmen der Wiederherstellungsarbeiten wurden bereits rund 60 Prozent der Studierenden-Passwörter neu vergeben – insgesamt wurden 38.000 Passwörter zurückgesetzt. Der Zugriff auf interne Windowslaufwerke soll im Februar erfolgen.
Durch das frühzeitige Herunterfahren aller Universitätsserver konnte ein Verlust aller wissenschaftlichen Daten und die Datenbestände verhindert werden, versichert ein Sprecher der Hochschule.
Liebe Leserinnen und Leser, wir bedanken uns recht herzlich für Ihr Interesse an unserem Blog in diesem Jahr.
Das erste Jahr nach Einführung der Datenschutzgrundverordnung im Mai 2018 war ein ereignisreiches. Gerichtliche und behördliche Entscheidungen geben sowohl dem deutschen als auch dem europäischen Datenschutzrecht immer mehr Kontur und uns die Möglichkeit Ihnen Neuigkeiten rund um das Thema Datenschutz und Datensicherheit zu präsentieren.
Neben diesen Neuerungen haben auch wir uns weiterentwickelt, um Ihnen den Datenschutz noch näher zu bringen. Seit dem Sommer sind wir nun auf Twitter zu finden und versorgen Sie dort noch schneller mit News. Außerdem haben wir im Herbst unsere erste eigene Datenschutztagung – den datenschutzticker.live veranstaltet und durften Sie in Köln als unsere Gäste live begrüßen. In diesem Zuge freuen wir uns, Ihnen bekanntzugeben, dass wir auch im Jahr 2020 wieder live sein werden.
Der nächste datenschutzticker.live wird am 12. März 2020 in Wien stattfinden und Sie können sich jetzt bereits dafür vormerken lassen.
Selbstverständlich werden wir Sie auch 2020 wieder mit vielen interessanten Themen und Beiträgen aus der Welt des Datenschutzes und der Datensicherheit auf dem Laufenden halten. Wir blicken gespannt und voller Vorfreude auf das Jahr 2020 und wünschen Ihnen eine schöne Weihnachtszeit und nur das Beste für das kommende Jahr.
Versendet ein Arzt eine Rechnung über die Behandlung mit Botox-Spritzen über den Arbeitgeber der Behandelten, rechtfertigt dieser Verstoß gegen die ärztliche Schweigepflicht ein Schmerzensgeld. So entschied kürzlich das Oberlandesgericht Frankfurt am Main (OLG, Beschl. v. 5.12.2019, Az. 8 U 164/19).
Die Klägerin hat ein Kosmetikstudio, in der ihr Mann als Arzt arbeitet und die Beklagte mit zwei Botoxspritzen behandelte. Die Beklagte bezahlte jedoch nicht die Rechnungen, da die Behandlung keinen anhaltenden Effekt aufzeigte. Daraufhin erhielt die Beklagte zwei Mahnungen. Die dritte Mahnung sandte die Klägerin schließlich an die Arbeitgeberin der Beklagte. Sodann klagte die Kosmetikstudioinhaberin auf Zahlung. Die Beklagte verlangte widerklagend Schmerzensgeld i.H.v. 15.000 Euro.
Das Landgericht Wiesbaden (Urt. v. 11.7.2019, Az. O 247/18) hatte der Frau Schmerzensgeld in Höhe von 1.200 Euro zugesprochen. Der Patientin stehe Schmerzensgeld für die Versendung der Mahnung an ihre Arbeitgeberin zu für die dadurch geschaffene „abstrakte Gefährlichkeit, dass die zu schützenden Daten einem weiteren Personenkreis zugänglich waren“. Weitere Aspekte seien dagegen nicht in die Bemessung des Schmerzensgeldes zu berücksichtigen. Das OLG schloss sich dieser Auffassung an.
Am Mittwoch (18.12.19) musste Bundesjustizministerin Christine Lambrecht (SPD) ihren Referentenentwurf für ein Gesetz „zur Bekämpfung des Rechtsextremismus und der Hasskriminalität“ im Bundestag verteidigen. Kritisiert wurde insbesondere die Pflicht der Telemedienanbieter zur Herausgabe von Passwörtern.
Seit letzter Woche steht der Entwurf in der Kritik Bürgerrechte auszuhebeln. Mit dem Gesetzentwurf „zur Bekämpfung des Rechtsextremismus und der Hasskriminalität“, soll neben dem Netzwerkdurchsetzungsgesetz (NetzDG) auch die Strafprozessordnung (StPO) und das Telemediengesetz (TMG) geändert werden. Im Fokus der Kritiker steht ein Auskunftsverfahren, das ins TMG aufgenommen werden soll. Danach müssen Telemedienanbieter wie z.B. E-Mail-Provider, Facebook und Google Bestandsdaten von Nutzern bestimmten Sicherheitsbehörden übermitteln. Dieser Auskunftsanspruch umfasst auch Passwörter der Nutzer.
Problematisch ist allerdings,
dass Telemedienanbieter Passwörter ihrer Nutzer nach datenschutzrechtlichen
Vorgaben nur verschlüsselt speichern. Im Falle eines solchen
Auskunftsverfahrens könnten sie daher keine Klartext-Passwörter an die Behörden
herausgeben.
Dieser Vorstoß des Justizministeriums wurde von der Opposition und von Verbänden scharf kritisiert. Der Gesetzesentwurf würde tief in die Privatsphäre der Bürger eingreifen und es den Behörden ermöglichen, eine „Online-Durchsuchung“ durchzuführen.
Die Justizministerin betonte, dass es sich um einen „Referentenentwurf“ handelt. Für sie sei es ganz klar, „dass die Passwortabfrage unter Richtervorbehalt steht“.
Am Montag, den 9.12.19, hat sich bei der Miles & More GmbH, der 100- prozentigen Tochtergesellschaft der Lufthansa, eine Datenpanne ereignet. 40 Minuten lang konnten die Kunden die personenbezogenen Daten der anderen Miles & More-Nutzer einsehen, die zu diesem Zeitpunkt gleichzeitig auf der Website eingeloggt waren.
Laut Stellungnahme der Lufthansa sind maximal 9.885 Miles & More-Kunden von dem Vorfall betroffen, die am 9.12.19 zwischen 16:00 und 16:40 Uhr eingeloggt waren. Zu dem Zeitpunkt waren 4100 User aktiv, denen die fremden Daten unfreiwillig angezeigt worden sind. Hinzu kamen die 5785 Nutzer, die dauerhaft angemeldet waren.
Einsehbar waren: Name, Adresse, E-Mail, Telefonnummer, Geburtsdatum, Benutzername, Servicekartennummer, Meilenstand, Transaktionsdaten, Reisepräferenzen, Einwilligungen zur werblichen Ansprache sowie die bevorzugte Spracheinstellung. Zusätzlich konnten die Kunden sogar die Flugmeilen der anderen User einlösen. Die Ursache war wohl kein Hackerangriff, sondern ein technisches Problem.
Die Lufthansa hatte E-Mails an ihre Kunden versandt, in denen sie versicherte, dass die Bonusmeilen, die widerrechtlich eingelöst worden sind selbstverständlich wieder gutgeschrieben werden.
Nach Aussage der Pressesprecherin hat die Lufthansa die Aufsichtsbehörde bereits informiert, sodass eine datenschutzrechtliche Bewertung noch aussteht.
KINAST Rechtsanwälte werden im Datenschutzrecht von Unternehmensjuristen ausgesprochen häufig empfohlen!
Das ergab die Studie „kanzleimonitor.de – Empfehlung ist die beste Referenz 2019/2020“. Das Deutsche Institut für Rechtsabteilungen und Unternehmensjuristen (diruj) untersucht jährlich auf empirischer Basis die zwei wichtigsten Auswahlkriterien bei der Mandatierung eines externen Anwalts bzw. Kanzlei für Unternehmensjuristen: Die Erfahrung in der Zusammenarbeit und das daraus resultierende Vertrauen und die Empfehlung von Kollegen.
Nachdem KINAST im Bereich Datenschutzrecht im Jahr 2015 noch als „Hidden Champion“ und in den Folgejahren unter den Top-10 Kanzleien im Datenschutzrecht gelistet war, belegen wir nunmehr deutschlandweit den 5. und im Westen Deutschlands den 4. Platz und finden uns damit neben einigen Großkanzleien als insgesamt höchstgerankte Boutique in der absoluten Spitzengruppe wieder.
Nicht nur im Datenschutzrecht wird unsere Kanzlei von Unternehmensjuristen empfohlen: So hat KINAST auch als Externe Compliancebeauftragte mehrere Empfehlungen erhalten (Themenfelder Legal Compliance, Ethical Compliance und Aufbau Compliance-Organisation).
Das Ergebnis in dieser Studie ist für uns besonders wichtig, weil damit unsere Mandanten unseren klaren Kanzleifokus und unsere hohe Beratungsqualität würdigen. Wir freuen uns über das positive Feedback und bedanken uns für alle Empfehlungen!
Dies führte zu falschen Rechnungsstellungen und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement.
Der Landesbeauftragte, Prof. Dr. Kugelmann, betont: „Vorrangiges Ziel der Abhilfe- und Sanktionsmaßnahmen ist es, bestehende Defizite abzustellen und den Datenschutz zu verbessern. Geldbußen sind hierbei ein Instrument unter mehreren. Neben ihrer Sanktionswirkung enthalten sie immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird. Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“
Als Grund nannte Kelber das Fehlen von „hinreichenden technisch-organisatorischen Maßnahmen“ (TOMs) zum Schutz von Kundendaten. Die zum Konzernverbund gehörenden Mail-Anbieter Web.de und GMX sind davon jedoch nicht betroffen.
Die Aufsichtsbehörde kritisierte das unzureichende Authentifizierungsverfahren der 1&1 Telecom GmbH bei telefonischen Anfragen über die Kundenhotline. Die Angabe von Namen und Geburtsdatum hätten ausgereicht, um weitreichende personenbezogene Kundendaten zu erhalten. Dies stelle einen Verstoß gegen Artikel 32 DSGVO dar, da personenbezogene Daten nicht systematisch geschützt wurden und ein hohes Risiko für den gesamten Kundenbestand entstanden sei.
Das Unternehmen reagierte umgehend indem es den Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker absicherte. Darüber hinaus bemühe man sich ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren einzuführen.
Aufgrund dieses kooperativen Verhaltens der 1&1 Telecom GmbH bewege sich die Strafe noch im unteren Rahmen des Möglichen.
Gleichzeitig verhängte die Aufsichtsbehörde gegen einen weiteren Telekommunikationsanbieter, namentlich die Firma Rapidata, ein Bußgeld in Höhe von 10.000 Euro wegen eines Verstoßes gegen Artikel 37 DSGVO.
Die Beschlüsse Recht auf Vergessen I und II ergingen am selben Tag und stehen in direktem Zusammenhang. Während im ersten Blogeintrag die Grundsätze der Anwendbarkeit von Unionsgrundrechten und deutschem Grundgesetz aufgezeigt wurden, wird im Folgenden auf den Beschluss ‚Recht auf Vergessen I‘ eingegangen. In diesem schärft das BVerfG das Recht auf Vergessen.
Der Sachverhalt
Im zugrundeliegenden Fall begehrte der Beschwerdeführer die Löschung eines Artikels, der auf Spiegel Online kostenlos zum Abruf bereitgehalten wurde und bei Google bei Eingabe seines Namens unter den ersten Treffern auftauchte. Der Beschwerdeführer wurde 1982 wegen Mordes und versuchten Mordes zu einer lebenslangen Freiheitsstrafe verurteilt und 2002 auf der Haft entlassen. Während das Landgericht dem Beschwerdeführer noch einen Unterlassungsanspruch gegen die Veröffentlichung des Berichts zugestand und die Berufung erfolglos blieb, wies in der Revision der BGH die Klage ab.
Die rechtliche Würdigung
Das BVerfG stellt zunächst fest, dass die Verarbeitung zu journalistischen Zwecken in den Bereich des Medienprivilegs fällt, für das Art. 85 DSGVO eine Öffnungsklausel vorsieht. Wegen des weitgehenden Gestaltungsspielraums der Mitgliedstaaten, sei hier das deutsche Grundgesetz anwendbar. Gleichwohl könnten die Garantien der Unionsgrundrechte als Auslegungshilfe Berücksichtigung finden.
Bevor das BVerfG in die grundrechtliche Abwägung einsteigt setzt es sich dezidiert mit dem Recht auf Vergessen auseinander. Dieses leitet es aus dem allgemeinen Persönlichkeitsrecht in Abgrenzung zum Recht auf informationelle Selbstbestimmung ab. Allein Ersteres umfasse den Schutz vor der Verarbeitung personenbezogener Berichte und Informationen als Ergebnis eines Kommunikationsprozesses. In der Folge wägt das BVerfG das Recht auf Vergessen des Beschwerdeführers mit der Meinungsfreiheit und der Pressefreiheit von Spiegel Online ab. Während für aktuelle Berichterstattungen über Straftaten in der Regel dem Informationsinteresse Vorrang einzuräumen sei, könne ein zunehmender zeitlicher Abstand das Ergebnis verändern. Hierbei könne keine allgemeine Frist fixiert werden. Es müsse das Interesse an der Wiedereingliederung des Straftäters in die Gesellschaft berücksichtigt werden.
Bei der Abwägung sei insbesondere einzustellen, dass die Informationen für jedermann unmittelbar und dauerhaft abrufbar sind. Das BVerfG zählt ein Reihe weiterer in der Abwägung maßgeblicher Gesichtspunkte auf. So seien die Wirkungen, die zurückliegende Berichte auf das Privatleben und die Entfaltungsmöglichkeiten der Person haben, zu berücksichtigen. Auch komme es darauf an, ob das Ereignis für sich allein oder in gesellschaftlichem Kontext steht. Zudem komme es darauf an, ob das Verhalten des Betroffenen von einem „Vergessenwerdenwollen“ getragen sei. Die Belastungswirkung für den Betroffenen bestimme sich auch danach, ob der Bericht breitenwirksam gestreut wird, indem er durch Suchmaschinen leicht auffindbar ist. Das BVerfG stellt aber klar, dass es kein Recht auf Vergessenwerden in einem grundsätzlich allein von den Betroffenen beherrschbaren Sinn gebe.
Das Ergebnis
Die Entscheidung des BGH halte diesen Anforderungen nicht stand. Sie habe insbesondere die zeitliche Distanz zum Strafverfahren und die konkrete Situation des Beschwerdeführers nicht hinreichend gewürdigt.
