1. Nach dem EuGH nun auch der BGH – vorherige Einwilligung zu Cookies erforderlich
In seinem Urteil vom 28.05.2020 (Az. I ZR 7/16) hat der BGH entschieden, dass die Einwilligung des Nutzers für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung erforderlich ist. Dabei reicht es nicht aus, über ein sogenanntes Cookie-Banner auf die Verwendung von Cookies auf einer Website hinzuweisen oder begleitet mit einem Text, dass etwa mit dem Weitersurfen eine Einwilligung erteilt wird. Vielmehr bedarf es einer echten, aktiven Einwilligung. Und die fehlt bereits dann, wenn das Kästchen (Checkbox) für solch eine Einwilligungs-Abfrage schon vorangekreuzt ist. Denn genau darum ging es in dem Fall, der dem BGH vorlag. Zusammenfassend gilt: Wenn Sie Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung einsetzen (das bekannteste Beispiel ist Google Analytics), dann müssen Sie hierfür die Einwilligung des Besuchers der Webseite einholen, bevor ein solcher Cookie gesetzt wird. Aber Achtung: Nicht davon betroffen sind Cookies, die für die Darstellung und Nutzung der Website unbedingt notwendig sind. Zu diesen unbedingt erforderlichen Cookies beispielsweise die folgenden:
Diese Cookies werden als unbedingt notwendig angesehen, weshalb es keiner vorherigen Einwilligung bedarf. Wichtig ist aber, dass in diesen Cookies auch tatsächlich nur die notwendigen Angaben gespeichert werden, und dies zeitlich begrenzt. Allerdings gibt es auch noch Unsicherheiten, die durch die bisherigen Urteile noch nicht geklärt sind. Umstritten ist, ob beispielsweise Warenkorb-Cookies den Status auch nach der Beendigung des Browsers weiter speichern dürfen. Ebenso umstritten ist, ob die Reichweitenmessung und A/B-Tests auf der Website mittels Cookies analysiert werden dürfen. Da es für diese beiden Fälle noch keine Rechtsprechung gibt, müssen Sie bei Verwendung solcher Cookies ins Risiko gehen und ein Bußgeld der Datenschutzbehörden einkalkulieren, auch wenn dies nicht sehr wahrscheinlich ist. Auch hier können Sie auf Nummer sicher gehen und auch für diese Art von Cookies eine aktive Einwilligung vorschalten. Dann sind Sie auf jeden Fall auf der rechtlich sicheren Seite. |
2. Datenschutzpanne im Home-Office. Was tun?
Corona-Zeiten sind ungewöhnliche Zeiten. Dies gilt insbesondere für diejenigen Mitarbeiter, welche im Home-Office tätig sind. In diesem Zusammenhang stellen sich auch viele datenschutzrechtliche Fragen stellen. Hier ein Beispiel.
Ein Mitarbeiter, der aufgrund COVID-19 im Homeoffice arbeitete, meldete sich wegen einer möglichen Datenpanne. Er hatte Bewerbungsunterlagen mit nach Hause genommen. Als er nicht aufpasste, nahm sein kleines Kind das Papier auf dem Schreibtisch und malte darauf. Die Bilder gab es dann an das Nachbarskind weiter. Dessen Mutter bemerkte bei der Ansicht, dass es sich um wichtige Unterlagen handelte und informierte den Mitarbeiter, der uns informierte und fragte, ob 1. der Fall der Aufsichtsbehörde gemeldet werden muss und 2. Die Bewerber informiert werden müssen
Folgendes Vorgehen ist in solchen Fällen notwendig. 1. Zunächst ist der Sachverhalt vollständig aufzuklären und am besten und am besten schriftlich dokumentieren. Insbesondere ist genau zu prüfen, was als „Malpapier“ verwendet wurde. Gerade bei mehrseitigen Lebensläufen kommt es nicht selten vor, dass nur auf der ersten Seite personenbezogene Informationen zu finden sind. Auf Basis der nachfolgenden Seiten (Zeugnisse und andere Nachweise ausgenommen) lassen sich den Informationen ggfls. keine natürliche Person zuordnen. Dann wäre keine Meldepflicht gegeben. 2. Sind jedoch personenbezogene Daten in falsche Hände geraten, heißt es schnell handeln. Denn die die 72-Stunden-Frist nach Art. 33 Abs. 1 Datenschutz-Grundverordnung (DSGVO) ist grundsätzlich einzuhalten. Kann diese Frist nicht einhalten werden, ist das noch kein Beinbruch. Allerdings muss die Verzögerung begründet werden. 3. Auf der Webseite der zuständigen Aufsichtsbehörde sind Anleitungen und Formulare hinterlegt, wie zu melden ist und welche Angaben notwendig sind. Zu beachten ist: Es kommt nicht darauf an, ob die Datenschutzverletzung für den Betroffenen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten mit sich bringt. Grundsätzlich ist jede Verletzung zu melden. Allerdings ist vorab zu prüfen, ob die zuständige Aufsichtsbehörde besondere Festlegungen getroffen hat, was zu melden ist. 4. Ob eine Information des Betroffenen erforderlich ist, beurteilt sich nach Art. 34 DSGVO. Wichtigste Voraussetzung ist, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten des Betroffenen führen muss. Das dürfte im oben aufgezeigten Beispiel nicht der Fall sein, denn die Inhalte der Bewerbungen dürften nur kurzfristig, oberflächlich von der Mutter des Nachbarskind zur Kenntnis genommen worden sein. Üblicherweise sind in Bewerbungsunterlagen auch nur selten sensible Daten enthalten. Wenn doch, dann wäre auch der Bewerber zu informieren. 5. Buchst. a DSGVO). Ferner ist Adressat der datenschutzrechtlichen Pflichten der Verantwortliche, sprich: die Unternehmensleitung. Das heißt in der Folge auch: Ob etwas gemeldet wird und was gemeldet wird, entscheidet die Unternehmensleitung. Sie brauchen nur eine Empfehlung auszusprechen.
|
3. Internetkriminalität und Datenschutz in der Corona-Krise
Auch Internet-Kriminelle nutzen die aktuelle Corona-Krise aus, um per E-Mail-Phishing an persönliche Daten zu kommen. So gibt es beispielsweise ziemlich echt aussehende E-Mails, die vermeintlich vom Sparkassenverband kommen und sogar mit gutem Deutsch überzeugen. Das ist bei Phishing-Mails ja sonst nicht unbedingt der Fall. Der Vorwand für die Kontaktaufnahme war die angebliche Schließung von Filialen, zu denen es regional ja auch tatsächlich gekommen ist. Um eine reibungslose Kommunikation per Telefon oder Chat zu gewährleisten, werden dann über eine Website persönliche Daten abgefragt. Andere E-Mails kommen angeblich von der Weltgesundheitsorganisation WHO. Im Anhang der E-Mail befindet sich angeblich ein E-Book der WHO, dass die neuesten Informationen zum Corona-Virus enthalten soll. Öffnet man das E-Book, das sich in einem ZIP-Archiv befindet, dann wird unbemerkt ein Trojaner namens FormBook auf den PC nachgeladen. FormBook überwacht dann Ihre Tastatureingaben, stiehlt Daten aus dem Windows-Clipboard und aus Browsern und schickt diese dann an einen bestimmten Server. Die WHO selbst macht auf ihrer Website darauf aufmerksam, dass sie niemals unaufgefordert E-Mail-Anhänge verschickt und Empfänger niemals auf Links klicken sollen, die nicht auf die Domain who.int verweisen.
Andere Kriminelle versuchen von der Corona-Krise mittels professionell aussehender Fake-Shops zu profitieren. Da werden dann auf Webseiten zum Beispiel Schutzmasken und Desinfektionsmittel zum Verkauf angeboten. Das Geld dafür ist natürlich per Vorabkasse fällig, die erworbenen Schutzmasken gibt es aber gar nicht. Das Geld ist damit verloren. Solche Internet-Kriminelle können auch für große Unternehmen zur Gefahr wären, etwa wenn die Anhänge von Trojaner-E-Mails von einem Unternehmens-PC aus geöffnet werden. Oder wenn das Unternehmen Desinfektionsmittel für seine Mitarbeiter kaufen will.
Die Betrüger locken mit perfekt gefälschten E-Mails oder Internetseiten ihre Opfer in die Falle und verschaffen sich Zugang zu vertraulichen Daten. Typischerweise erhalten die potenziellen Opfer eine E-Mail oder eine Nachricht, die dem Empfänger das Gefühl vermittelt, aktiv werden zu müssen. Aktuell versenden Kriminelle häufig folgende Fälschungen bei denen es sich angeblich u.a. um Aufforderungen von Gesundheitsämtern oder Sicherheitsbehörden im Zusammenhang mit Corona, Informationen der Unternehmensleitung zur aktuellen Situation, Informationen der Personalabteilung oder von staatlichen Stellen bzw. Gewerkschaften zum Kurzarbeitergeld, Aufforderung des IT-Service zur Anmeldung an Systemen, etwa zur Nutzung einer Datenverbindung aus dem Homeoffice oder Stornierungen von Aufträgen oder Buchungen durch Kunden oder Lieferanten handelt. Kommt der Empfänger der jeweiligen Aufforderung nach und klickt z. B. auf einen in der E-Mail vorhandenen Link, wird unter Umständen eine Schadsoftware aktiviert, die das Gerät infiziert. Nun haben sich die Täter erfolgreich Zugang verschafft – und das Opfer hat meist nichts davon bemerkt.
Aktuell geht es Kriminellen vermehrt um Zugangsdaten. Die Betrüger senden beispielsweise eine angebliche Information der Unternehmensleitung oder der Personalabteilung mit einer PDF mit weiteren Informationen etwa zu Corona oder zu Kurzarbeit. Im PDF sind auch Links enthalten, die vorgeben, zu detaillierten Informationen zu führen. Klickt der Empfänger auf den Link, landet er auf einer gefälschten Seite, die ggf. sogar der aus der täglichen Arbeit bekannten wie Microsoft Sharepoint täuschend ähnelt. Hier soll der Empfänger der Betrugsmail dann die Anmeldeinformationen angeben, um an die weiterführenden Informationen zu gelangen. Und schon ist es passiert: Der Kriminelle kommt dadurch an echte Zugangsinformationen. Bis der Betroffene das bemerkt, ist schon meist ein erheblicher Schaden angerichtet. Die Methoden der Kriminellen sind raffiniert: Manchen Kriminellen gelingt es, das Corporate Design des vermeintlichen Absenders so täuschend echt nachzuempfinden, dass selbst erfahrene Experten Probleme haben, solche Fälschungen auf Anhieb zu erkennen. Umso wichtiger ist es, dass man nicht leichtgläubig wird. Die Methoden der Kriminellen sind rafiniert: Manchen Kriminellen gelingt es, das Corporate Design des vermeintlichen Absenders so täuschend echt nachzuempfinden, dass selbst erfahrene Experten Probleme haben, solche Fälschungen auf Anhieb zu erkennen. Umso wichtiger ist es, dass man nicht leichtgläubig wird. Selbst bei Forderungen der Leitung – nicht einfach glauben, was man sieht: Auf Unstimmigkeiten achten und die Dinge infrage stellen, die einem komisch vorkommen. Gerade bei Schreibfehlern, unpassenden Formalien oder unüblichen E-Mail-Adressen (z.B. max_mustermann@firma-service.xyz statt max.mustermann@firma.xyz) sollten die Alarmglocken schrillen. Und auch nicht einfach glauben, was man hört: Immer hinterfragen, ob ein Anrufer und sein Anliegen überhaupt echt sein können und zu den regulären Prozessen passen (z. B. bei Anrufen der angeblichen IT-Abteilung oder eines Helpdesks).
Folgende Punkt können auf eine sogenannte „Pishing-Attacke“ hinweisen:
a) Aufforderung zum Download von Informationen
Sie erhalten eine Information, anscheinend von der Unternehmensleitung, IT- oder Personalabteilung und werden zum Download von Informationen aufgefordert. Alternativ ist ein Link in einem PDF enthalten, der auf eine Dateiablage verweist (z. B. Microsoft Sharepoint). Auf einer gefälschten Seite sollen Sie dann Ihre Anmeldeinformationen angeben.
b) Aufforderung, Ihre Daten zu aktualisieren
Sie erhalten eine Nachricht von einem vermeintlich vertrauenswürdigen Absender mit der Aufforderung, Informationen wie Zugangsdaten, Kontonummer, PIN, TAN usw. einzugeben, um Ihre persönlichen Daten (z. B. Benutzerkonto im Unternehmen, Ihr Kundenkonto für Internetbanking oder PayPal) zu aktualisieren. Als Gründe für die notwendige Aktualisierung werden System-, Sicherheitsupdates oder behördliche Anordnungen genannt. Oder eben aktuell: Weil Hacker Ihr Konto im Zusammenhang mit Corona angegriffen haben, hat man Ihr Konto gesperrt. Das sollen Sie nun wieder entsperren.
c) Frist und Strafandrohung
Um Opfer zu unüberlegtem Handeln zu verleiten, versuchen die Täter, gezielt Druck aufzubauen. Gerne verwenden sie dafür gefälschte Absender von Behörden, z. B. Polizei, Staatsanwaltschaft, Gesundheitsamt. Neben der Handlungsaufforderung setzen die Betrüger Fristen und drohen mit Bußgeldern, wenn man nicht wie gefordert handelt.
d) Auffällige Sprache
Zeichen dafür, dass es sich bei einer E-Mail um eine Phishing-E-Mail handelt, können sprachliche und grammatikalische Fehler sein. Manchmal fehlen Umlaute wie Ä oder werden als AE geschrieben. Auch passen manchmal Anrede oder Schlussformel nicht zu dem, was Sie üblicherweise erwarten. Schreibfehler gibt es oft auch in Absenderadressen, bei denen man hofft, dass Sie diese übersehen.
e) Dringende Geldüberweisungen
Gerade in Corona-Zeiten können finanzielle Engpässe auftreten. Auch vorgetäuschte Anforderungen von Geschäftspartnern, Kunden, Vorgesetzten oder Mitgliedern der Unternehmensleitung, dringend bestimmte Transaktionen durchzuführen, sind eine perfide Masche der Kriminellen.
Das ist zu tun wenn Ihnen etwas verdächtigt vorkommt:
• Absender prüfen:
Nehmen Sie die Mail-Adresse des Absenders genau unter die Lupe. Fahren Sie dazu mit der Maus über den Namen in der „Von“-Zeile der E- Mail. So werden Details sichtbar und Sie erhalten nähere Informationen über die Herkunft der E-Mail. Sind Sie sich unsicher, fragen Sie bei den internen Stellen (z. B. Absender, Vorgesetzter) direkt nach, und zwar per Telefon und Rufnummer aus dem internen Telefonbuch
• Nicht Hals über Kopf reagieren:
Kommen Sie keinesfalls den Handlungsaufforderungen unüberlegt nach. Bewahren Sie Ruhe und besprechen Sie sich mit Vorgesetzten und internen Stellen.
• Nicht klicken:
Öffnen Sie keine in die E-Mail oder in einen Anhang integrierten Links oder an die E-Mail angehängte Dateien, wenn Sie sich deren Ungefährlichkeit nicht sicher sein können.
• Keine Eingabe vornehmen:
Geben Sie Ihre Zugangsdaten (z. B. zum Benutzerkonto im Unternehmen, Anmeldeinformationen in Portalen, Nutzerkennungen und Passwörter) nie an Dritte und Unbefugte weiter. Dies ist nie erforderlich, egal, welcher Druck aufgebaut wird.
• Keine Weiterleitung nutzen:
Folgen Sie keinen Links auf angeblich echte Seiten, die etwa in einer E-Mail erhalten sind. Loggen Sie sich in Ihr jeweiliges Kundenkonto ausschließlich ein, indem Sie die Ihnen bekannte Adresse der Internetseite im Browser selbst eingeben.
Übrigens sind einige Internet-Kriminelle anscheinend nicht komplett verantwortungslos. So haben zum Beispiel einige Gruppen von Cyberkriminellen, die Erpressungs-Trojaner nutzen, angekündigt, wegen des Corona-Virus alle Aktivitäten gegen medizinische Einrichtungen zu stoppen oder Entschlüsselungs-Software kostenlos zur Verfügung zu stellen.
Bleiben Sie deshalb auch in Zeiten der Corona-Krise besonnen und halten Sie sich bei E-Mails und Online-Shops an die üblichen Vorsichtsmaßnahmen, damit Sie nicht zum Opfer der Internet-Kriminellen werden.
4. Datenschutz, Sommerferien und Urlaub
Die Sommerferien stehen mal wieder vor der Tür. In wenigen Wochen beginnen in den ersten Bundesländern die großen Schulferien. Das bedeutet für fast alle Unternehmen: Viele Mitarbeiter sind für ein paar Wochen nicht im Büro und erholen sich im wohlverdienten Urlaub. Was hat das mit Datenschutz zu tun? Ganz einfach: Trotz Sommerpause laufen die Geschäfte weiter. Das heißt: Wichtige Projekte werden trotz Urlaubszeit fortgesetzt, es trudeln täglich weiter E-Mails ein, und das Telefon steht auch nicht wirklich still. Da manche Mitarbeiter ohne Vorbereitung in ihren Urlaub verschwinden und an ihrem Arbeitsplatz einfach alles stehen und liegen lassen, möchten wir mit den nachfolgenden Tipps helfen, dass Sie und die Mitarbeiter die Sommerpause sorgenfrei genießen können.
a) Bewahren Sie Vertrauliches stets sicher auf
Machen Sie „reinen Tisch“. Ein ordentlicher Arbeitsplatz erleichtert Ihnen nach der Urlaubszeit nicht nur das Zurückkommen ins Unternehmen, sondern sorgt auch dafür, dass während Ihrer Abwesenheit nichts abhandenkommt. Das heißt, lassen Sie keine Unterlagen, insbesondere solche mit vertraulichen Informationen, auf Ihrem Schreibtisch liegen. Schließen Sie Ihre Unterlagen und Aktenordner sicher weg. Klären Sie vor Ihrem Urlaub, inwieweit Ihr Stellvertreter oder Ihre Kollegen Zugriff auf die Dokumente benötigen, und hinterlegen Sie im Bedarfsfall einen Schlüssel. Bitte denken Sie daran: Ein absolutes No-Go ist die Weitergabe Ihrer Passwörter! Sie tragen die Verantwortung: Geben Sie Ihr Passwort weiter und wird damit bewusst oder unbewusst „Unfug“ angestellt, fällt das auf Sie zurück.
b) Richten sie ihren Anrufbeantworter ein
Um Kunden oder Geschäftspartnern die Möglichkeit zu geben, auch während Ihrer Abwesenheit eine Nachricht zu hinterlassen oder sich an Ihren Stellvertreter zu wenden, besprechen Sie Ihren Anrufbeantworter. Dabei reicht es aus, dem Anrufer mitzuteilen, bis wann Sie nicht persönlich anzutreffen sein werden. Dass Sie im Urlaub sind, braucht niemand zu wissen. Verweisen Sie zusätzlich auch auf Ihren Vertreter und teilen Sie mit, wie dieser in dringenden Fällen zu erreichen ist (E-Mail-Adresse und/oder Telefonnummer).
c) Richten Sie den Abwesenheitsassistenten ein
E-Mails kommen auch während Ihres Urlaubs in Ihrem Postfach an. Deshalb richten Sie einen Abwesenheitsassistenten ein, der den Absender darüber informiert, wann Sie wieder persönlich erreichbar sind und wer Sie in dringenden Fällen vertritt. Achtung: Aus Sicherheitsgründen teilen Sie nicht mit, dass Sie sich im Urlaub befinden – Sie wissen nie, wer diese Information in die Hände bekommt. Schlimmstenfalls nutzen Kriminelle diese Information und verschaffen sich Zutritt zu Ihrem Zuhause, während Sie auf Reisen sind. Geben Sie deshalb zum eigenen Schutz nur so viele Informationen ab, wie unbedingt notwendig sind.
Eine mögliche Formulierung könnte folgendermaßen aussehen:
Vielen Dank für Ihre E-Mail. Da ich momentan nicht im Büro bin, werde ich Ihre E-Mail frühestens am …….2020 beantworten können. Ihre E-Mail wird nicht automatisch weitergeleitet. In dringenden Fällen hilft Ihnen gerne meine Kollegin Frau Muster weiter. Sie erreichen sie per E-Mail unter M.Muster@xyzgmbh.de oder per Telefon unter 01234-56789.
d) Falls erforderlich – arbeiten Sie auch von unterwegs sicher
Der Urlaub ist zum Ausruhen da. Doch manche Tätigkeit oder Umstand bringt es mit sich, dass Sie im Notfall und nach vorheriger Absprache auch auf Reisen erreichbar sein müssen oder auch im Homeoffice tätig werden. Haben Sie aus diesem Grund Ihre Arbeitsutensilien mit im Gepäck, beachten Sie folgende Hinweise:
– Smartphone, Notebook, USB-Stick & Co.: Ihre mobilen Geräte enthalten schutzwürdige Informationen wie personenbezogene Daten. Denken Sie beispielsweise an E-Mail-Accounts, Adressbücher, aber auch Arbeitsunterlagen und Dateien. Gehen Ihre Geräte durch Verlust oder Diebstahl verloren und kommen in die falschen Hände, kann immenser Schaden entstehen. Deshalb überprüfen Sie regelmäßig und vor jeder Reise, ob Ihre Geräte nach dem neuesten Stand der Technik verschlüsselt sind, um auch bei Verlust der Geräte den Zugriff Unbefugter zu verhindern.
– Safe: Eine kleine Luftveränderung kann Wunder bewirken – so richtig Urlaubsstimmung kommt am besten auf, wenn der Urlaub nicht in den eigenen vier Wänden, sondern in einem Hotel oder Ferienapartment stattfindet. Doch gerade dann, wenn Sie unterwegs sind, gilt es, rechtzeitig vorzusorgen. Smartphone, Notebook, USB-Sticks und Arbeitsunterlagen müssen sicher aufbewahrt werden. Fragen Sie deshalb immer vor der Reise in Ihrem Feriendomizil nach, ob ein Safe vorhanden ist.
– WLAN: Weltweit das Internet nutzen zu können ist zwar praktisch, aber nicht ungefährlich. Verbinden Sie Ihr Smartphone oder den Laptop mit jedem beliebigen WLAN-Hotspot am Flughafen oder im Hotel, können Sie zum Opfer von Hackern werden, die Ihre Daten absaugen – oftmals völlig unbemerkt. Um sich vor Datenklau zu schützen, nutzen Sie immer einen sogenannten VPN-Tunnel (Virtual Private Network).
5. In eigener Sache
Aufgrund der Sommerferien 2020 fällt die jeweils am zweiten Montag des Monats stattfindende Schulung zum Datenschutz am 13.07.2020 aus. Der nächste Termin ist der 10.08.2020. Auf Wunsch kann die Schulung auch online stattfinden, da zur Zeit nur Präsensveranstaltungen bis max. 10 Personen durchgeführt werden dürfen.