Autor: Online Redaktion

Die Datenschutzgrundverordnung (DSGVO) bietet jeder Person, die von Datenverarbeitung betroffen ist, ein Auskunftsrecht. Ein Auskunftsanspruch kann jedoch abgelehnt werden, wenn er offenkundig unbegründet ist oder durch häufige Wiederholung als exzessiv gilt. Alternativ kann für die Bearbeitung des Anspruchs gemäß Art. 12 Absatz 5 DSGVO ein angemessenes Entgelt gefordert werden.

Das Oberlandesgericht Nürnberg beschäftigte sich kürzlich mit der Frage, wann ein Auskunftsanspruch als exzessiv zu bewerten ist (Endurteil vom 29.11.2023, Aktenzeichen 4 U 347/21). Im verhandelten Fall forderte ein ehemaliger Mitarbeiter und Vorstandsmitglied einer Firma umfassende Auskunft über seine gespeicherten Daten, einschließlich Protokolle und E-Mails. Die Firma lehnte dies ab, da sie den Anspruch als missbräuchlich und aufgrund des Aufwands als exzessiv ansah.

Das Gericht widersprach der Auffassung der Firma und entschied zugunsten des Ex-Mitarbeiters. Es stellte klar, dass das Motiv des Antragstellers irrelevant ist und der Aufwand der Datensammlung kein Grund für die Ablehnung sein kann. Es betonte, dass ein erster Antrag nicht grundsätzlich als exzessiv angesehen werden kann.

Die Rechtslage bezüglich des missbräuchlichen Einsatzes des DSGVO-Auskunftsanspruchs bleibt jedoch umstritten. Ein weiteres Beispiel ist ein Urteil des LG Gießen vom 11.01.2023 (Az.: 2 O 178/22), welches einen Anspruch wegen missbräuchlicher Verwendung als unzulässig erklärte. Daher ist eine endgültige Klärung dieser Frage durch höhere Gerichte noch ausstehend.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/aktuelle-urteile/139498-wann-dsgvo-auskunftsanspruch-exzessiv-und-rechtsmissbraeuchlich?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

In Reaktion auf ein bedeutendes Urteil des Europäischen Gerichtshofs (EuGH) vom vergangenen Dezember bereitet der deutsche Gesetzgeber aktuell eine Überarbeitung des Bundesdatenschutzgesetzes vor. Ziel ist es, den Umgang mit persönlichen Daten durch Auskunfteien wie die Schufa strenger zu regulieren. Das EuGH-Urteil hatte die Praxis des sogenannten Kreditscorings kritisiert, insbesondere in Fällen, in denen Auskunfteien wie die Schufa auf umfassende und teils sensible persönliche Daten zugreifen, um die Kreditwürdigkeit von Personen zu bewerten.

Dies verdeutlicht ein Fall aus Deutschland, in dem eine Frau gegen die Schufa klagte, weil sie einen Kredit nicht erhalten hatte. Sie forderte die Löschung eines Eintrags und den Zugang zu ihren Daten. Die Schufa teilte ihr jedoch nur den Score-Wert und allgemeine Informationen zu dessen Berechnung mit. Der EuGH verhandelte diesen Fall und stellte fest, dass dieses Verfahren eine unzulässige automatisierte Entscheidung darstellt.

Die geplanten Gesetzesänderungen zielen darauf ab, den Zugang zu persönlichen Daten einzuschränken und gleichzeitig mehr Transparenz darüber zu schaffen, woher diese Daten stammen. Künftig sollen Auskunfteien nicht mehr automatisch Daten wie Wohnadresse, soziale Medien, Bankbewegungen, Gesundheitsdaten oder Informationen über ethnische Herkunft für das Scoring verwenden dürfen.

Eine wichtige Änderung ist die Verpflichtung der Auskunfteien, die genauen Berechnungsmethoden ihres Scorings offenzulegen, wenn Verbraucher danach fragen. Dies stellt eine signifikante Abkehr von der bisherigen Praxis dar, in der sich die Schufa oft auf das Geschäftsgeheimnis berufen konnte, um detaillierte Auskünfte zu verweigern.

Diese legislativen Anpassungen sind noch nicht final, da sie die Zustimmung des Bundestags und des Bundesrats benötigen. Bundesverbraucherschutzministerin Steffi Lemke hat die Änderungen jedoch bereits begrüßt und betont, dass sie dazu beitragen werden, Diskriminierung durch Scoring-Verfahren zu vermeiden und den Verbraucherschutz zu stärken.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/gesetze/139518-strengere-regeln-schufa-kreditscoring?utm_source=newsletter&utm_medium=email&utm_campaign=wee

Nutzer des Facebook Marketplace sollten aus Sicherheitsgründen die Website „Have I Been Pwned?“ überprüfen, da laut Heise eine Datenbank mit rund 200.000 Einträgen und Informationen von 77.267 Nutzern von Kriminellen kopiert wurde.

In der Datenbank befinden Namen, E-Mail-Adressen, Passwörter und Telefonnummern. Obwohl die Passwörter verschlüsselt sind und derzeit sicher scheinen, wird dennoch empfohlen, sie zu ändern, da die gestohlenen Daten bereits in einem Hacker-Forum aufgetaucht sind. Diese Daten wurden im Oktober 2023 von einem Cyberkriminellen, bekannt unter dem Namen „agoatson“, illegal über Discord durch Ausnutzung eines Schwachpunktes eines Cloud-Service-Anbieters von Facebook kopiert.

Dies ist nicht das erste Mal, dass Facebook von einem Datenleck betroffen ist. Im Jahr 2021 wurden etwa 1.5 Milliarden Datensätze von Facebook-Nutzern im Darknet entdeckt und zum Verkauf angeboten. Solche Vorfälle haben zu erheblichen Strafen geführt und offenbaren das Ausmaß, in dem Unternehmen Zugang zu Nutzerdaten haben können. Eine Untersuchung der US-Verbraucherorganisation Consumer Reports ergab, dass die Daten eines Nutzers Verbindungen zu 48.000 Unternehmen aufwiesen.

Die Überprüfung über „Have I been Pwned?“ können wir gerne für Sie vornehmen. Hierfür können Sie uns gerne über unser Kontaktformular kontaktieren.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/digital-tech/cyberkriminalitaet/139594-facebook-marketplace-daten-77-000-usern-geleakt?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Der Digital Services Act, der ab dem 17. Februar vollständig in Kraft getreten ist, bringt wichtige Änderungen für Online-Händler mit sich. Dieses Gesetz zielt darauf ab, den europäischen Verbrauchern sicheres Online-Shopping zu ermöglichen und hat daher direkte Auswirkungen auf Verkäufer auf Plattformen wie eBay, Amazon und Kaufland.

Ein zentraler Punkt des Gesetzes ist Artikel 30, der verlangt, dass Plattformen gewährleisten, dass Händler nur dann Produkte anbieten dürfen, wenn umfassende Kontaktinformationen vorliegen. Hierzu zählen Name, Adresse, Telefonnummer, E-Mail-Adresse, eine Kopie des Identitätsdokuments des Unternehmers, Zahlungskontodaten, gegebenenfalls das Handelsregister und die Handelsregisternummer. Zudem wird eine Selbstbescheinigung benötigt. Diese Selbstbescheinigung ist eine Neuerung, bei der sich Händler verpflichten, ausschließlich Waren anzubieten, die den EU-Rechtsvorschriften entsprechen.

Mit der Einführung dieses Gesetzes müssen Marktplatzbetreiber strengere Kontrollen durchführen, was für die Händler bedeutet, dass sie sorgfältig alle geforderten Unterlagen bereitstellen müssen, um Konflikte, besonders auf Plattformen wie Amazon, zu vermeiden.

Allerdings enthält der Digital Services Act in Artikel 29 eine Ausnahmeregelung für sehr kleine Plattformen, die sich speziell an Kleinst- und Kleinunternehmer richten, wie zum Beispiel Handmade-Märkte. Dies bietet eine gewisse Flexibilität für kleinere Akteure im Online-Handel.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/gesetze/139555-plattform-haendler-muessen-selbstbescheinigung-einreichen?utm_source=newsletter&utm_medium=email&utm_campaign=wee

Der Digital Services Act (DSA), der seit 2020 entwickelt wird, zielt darauf ab, die rechtlichen Rahmenbedingungen für digitale Dienste in der EU zu aktualisieren. Insbesondere soll er sicherstellen, dass Online-Vermittlungsdienste wie Suchmaschinen, soziale Netzwerke und Online-Marktplätze illegale Inhalte schneller und systematischer entfernen.

Seit dem 17. Februar 2024 ist ein neuer Abschnitt des DSA in Kraft, der sich auch Hosting-Anbieter auswirkt. Diese müssen seitdem die folgenden  Anforderungen erfüllen:

– zentrale Kontaktstelle für Meldungen mutmaßlicher rechtswidriger Inhalte einrichten und bekannt machen
– Regelungen zur Inhaltsmoderation in ihren Nutzungsbedingungen bzw. Allgemeinen Geschäftsbedingungen darlegen
– ein Verfahren für die Meldungen und Bearbeitung rechtswidriger Inhalte einrichten
– Transparenzberichte erstellen

Diese Änderungen haben direkte Auswirkungen auf die rechtlichen Dokumente der Unternehmen, die entsprechend aktualisiert werden müssen. Dazu gehören das Impressum, die Allgemeinen Geschäftsbedingungen und Datenschutzerklärungen.

Der DSA weist zudem Parallelen zur bestehenden Verordnung zur Bekämpfung terroristischer Online-Inhalte auf. Ähnliche Anforderungen, wie die Einrichtung von Kontaktstellen für behördliche Meldungen oder Strategien zur Bekämpfung terroristischer Inhalte in den AGB, sind auch hier vorgesehen. Zudem könnten bei Nichteinhaltung des DSA Sanktionen drohen. Obwohl die nationalen Umsetzungsgesetze noch in Entwicklung sind, könnten bald Bußgelder von bis zu 50.000 Euro verhängt werden. Die Nichtbeachtung der neuen Vorschriften könnte auch als Wettbewerbsverstoß gewertet werden.

Gerne können Sie uns diesbezüglich kontaktieren. Wir stellen Ihnen diese Rechtstexte gerne zur Verfügung.

Weitere Informationen finden Sie hier:
https://www.hb-ecommerce.eu/2024/02/12/digital-services-act-und-tco-verordnung-welche-pflichten-gelten-fuer-anbieter-von-hosting-diensten/

Internationale Sicherheitsbehörden, darunter die britische National Crime Agency, das FBI, Europol sowie das BKA und LKA Schleswig-Holstein, haben einen bedeutenden Erfolg im Kampf gegen die Cyberkriminalität erzielt. Sie griffen die berüchtigte Hackergruppe Lockbit an, die für ihre Ransomware-Attacken bekannt ist. Bei einem gezielten Einsatz an einem Montagabend konnten wichtige Teile ihrer Infrastruktur unter Kontrolle gebracht werden.

Im Rahmen dieser Operation wurden 34 Server und 200 Kryptowährungs-Wallets beschlagnahmt und zwei Personen in Polen und der Ukraine verhaftet. Trotz dieser Erfolge sind einige Webseiten der Gruppe und sensible Daten der Opfer noch immer zugänglich.

Lockbit, eine der führenden Hackergruppen weltweit, hat sich auf Ransomware-Angriffe spezialisiert. Diese Angriffe zielen darauf ab, Unternehmensdaten zu verschlüsseln und die Freigabe nur gegen Lösegeld zu erlauben. Die Gruppe hat zahlreiche Ziele ins Visier genommen, darunter Unternehmen und Einrichtungen im Gesundheitswesen wie Boeing, die britische Royal Mail und verschiedene Krankenhäuser. Seit 2020 wurden mindestens 1.700 US-Organisationen von Lockbit angegriffen.

Durch ein Partnerprogramm, das anderen kriminellen Akteuren ermöglicht, ihre Dienste gegen eine Gewinnbeteiligung von 20 Prozent zu nutzen, hat die Gruppe ihre Aktivitäten erweitert. Diese Strategie verstärkt ihre Reichweite und Macht im Bereich der Cyberkriminalität.

Die jüngsten Erfolge im Kampf gegen Lockbit senden eine klare Botschaft an ähnliche Netzwerke. Sie zeigen, wie wichtig und wirksam die internationale Zusammenarbeit in der digitalen Ära ist. Gleichzeitig betonen sie die anhaltende Herausforderung, gegen solche agilen und technisch fortgeschrittenen Bedrohungen vorzugehen.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/digital-tech/cyberkriminalitaet/139576-behoerden-kapern-websites-gefaehrlichsten-hacker-kollektive?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Generell ist es gemäß Art. 32 DSGVO unabdingbar, ein entsprechend abgesichertes Active Directory (AD) vorweisen zu können, um ein angemessenes Sicherheitsniveau zu gewährleisten.

Ein Active Directory ermöglicht die Gliederung eines Netzwerks entsprechend der realen Struktur des Unternehmens oder seiner räumlichen Verteilung.
Dazu werden Objekte im Netzwerk wie Benutzer, Gruppen, Computer, Dienste, Server, Dateifreigaben sowie andere Geräte wie Drucker und Scanner verwaltet und deren Eigenschaften festgelegt.
Ein gut aufgebautes Active Directory ermöglicht es einem Administrator, die relevanten Informationen der Organisation bereitzustellen, diese einfach zu organisieren und zu überwachen.

Insbesondere angesichts der kontinuierlichen Zunahme von Cyberangriffen und der voraussichtlichen Fortdauer dieses Trends ist die Stärkung der IT-Sicherheit von entscheidender Bedeutung, was logischerweise auch im Interesse des Datenschutzes liegt.
Die Herausforderungen beginnen jedoch oft bereits aufgrund der enormen Datenmenge dabei, einen Bericht darüber zu erhalten, wo genau im eigenen System die Schwachstellen liegen und welche Prioritäten gesetzt werden sollten.
Gemäß Artikel 32 der DSGVO obliegt es den Verantwortlichen, einen angemessenen Sicherheitsstandard auf dem Stand der Technik herzustellen und aufrechtzuerhalten.

Die Unterstützung und Beratung in dieser Hinsicht zählt jedoch auch zu den Aufgaben des Datenschutzbeauftragten gemäß Art. 39 DSGVO in Verbindung mit Art. 32 DSGVO und Art. 25 DSGVO.
Durch eine entsprechende Einbindung des Datenschutzbeauftragten ist es möglich, zahlreiche Risikofaktoren zu überprüfen und entsprechende Berichte zu erstellen, um potenzielle Schwachstellen gezielt zu beseitigen.

Eine Ransomware-Attacke hat den deutschen Hörgerätehersteller Kind, mit Sitz in Großburgwedel, schwer getroffen, wodurch die Lieferkette zu Hunderten von Filialen deutschlandweit unterbrochen wurde. Der Cyberangriff, der am 6. Februar stattfand, hat die IT-Infrastruktur des Unternehmens stark beeinträchtigt, was zu erheblichen Betriebsstörungen führte. Trotz der unmittelbaren Reaktion des Unternehmens, die betroffenen Systeme zu isolieren, und der laufenden Bemühungen, den Schaden zu beheben, bleibt die Wiederherstellung der vollen Arbeitsfähigkeit eine Herausforderung.

Die Unternehmensgruppe, die seit 1952 besteht und mittlerweile auch in anderen Geschäftsfeldern wie Augenoptik und Arbeitsschutzkleidung tätig ist, beschäftigt über 3.500 Mitarbeiter und betreibt mehr als 700 Fachgeschäfte. Der Angriff hat nicht nur interne Prozesse gestört, sondern auch direkte Auswirkungen auf etwa 3.000 Mitarbeiter und den Service in rund 600 Geschäften in Deutschland, Österreich, der Schweiz und Luxemburg. Derzeit sind keine Lieferungen an diese Geschäfte möglich, was die Geschäftstätigkeit erheblich beeinträchtigt, obwohl die Filialen geöffnet bleiben und Kundenberatung weiterhin möglich ist.

Kritische Stimmen, wie die des IT-Experten Günter Born, hinterfragen die Einschätzung des Unternehmens bezüglich der Schadensbegrenzung, da der Betrieb immer noch nicht vollständig wiederhergestellt ist und Mitarbeiter in einigen Bereichen auf manuelle Arbeitsmethoden zurückgreifen müssen.

Dieser Vorfall unterstreicht die zunehmende Bedrohung durch Cyberkriminalität für Unternehmen in Deutschland, wie jüngste Angriffe auf andere bedeutende Firmen zeigen. Die Ermittlungen laufen, während Kind daran arbeitet, die Sicherheit zu erhöhen und die vollständige Betriebsfähigkeit wiederherzustellen.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/keine-neuen-hoergeraete-kind-gruppe-kann-nach-cyberangriff-filialen-nicht-beliefern-2402-182251.html?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Cyberangriffe haben die persönlichen Daten von mehr als 33 Millionen Menschen in Frankreich, also fast der Hälfte der Bevölkerung, kompromittiert. Dies stellt nach Angaben der französischen Datenschutzbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) den größten Datendiebstahl in der französischen Geschichte dar. Die Angriffe richteten sich gegen Viamedis und Almerys, zwei Serviceanbieter des französischen Gesundheitsversicherungssystems, und resultierten in der unerlaubten Beschaffung von Daten wie Geburtsdaten, Familienstand, Sozialversicherungsnummern und weiteren Informationen. Bankdetails oder medizinische Daten wurden nicht entwendet.

Experte Yann Padova betrachtet diesen Vorfall als den signifikantesten Datendiebstahl in Frankreich. Die CNIL hat angekündigt, zu prüfen, ob die ergriffenen Sicherheitsmaßnahmen den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entsprechen. Nach einem Bericht von Euronews nutzten die Hacker Phishing-Methoden, um sich Zugang zu den Systemen zu verschaffen. Die betroffenen Personen werden von ihren Krankenversicherungen über den Vorfall informiert. Die CNIL warnt vor der Möglichkeit, dass die gestohlenen Daten für zielgerichtete Phishing-Angriffe verwendet werden könnten.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/cyberangriff-hacker-erbeuten-daten-von-jedem-zweiten-buerger-frankreichs-2402-182100.html?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Beim Online-Banking ist das sogenannte Spoofing, bei dem Betrüger eine falsche Identität vorspiegeln, eine verbreitete Masche. Beim Call-ID-Spoofing verwenden sie gefälschte Telefonnummern, um Vertrauen zu erschleichen. Ein Gerichtsurteil des LG Köln stellte klar, dass Kunden, die unter solchen Umständen handeln, nicht als grob fahrlässig gelten. In einem Fall verlor ein Sparkassenkunde 14.000 Euro durch einen solchen Betrug, nachdem er auf einen getarnten Anruf reagierte und unbewusst Transaktionen autorisierte.

Im spezifischen Fall erhielt der Kunde im September 2022 einen Anruf, bei dem die ihm bekannte Nummer seiner Bank angezeigt wurde. Der Anrufer behauptete, das Konto sei wegen Betrugsfällen gesperrt und könne durch Freigabe über die pushTAN-App entsperrt werden. Der Kunde folgte der Anweisung, nicht wissend, dass er einem Betrüger aufsaß, der Call-ID-Spoofing nutzte.

Das Gericht entschied, dass die Bank den vollen Betrag erstatten muss, da der Kunde nicht adäquat autorisiert hatte. Diese Entscheidung betont die Verantwortung der Banken, bei Betrugsfällen ihre Kunden zu schützen und stützt sich auf rechtliche Grundlagen, die eine solche Erstattung vorsehen. Das Urteil verdeutlicht zudem, wie wichtig es für Verbraucher ist, sich über die Risiken des Online-Bankings und die Betrugsmethoden wie Spoofing bewusst zu sein, um sich besser schützen zu können.

Dieser Fall wirft auch ein Licht auf die fortschrittlichen Methoden, die Betrüger nutzen, und die Notwendigkeit für Banken, ihre Sicherheitsmaßnahmen ständig zu aktualisieren, um ihre Kunden zu schützen. Es zeigt außerdem, dass Kunden bei verdächtigen Anrufen oder Aufforderungen, die ihre Finanztransaktionen betreffen, äußerst vorsichtig sein und die Echtheit der Anfragen kritisch überprüfen sollten. Die Rolle der Gerichte bei der Klärung solcher Fälle ist entscheidend, um Präzedenzfälle zu schaffen, die sowohl Verbrauchern als auch Finanzinstituten Orientierung bieten.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/aktuelle-urteile/139492-bank-kundschaft-fehlbetraege-manipulation?utm_source=newsletter&utm_medium=email&utm_campaign=wee