Liebe Leserin, lieber Leser,
wir haben das Neueste aus dem Datenschutz und der Informationssicherheit im Monat März 2025 für Sie zusammengefasst.
DATENSCHUTZ
Abschaffung der Online-Streitbeilegungsplattform der EU
Aufgrund mangelnder Nachfrage wird die Europäische Plattform für Online-Streitbeilegung (OS-Plattform) eingestellt. Der Meldekanal zur Einreichung von neuen Beschwerden zwischen Onlinehändlern und Verbrauchern wurde am 20. März 2025 geschlossen. Die Nutzung der Plattform ist noch bis zum 19. Juli 2025 möglich, danach ist der Zugang endgültig abgeschaltet.
Verantwortlichen von Webseiten wird nun empfohlen, den Passus mit Link auf die Online-Streitbeilegung zu entfernen z.B. Plattform der EU-Kommission zur Online-Streitbeilegung. Der zweite Satz "Wir sind zur Teilnahme an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle weder verpflichtet noch bereit" kann unverändert bestehen bleiben. Der Verweis auf eine nicht mehr existierende Plattform auf der eigenen Webseite könnte als irreführend ausgelegt und damit abgemahnt werden. Passen Sie diese Textpassage am besten zeitnah an!
INFORMATIONSSICHERHEIT
Mehr digitale Souveränität: Microsoft stellt EU-Datengrenze fertig
Nach zwei Jahren schrittweisem Aufbau hat Microsoft die EU-Datengrenze nun offiziell abgeschlossen. Damit verpflichtet sich der Konzern, die Daten von Unternehmen und Organisationen ausschließlich innerhalb der EU und der Europäischen Freihandelsassoziation (EFTA) zu speichern und zu verarbeiten. Die Datengrenze betrifft Cloud-Dienste wie Azure, Microsoft 365 und Dynamics 365. Ziel ist es, die Transparenz und die Kontrolle über Unternehmensdaten zu stärken. Zudem soll die Lösung das Vertrauen der Anwender in das Unternehmen stärken.
Allerdings gibt es auch Ausnahmen: Bei bestimmten Azure-Diensten müssen Kunden zukünftig individuelle Vereinbarungen mit Microsoft abschließen. Und Microsoft behält sich vor, Daten auch in beliebige Rechenzentren außerhalb Europas zu übertragen, wenn dies aus Gründen der Cybersicherheit notwendig sein sollte.
DATENSCHUTZ
Rechtsverstoß wegen automatischer Antwort-E-Mail
Mit dem Urteil vom 25. Februar 2025 entschied das LG München, dass eine automatisierte Antwort-E-Mail auf Anfragen an die im Impressum angegebene E-Mail-Adresse eine Irreführung durch Unterlassen nach § 5a UWG darstellt (Az. 33 O 3721/24, nicht rechtskräftig). Ein bekannter Anbieter von Internetdiensten für Performance und Cybersicherheit hatte die im Impressum angegebene E-Mailadresse mit einer Auto-Reply Antwort hinterlegt. In der automatischen Antwort wurde auf alternative Kontaktwege z.B. ein Online-Formular verwiesen. Dagegen klagte die Wettbewerbszentrale und bekam Recht.
Das Urteil verdeutlicht, dass die im Impressum angegebene E-Mail-Adresse stets eine direkte Kontaktaufnahme ermöglichen muss. Eine automatische Rückantwort, die auf andere Kommunikationskanäle verweist, reicht nicht aus.
INFORMATIONSSICHERHEIT
BSI veröffentlicht Jahresrückblick: 'Digitaler Verbraucherschutz 2024'
In dieser neuen Publikation präsentiert das BSI interessante Statistiken zum Verbrauchermarkt und legt dabei einen besonderen Fokus auf sichere Authentisierungslösungen für Onlinedienste. Die Relevanz der aufgegriffenen Themen ist enorm, ebenso wie der Handlungsbedarf: Allein im vergangenen Jahr verzeichnete das Service Center des BSI über 17.000 Anfragen zu Cybercrime von Verbrauchern. Phishing, Onlinebetrug und Accountmissbrauch waren dabei die häufigsten Anliegen. Einen Blick darauf zu werfen lohnt sich, da neben Zahlen auch praxisnahe Tipps für mehr digitale Sicherheit gegeben werden.
DATENSCHUTZ
Deutsche Datenschutzaufsichtsbehörden beteiligen sich an europaweiter Prüfaktion zum Recht auf Löschung
Der Europäische Datenschutzausschuss (EDSA) hat Anfang März eine europaweit koordinierte Durchsetzungsmaßnahme gestartet, an der 32 Datenschutzaufsichtsbehörden teilnehmen. Aus Deutschland beteiligen sich die Aufsichtsbehörden aus Baden-Württemberg, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz sowie die Bundesbeauftragte.
Die Schwerpunktprüfung soll aufzeigen, wie gut das essenzielle "Recht auf Löschung" in der Praxis umgesetzt wird. Das zentrale Kerninstrument hierfür ist ein europaweit abgestimmter Fragebogen, der im Laufe des März an verantwortliche Stellen zugestellt wird. Die Ergebnisse werden im Rahmen der EDSA analysiert und nach Abschluss in einem Bericht veröffentlicht.
In der Praxis ist die Einführung eines Löschkonzepts für viele Organisationen besonders herausfordernd und wird daher gerne aufgeschoben. Diese Durchsetzungsmaßnahme unterstreicht den Stellenwert des "Rechts auf Löschung" nochmals. Organisationen sollten sich dieser Thematik annehmen und den eigenen Umsetzungsstand kritisch prüfen. Der erwähnte Fragenkatalog kann, sobald er verfügbar ist, als hilfreiche Orientierungsgrundlage dienen.
DATENSCHUTZ
Mitarbeiterexzess mit frauenverachtender Motivation führt zur Zahlung von Bußgeld
Ein Polizeibeamter führte ohne dienstlichen Anlass eine Abfrage im Melderegister durch, um das Lichtbild einer zuvor bei einer Verkehrskontrolle angetroffenen Frau, einzusehen. Hintergrund dieser Abfrage war eine unvertretbare Praxis: Er bewertete im Dienst angetroffene Frauen regelmäßig auf einer Skala von 1 bis 10 und rief ab einem bestimmten Schwellenwert das Lichtbild ab.
Der Landesbeauftragte für Datenschutz aus Baden-Württemberg verhängte ihm für diesen eindeutigen Verstoß gegen Art.6 Absatz 1 und Art.5 Absatz 1 der DSGVO ein Bußgeld in Höhe von 3500 Euro. Besonders schwer wog hier der Vertrauensmissbrauch, da Polizisten leichten Zugang zu sensiblen Daten haben und verpflichtet sind, verantwortungsvoll damit umzugehen. In solchen Fällen - sogenannten Mitarbeiterexzessen - können Mitarbeitende daher auch als Privatpersonen zur Rechenschaft gezogen werden.
DATENSCHUTZ
EuGH verhängt Deutschland Geldstrafe wegen verspäteter Umsetzung der EU-Whistleblower-Richtlinie
In seinem Urteil in der Rechtssache C-149/23 verhängte der Europäische Gerichtshof kürzlich eine Strafe von 34 Millionen Euro gegen die Bundesregierung. Grund dafür ist die verspätete Umsetzung der EU-Richtlinie zum Schutz von Whistleblowern. Diese Richtlinie sollte Menschen, die Missstände in Unternehmen und Organisationen veröffentlichten wollen, besser vor Repressalien schützen und sichere Kanäle zur Meldung schaffen. Die deutsche Umsetzung - das Hinweisgeberschutzgesetz (HinSchG) - trat jedoch erst verspätet in Kraft und das hat nun erhebliche finanzielle Folgen.
Dieses Urteil lässt auch nichts Gutes für das laufende Vertragsverletzungsverfahren im Zusammenhang mit der NIS-2-Richtlinie erahnen. Auch hier wurde die von der EU vorgegebene Frist (Oktober 2024) zur Umsetzung in nationales Recht nicht eingehalten. Es droht die nächste Geldstrafe in Millionenhöhe...
INFORMATIONSSICHERHEIT
Cyberangriffe im März
Cyberangriffe können Unternehmen so schwer treffen, dass sie in die Insolvenz geraten – so erging es dem Autohaus Bauer in Flensburg. 2022 gelang es Hackern, in nur anderthalb Stunden 25 Server zu zerstören und alle Daten zu löschen. Der Traditionsbetrieb erlitt einen Schaden von rund zwei Millionen Euro und stand vor dem Aus. Aufgeben war jedoch keine Option - stattdessen wagten sie einen kompletten Neustart. In diesem aktuellen Video-Beitrag berichtet die Geschäftsführerin von dem Vorfall und den Folgen, mit denen das Unternehmen teilweise bis heute zu kämpfen hat.
STADTWERKE SCHWERTE
Anfang März wurden die Stadtwerke Schwerte aus NRW Opfer eines Cyberangriffs. Bereits im Oktober 2023 hatte eine massive Attacke auf den Dienstleister Südwestfalen-IT die gesamte Stadtverwaltung Schwerte lahmgelegt. Jetzt führte eine Störung im internen Netzwerk dazu, dass das Online-Kundenportal nicht genutzt werden konnte. Auf der Webseite und Social Media informierten die Stadtwerke ihre Kunden transparent über den aktuellen Stand der Bewältigung.
KURZNACHRICHTENDIENST X
Am 10. März hatten Nutzer des Kurznachrichtenonlinediensts X weltweit stundenlang mit Störungen beim Aufrufen der Plattform zu kämpfen. Verantwortlich dafür waren massive DDoS-Angriffswellen. Im Netz kursierte im Zusammenhang mit diesem Vorfall der Hashtag #TwitterDown.
AERTICKET
Auch den großen Flugticket-Großhändler Aerticket hat es diesen Monat getroffen. Unter anderem war das Buchungssystem Cockpit aufgrund einer Cyberattacke nicht mehr nutzbar. Auf der Webseite des Unternehmens ist derzeit lediglich eine Pressemitteilung zum Vorfall zu sehen. Gut eine Woche nach dem Angriff führte Aerticket aber ein abgespecktes Ersatzbuchungssystem für ihre Kunden ein.
GEMEINDE KIRKEL
Durch einen Cyberangriff wurde auch die IT-Infrastruktur der Gemeinde Kirkel im Saarland schwer getroffen: Etwa 100 Geräte mussten nach der Infiltrierung durch Schadsoftware komplett neu aufgesetzt werden. Das Rathaus blieb daraufhin erstmal für unbestimmte Zeit geschlossen. Dank regelmäßigen Backups hielt sich der Datenverlust jedoch in Grenzen. Aktuell wird mit Hochdruck daran gearbeitet, die Verwaltung wieder vollumfänglich betriebsfähig zu machen.
SOZIAL-HOLDING DER STADT MÖNCHENGLADBACH GmbH
Die Sozial-Holding der Stadt Mönchengladbach GmbH wurde durch eine Server-Verschlüsselung außer Betrieb gesetzt. Die Kommunikation per E-Mail und Telefon war daraufhin nicht mehr möglich. Sensible personenbezogene Daten sowie die Dokumentationen des Pflegepersonals sind jedoch nicht abgeflossen. Der Geschäftsführer wandte sich in einem Brief an die Hacker und machte darin auf die soziale Verantwortung des Unternehmens aufmerksam.