Bitkom und BSI starten Umfrage zu IT-Systemausfällen infolge eines Crowdstrike-Updates
Am 19. Juli 2024 führte ein fehlerhaftes Update einer IT-Security-Lösung des Herstellers Crowdstrike zu Systemabstürzen bei geschätzt 8,5 Millionen Windows-Geräten weltweit. Dieser Vorfall verursachte erhebliche Störungen in verschiedenen Wirtschaftssektoren. Nach ersten Schätzungen war von Versicherungsschäden in Höhe von 1,5 Milliarden Dollar die Rede.
Individuelle Folgen und der Schaden für die deutsche Wirtschaft sind derzeit nur schwer abschätzbar, da es an objektiven Daten mangelt.
Daher haben der Digitalverband Bitkom und das BSI eine Studie initiiert, die dabei helfen soll, die Dimension des durch die Systemausfälle entstandenen Schadens zu erfassen.
Die Umfrage ist online ausfüllbar und richtet sich an alle Unternehmen in Deutschland, die von den Systemausfällen am 19. Juli 24 betroffen waren – direkt oder auch indirekt, etwa durch gestörte Lieferketten oder Beeinträchtigungen bei Geschäftspartnern. Abgefragt werden unter anderem Art und Umfang der Störungen (Computer- bzw. Serverausfälle, Systemabstürze, Nichtverfügbarkeit von Daten oder Netzwerkprobleme), deren unmittelbare Folgen (z.B. die temporäre Einstellung des Geschäftsbetriebs), der Aufwand zur Wiederherstellung des IT-Betriebs sowie der geschätzte finanzielle Schaden.
Die Studie wird von Bitkom Research im Auftrag des BSI und des Digitalverbands Bitkom durchgeführt. Die Befragung richtet sich an Unternehmen aus Deutschland und findet bis zum 21. August statt. Die Teilnahme an der Umfrage erfolgt anonym und dauert etwa zehn Minuten. Interessierte können ihre E-Mail-Adresse hinterlassen, um die Ergebnisse nach Abschluss der Auswertung zu erhalten.
Zur Pressemitteilung vom 8.8.2024 und dem Link zur Umfrage gelangen Sie hier.
Anwendung der DSGVO: EU-Kommission legt zweiten Bericht vor
Am 25.7.2024 (COM(2024) 357 final) hat die EU-Kommission ihren zweiten Bericht zur Anwendung der Datenschutz-Grundverordnung (DSGVO) vorgelegt.
Die DSGVO ist einer der Eckpfeiler des Ansatzes der EU für den digitalen Wandel. Ihre Grundsätze – eine faire, sichere und transparente Verarbeitung personenbezogener Daten, die sicherstellt, dass Einzelpersonen die Kontrolle behalten – liegen allen EU-Maßnahmen zugrunde, die die Verarbeitung personenbezogener Daten betreffen. Seit dem Bericht 2020 hat die EU eine Reihe von Initiativen angenommen, mit denen die Einzelnen in den Mittelpunkt des digitalen Wandels gestellt werden sollen. Jede Initiative verfolgt ein besonderes Ziel, wie die Schaffung eines sichereren Online-Umfelds, eine gerechtere und wettbewerbsfähigere digitale Wirtschaft, die Erleichterung bahnbrechender Forschung, die Sicherstellung der Entwicklung einer sicheren und vertrauenswürdigen künstlichen Intelligenz (KI) und die Schaffung eines echten Binnenmarkts für Daten.
Sind personenbezogene Daten betroffen, bauen diese Initiativen auf der DSGVO auf. Die DSGVO bietet zudem eine Grundlage für sektorspezifische Initiativen, die sich auf die Verarbeitung personenbezogener Daten auswirken, z. B. in den Bereichen Finanzdienstleistungen, Gesundheit, Beschäftigung, Mobilität und Strafverfolgung. Zwischen den Interessenträgern, den Datenschutzbehörden und den Mitgliedstaaten besteht weitgehend Einigkeit darüber, dass die DSGVO trotz einiger Herausforderungen wichtige Ergebnisse für Einzelpersonen und Unternehmen gebracht hat.
Der risikobasierte, technologieneutrale Ansatz bietet einen starken Schutz für betroffene Personen und angemessene Pflichten für Verantwortliche und Auftragsverarbeiter. Gleichzeitig sollten in einer Reihe von Bereichen weitere Fortschritte erzielt werden. In den kommenden Jahren sollte der Schwerpunkt insbesondere darauf liegen, die Bemühungen der Interessenträger – vor allem kleine und mittlere Unternehmen (KMU), kleine Marktteilnehmer, Forscher und Forschungseinrichtungen – zu unterstützen, klarere und umsetzbarere Leitlinien der Datenschutzbehörden bereitzustellen und eine einheitlichere Auslegung und Durchsetzung der DSGVO in der gesamten EU zu erreichen.
Wie der Bericht 2020 enthält auch der vorliegende Bericht eine allgemeine Bewertung der Anwendung der DSGVO, die über diese beiden Elemente hinausgeht: Mehrere Maßnahmen werden ermittelt, die erforderlich sind, um die wirksame Anwendung der DSGVO in vorrangigen Schlüsselbereichen zu unterstützen.
Den Bericht können Sie hier abrufen.
Auf den Menschen ausgerichtete und vertrauenswürdige Künstliche Intelligenz: Der Regulierungsrahmen steht
Am 1. August 2024 ist die Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz in Kraft getreten. Damit findet ein umfangreiches und langwieriges Gesetzgebungsvorhaben seinen Abschluss. Hersteller, Anbieter, Betreiber und Händler von KI-Systemen haben nun einen Orientierungsrahmen, der die Anforderungen an KI-Systeme in den einzelnen Phasen der Wertschöpfungskette klarstellt. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz weist u.a. darauf hin, dass in den zahlreichen Fällen, in denen KI-Systeme personenbezogene Daten verarbeiten, das Datenschutzrecht und der damit gesicherte Grundrechtsschutz von der KI-Verordnung unberührt bleiben.
Offenkundige Synergien
Viele Mechanismen, die zu einer transparenten und vertrauenswürdigen KI beitragen, sind bereits aus der DSGVO und der Richtlinie für Polizei und Justiz bekannt. Wer über ein gutes Datenschutzmanagement verfügt, kann dieses für die Umsetzung der Anforderungen der KI-Verordnung nutzbar machen. Durch Transparenz- und Dokumentationsvorgaben wird Vertrauen in die Systeme geschaffen. Zudem haben die betroffenen Personen ein Recht auf Erläuterung der Entscheidungsfindung, das zu den Betroffenenrechten der DSGVO hinzutritt. Auch wenn die Risiko-Klassifizierung der KI-Verordnung einem strikteren Konzept folgt als in der DSGVO, können die Instrumente, mit denen Risiken gemanagt werden, sinnvoll ineinandergreifen: Risikomanagementsysteme nach Art. 9 KI-VO könnten etwa mit dem Datenschutzmanagement kombiniert werden, die Grundrechte-Folgenabschätzung für Hochrisiko-Systeme öffentlicher Stellen nach Art. 27 KI-VO lässt sich gegebenenfalls mit der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verbinden.
Sicherstellung einer einheitlichen Aufsicht
Synergien zwischen den Anforderungen der KI-Verordnung und der Datenschutz-Grundverordnung hat der Verordnungsgeber auch erkannt, als er den Datenschutzaufsichtsbehörden die Funktion der Marküberwachung über die Hochrisiko-Systeme im Bereich der Strafverfolgung, Justiz, Migration und Wahlen zuwies. Erklärtes Ziel des Verordnungsgebers ist dabei die Sicherstellung einer einheitlichen Aufsicht. Letzteres sollte auch der deutsche Gesetzgeber anstreben, der in den kommenden Monaten die nationale Aufsichtsstruktur der KI-Verordnung regeln muss. Die Datenschutzkonferenz hat ihre Bereitschaft zur Übernahme der nationalen Aufsicht über die KI-Verordnung bereits erklärt und entsprechende personelle Ausstattung eingefordert.
Verschiedene weitere Umsetzungsfristen
Mit dem Inkrafttreten der KI-Verordnung laufen verschiedene mit ihr verbundene Umsetzungsfristen an. Schon zum 2. Februar 2025 werden bestimmte hochriskante Praktiken der künstlichen Intelligenz verboten sein. Hierzu zählt das Verbot biometrischer Echtzeit-Fernüberwachung sowie das Verbot von Social Scoring. Zum 2. August 2025 müssen die nationalen Aufsichtsbehörden für die KI-Verordnung benannt sein. Weitere Regelungen treten gestaffelt in Kraft, spätestens zum 2. August 2026 entfaltet die KI-Verordnung vollumfänglich Wirksamkeit.
Praxishilfen:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg liefert mit dem „Orientierungshilfen-Navigator KI & Datenschutz“ – kurz ONKIDA – eine Übersicht über zentrale Vorgaben der DS-GVO und setzt sie in Bezug zu einer Auswahl der veröffentlichten Hilfestellungen. ONKIDA ist eine thematisch geordnete Fundstellenübersicht mit Links zu ausgewählten aufsichtsbehördlichen Papieren zu „Künstlicher Intelligenz“. Das Tool liefert als Materialsammlung Überblick und schnellen Zugriff auf die Dokumente und versteht sich so als Hilfestellung für die eigene Arbeit mit diesen Dokumenten. Damit für alle Interessierten der Einstieg erleichtert wird, stellt der Landesbeauftragte in einem Video das Tool und seine Inhalte vor.
Die Praxishilfe der GDD stellt die wichtigsten Rechtsakte, die im Rahmen der Europäischen Datenstrategie geplant oder bereits verabschiedet worden sind, überblickartig dar. Zudem werden diese in ihren datenschutzrechtlichen Auswirkungen eingeordnet. Besonderes Augenmerk gilt hierbei auch Stellung und Aufgaben des Datenschutzbeauftragten, der sich in Bezug auf die in Rede stehenden Rechtsakte mit neuen Aufgaben konfrontiert sieht.
Umsetzung der NIS-2-Richtlinie für die regulierte Wirtschaft
Mit der Umsetzung der NIS-2-Richtlinie (NIS-2-RL) in nationales Recht wird das BSI durch eine Änderung des BSI-Gesetzes für deutlich mehr Unternehmen als zuvor die zuständige Aufsichtsbehörde.
Für die bestehenden Kritischen Infrastrukturen (KRITIS) ändert sich hierdurch voraussichtlich wenig, aber für ca. 29.000 nach dem Gesetz "besonders wichtige" und "wichtige" Einrichtungen ergeben sich erstmals Registrierungs-, Nachweis- und Meldepflichten.
Da das Gesetz noch nicht verabschiedet ist, kann sich das BSI noch nicht genauer zu daraus möglicherweise entstehenden Pflichten äußern. Wir möchten Unternehmen und Organisationen aber schon während des laufenden Gesetzgebungsverfahrens bestmöglich unterstützen und die Umsetzung der NIS-2-Richtlinie in Deutschland so reibungslos wie möglich gestalten.
Die ersten Informationen und Unterstützungsangebote des BSI werden unter diesem Link zusammengestellt.
OLG Stuttgart trifft Entscheidung zu Direktwerbung mit personalisiertem Werbebrief
Mit Beschluss vom 02.02.2024 (Az: 2 U 63/22) hat das OLG Stuttgart die Auffassung der Vorinstanz bestätigt, dass die Zusendung personalisierter Briefwerbung durch Art. 6 Abs. 1 Buchst. f DSGVO gedeckt und ohne Einwilligung zulässig ist.
Datenschutzrecht und Briefwerbung
Bei der Briefwerbung werden Name und Anschrift des Empfängers für die Adressierung verarbeitet. Deshalb fordert die DSGVO für diese Fälle eine hinreichende Rechtfertigung.
In Betracht kommt hier eine Rechtfertigung gemäß Art. 6 Abs. 1 Buchst. f DSGVO. Danach ist als Alternative zu Art. 6 Abs. 1 Buchst. a DSGVO eine einwilligungslose Verarbeitung zulässig, wenn die berechtigten Interessen des Werbenden die Interessen der Adressaten an der Nichtverwendung ihrer Daten überwiegen.
Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann gemäß Erwägungsgrund 47 der DSGVO grundsätzlich ein berechtigtes Interesse im Sinne des Art. 6 Abs. 1 Buchst. f DSGVO darstellen.
Gemäß Erwägungsgrund 47 müssen die „vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen“, in die notwendige Abwägung einbezogen werden. Dieser Anforderung wird dadurch Rechnung getragen, dass der jeweilige Empfänger der Briefwerbung durch ein Begleitpapier umfangreich über die Datenverarbeitung informiert wird. Zudem ist der Empfänger insbesondere auf sein Widerspruchsrecht gemäß Art. 21 Abs. 2 DSGVO gegen die Datenverarbeitung zu Direktwerbezwecken hinzuweisen.
Wettbewerbsrecht und Briefwerbung
Nach § 7 Abs. 1 UWG werden Verbraucher gegen die unzumutbare Belästigung durch Werbung geschützt. Dabei wird eine Wettbewerbswidrigkeit dann festgestellt, wenn der Verbraucher die werbliche Ansprache erkennbar nicht wünscht.
Zwar ist die Briefwerbung grundsätzlich zulässig. Eine Abmahnung wird in den Fällen möglich, in denen sich der Werbetreibende über einen erkennbar entgegenstehenden Willen des Werbeempfängers hinwegsetzt.
Entscheidung des OLG
Das OLG stellt fest, dass weder aus den Erwägungsgründen noch aus Art. 6 Abs. 1 Buchst. f DSGVO Anhaltspunkte ersichtlich sind, dass Direktwerbung nur innerhalb bereits bestehender Kundenbeziehungen als berechtigtes Interesse anerkannt werden kann.
Ein berechtigtes Interesse können rechtliche, wirtschaftliche oder ideelle Interessen darstellen, die auch im Vorfeld einer Kundenbeziehung oder ohne Kundenbeziehung liegen könnten.
Die Verarbeitung personenbezogener Daten war insoweit erlaubt und erforderlich. Der Erforderlichkeit kann nicht dadurch begegnet werden, dass auch eine Übersendung der Werbung mittels elektronischer Post möglich gewesen wäre.
Zwar sollten personenbezogene Daten nicht verarbeitet werden, wenn der Zweck der Verarbeitung in zumutbarer Weise durch andere Mittel erreicht werden könne, die weniger stark in die Grundrechte und Grundfreiheiten der betroffenen Person eingreifen.
Die Zusendung elektronischer Post für Betroffene ist nicht weniger belastend, denn diese stellt gerade nach § 7 Abs. 2 UWG eine unzumutbare Belästigung ohne vorherige ausdrückliche Einwilligung dar.
Auch die Interessen der beiden Parteien sind durch die Vorinstanz nach Ansicht des OLG Stuttgart richtig abgewogen worden. Allein das Interesse des Empfängers, keine Werbung zu erhalten, führt nicht zu einer Interessenabwägung zu seinen Gunsten.
Erst wenn er dem Erhalt der Werbung widerspricht, ist die künftige Direktwerbung unzulässig gemäß Art. 21 Abs. 2 DSGVO.
Praxishinweis: Die personalisierte Briefwerbung ohne eine bereits bestehende Kundenbeziehung ist gemäß Art. 6 Abs. 1 Buchst. f DSGVO ausdrücklich erlaubt.
Eine Einwilligung des Empfängers ist grundsätzlich nicht erforderlich. Wenn allerdings ein Widerspruch des Empfängers vorliegt, ist dieser Weg der Gewinnung von Neukunden – selbstverständlich – ausgeschlossen.
Erfolglose Bewerbung: Schadensersatz nach DS-GVO wegen Verstoß gegen Auskunftsanspruch
Mit seiner Entscheidung vom 07.03.2024 hat das LAG Düsseldorf zum Schadensersatz nach der DS-GVO im Zusammenhang mit einem Verstoß gegen den Auskunftsanspruch Stellung genommen.
Danach kann ein Verstoß gegen die Pflichten aus Art. 15 DSGVO dem Grunde nach einen Anspruch auf Ersatz der materiellen und immateriellen Schäden nach Art. 82 Abs. 1 DSGVO begründen.
Allerdings verursacht nicht jeder Verstoß gegen Auskunftsansprüche aus der DSGVO "automatisch" einen immateriellen Schaden, der über Art. 82 Abs. 1 DSGVO zu ersetzen ist. Der von dem Normverstoß Betroffene hat nämlich den Nachweis zu erbringen, dass die Folgen des Verstoßes einen immateriellen Schaden darstellen.
Wenn der Betroffene Befürchtungen darlegt, dass seine Daten missbräuchlich verwendet werden könnten, hat das Gericht zu prüfen, ob diese unter den gegebenen besonderen Umständen und im Hinblick auf seine Person als begründet angesehen werden können (vgl. EuGH 14.12.2023 – C-340/21 – Rn. 85).
Das Urteil ist gerade vor dem Hintergrund der Entscheidung des EuGH vom 14.12.2023 interessant, welches das LAG berücksichtigen konnte.
„Automatisch“ Schadensersatz für Kontrollverlust?
Nicht jeder Verstoß gegen Auskunftsansprüche aus der DSGVO verursacht wegen des damit einhergehenden Kontrollverlusts und der Einschränkung von Rechten „automatisch“ einen immateriellen Schaden, der über Art. 82 Abs. 1 DSGVO zu ersetzen wäre.
Das LAG stellt in seiner Entscheidung fest, dass es richtig ist, dass der EuGH den Kontrollverlust als einen in Erwägungsgrund 85 „beispielhaft“ aufgezählten Schaden nennt. Der EuGH macht aber zugleich deutlich, dass die betroffene Person in jedem Einzelfall nachweisen muss, dass ihm durch den Kontrollverlust tatsächlich ein Schaden entstanden ist.
Konkreter Nachweis und tatsächlicher Schaden müssen vorliegen
Erläuternd führt der EuGH aus, dass z.B. dann, wenn der Betroffene die Befürchtung äußere, seine Daten könnten missbräuchlich verwendet werden, das Gericht zu prüfen habe, ob diese unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Bereits der kurzzeitige Verlust der Hoheit über personenbezogene Daten kann zwar einen Schaden verursachen – so geringfügig er auch sein mag. Es ist aber nachzuweisen, dass dieser auch tatsächlich eingetreten ist.
Empfindet der Betroffene trotz der Vorenthaltung von Informationen über seine Daten keinen Kontrollverlust oder ist das von ihm angegebene Gefühl nach den gegebenen Umständen nicht begründet, so scheidet ein Schadensersatzanspruch aus.
Ausgehend von diesen Grundsätzen hat das LAG dem Auskunftsersuchenden einen immateriellen Schaden zugestanden, der durch den Verstoß der Beklagten gegen die DSGVO verursacht wurde. Den durch die fehlende Auskunft eingetretenen Kontrollverlust empfindet der Kläger als Nachteil empfindet, weil er nicht weiß, ob mit seinen Daten rechtmäßig umgegangen wird.
Der Kläger nach dem Verständnis der Kammer (auch) eigene negative Gefühle sowie seine Befürchtung zum Ausdruck gebracht, dass die Beklagte nicht nur seine Rechte aus Art. 15 DSGVO verletzen, sondern auch sonst mit seinen Daten missbräuchlich umgehen könnte.
Durch die schlichte „Null-Reaktion“ macht die Beklagte deutlich, dass sie das Anliegen des Klägers und damit die von ihm geltend gemachten Rechte nicht ernst nimmt bzw. dass ihm diese „egal“ sind. Der Eindruck wird noch dadurch bestätigt und verstärkt, dass die Beklagte ihr Verhalten im gerichtlichen Verfahren – trotz nachgewiesener Zustellung der Klageschrift und der Ladung zum Termin – fortgesetzt und sich weiterhin nicht veranlasst gesehen hat, auf seine (berechtigten) Auskunftsansprüche zu reagieren. In einer solchen Situation, in der das eigene Anliegen schlicht ignoriert wird, erscheint durchaus nachvollziehbar, dass der Verlust der Kontrolle über die eigenen Daten als Beeinträchtigung, auch als Ärgernis, empfunden und ein missbräuchlicher Umgang befürchtet wird.
Datenschutzverstoß verursacht den Schaden
Der beschriebene Schaden ist durch den Datenschutzverstoß kausal verursacht worden. Hätte die Beklagte auf das Auskunftsersuchen des Klägers pflichtgemäß reagiert, wäre er nicht im Ungewissen über den Umgang mit seinen personenbezogenen Daten geblieben. Er hätte keine (begründeten) Befürchtungen im Hinblick auf eine missbräuchliche Verwendung haben müssen.
Ausgleichsfunktion des Schadensersatzes
In einer jüngeren Entscheidung hat der EuGH klargestellt, dass ein Schadensersatz dann „vollständig und wirksam“ ist, wenn er es ermöglicht, den aufgrund des Verstoßes gegen die DSGVO konkret erlittenen Schaden in vollem Umfang auszugleichen. Anders als die Vorschriften der Art. 83 und 84 DSGVO, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen bzw. anderen Sanktionen erlauben, hat Art. 82 DSGVO keine Straf-, sondern eine Ausgleichsfunktion. Maßgeblich ist vielmehr allein, dass die Entschädigung in Geld es ermöglicht, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen.
Höhe des Schadensersatzes
Hier hat das LAG berücksichtigt, dass der europäische Verordnungsgeber das verletzte Recht auf Auskunftserteilung, wie sich insbesondere aus der Aufnahme des Art. 15 DSGVO in den Katalog des Art. 83 Abs. 5 DSGVO zeigt, per se als bedeutsam bewertet hat.
Aus der Verletzung resultieren eine Ungewissheit über den (redlichen) Umgang mit den eigenen Daten sowie die damit verbundene Unmöglichkeit, Rechte gegenüber der Beklagten oder Dritten geltend zu machen. Weitergehende psychische Belastungen, gesellschaftliche oder soziale Nachteile, Einschränkungen in der persönlichen Lebensführung oder der Gestaltungs- und Entfaltungsmöglichkeiten hat der Kläger dagegen nicht dargelegt.
Auch weitere Bestandteile seiner Bewerbungsunterlagen (neben dem Bewerbungsfoto) wie z.B. die Privatanschrift und Werturteile von ehemaligen Arbeitgebern stellen Informationen dar, die von den Betroffenen regelmäßig als sensibel eingestuft und gezielt nur solchen Dritten zur Verfügung gestellt werden, die daran ein berechtigtes Interesse haben. Die Beeinträchtigung durch die Ungewissheit über den Umgang mit den Daten wird vor diesem Hintergrund im Ausgangspunkt als gering bis mittelschwer bewertet.
Schaden vertieft sich mit Dauer Ungewissheit
Die Kammer des LAG hat im Rahmen der Schätzung schließlich berücksichtigt, dass sich der Schaden mit der Fortdauer der Ungewissheit vertieft hat. Die Beeinträchtigung während des ersten Monats (Juni 2023), in dem der Kläger der Beklagten noch neue Fristen gesetzt hat, und des Folgemonats Juli 2023 schätzt die Kammer als geringfügig ein. Insoweit erscheint eine Bewertung mit 100,00 € sachgerecht.
In den Folgemonaten hielt der Verstoß an und hat nach der Schilderung des Klägers seine negativen Gefühle und Befürchtungen verstärkt. Unter Berücksichtigung dieses Verlaufs sowie unter Würdigung aller Umstände erachtet die Kammer insoweit eine Addition von weiteren 650,00 € und damit insgesamt einen Betrag von 750,00 € als Ausgleich für die erlittenen Nachteile als angemessen.
Praxishinweis: Wenn der Auskunftsanspruch nach Art. 15 DSGVO nicht sorgfältig beantwortet wird, droht ein Schadensersatz. Der Nachweis des Schadens muss dabei konkret geführt und erfolgreich nachgewiesen werden.
Die Rechtsprechung des EuGH fließt hier verstärkt in die Entscheidungen der nationalen Gerichte ein.
Zurück
