Author Archive

Unser Podcast-Trailer ist online!

Posted by Erich von Maurnböck


DSGVO, das kennt man. OMG, den Ausruf werden zumindest die Jüngeren kennen. Aber was ist die Kombi DSGVOMG? Ein DatenschutzTheater der Sonderklasse. Ein neuer Podcast von MeineBerater.
Die Maurnböcks, sie Juristin, er IT-Spezialist, haben sich mit Herz, Hirn und Humor der Datenschutzberatung verschrieben. Und das kann man ab jetzt regelmäßig hören.
Birgit und Erich „Murphy“ von Maurnböck können DSGVO selbst um zwei in der Nacht fehlerfrei buchstabieren und haben schon viele Unternehmen auf dem Weg aus dem Datenschutzdschungel begleitet. Zahlreiche erfolgreiche Vorträge, Workshops und Webinare zeugen davon. In ihrem Podcast nehmen sie uns nun mit auf eine unterhaltsame Reise durch DSGVO-Komödien und die eine oder andere Datenschutztragödie.
Worum dreht sich alles in diesem Podcast? Um die Liebe zum Datenschutz. Warum es ihn braucht. Und wofür es ihn ganz sicher nicht braucht. Wichtig ist den beiden, dass es trotz der ernsten Thematik humorvoll zugeht.

Datenschutzverletzungen auf dem Vormarsch: Die finanzielle Seite der Cybersicherheit

Posted by Erich von Maurnböck

Es ist an der Zeit, einen Blick auf die neuesten Entwicklungen im Bereich der Cybersicherheit zu werfen, und diese halten einige bemerkenswerte Erkenntnisse bereit.

Alarmierende Zahlen

Der jüngst veröffentlichte „Security Cost of a Data Breach Report 2023“ von IBM zeigt, dass die Kosten für Datenschutzverletzungen weltweit ein neues Hoch erreicht haben – satte 4,45 Millionen US-Dollar im Durchschnitt PRO UNTERNEHMEN. Der Anstieg dieser Kosten um 15 Prozent in den letzten drei Jahren zeigt deutlich, dass das Thema Cybersicherheit in stetiger Bewegung ist. Während wir versuchen, Schritt zu halten, sind es oft die raffinierten Cyber-Angreifer, die uns vor Augen führen, wie wichtig proaktive Maßnahmen sind. Ein besorgniserregender Aspekt des Berichts ist der starke Anstieg der Kosten für die Entdeckung und Bewältigung von Datenschutzverletzungen – ganze 42 Prozent.

Tückische Folgen: Warum Kostenabwehr allein nichts bringt

Interessanterweise waren 95 Prozent der untersuchten Unternehmen von mehreren Datenschutzverletzungen betroffen. Einige dieser Unternehmen haben beschlossen, die Kosten auf die Kunden abzuwälzen, anstatt in umfassendere Sicherheitsmaßnahmen zu investieren – eine Vorgehensweise, die in etwa so effektiv ist wie ein Regenschirm gegen einen Tornado. Diese Herangehensweise kann kurzfristig scheinbar Geld sparen, bringt aber langfristig wenig Nutzen und macht die Unternehmen anfälliger für zukünftige Angriffe. Die Kosten, die im Unternehmen aufgrund eines erfolgreichen Phishing-Angriffs anfallen, sind nach den Kosten durch Insider-Bedrohungen die zweithöchsten. Organisationen, die klug agieren, widmen sich nicht nur der Beseitigung der Symptome, sondern setzen auf Prävention durch Incident-Response-Planning und vor allem auf Schulungen für Mitarbeiter.

Schlüssel zur Sicherheit: Schulungen

Es ist bemerkenswert, wie stark Schulungen ins Gewicht fallen. Sie sind der zweitwichtigste Faktor zur Kostensenkungen bei Datenschutzverletzungen oder zur Verhinderung dieser. Eine Investition in Bildung zahlt sich also nicht nur für die Mitarbeiter aus, sondern auch für die finanzielle Gesundheit und – im echten Ernstfall – die Existenz des Unternehmens. Die heutige Arbeitswelt mit ihrer verstärkten Remote-Arbeit bringt jedoch auch ihre eigenen Herausforderungen mit sich. Hier sind passende Schulungsmaßnahmen gefragt, um sicherzustellen, dass Mitarbeiter im Home-Office oder unterwegs ebenso geschützt sind wie im Büro.

Von Gefahr zu Verteidigung

Ein schnelles Erkennen und Beheben von Sicherheitsverletzungen zahlt sich zweifellos aus. Leider benötigen Unternehmen oft viel Zeit, um Insider-Bedrohungen, Social Engineering oder eben Phishing zu erkennen und zu bewältigen. Investitionen in Security Awareness-Training und simuliertes Phishing sind daher mehr als nur ratsam. Die Zahlen des Benchmarking-Reports werfen zudem ein Licht auf die Phishing-Anfälligkeit. Es scheint, als wäre fast ein Drittel der Mitarbeiter in den untersuchten Organisationen eher geneigt, auf eine Phishing-E-Mail hereinzufallen. Doch wir sind nicht machtlos – regelmäßiges Training und gezielte Maßnahmen können diesen Prozentsatz erheblich senken.

Stark für die Zukunft

Zusammenfassend zeigt der Bericht, wie wichtig es ist, eine proaktive Haltung gegenüber der Cybersicherheit einzunehmen. Investitionen in Schulungen, moderne Sicherheitssysteme und regelmäßige Bewertungen dieser sind der Schlüssel zur Stärkung der Verteidigung gegenüber den stetig steigenden Bedrohungen.

Fazit

Denken Sie daran, dass Ihre Daten wertvoll sind – und nicht nur für Sie. Bei allen Fragen zur Security beraten wir Sie gerne! Nutzen Sie auch unser umfangreiches Schulungsangebot, schon mit einer Stunde Training kann man viel erreichen – egal ob Onlineschulungen, Live-Webinare oder auch Präsenzschulungen.

Hackerangriffe auf Autos

Posted by Erich von Maurnböck

Wie so oft sorgt die Digitalisierung für Gesprächsstoff in unserer Gesellschaft. Sie erzeugt bei vielen Menschen Begeisterung und zeigt positive Meinungen dazu auf. Allerdings birgt Digitalisierung, ohne ausreichende Sicherheitsmaßnahmen, auch Gefahren. In diesem Artikel widmen wir uns den Hacker-Angriffen auf moderne Fahrzeuge.

Praktischer Nutzen?

Beginnen wir mit dem praktischen Nutzen moderner Fahrzeuge und welche entscheidende Rolle das Internet dabei spielt: Es werden Daten mit der Fahrzeugzentrale ausgetauscht, um beispielsweise geparkte Autos wiederzufinden, Video-Daten für eine bessere Navigation zu speichern, die eigene Handy-Playlist im Auto abspielen zu können oder eine selbstständige Rettungsmeldung durch das Fahrzeug zu veranlassen.
Zudem werden Kreditkartendaten gespeichert, die wiederum dafür verwendet werden, weitere Funktionen freischalten zu können. Alle diese tollen Features begeistern die geneigten Autofahrer.

Doch kann auch die Datensicherheit der Fahrzeuge überzeugen?

Laut einer Sicherheitskonferenz in den USA (Maryland), gibt es doch einige Unterschiede unter den Autoherstellern. Bei den Automarken Ferrari, Ford, Hyundai, Honda, Toyota, BMW, Porsche, Mercedes-Benz, Nissan und Kia konnten die Hacker die Accounts der Besitzer übernehmen, die Autos starten, die Autos hupen lassen, die Autos entriegeln uvm.
Auch Firmenfahrzeuge sind ein gefundenes Fressen für Hacker, denn diese ermöglichen es ihnen teilweise sogar auf Unternehmensnetzwerke zugreifen zu können.

Erfolgreiche Hacker-Angriffe leicht erklärt

Zum Teil gelang es sogar nur anhand der Fahrzeug-Identifizierungsnummer (VIN) und ohne weitere Maßnahmen, die Daten der Fahrzeugbesitzer herauszufinden.
Aufgrund der unverschlüsselten Daten, welche sich in den Apps der Fahrzeuge befinden, konnten die Hacker die Daten der Fahrzeugbesitzer leicht beschaffen. Weitere geeignete Schnittstellen für Hackerangriffe sind zum Beispiel USB-Anschlüsse, CD-Laufwerke, WLAN, Bluetooth usw.

Wie gelingt es die Daten-Sicherheit noch effizienter zu gestalten?

Nun… so einfach ist es leider nicht. Das Bewusstsein für Sicherheit ist häufig gegeben, allerdings fehlt es den Fahrzeugherstellern oftmals am Wissen der zu setzenden technischen Maßnahmen. Der Beginn einer lückenlosen Sicherheitstechnik startet bereits mit der Entwicklung der einzelnen Module der Fahrzeuge. Es gilt Schwachstellen bei Hard- und Softwaren so gering wie möglich zu halten. Hierbei sind die Begriffe „Security und Privacy by Design“ von großer Bedeutung. Dabei wird nicht nur eine sehr enge und gute Zusammenarbeit unter internen Teams erwartet, sondern auch eine einwandfreie Kommunikation mit den Zulieferern. Außerdem ist es unabdinglich „White-Hat-Hacker“ zu organisieren, welche sich beauftragt und mit freundlichen Absichten in die Systeme hacken und so Schwachstellen erkenntlich machen. Diese werden dann gemeinsam mit den Entwicklern behandelt. Auch Sicherheit-Updates werden nach wie vor zu wenige durchgeführt. Regelmäßige Sicherheitsupdates durch den Fahrzeughersteller können Angriffen entgegenwirken.

Den Hackern den Kampf ansagen – Unsere Praxistipps

Versichern Sie sich, dass Ihr Auto regelmäßig Sicherheits-Updates erhält.

Seien Sie auch beim Installieren und Verwenden von Apps in Ihrem Auto vorsichtig.

Haben Sie noch Fragen? Wir beantworten alle Sicherheits- und Datenschutzfragen, selbst die zu Ihrem Auto 😉

Cyberattacken in Österreich

Posted by Erich von Maurnböck

Cyberattacken sind heute so häufig wie noch nie – allein im Jahr 2021 gab es in Österreich über 46.000 angezeigte Fälle, die Dunkelziffer ist wohl noch höher. Trotzdem sind laut Analyse des KSV1870 drei von zehn Unternehmen nicht einmal im Stande, Sicherheitsvorfälle zu erkennen.

Erschreckende Zahlen

Zusätzlich haben 25% der Betriebe kein ausreichendes Sicherheitssystem um angemessen auf Bedrohungen reagieren zu können. Das bedeutet in der Praxis ein Sicherheitsrisiko für die personenbezogenen Daten und damit die Privatsphäre vieler Menschen in Österreich. Wenn etwa vermeintlich sichere Webseiten gehackt werden und das unbemerkt bleibt, ist die Chance hoch, auf diesen Webseiten mit Schadsoftware infiziert zu werden. Damit haben die Angreifer alle Möglichkeiten, Daten, die auf diesen Webseiten verarbeitet werden, abzugreifen. Rund 90% dieser gehackten Webseiten waren auch einen Monat nach der ersten Überprüfung immer noch infiziert, obwohl die Betreiber auf das Sicherheitsrisiko hingewiesen wurden. Schlimmer noch, die Angreifer können sich auch über unsichere Webseiten Zugriff auf die EDV-Systeme der Unternehmen verschaffen, diese sperren, verschlüsseln oder Daten stehlen. Das ist dann der Supergau schlechthin.
22% überschätzen außerdem die eigenen Sicherheitsmaßnahmen, sind also in der Praxis auch auf Vorfälle unvorbereitet. Das mangelnde Sicherheitsniveau ist beträchtlich, besonders wenn man bedenkt, dass von den angezeigten Straftaten 2021 nur knapp 36% geklärt werden konnten. Das Risiko für Unternehmen ist also enorm.

Methoden

Die angezeigten Vorfälle steigen kontinuierlich Jahr für Jahr. Allein von 2020 auf 2021 gab es eine Steigerung von 19,5% der angezeigten Vorfälle. Außerdem werden mit Ransomware gezielt Unternehmen angegriffen. Ransomware sind Erpressungstrojaner mit denen ein Großteil aller Daten in einem System verschlüsselt werden können. Ist das geschafft, erpressen Kriminelle die betroffenen Firmen mit hohen Lösegeldforderungen. Auch kleine und mittlere Unternehmen sind davon betroffen. Die meisten Angriffe werden durch menschliche Unachtsamkeit verursacht, etwa durch Phishing Fallen oder durch das anklicken infizierter Links.

Fazit

100 % Sicherheit gibt es nicht. Aber über 90 % ist erzielbar, durch Awareness und regelmäßige Überprüfung aller Sicherheitstools. Sind diese auf neuestem Stand oder wurden Updates, weil sie lästig sind, immer weggeclickt?

Unsere Praxistipps

Die Schulung ALLER im Unternehmen tätiger Personen ist extrem wichtig, um Sicherheitsvorfälle vorzubeugen. Vor allem Geschäftsführer und leitende Angestellte müssen sich für Schulungen auch Zeit nehmen.

Prüfen Sie den Stand der Sicherheitsmaßnahmen im Unternehmen (technische und organisatorische Maßnahmen) regelmäßig. Oder lassen Sie den Stand von Externen überprüfen.

Updates nicht wegclicken, sondern durchführen!

Sie benötigen eine rasche Sicherheitsüberprüfung von außen? Wir stehen sehr gerne zur Verfügung 😉 Kontaktieren Sie uns jederzeit für ein entsprechendes Angebot.

iPhone – ein Sicherheitsrisiko?

Posted by Erich von Maurnböck

Ein geklautes Handy ist sehr ärgerlich, aber was, wenn der Dieb damit das ganze Konto abräumen kann? Das Horror-Szenario ist für iPhone-User eine reale Bedrohung.

Was war passiert?

Es kommt immer häufiger nach einem Diebstahl zur kompletten Einnahme von iPhones und damit einhergehend zu einem Diebstahl der digitalen Identität. Wie kommt es dazu? Das ist sehr einfach, nämlich durch die Änderung des Passworts der Apple-ID. Die Apple-ID ist der Zugang zu fast allen digitalen Apple-Diensten. Um diese ID zu ändern, braucht es nur das Smartphone-Passwort – also eine sechsstellige PIN (die aber auch kürzer sein kann).
Es ist leicht für Diebe, die Eingabe des Smartphone-Passworts in einer Bar oder an anderen öffentlichen Orten zu beobachten. Haben die Diebe das Passwort herausgefunden, können sie nicht nur auf das gestohlene Smartphone zugreifen, sondern auch gleich das Passwort der Apple-ID ändern. Wenn dieses geändert ist, können sie auf viele der installierten Apps zugreifen. Das Verhindern bzw. das Zurückerlangen des eigenen Accounts wird damit fast verunmöglicht.
Haben Diebe nun vollen Zugang, können sie auf Banking-Apps oder digitale Kreditkarten, wie zum Beispiel den hauseigenen Dienst, Apple Cash, zugreifen. Es gibt bereits Bericht über Fälle, wo mehrere hunderttausend US-Dollar gestohlen werden konnten.

Apples Bemühungen

Laut Apple habe man „Mitgefühl mit den Nutzern“, weiters sagen sie jedoch, wie selten diese Angriffe wären. Auch verspricht Apple Verbesserungen der Schutzmaßnahmen. Das Wall Street Journal spricht in seinem Bericht aber von hunderten an Vorfällen dieser Art, die sich immer häufiger ereignen. Und dennoch, wenn kein finanzieller Schaden entstanden ist, verlieren Betroffene den Zugang zu ihren persönlichen Daten. Seien es Notizen oder Fotos, die nur auf der Cloud gespeichert sind. In den meisten Fällen lässt sich nämlich der Zugang nicht mehr herstellen.

Die Methode der Betrüger

Man vermutet organisierte Gruppen, die ahnungslose Leute in Bars und Restaurants abpassen. Dort wird mit den Opfern eine vermeintliche Trinkfreundschaft geschlossen. Im Laufe des Abends gibt das Opfer mehrmals die iPhone-PIN ein, welche sich die Diebe genau merken. Gelingt es allerdings nicht, die PIN des Opfers zu beobachten, werden andere Strategien angewandt. Beispielsweise werden Fotos geknipst oder man verbindet sich mit Diensten wie Snapchat und schaltet dabei das Handy des Opfers aus. Spätestens dann muss nämlich die PIN eingegeben werden. Anschließend entwenden die Betrüger das Handy des Opfers und stellen schnellstmöglich neue Passwörter ein – nun ist es bereits zu spät, der Schaden wurde verursacht.

Wie kann ich mich schützen?

Der beste Weg um sich vor solchen Angriffen zu schützen, ist es, jeweils eine andere PIN für diverse Apps, insbesondere bei Banking-Apps zu verwenden. Deaktivieren Sie bei diesen Apps auch das Einloggen mit biometrischen Daten und der Apple-PIN. (Deaktivieren Sie das Einloggen mit biometrischen Daten deshalb, weil bei iPhones nach mehrmaligen Fehlschlagen beim Einloggen mit biometrischen Daten erst wieder nach der Apple-PIN gefragt wird, mit der man dann Zugriff auf die Apps erhält.) Außerdem sollte Ihre Apple-PIN mindestens sechs Stellen haben und aus Zahlen und Buchstaben bestehen.
Sollte es zu einem Diebstahl kommen, ist sofortiges Handeln gefragt: Löschen Sie von Ihren anderen Geräten aus das iCloud Portal, damit die Diebe eine Sperre des Handys nicht umgehen können. Ändern Sie das Passwort aller Apps, bei denen sie schon mal etwas gekauft haben und loggen Sie sich aus den Diensten aus (in den meisten Fällen wird nach einer Passwortänderung gefragt, ob man sich auf allen Geräten ausloggen möchte).
Vor allem aber ist eines wichtig: Passen Sie auf, Ihre PIN nicht in der Öffentlichkeit einzutippen!

Unsere Praxistipps

„Sichere“ Datenpannen

Posted by Erich von Maurnböck

Allerspätestens seit „Home-Office“ sind Laptops aus der Arbeitswelt nicht mehr wegzudenken. Mobiles Arbeiten lautet das Zauberwort. Häufig ersetzen mittlerweile Laptops stationäre Geräte komplett, was nicht nur Vorteile mit sich bringen kann. Stichwort: „Liegenlassen“ oder „vergessen“. Einen Laptop zu verlieren ist nicht nur ärgerlich, sondern kann auch ein Datenschutz- und Sicherheitsrisiko darstellen. Je nachdem welche Daten sich auf dem Laptop befinden, kann das auch noch kostspielig werden. Eine dänische Gemeinde bekam etwa wegen eines verlorenen Laptops ein Bußgeld von über 10.000€ aufgebrummt. Ein verlorener Laptop muss allerding nicht automatisch zu einem Risiko für Sie werden. 🙂

Verhindern von Sicherheitslücken

Durch das Verschlüsseln von Laptops und Festplatten können Sicherheitsrisiken nachhaltig verringert werden. Wird ein Laptop, auf dem personenbezogene Daten gespeichert sind, von einem Unternehmen bereitgestellt, sollte es mittlerweile zu den Pflichten der IT oder des IT-Dienstleisters gehören, diese auch zu verschlüsseln. Schließlich müssen Unternehmen laut DSGVO technische und organisatorische Maßnahmen ergreifen, um die Vertraulichkeit von personenbezogenen Daten zu gewährleisten und auch z. B. den Verlust zu verhindern. Es geht jedoch nicht nur um die Vertraulichkeit personenbezogener Daten, sondern in hohem Maße auch um den Schutz von Geschäfts- und Betriebsgeheimnissen. Zusammengefasst also um die große Spielwiese der Informationssicherheit.

Konkrete Maßnahmen

Zu den organisatorischen Maßnahmen für den Datenschutz zählen Handlungsanweisungen im Umgang mit der Technik, Passwörterrichtlinien und die Schulung der Mitarbeiter. Die Implementierung technischer Maßnahmen gestaltet sich im Detail zwar von Betriebssystem zu Betriebssystem anders, eines ist jedoch besonders wichtig: Externe Festplatten und Laptops müssen zusätzlich zu den gängigen Sicherheitsvorkehrungen verschlüsselt werden. Allen Sicherheitsmaßnahmen voran ist dabei das Festlegen einer Pre-Boot-Authentication für die Festplatte, was so viel bedeutet wie „Vorstartauthentifizierung“. Dadurch muss sich der Benutzer identifizieren, bevor Daten aus dem Betriebssystem ausgelesen werden. Dafür wird mehr oder weniger ein eigener „Raum“ geschaffen, der unabhängig vom Betriebssystem funktioniert und es Kriminellen erschwert, auf Daten zuzugreifen.

Verhindern Sie (meldepflichte) Datenpannen

Wird ein Gerät verloren, auf dem personenbezogene Daten gespeichert sind, stellt das immer eine Datenpanne dar. Ob diese der Behörde aber auch gemeldet werden muss, und – im worst case – auch betroffene Personen verständigt werden müssen – hängt von den von IHNEN getroffenen Maßnahmen ab. Sichern Sie sich also ab, indem Sie auf Nummer sicher gehen und treffen Sie geeignete Vorkehrungen!

Praxistipps

Achtung bei Profiling!

Posted by Erich von Maurnböck

Akt 1: Die Strafe gegen die Hannoversche Volksbank

Stein des Anstoßes auch für den späteren Warnbrief der Landesbeauftragten für den Datenschutz (LfD) in Niedersachsen war ein Bußgeld, welches die LfD gegen die Hannoversche Volksbank verhängte. Und das hatte es in sich: 900.000 Euro!

Das Finanzinstitut wertete mittels eines sogenannten Smart-Data-Verfahrens Daten von aktuellen sowie früheren Kunden aus, um diesen gezieltere Werbung zukommen zu lassen. Dabei wurde das digitale Nutzungsverhalten ausgewertet – etwa das Gesamtvolumen von Einkäufen in App-Stores, die Häufigkeit der Verwendung von Kontoauszugsdruckern sowie die Anzahl an Überweisungen im Online-Banking im Vergleich zu Besuchen in der Filiale. Ziel dieses Verfahrens war es, auf Grund der ermittelten Werte eine Aussage darüber zu treffen, ob ein Kunde mit hoher Wahrscheinlichkeit Interesse an einem bestimmten Produkt (z.B. Immobilienkredit, Kreditkarte, Wertpapiere, etc.) hat. Zusätzlich dazu wurden die Daten außerdem noch mit der Schufa (= ähnlich dem KSV) abgeglichen.

Nun ist Profiling durch die DSGVO nicht per se verboten. Es darf aber nur durchgeführt werden, wenn gemäß Art 22 Abs 2 DSGVO eine ausreichende Rechtsgrundlage vorliegt: (a).die (automatisierte) Profilbildung ist für die Erfüllung eines Vertrages erforderlich, (b.) eine nationale Rechtsvorschrift erlaubt es, (c.) die von Profiling betroffene Person gibt ihre ausdrückliche Einwilligung. So weit so schlecht, die Hannoversche Volksbank berief sich nämlich auf ihr „berechtigtes Interesse“ um eine Profilbildung der Kunden zu rechtfertigen. An „einem informierten und freiwilligen Opt-in führe aber kein Weg vorbei“ urteilte der LfD und verhängte das Bußgeld.

Akt 2: Die Warnung an die anderen Banken

Die Verhängung des Bußgeldes an die Hannoversche Volksbank nahm die LfD Niedersachsen zum Anlass, einen Präventivschlag in Form eines „Warnbriefes“ an die anderen 89 genossenschaftlichen Banken in Niedersachsen zu versenden, um eindringlich vor der Durchführung solcher Smart-Data-Verfahren zu warnen. Teilweise wird seitens der Banken zwar mit Einwilligungsformularen gearbeitet, laut LfD könnten die Kunden jedoch nicht frei(willig) und selbstständig den Umfang der Smart-Data-Verfahren steuern. Für die Profilbildung werden nämlich auch u.a. Informationen wie Bezug von sozialen Leistungen, Höhe der Fahrzeugkosten, Umsätze mit bspw. Amazon und PayPal, etc. für die Beantragung eines Kredits einbezogen.

Ein Auszug aus diesem „Warnbrief“ der LfD Niedersachsen, Barbara Thiel:

„Es muss sichergestellt sein, dass die betroffenen Personen die Kontrolle über die Verarbeitung dieser [Anm. Zahlungsverkehrsdaten] Daten ausüben können. Ich habe mich dazu entschieden, Warnungen auszusprechen, um die Banken davon abzuhalten, schwerwiegende Verstöße gegen das Datenschutzrecht zu begehen. Ich werde auch Vor-Ort-Kontrollen durchführen, um zu überprüfen, ob die Banken die Verfahren trotz der Warnung einführen.“

Akt 3: Unsere Praxistipps

DSGVO-Verstoß: Volkswagen zahlt 1,1 Mio. €

Posted by Erich von Maurnböck

Dass der Autohersteller VW nicht gerade das gesetzestreueste Unternehmen ist, ist seit dem Abgasskandal kein Geheimnis mehr. Nun ist es wieder einmal soweit, denn ein weiteres Mal hat VW tief in die Tasche zu greifen. Grund dafür sind Verstöße gegen Datenschutzregeln beim Test von Assistenzsystemen für neue Automodelle.

Testfahrten zur Vermeidung von Verkehrsunfällen sind VW nun sehr teuer gekommen, denn dabei wurden Überwachungskameras ohne erforderliche Kennzeichnung verwendet. Diese wurden zur Fehleranalysen eingesetzt, um das Verkehrsgeschehen rund um das Fahrzeug aufzuzeichnen. Aufgedeckt wurde diese Tatsache von der österreichischen Polizei im Rahmen einer üblichen Verkehrsüberwachung.
Anschließend stellte die niedersächsische Landesbeauftragte für Datenschutz, Barbara Thiel, folgende vier Verstöße gegen die DSGVO fest und verhängte eine Strafe in Höhe von 1,1 Mio. Euro:

1. Nichteinhaltung der Aufklärungspflicht der anderen Verkehrsteilnehmer über den Zweck der durchgeführten Datenverarbeitung und die Frist der Speicherung der personenbezogenen Daten – Verstoß gegen Art. 13 DSGVO
2. Fehlen eines Vertrages mit dem Auftragsverarbeiter, der die Fahrten durchführte – Verstoß gegen Art. 28 DSGVO
3. Fehlen einer Datenschutzfolgenabschätzung – Verstoß gegen Art. 35 DSGVO
4. Fehlen von technischen und organisatorischen Schutzmaßnahmen – Verstoß gegen Art. 30 DSGVO

Um unnötigen Aufwand zu vermeiden, empfehlen wir Ihnen unsere Praxistipps zu befolgen:

Widerrufsmöglichkeit im Cookie-Banner?

Posted by Erich von Maurnböck

In unserem aktuellen Beitrag, der sich einmal mehr mit der österreichischen Datenschutzbehörde beschäftigt, geht es zur Abwechslung einmal nicht um ein verhängtes Bußgeld gegen ein Unternehmen, ein laufendes Verfahren oder ein (Teil-) Urteil zu Google Analytics. Vielmehr um eine rechtliche Klarstellung, nämlich ein FAQ zum Thema „Cookies und Datenschutz“ mit dem aktuellen Stand 25. Mai 2022 und einigen aktuellen Grundsätzen zur Ausgestaltung des Cookie-Banners.

Darin werden Themen wie „Wann sind Cookies „technische notwendig“?“, „Wie erfülle ich die Informationspflicht für die Verwendung von Cookies auf meiner Website?“ und ob „pay or okay“ zulässig ist, behandelt. Wer solche Fragen schon immer durch die Augen der Datenschutzbehörde beurteilt wissen wollte, hat jetzt dazu die Möglichkeit: https://www.dsb.gv.at/download-links/FAQ-zum-Thema-Cookies-und-Datenschutz.html

Im Konkreten gibt es auch Vorgaben, wie ein Cookie-Banner ausgestaltet sein muss, damit der Nutzer wirksam einwilligen kann. Unter anderem nämlich, dass im Cookie-Banner klar und deutlich beschrieben sein muss, wo bzw. wie die erteilte Einwilligung nachträglich auch wieder widerrufen werden kann. Ein Umstand, der bei der Ausgestaltung gerne vergessen wird: Gemäß Art 7 (3) DSGVO muss nämlich der nachträgliche Widerruf einer einmal erteilten Einwilligung ebenso einfach sein wie die Erteilung der Einwilligung! Im Cookie-Banner sollte deshalb unbedingt ein Hinweis an prominenter Stelle (am besten im Hauptfenster des Banners) gesetzt werden, wo dieser Widerruf der Einwilligung bzw. der Cookie-Setzung erfolgt. Ob das dann z.B. im Footer der Seite oder in der Datenschutzerklärung passiert, bleibt dem Seitenbetreiber vorenthalten.

Unsere Praxistipps