Die Welt des Datenschutzes ist in Aufruhr, und zwei Tech-Giganten stehen im Rampenlicht. Google und TikTok wurden mit Rekordstrafen belegt, die so manche bisherigen Bußgelder in den Schatten stellen. Lassen Sie uns einen Blick auf die Hintergründe und die Bedeutung dieser Entscheidungen werfen.
Bußgeld: 86.672.879 EUR
Land: USA
Haben Sie sich jemals gefragt, wie Ihre Standortdaten von Unternehmen genutzt werden, selbst wenn Sie die Standortverfolgung deaktiviert haben? Google sah sich mit dieser Frage konfrontiert und musste nun erneut erhebliche finanzielle Mittel in Höhe von rund 86,7 Mio. Euro an Strafe abdrücken. Ja auch in den USA gibt es den Datenschutz!
2022 hat Google bereits 379,4 Mio. Euro in einem Vergleich mit über 40 US-Bundesstaaten bezahlt. Dieses Mal geht es um den Bundesstaat Kalifornien und die unerwünschte Standortverfolgung.
Zurück im Jahr 2018 beschuldigten Journalisten Google, den Standort von Benutzern aufzuzeichnen, obwohl diese die Standortverfolgung deaktiviert hatten. Nach langwierigen Untersuchungen kam der Generalstaatsanwalt zu dem Schluss, dass Google Benutzer getäuscht hat, indem persönliche Daten ohne Einwilligung für Profiling-Zwecke gesammelt und verwendet wurden. Bis 2019 war die Standortverfolgung sogar automatisch aktiviert, wenn man die Standard-Web- und Appaktivitäten von Google nutzte. Für personalisierte Werbung analysierte Google Bewegungsmuster. Die Verletzung des kalifornischen Verbraucherschutzgesetzes wurde aus kommerziellen Gründen begangen.
Obwohl Google kein Fehlverhalten zugibt, hat das Unternehmen einer Reihe von Auflagen zugestimmt. Dazu gehört eine größere Transparenz bezüglich der Standortverfolgung und der allgemeinen Verarbeitung personenbezogener Daten. Die Botschaft ist klar: Datenschutz und Transparenz sind wichtiger denn je. Auch in den USA.
Bußgeld: 345.000.000 EUR
Land: Irland
Das beliebte Videoportal TikTok hat tief in die Tasche gegriffen und eine saftige Strafe von 345 Millionen Euro aufgebrummt bekommen. Der Grund? Eine Untersuchung zur Datenverarbeitung von Minderjährigen, die von der irischen Datenschutzbehörde durchgeführt wurde.
Untersuchung zur Datenverarbeitung von Minderjährigen
Besonders ins Visier genommen wurden Einstellungen, die vor drei Jahren in Kraft waren. Zum Beispiel konnten Beiträge von 13- bis 17-Jährigen standardmäßig von jedem gesehen werden, und die Kommentarfunktion war für alle zugänglich. Zusätzlich zur Geldbuße wurde TikTok aufgefordert, seine Datenverarbeitung innerhalb von drei Monaten der DSGVO anzupassen.
Bei schwerwiegenden Verstößen zeigen Datenschutzbehörden keine Gnade: Oder hat jemand etwa die Rekordstrafe von 1,2 Milliarden Euro, die Meta (ehemals Facebook) im Mai auferlegt wurde, vergessen?
Wie ernst das Thema Datenschutz genommen wird, beweisen auch die EU-Kommission und mehrere europäische Regierungen, die die Nutzung der TikTok-App auf Diensthandys ihrer Mitarbeiter verboten haben. TikTok kontert mit „Project Clover“, um das Vertrauen in Europa zurückzugewinnen. Dabei sollen der Zugriff auf persönliche Daten europäischer Nutzer strikt geregelt und transparent gemacht werden, indem es europäische Nutzerdaten in neue Rechenzentren verlagert und strenge Regeln für Datenschutz einführt.
Der Umgang mit Daten von Minderjährigen ist besonders heikel. Wenn Ihr Unternehmen mit solchen Daten arbeitet, stellen Sie sicher, dass Sie robuste Altersverifikationsmechanismen implementieren. Dies ist entscheidend, um sicherzustellen, dass minderjährige Nutzer angemessen geschützt werden. Erfüllen Sie die hohen rechtliche Anforderungen um Datenschutzverstöße und Strafen zu vermeiden.
Möchten Sie sicherstellen, dass Ihr Unternehmen in Datenschutzfragen auf dem richtigen Weg ist?
Wir sind in jeder Lebenslage Ihr Datenschutzpartner – Kontaktieren Sie uns jederzeit für Beratung und Schulungen 🙂
Eine bedeutsame Veränderung im Datenschutz ist eingetreten – wir nehmen sie genauer unter die Lupe.
Data Privacy Framework
Das frisch eingeführte Datenschutzabkommen zwischen der EU und den USA, das unter dem Namen „Data Privacy Framework“ bekannt ist, hat die Bühne betreten und sorgt für Aufsehen. Dieses Abkommen, das von der Europäischen Kommission mit den USA abgeschlossen wurde, hat das Ziel, Datenschutzstandards zu wahren und ein solides Fundament für Datenschutz und Rechtssicherheit zu legen.
Datenübertragung in die USA
Aber was bedeutet das konkret für Unternehmen, die Daten an Unternehmen in den USA übertragen möchten?
Hier sind die essenziellen Punkte, die es zu beachten gilt:
Gibt es Zertifizierungen und Verträge?
Es ist wichtig zu betonen, dass für den Datenaustausch keine zusätzlichen Maßnahmen erforderlich sind, sofern das empfangende Unternehmen in den USA gemäß dem EU-US-Datenschutzrahmen zertifiziert ist UND entsprechende Verträge zwischen den Unternehmen abgeschlossen wurden (Controller to Controller, Controller to Processor). Unternehmen in der EU müssen vor der Datenübermittlung prüfen, ob das US-Unternehmen sich dem Framework unterworfen hat. Die Liste der zertifizierten Organisationen wird vom U.S. Department of Commerce veröffentlicht.
Verantwortung der EU-Unternehmen
Insgesamt liegt es in der Verantwortung der EU-Unternehmen, sicherzustellen, dass sie mit zertifizierten US-Unternehmen zusammenarbeiten, die die erforderlichen Datenschutzstandards einhalten. Die Zertifizierung und Überwachung dienen dazu, die Daten der EU-Bürger angemessen zu schützen und den transatlantischen Datenaustausch auf eine vertrauenswürdige Grundlage zu stellen.
Ein Tipp zum Abschluss
Nehmen Sie das Thema ernst. Nicht alle US-Software-Provider haben sich bisher dem Framework unterworfen, hier muss man sorgfältig prüfen. Entsprechende Datenverarbeitungsverträge müssen trotzdem abgeschlossen werden (Stichwort Auftragsverarbeitervertrag!). Wir unterstützen Sie auch bei diesem Thema selbstverständlich jederzeit gerne und monitoren permanent die „Mitglieder“ des Frameworks.
Wir möchten Ihnen hiermit in Erinnerung rufen, dass die Verpflichtung zur Umsetzung eines internen Meldekanals für viele Unternehmen bereits in Kraft getreten ist. Diese Entwicklung ergibt sich aus dem neuen „HinweisgeberInnenschutzgesetz“ (HSchG), das vom österreichischen Parlament am 25. Februar 2023 verabschiedet wurde, um die EU-Whistleblowing-Richtlinie auf nationaler Ebene umzusetzen.
Welche Unternehmen sind verpflichtet?
Gemäß den Bestimmungen des Gesetzes sind Unternehmen (vor allem mit Rechtsform AG, GmbH, OG und KG), im privaten und öffentlichen Sektor, die über 50 Mitarbeitende beschäftigen, dazu verpflichtet, interne Meldewege für anonyme Hinweisgeber einzurichten und auf eingehende Meldungen angemessen zu reagieren.
Wichtige Stichtage
Für die Umsetzung eines DSGVO-konformen internen Meldesystems sind zwei Stichtage relevant:
Stichtag: 25. August 2023
Stichtag: 17. Dezember 2023
Wir übernehmen gerne den Betrieb der Meldestelle für Sie. Unsere jahrelange Expertise in den Bereichen Compliance und Datenschutz schafft dafür die besten Voraussetzungen.
Die Vorteile einer externen Stelle sind vielfältig
Von der objektiven und sachlichen Bearbeitung der Hinweise bis zur Entlastung Ihrer internen Ressourcen. Zudem ermöglicht die Auslagerung eine firmenübergreifende Nutzung der gewonnenen Erkenntnisse für einen kontinuierlichen Verbesserungsprozess. Durchgehende Erreichbarkeit sowie ständige Fortbildung sind ohnehin Selbstverständlichkeiten für uns.
Noch eine Überlegung
Bietet man als Unternehmen keine interne Meldestelle an, wenden sich die Whistleblower künftig an externe Stellen: FMA, Datenschutzbehörde, Bundeskriminalamt, Staatsanwaltschaft, etc. Wenn eine Meldung einmal bei einer Behörde eingelangt ist, lässt sich (fast) nichts mehr reparieren.
Fazit
Das Aufklären von Unregelmäßigkeiten muss der Wunsch und das Ziel jedes Geschäftsführungsorgans sein – viele wertvolle Informationen kommen nur über anonyme Hinweisgeber in den obersten Ebenen an. „Anschwärzen“ kam über unsere Kanäle bisher so gut wie nie vor.
Kontaktieren Sie uns jederzeit – wir bieten für jede Unternehmensgröße attraktive Servicepakete an.
Es ist an der Zeit, einen Blick auf die neuesten Entwicklungen im Bereich der Cybersicherheit zu werfen, und diese halten einige bemerkenswerte Erkenntnisse bereit.
Alarmierende Zahlen
Der jüngst veröffentlichte „Security Cost of a Data Breach Report 2023“ von IBM zeigt, dass die Kosten für Datenschutzverletzungen weltweit ein neues Hoch erreicht haben – satte 4,45 Millionen US-Dollar im Durchschnitt PRO UNTERNEHMEN. Der Anstieg dieser Kosten um 15 Prozent in den letzten drei Jahren zeigt deutlich, dass das Thema Cybersicherheit in stetiger Bewegung ist. Während wir versuchen, Schritt zu halten, sind es oft die raffinierten Cyber-Angreifer, die uns vor Augen führen, wie wichtig proaktive Maßnahmen sind. Ein besorgniserregender Aspekt des Berichts ist der starke Anstieg der Kosten für die Entdeckung und Bewältigung von Datenschutzverletzungen – ganze 42 Prozent.
Tückische Folgen: Warum Kostenabwehr allein nichts bringt
Interessanterweise waren 95 Prozent der untersuchten Unternehmen von mehreren Datenschutzverletzungen betroffen. Einige dieser Unternehmen haben beschlossen, die Kosten auf die Kunden abzuwälzen, anstatt in umfassendere Sicherheitsmaßnahmen zu investieren – eine Vorgehensweise, die in etwa so effektiv ist wie ein Regenschirm gegen einen Tornado. Diese Herangehensweise kann kurzfristig scheinbar Geld sparen, bringt aber langfristig wenig Nutzen und macht die Unternehmen anfälliger für zukünftige Angriffe. Die Kosten, die im Unternehmen aufgrund eines erfolgreichen Phishing-Angriffs anfallen, sind nach den Kosten durch Insider-Bedrohungen die zweithöchsten. Organisationen, die klug agieren, widmen sich nicht nur der Beseitigung der Symptome, sondern setzen auf Prävention durch Incident-Response-Planning und vor allem auf Schulungen für Mitarbeiter.
Schlüssel zur Sicherheit: Schulungen
Es ist bemerkenswert, wie stark Schulungen ins Gewicht fallen. Sie sind der zweitwichtigste Faktor zur Kostensenkungen bei Datenschutzverletzungen oder zur Verhinderung dieser. Eine Investition in Bildung zahlt sich also nicht nur für die Mitarbeiter aus, sondern auch für die finanzielle Gesundheit und – im echten Ernstfall – die Existenz des Unternehmens. Die heutige Arbeitswelt mit ihrer verstärkten Remote-Arbeit bringt jedoch auch ihre eigenen Herausforderungen mit sich. Hier sind passende Schulungsmaßnahmen gefragt, um sicherzustellen, dass Mitarbeiter im Home-Office oder unterwegs ebenso geschützt sind wie im Büro.
Von Gefahr zu Verteidigung
Ein schnelles Erkennen und Beheben von Sicherheitsverletzungen zahlt sich zweifellos aus. Leider benötigen Unternehmen oft viel Zeit, um Insider-Bedrohungen, Social Engineering oder eben Phishing zu erkennen und zu bewältigen. Investitionen in Security Awareness-Training und simuliertes Phishing sind daher mehr als nur ratsam. Die Zahlen des Benchmarking-Reports werfen zudem ein Licht auf die Phishing-Anfälligkeit. Es scheint, als wäre fast ein Drittel der Mitarbeiter in den untersuchten Organisationen eher geneigt, auf eine Phishing-E-Mail hereinzufallen. Doch wir sind nicht machtlos – regelmäßiges Training und gezielte Maßnahmen können diesen Prozentsatz erheblich senken.
Stark für die Zukunft
Zusammenfassend zeigt der Bericht, wie wichtig es ist, eine proaktive Haltung gegenüber der Cybersicherheit einzunehmen. Investitionen in Schulungen, moderne Sicherheitssysteme und regelmäßige Bewertungen dieser sind der Schlüssel zur Stärkung der Verteidigung gegenüber den stetig steigenden Bedrohungen.
Fazit
Denken Sie daran, dass Ihre Daten wertvoll sind – und nicht nur für Sie. Bei allen Fragen zur Security beraten wir Sie gerne! Nutzen Sie auch unser umfangreiches Schulungsangebot, schon mit einer Stunde Training kann man viel erreichen – egal ob Onlineschulungen, Live-Webinare oder auch Präsenzschulungen.
Wie so oft sorgt die Digitalisierung für Gesprächsstoff in unserer Gesellschaft. Sie erzeugt bei vielen Menschen Begeisterung und zeigt positive Meinungen dazu auf. Allerdings birgt Digitalisierung, ohne ausreichende Sicherheitsmaßnahmen, auch Gefahren. In diesem Artikel widmen wir uns den Hacker-Angriffen auf moderne Fahrzeuge.
Beginnen wir mit dem praktischen Nutzen moderner Fahrzeuge und welche entscheidende Rolle das Internet dabei spielt: Es werden Daten mit der Fahrzeugzentrale ausgetauscht, um beispielsweise geparkte Autos wiederzufinden, Video-Daten für eine bessere Navigation zu speichern, die eigene Handy-Playlist im Auto abspielen zu können oder eine selbstständige Rettungsmeldung durch das Fahrzeug zu veranlassen.
Zudem werden Kreditkartendaten gespeichert, die wiederum dafür verwendet werden, weitere Funktionen freischalten zu können. Alle diese tollen Features begeistern die geneigten Autofahrer.
Laut einer Sicherheitskonferenz in den USA (Maryland), gibt es doch einige Unterschiede unter den Autoherstellern. Bei den Automarken Ferrari, Ford, Hyundai, Honda, Toyota, BMW, Porsche, Mercedes-Benz, Nissan und Kia konnten die Hacker die Accounts der Besitzer übernehmen, die Autos starten, die Autos hupen lassen, die Autos entriegeln uvm.
Auch Firmenfahrzeuge sind ein gefundenes Fressen für Hacker, denn diese ermöglichen es ihnen teilweise sogar auf Unternehmensnetzwerke zugreifen zu können.
Zum Teil gelang es sogar nur anhand der Fahrzeug-Identifizierungsnummer (VIN) und ohne weitere Maßnahmen, die Daten der Fahrzeugbesitzer herauszufinden.
Aufgrund der unverschlüsselten Daten, welche sich in den Apps der Fahrzeuge befinden, konnten die Hacker die Daten der Fahrzeugbesitzer leicht beschaffen. Weitere geeignete Schnittstellen für Hackerangriffe sind zum Beispiel USB-Anschlüsse, CD-Laufwerke, WLAN, Bluetooth usw.
Nun… so einfach ist es leider nicht. Das Bewusstsein für Sicherheit ist häufig gegeben, allerdings fehlt es den Fahrzeugherstellern oftmals am Wissen der zu setzenden technischen Maßnahmen. Der Beginn einer lückenlosen Sicherheitstechnik startet bereits mit der Entwicklung der einzelnen Module der Fahrzeuge. Es gilt Schwachstellen bei Hard- und Softwaren so gering wie möglich zu halten. Hierbei sind die Begriffe „Security und Privacy by Design“ von großer Bedeutung. Dabei wird nicht nur eine sehr enge und gute Zusammenarbeit unter internen Teams erwartet, sondern auch eine einwandfreie Kommunikation mit den Zulieferern. Außerdem ist es unabdinglich „White-Hat-Hacker“ zu organisieren, welche sich beauftragt und mit freundlichen Absichten in die Systeme hacken und so Schwachstellen erkenntlich machen. Diese werden dann gemeinsam mit den Entwicklern behandelt. Auch Sicherheit-Updates werden nach wie vor zu wenige durchgeführt. Regelmäßige Sicherheitsupdates durch den Fahrzeughersteller können Angriffen entgegenwirken.
Versichern Sie sich, dass Ihr Auto regelmäßig Sicherheits-Updates erhält.
Seien Sie auch beim Installieren und Verwenden von Apps in Ihrem Auto vorsichtig.
Haben Sie noch Fragen? Wir beantworten alle Sicherheits- und Datenschutzfragen, selbst die zu Ihrem Auto 😉
Cyberattacken sind heute so häufig wie noch nie – allein im Jahr 2021 gab es in Österreich über 46.000 angezeigte Fälle, die Dunkelziffer ist wohl noch höher. Trotzdem sind laut Analyse des KSV1870 drei von zehn Unternehmen nicht einmal im Stande, Sicherheitsvorfälle zu erkennen.
Zusätzlich haben 25% der Betriebe kein ausreichendes Sicherheitssystem um angemessen auf Bedrohungen reagieren zu können. Das bedeutet in der Praxis ein Sicherheitsrisiko für die personenbezogenen Daten und damit die Privatsphäre vieler Menschen in Österreich. Wenn etwa vermeintlich sichere Webseiten gehackt werden und das unbemerkt bleibt, ist die Chance hoch, auf diesen Webseiten mit Schadsoftware infiziert zu werden. Damit haben die Angreifer alle Möglichkeiten, Daten, die auf diesen Webseiten verarbeitet werden, abzugreifen. Rund 90% dieser gehackten Webseiten waren auch einen Monat nach der ersten Überprüfung immer noch infiziert, obwohl die Betreiber auf das Sicherheitsrisiko hingewiesen wurden. Schlimmer noch, die Angreifer können sich auch über unsichere Webseiten Zugriff auf die EDV-Systeme der Unternehmen verschaffen, diese sperren, verschlüsseln oder Daten stehlen. Das ist dann der Supergau schlechthin.
22% überschätzen außerdem die eigenen Sicherheitsmaßnahmen, sind also in der Praxis auch auf Vorfälle unvorbereitet. Das mangelnde Sicherheitsniveau ist beträchtlich, besonders wenn man bedenkt, dass von den angezeigten Straftaten 2021 nur knapp 36% geklärt werden konnten. Das Risiko für Unternehmen ist also enorm.
Die angezeigten Vorfälle steigen kontinuierlich Jahr für Jahr. Allein von 2020 auf 2021 gab es eine Steigerung von 19,5% der angezeigten Vorfälle. Außerdem werden mit Ransomware gezielt Unternehmen angegriffen. Ransomware sind Erpressungstrojaner mit denen ein Großteil aller Daten in einem System verschlüsselt werden können. Ist das geschafft, erpressen Kriminelle die betroffenen Firmen mit hohen Lösegeldforderungen. Auch kleine und mittlere Unternehmen sind davon betroffen. Die meisten Angriffe werden durch menschliche Unachtsamkeit verursacht, etwa durch Phishing Fallen oder durch das anklicken infizierter Links.
100 % Sicherheit gibt es nicht. Aber über 90 % ist erzielbar, durch Awareness und regelmäßige Überprüfung aller Sicherheitstools. Sind diese auf neuestem Stand oder wurden Updates, weil sie lästig sind, immer weggeclickt?
Die Schulung ALLER im Unternehmen tätiger Personen ist extrem wichtig, um Sicherheitsvorfälle vorzubeugen. Vor allem Geschäftsführer und leitende Angestellte müssen sich für Schulungen auch Zeit nehmen.
Prüfen Sie den Stand der Sicherheitsmaßnahmen im Unternehmen (technische und organisatorische Maßnahmen) regelmäßig. Oder lassen Sie den Stand von Externen überprüfen.
Updates nicht wegclicken, sondern durchführen!
Sie benötigen eine rasche Sicherheitsüberprüfung von außen? Wir stehen sehr gerne zur Verfügung 😉 Kontaktieren Sie uns jederzeit für ein entsprechendes Angebot.
Die DSGVO ist eine der bekanntesten europäischen Verordnung zur Regulierung des Datenschutzes. Nun soll aber bei eben jener Verordnung nachgebessert werden, um die Durchsetzung länderübergreifend effizienter zu gestalten.
Aktuell gibt es ein Problem bei der Bearbeitung von grenzüberschreitenden Fällen im Rahmen der aktuellen Regelung. Insbesondere bei größeren Fällen, die Unternehmen wie Meta, Google, Apple oder Amazon betreffen, werden die Verfahren von Behörden in zwei Ländern abgewickelt: der irischen Datenschutzbehörde und der luxemburgischen Behörde. Dies hat immer wieder zu Kritik geführt, da die Strafen für Verstöße als zu lasch empfunden werden. Die aktuelle Zuständigkeit ist durch das sogenannte „One Stop Shop“ Verfahren geregelt, was bedeutet, dass nur die Behörde in dem Land für Verstöße zuständig ist, in dem das betroffene Unternehmen seinen Hauptsitz hat. Da die Hauptsitze von vielen Tech-Giganten in Irland oder Luxemburg liegen, sind die irische und luxemburgische Behörde für die meisten Fälle zuständig.
Jedoch gibt es Bedenken hinsichtlich der Effektivität dieses Verfahrens, da es in der Vergangenheit zu Verzögerungen und Uneinigkeit zwischen den nationalen Behörden gekommen ist. Es wurde daher von vielen Seiten gefordert, dass die Zuständigkeit für grenzüberschreitende Fälle besser geregelt wird, um eine effektivere Strafverfolgung sicherzustellen. Der Europäische Datenschutzausschuss hat in diesem Zusammenhang eine „Wunschliste“ mit Forderungen zur Verbesserung grenzüberschreitender Verfahren vorgelegt.
Es bleibt abzuwarten, wie die neue Regelung aussehen wird und ob sie tatsächlich zu einer Verbesserung führt. Die Kommission plant, das kommende Gesetz gezielt und limitiert zu halten, um kontroverse Debatten mit Datenschützern, Aktivisten und Tech-Giganten zu vermeiden. Die Umsetzung soll jedoch bereits im 2. Quartal 2023 stattfinden, so dass wir bald mehr Klarheit über die neuen Regelungen und ihre Auswirkungen haben werden.
Die Europäische Kommission plant eine „Harmonisierung“ des Verwaltungsverfahrens, um ein länderübergreifendes „reibungsloses Funktionieren der Kooperations- und Streitbeilegungsmechanismen“ zu gewährleisten. Genauere Details zu den neuen Regelungen sind noch nicht bekannt, aber im Oktober letzten Jahres hat der Europäische Datenschutzausschuss eine „Wunschliste“ vorgelegt, die Forderungen zur Verbesserung grenzübergreifender Verfahren enthält.
Die Kommission plant, das kommende Gesetz gezielt und begrenzt zu halten, da sie sich auf große Debatten mit Datenschützern, Aktivisten und Big-Tech-Lobbyisten einstellt. Oliver Micol, der Leiter der Kommission, sagt dazu in Politico: „Wie immer wird niemand mit dem Vorschlag der Kommission zufrieden sein, denn die Datenschutzbehörden sind sich über das Problem einig, nicht aber über die Lösungen.“ Die Tech-Giganten werden sich voraussichtlich gegen das neue Gesetz aussprechen, da es das System für mehr Vollzug effizienter machen wird.
Es ist jedoch auch klar, dass die Umsetzung neuer Regelungen nicht ohne Herausforderungen sein wird. Datenschützer und Aktivisten werden möglicherweise die Unzulänglichkeiten der neuen Regelungen aufzeigen und ihre Bedenken in Bezug auf den Schutz der Privatsphäre und der persönlichen Daten der Nutzer zum Ausdruck bringen. Auf der anderen Seite könnten Tech-Giganten argumentieren, dass die neuen Regelungen zu weitreichend sind und ihre Fähigkeit, Daten zu sammeln und zu nutzen, einschränken.
Letztendlich wird es eine Balance zwischen dem Schutz der Privatsphäre und der persönlichen Daten der Nutzer sowie der Förderung von Innovationen und der wirtschaftlichen Entwicklung geben müssen. Wir werden gespannt darauf warten, wie die neuen Regelungen konkret aussehen werden und wie sie sich auf die Zukunft des Datenschutzes in der Europäischen Union auswirken werden.
Bleiben Sie „up-to-date“ um DSGVO-konform zu bleiben!
Daher: Abonnieren Sie am besten gleich unseren Newsletter, um „up-to-date“ zu sein! 😉
Eine richtungsweisende Entscheidung aus Deutschland? Mitte Februar gab es eine Entscheidung des Arbeitsgerichts Oldenburg, welche das betroffene Unternehmen verpflichtete, 10.000€ immateriellen Schadenersatz an einen ehemaligen Mitarbeiter zu zahlen.
Der Arbeitnehmer stellte ein Auskunftsbegehren, welches ihm der Arbeitgeber zunächst verweigerte. Ganze 20 Monate später bekam der Arbeitnehmer dann vereinzelt Unterlagen, was natürlich nicht ausreichend war, denn der Arbeitnehmer hatte Kopien der gesamten Unterlagen verlangt (was dem Arbeitnehmer laut Art. 15 Abs. 3 DSGVO auch zusteht). Der Arbeitnehmer klagte den Arbeitgeber daher auf Schadenersatz und bekam Recht: Für jeden verstrichenen Monat muss der Arbeitgeber 500€ an Schadenersatz zahlen – in Summe also 10.000€.
Besonders spannend: Der Kläger musste dem ihm entstandenen Schaden nicht näher definieren, denn allein die Verletzung der DSGVO führe zu einem auszugleichenden immateriellen Schaden, befand das ArbG. Begründet wurde das mit dem präventiven Charakter des Schadenersatzanspruches, der abschreckend wirken soll.
Unternehmen müssen unbedingt innerhalb der gesetzlich geregelten Fristen die Erfüllung von Betroffenenrechten sicherstellen. Das bedeutet, wie in diesem Fall deutlich gezeigt wurde, Auskunftsbegehren pünktlich zu beantworten. Dafür hat man einen Monat ab Eintreffen der Anfrage Zeit. Bei besonders hohem Aufwand oder bei besonders vielen Anfragen darf man als Unternehmen die Frist verlängern, muss den Betroffenen oder die Betroffene aber darüber aufklären.
Ein geklautes Handy ist sehr ärgerlich, aber was, wenn der Dieb damit das ganze Konto abräumen kann? Das Horror-Szenario ist für iPhone-User eine reale Bedrohung.
Es kommt immer häufiger nach einem Diebstahl zur kompletten Einnahme von iPhones und damit einhergehend zu einem Diebstahl der digitalen Identität. Wie kommt es dazu? Das ist sehr einfach, nämlich durch die Änderung des Passworts der Apple-ID. Die Apple-ID ist der Zugang zu fast allen digitalen Apple-Diensten. Um diese ID zu ändern, braucht es nur das Smartphone-Passwort – also eine sechsstellige PIN (die aber auch kürzer sein kann).
Es ist leicht für Diebe, die Eingabe des Smartphone-Passworts in einer Bar oder an anderen öffentlichen Orten zu beobachten. Haben die Diebe das Passwort herausgefunden, können sie nicht nur auf das gestohlene Smartphone zugreifen, sondern auch gleich das Passwort der Apple-ID ändern. Wenn dieses geändert ist, können sie auf viele der installierten Apps zugreifen. Das Verhindern bzw. das Zurückerlangen des eigenen Accounts wird damit fast verunmöglicht.
Haben Diebe nun vollen Zugang, können sie auf Banking-Apps oder digitale Kreditkarten, wie zum Beispiel den hauseigenen Dienst, Apple Cash, zugreifen. Es gibt bereits Bericht über Fälle, wo mehrere hunderttausend US-Dollar gestohlen werden konnten.
Laut Apple habe man „Mitgefühl mit den Nutzern“, weiters sagen sie jedoch, wie selten diese Angriffe wären. Auch verspricht Apple Verbesserungen der Schutzmaßnahmen. Das Wall Street Journal spricht in seinem Bericht aber von hunderten an Vorfällen dieser Art, die sich immer häufiger ereignen. Und dennoch, wenn kein finanzieller Schaden entstanden ist, verlieren Betroffene den Zugang zu ihren persönlichen Daten. Seien es Notizen oder Fotos, die nur auf der Cloud gespeichert sind. In den meisten Fällen lässt sich nämlich der Zugang nicht mehr herstellen.
Man vermutet organisierte Gruppen, die ahnungslose Leute in Bars und Restaurants abpassen. Dort wird mit den Opfern eine vermeintliche Trinkfreundschaft geschlossen. Im Laufe des Abends gibt das Opfer mehrmals die iPhone-PIN ein, welche sich die Diebe genau merken. Gelingt es allerdings nicht, die PIN des Opfers zu beobachten, werden andere Strategien angewandt. Beispielsweise werden Fotos geknipst oder man verbindet sich mit Diensten wie Snapchat und schaltet dabei das Handy des Opfers aus. Spätestens dann muss nämlich die PIN eingegeben werden. Anschließend entwenden die Betrüger das Handy des Opfers und stellen schnellstmöglich neue Passwörter ein – nun ist es bereits zu spät, der Schaden wurde verursacht.
Der beste Weg um sich vor solchen Angriffen zu schützen, ist es, jeweils eine andere PIN für diverse Apps, insbesondere bei Banking-Apps zu verwenden. Deaktivieren Sie bei diesen Apps auch das Einloggen mit biometrischen Daten und der Apple-PIN. (Deaktivieren Sie das Einloggen mit biometrischen Daten deshalb, weil bei iPhones nach mehrmaligen Fehlschlagen beim Einloggen mit biometrischen Daten erst wieder nach der Apple-PIN gefragt wird, mit der man dann Zugriff auf die Apps erhält.) Außerdem sollte Ihre Apple-PIN mindestens sechs Stellen haben und aus Zahlen und Buchstaben bestehen.
Sollte es zu einem Diebstahl kommen, ist sofortiges Handeln gefragt: Löschen Sie von Ihren anderen Geräten aus das iCloud Portal, damit die Diebe eine Sperre des Handys nicht umgehen können. Ändern Sie das Passwort aller Apps, bei denen sie schon mal etwas gekauft haben und loggen Sie sich aus den Diensten aus (in den meisten Fällen wird nach einer Passwortänderung gefragt, ob man sich auf allen Geräten ausloggen möchte).
Vor allem aber ist eines wichtig: Passen Sie auf, Ihre PIN nicht in der Öffentlichkeit einzutippen!