DSGVO: Checkliste für mittelständische Unternehmen

Es gibt viele Checklisten zur Umsetzung der DSGVO, die teilweise in ihrem Bemühen möglichst umfassend zu sein sehr ausufern. Ich möchte im Folgenden eine kleine, einfache Checkliste zur Verfügung stellen, gerade ohne Anspruch vollständig zu sein, sondern mit dem Anspruch, einen Einstieg in die Thematik für die kleinen mittelständischen Betriebe zu geben, die weiterhin in starker Verunsicherung leben.
„DSGVO: Checkliste für mittelständische Unternehmen“ weiterlesen

OLG Köln: Anwendbarkeit des KUG im Rahmen der DSGVO

Das Oberlandesgericht Köln (15 W 27/18) konnte in einem Beschluss klarstellen, dass aus dortiger Sicht das KUG im Rahmen der DSGVO anzuwenden ist. Ich habe dies auf der Kanzlei-Seite etwas länger kommentiert, insgesamt komme ich zu dem Fazit, dass Fotografen damit im Rahmen der DSGVO wohl insgesamt nach den bekannten Regeln fotografieren können, jedenfalls was die Privilegierungen des KUG (und nach meiner Auffassung auch UrhG) angeht.
„OLG Köln: Anwendbarkeit des KUG im Rahmen der DSGVO“ weiterlesen

Abmahnungen im Datenschutzrecht

Der Schrecken der Abmahnungen geht um oder wird zumindest beschwört seit dem 25.5.2018. Und in der Tat musste ich dazu in den letzten Wochen derart viel Unsinn lesen, dass es mühselig wäre, hierauf im Detail einzugehen. Jedenfalls ein Fazit mag ich ziehen: Es wird weiterhin viel Panikmache betrieben und Angst geschürt, teilweise mit Blick auf die Presse – ich verlinke bewusst nichts an dieser Stelle – auch schlicht auf schlecht informierter Basis. Es verbleibt bei der alten Binsenweisheit: Abmahnungen sollte man generell ernst nehmen, aber keinesfalls blind in Aufregung verfallen.
„Abmahnungen im Datenschutzrecht“ weiterlesen

Anstieg der Datenschutzeingaben nach Inkrafttreten der DSGVO

Es wird berichtet, dass die datenschutzrechtlichen Aufsichtsbehörden der Länder gut 1 Monat nach Inkrafttreten der der DSGVO von einer Zunahme der datenschutzrechtlichen Eingaben berichten. Insgesamt scheint man auf das Thema aufmerksam geworden zu sein, allerdings betreffen viele Eingaben auch schlicht Dienste wie Facebook und weniger die Bäckerei um die Ecke. Das Schüren von Ängsten ist aus meiner Sicht weiterhin fehl am Platz, gleichwohl hilft es nichts: Datenschutz ist nun ein Thema geworden, um das man sich zu kümmern hat.

Wirklich spannend ist die angeblich gestiegene Zunahme von Meldungen von Pannen durch Unternehmen – also wenn Daten abhanden gekommen sind, etwa weil ein Endgerät gestohlen wurde oder abhanden gekommen ist. Eine solche Pflicht zu Meldungen gab es auch schon nach altem Recht, aber möglicherweise ist es die Sorge vor den höheren Sanktionen und nochmehr Schadensersatzforderungen (die nun umfangreicher möglich sind!), die Unternehmen zu mehr Gesetzestreue veranlassen.

Checkliste DSGVO: Datenschutzerklärung auf der Webseite

Es finden sich im Internet eine Menge von Datenschutzgeneratoren und Checklisten für die Webseite, insgesamt wird man von der Fülle nahezu „erschlagen“ habe ich den Eindruck. Ich möchte daher hier keine umfassende Checkliste anbieten, sondern eine kurze Auflistung von Punkten die aus meiner Sicht in jedem Fall bei der Abfassung einer Datenschutzerklärung eine Rolle spielen müssen, die Auflistung ist dabei gerade nicht abschliessend.
„Checkliste DSGVO: Datenschutzerklärung auf der Webseite“ weiterlesen

DSGVO: Mitteilungspflicht der Kontaktdaten von Datenschutzbeauftragten in NRW

Mit Geltung der DSGVO ab dem 25. Mai 2018 sind der Aufsichtsbehörde bekanntlich die Kontaktdaten des bestellten Datenschutzbeauftragten mitzuteilen. In NRW ist nach Mitteilung der Landesdatenschutzbeauftragtenm beabsichtigt, eine Möglichkeit zur Online-Meldung über die Homepage der LDI NRW anzubieten, so dass die Mitteilungen auf elektronischem Wege entgegen genommen werden können. Ein solches Formular existiert allerdings noch nicht und inzwischen wurde mitgeteilt, dass eine (weitere) Übergangszeit diesbezüglich seitens der Behörde geplant ist, so liest man auf der Webseite dort:

WICHTIGER HINWEIS: Wir beabsichtigen, unterlassene Meldungen der Kontaktdaten der/des Datenschutzbeauftragten während einer Übergangszeit bis zum 31.12.2018 nicht als Datenschutzverstöße zu verfolgen oder zu ahnden.

DDoS-Angriffe stellen zunehmende öffentliche Gefährdung dar

Bei Heise findet sich ein interessanter Beitrag zur aktuellen Gefährung durch DDoS-Angriffe, sowohl für die Internet-Infrastruktur insgesamt, aber auch für individuelle Firmen. Dabei wird zu Recht die zunehmende Gefahr durch schlechte Sicherheitspolitik bei Massenprodukten im Bereich „Internet of Things“ thematisiert:

Link 11 sieht hier vor allem unsichere IoT-Geräte in der Schuld. Wie auch heise Security kritisieren die Experten, dass sich niemand für die Sicherheit dieser Geräte zuständig fühle.

Nun ist kurz festzuhalten, dass DDoS-Attacken strafbar sind – das dürfte potentielle Täter aber kaum abschrecken. Spannender ist die Frage, ob man nicht die Hersteller der Geräte in die Pflicht nehmen kann – und ja, ich denke die Hersteller unterschätzen hier die Probleme.

Spätestens mit der Datenschutzgrundverordnung wird ab Mai 2018 vorgesehen sein, dass Produkte „Privacy by Design und Default“ nach Art. 32 DSGVO bieten müssen. Wer mit seinem Produkt dabei „schludert“, dem droht eine wettbewerbsrechtliche Unterlassungsklage eines Mitbewerbers oder Verbraucherverbandes sowie ein empfindliches Bußgeld.

Des weiteren sieht das Telemediengesetz, nach der Modifikation durch das IT-Sicherheitsgesetz, im §13 Abs.7 TMG nunmehr vor:

Diensteanbieter haben (…) sicherzustellen, dass kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und diese (…) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind.

Auch hier droht Ungemach, auch wenn die wettbewerbsrechtliche Relevanz aus meiner Sicht noch nicht abschliessend geklärt ist, so kann das BSI doch zumindest Warnungen aussprechen. Darüber hinaus ist zu erwarten, dass dieser Aspekt hinsichtlich von Rückrufen nach dem Produktsicherheitsgesetz zu thematisieren ist.

Gesetz zur Umsetzung der NIS-Richtlinie

Das Bundeskabinett hat den Entwurf eines Gesetzes zur Umsetzung der NIS-Richtlinie abgesegnet, womit der letzte Schritt zur Umsetzung einer europaweiten Regelung zur IT-Sicherheit gegangen wird. Nach dem IT-Sicherheitsgesetz werden nunmehr auch „Digitale Dienste“ in den Fokus genommen und mit Pflichten sowie einer Aufsicht durch das BSI versehen. Während Kleinstunternehmer ausgenommen sind dürften im Übrigen vor allem Online-Shops und Anbieter von Infrastrukturen, speziell IT-Systemhäuser, betroffen sein. Es sind Sicherheits- und BCM-Konzepte bis zum 10. Mai 2018 zu schaffen, da damit zu rechnen ist, dass das BSI diese später einer Kontrolle unterziehen wird.

Mehr zur Umsetzung der NIS-Richtlinie finden Sie hier von mir.

BSI warnt vor Cyber-Angriffen

In einer Pressemitteilung wird der Präsident des BSI mit den Worten zitiert:

„Ich teile die Einschätzung des NATO Generalsekretärs Jens Stoltenberg über die Zunahme von Cyber-Angriffen und die damit verbundenen Herausforderungen beim Schutz Kritischer Infrastrukturen. Diese haben wir auch in unserem Bericht zur Lage der IT-Sicherheit in Deutschland 2016 dargestellt. Deutschland ist hier durch die Cyber-Sicherheitsstrategie der Bundesregierung und das IT-Sicherheitsgesetz sowie durch Einrichtungen wie den UP KRITIS bereits sehr gut aufgestellt. Die Umsetzung des IT-Sicherheitsgesetzes erfolgt durch die nationale Cyber-Sicherheitsbehörde BSI in enger Zusammenarbeit mit den KRITIS-Betreibern. Auch im Rahmen der NATO erfüllt das BSI diese Aufgabe und ist seit 2011 als National Cyber Defence Authority (NCDA) gegenüber der NATO benannt. Durch kontinuierlichen und engen Austausch sowohl mit der NATO als auch mit den NCDAs der anderen NATO-Mitgliedsstaaten arbeiten wir gemeinsam daran, den zunehmenden Herausforderungen der Digitalisierung auch international zu begegnen und die Cyber-Sicherheit stetig zu verbessern.“

Die Worte erinnern daran, sich generell um eine gute und stabile IT-Infrastruktur zu kümmern, ein Sicherheitskonzept installiert zu haben und ein Ausfallkonzept in der Hinterhand zu haben. Dies ausdrücklich auch für kleinere Unternehmen, die das Risiko schädlicher Angriffe bis heute massiv unterschätzen.