In einer Zeit, in der die Grenzen zwischen öffentlichem und privatem Raum zunehmend verschwimmen, rückt das allgemeine Persönlichkeitsrecht aus Art. 2 Abs 1 und Art. 1 Abs. 1 Grundgesetz im datenschutzrechtlichen Kontext immer stärker in den Fokus. In einer Ära, die von digitalen Medien und einer ständig erreichbaren Online-Welt geprägt ist, stehen insbesondere Influencer und andere Prominente vor der Herausforderung, ihre persönlichen Daten zu schützen, während gleichzeitig die Öffentlichkeit einen nie dagewesenen Zugang zu ihrem Leben hat.

 

Das Wichtigste in Kürze

  • Die Veröffentlichung eines Bildes einer prominenten Person bedarf grundsätzlich ihrer vorherigen Zustimmung, soweit nicht das Interesse der Öffentlichkeit überwiegt.
  • Dabei kommen die DSGVO und das KunstUrhG zur Anwendung.
  • Ob die Veröffentlichung von heimlich aufgenommenem Bild- und Tonmaterial in einer identifizierenden Weise zulässig ist, hängt immer von einer individuellen Abwägung zwischen dem Recht auf Privatsphäre und der Meinungs- sowie Pressefreiheit ab.
  • Je höher das öffentliche Informationsinteresse am Inhalt der Aufnahmen ist, desto eher überwiegt die Meinungs- und Pressefreiheit.

 

Veröffentlichung von Bildaufnahmen

Soweit Personen auf Fotografien erkennbar sind, handelt es sich bei den Bildern um personenbezogene Daten im Sinne des Art. 4 Nr. 1 Datenschutz-Grundverordnung (DSGVO).
Die Möglichkeit eine Person auf einem Foto zu erkennen hängt nicht davon ab, ob der Fotograf einzelne Gesichter konkreten Personen zuordnen kann. Vielmehr ist ein abstrakt feststellbarer Personenbezug entscheidend.

Bei der Verarbeitung solcher Daten, die bei digitalen Fotos automatisch erfolgt, ist Art. 2 Abs. 1 DSGVO anwendbar.

Die Datenverarbeitung, worunter nicht nur die Anfertigung der Aufnahmen, sondern auch deren Veröffentlichung fällt, wird häufig nach Art. 6 Abs. 1 lit. f DSGVO auf berechtigte Interessen gestützt.

Für Fotografien, die im journalistischen Bereich veröffentlicht werden, sind aufgrund einer Öffnungsklausel nicht die Regelungen der DSGVO, sondern das Kunsturhebergesetz (KunstUrhG) maßgeblich.

Gemäß § 22 KunstUrhG ist die Verarbeitung oder Veröffentlichung von Personenbildern grundsätzlich nur mit Zustimmung der abgebildeten Person gestattet. Allerdings gilt dieser Grundsatz nicht uneingeschränkt für Personen, die im Juristendeutsch als „Personen der Zeitgeschichte“ bekannt sind, wie berühmte Sportler, Influencer oder andere Personen des öffentlichen Lebens.

Bilder dieser Personen dürfen nach § 23 Abs. 1 KunstUrhG auch ohne deren Einwilligung veröffentlicht werden. Allerdings gilt dies nicht uneingeschränkt. Es hängt immer von den spezifischen Umständen des jeweiligen Falles ab, da auch berühmte Persönlichkeiten ein Anrecht auf Privat- und Intimsphäre haben. Daher ist stets eine sorgfältige Abwägung unter Betrachtung der Interessen erforderlich, um zu entscheiden, ob ein bestimmtes Bild dem Bereich der Zeitgeschichte zugeordnet werden kann.

Grundsätzlich gilt: Je mehr eine Person im Rampenlicht der Öffentlichkeit steht und sich diesem selbst aussetzt, desto wahrscheinlicher ist es, dass sie Bildberichterstattungen hinnehmen muss, insbesondere wenn diese in direktem Zusammenhang mit ihrer öffentlichen Rolle stehen.

 

Anfertigung und Verwendung von Tonaufnahmen

Weiterhin stellt sich die Frage, ob beispielsweise Journalisten das Recht haben, Tonaufzeichnungen von Gesprächen zu erstellen.

Auch wenn es sich bloß um eine Tonaufnahme handelt, werden persönliche Daten im Sinne der DSGVO verarbeitet, wenn die aufgenommene Person erkennbar ist. Aus diesem Grund richtet sich auch die Frage, ab wann das Anfertigen von Tonaufnahmen zulässig ist, grundsätzlich nach der DSGVO.

Wenn eine Person durch eine Audioaufnahme identifizierbar ist und ihre Stimme erkennbar bleibt, darf eine solche Aufnahme nur angefertigt werden, wenn die betroffene Person einverstanden ist oder ein anderer Rechtfertigungsgrund gem. Art. 6 DSGVO existiert. Bei heimlichen Tonaufnahmen fehlt jedoch oft die erforderliche Zustimmung, was ihre Anfertigung im Allgemeinen unzulässig macht.

Die Bestimmungen der DSGVO sind häufig nicht mit den Anforderungen des Journalismus, insbesondere bei investigativen Recherchen, vernünftig in Einklang zu bringen. Journalisten sind darauf angewiesen, tiefgründig und investigativ zu arbeiten. Würden sie für jede Audio- oder Videoaufzeichnung eine Zustimmung der betreffenden Personen benötigen, könnte dies eine umfassende und kritische Berichterstattung erheblich erschweren, da diese Zustimmung den betroffenen Personen die Möglichkeit bieten würde, die journalistische Arbeit zu behindern. Um diesen Konflikt zu adressieren, wurden für Journalisten spezielle Ausnahmen von diesen Vorschriften geschaffen.

Nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH) gilt eine Datenverarbeitung dann als journalistisch, wenn sie darauf abzielt, Informationen, Meinungen oder Ideen über jegliche Übertragungsmedien in der Öffentlichkeit zu verbreiten. Allerdings führt in der nationalen Rechtsprechung der bloße Umstand, dass eine Veröffentlichung von Informationen für die öffentliche Meinungsbildung relevant ist, nicht automatisch dazu, dass diese als journalistische Tätigkeit angesehen wird. Eine wesentliche Bedingung ist, dass die meinungsbildende Funktion der Tätigkeit dominant ist und nicht nur eine untergeordnete Rolle spielt.

In Deutschland wird dieser Spielraum durch das sogenannte Medienprivileg genutzt, das in den Landespresse- und Landesmediengesetzen sowie im Medienstaatsvertrag verankert ist. Dieses Privileg entbindet Journalisten von den meisten Anforderungen der DSGVO. Der Hauptzweck dieses Privilegs besteht darin, den Konflikt zwischen Datenschutz und den Grundrechten der Pressefreiheit zu lösen. Es ermöglicht Journalisten, eigenständig und nach eigenem Ermessen zu recherchieren und zu berichten, ohne für Audio- und Videoaufnahmen eine Zustimmung einholen zu müssen. In bestimmten Fällen können sie sich dennoch nach § 201a StGB strafbar machen.

 

Das Recht am eigenen und gesprochenen Wort

Auch die Veröffentlichung von heimlichen Tonaufnahmen stellt einen Eingriff in das allgemeine Persönlichkeitsrecht dar und kann zudem nach § 201 StGB strafbar sein.

Es muss hier eine Abwägung zwischen dem allgemeinen Persönlichkeitsrecht des Aufgezeichneten und der Meinungsfreiheit der Presse sowie dem öffentlichen Informationsinteresse der Allgemeinheit stattfinden, um festzustellen, ob eine Veröffentlichung der heimlich angefertigten Tonaufnahmen zulässig ist. Dabei fällt die Meinungsfreiheit umso stärker ins Gewicht, je mehr das betroffene Thema wesentlich die Öffentlichkeit berührt.

Bei der Bewertung ist entscheidend, ob geheime Aufzeichnungen hauptsächlich das Private einer Person oder spezifische Missstände thematisieren und wie stark sie in den persönlichen Bereich eingreifen. Die Herausgabe der Tonaufzeichnung muss zur Meinungsbildung der Öffentlichkeit beitragen. Daher darf die Aufnahme keine privaten oder geschäftlichen Aussagen, die für die Öffentlichkeit keine wesentliche Relevanz haben, beinhalten. Überwiegen die Pressefreiheit und das öffentliche Informationsbedürfnis das Persönlichkeitsrecht der aufgezeichneten Person, könnte das Veröffentlichen der heimlich erstellten Tonaufzeichnung zulässig sein.

 

Wie kann gegen eine Verletzung des allgemeinen Persönlichkeitsrechts vorgegangen werden?

Bei Zuwiderhandlungen können verschiedene Strafen drohen, die in diversen Gesetzen festgelegt sind, darunter auch im Strafgesetzbuch: Gemäß § 201a StGB führt das Fotografieren von Personen, die sich in privaten Räumen oder geschützten Bereichen befinden, die hilflos sind, deren Bildverbreitung dem Ruf schaden könnte, oder die minderjährig und unbekleidet sind, zu Freiheitsstrafen bis zu zwei Jahren oder Geldstrafe.

Laut § 33 KunstUrhG kann die unberechtigte Verbreitung oder öffentliche Zurschaustellung von Bildern mit bis zu einem Jahr Freiheitsstrafe oder einer Geldstrafe geahndet werden. Diese Tat wird nur auf Antrag verfolgt.

Im Rahmen der DSGVO können bei Verstößen Schadensersatzforderungen und Bußgelder gemäß den Art. 82 und 83 DSGVO erhoben werden.

Aus dem KunstUrhG und dem Bürgerlichen Gesetzbuch ergeben sich Ansprüche auf Unterlassung, Gegendarstellung, Herausgabe unrechtmäßiger Gewinne, Schadensersatz, Geldentschädigung sowie Beseitigung und Vernichtung der Bilder.

 

 

Fazit

Das allgemeine Persönlichkeitsrecht von Prominenten in der datenschutzrechtlichen Landschaft wird in einer Ära der digitalen Medien und der permanenten Online-Präsenz zunehmend herausgefordert.

Die Entscheidung darüber, wie und in welchem Umfang über Personen des öffentlichen Interesses berichtet werden darf, hängt stets von den spezifischen Gegebenheiten des jeweiligen Falles ab. Nicht jeder Aspekt, der aus Gründen der Neugier oder des Unterhaltungsbedürfnisses der Menschen Interesse weckt, rechtfertigt eine visuelle Darstellung dieser Personen in den Medien.

Es ist wichtig, einen ausgewogenen Kompromiss zwischen den Interessen der Medien und den Persönlichkeitsrechten von Prominenten zu finden. Hierbei muss beurteilt werden, ob die Medien in einem spezifischen Fall ein öffentlich relevantes Thema seriös und sachlich behandeln, um den Informationsanspruch des Publikums zu erfüllen und zur Meinungsbildung beitragen. Andernfalls könnte die Berichterstattung als bloße Befriedigung der Neugierde der Leserschaft über private Belange von Prominenten angesehen werden.
Im Allgemeinen haben Text- oder Wortbeiträge tendenziell einen geringeren Einfluss auf die Persönlichkeitsrechte von Prominenten als Bildberichte. Dadurch erhalten Journalisten mit dieser Art von Berichterstattung mehr Freiraum.

 

„>

 
 
 

 

 

 

Das Oberlandesgericht (OLG) Karlsruhe hat im Rahmen eines aktuellen Urteils zu der Frage Stellung genommen, welche Sicherheitsmaßnahmen beim Versand von E-Mails im geschäftlichen Verkehr einzuhalten sind. Das Urteil betrifft insbesondere den Umgang mit Verstößen gegen diese Sicherheitsvorkehrungen und deren Auswirkungen auf Geldforderungen.

In der vorliegenden Gerichtsentscheidung des Oberlandesgerichts Karlsruhe vom 27.07.2023 mit dem Aktenzeichen 19 U 83/22 wurde zu einem Fall geurteilt, bei dem eine Autokäuferin den Kaufbetrag unwissentlich an einen Betrüger überwiesen hatte. Sie machte die Verkäuferin für den Irrtum aufgrund von vermeintlicher Verletzung von IT-Sicherheitspflichten verantwortlich und weigerte sich, die eigentliche Rechnung zu bezahlen.

 

Das Wichtigste in Kürze

  • Nach Auffassung des OLG gibt es bisher keine gesetzlichen Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im Geschäftsverkehr.
  • Das Landgericht (LG) Mosbach hatte die Klage zuvor abgewiesen und der Klägerin mangelnde Sicherheitsvorkehrungen im E-Mail-Verkehr vorgeworfen.
  • Nach Ansicht des OLG war die Klägerin nicht verpflichtet beim Versand der Rechnungs-E-Mail bestimmte Verschlüsselungsverfahren wie die Ende-zu-Ende-Verschlüsselung anzuwenden.

 

Die Entscheidung des OLG Karlsruhe

Die Parteien stritten um eine ausstehende Kaufpreiszahlung für einen Gebrauchtwagen in Höhe von 13.500 Euro.

Der Geschäftsführer des verkaufenden Unternehmens übersandte der Käuferin die Rechnung als Anhang in einer E-Mail. Kurz nach Erhalt der E-Mail erhielt die Käuferin eine weitere E-Mail von der E-Mail-Adresse der Verkäuferin.

Nachdem die Käuferin den Kaufpreis aufgrund der zweiten E-Mail, die von Hackern verschickt worden war, fälschlicherweise trotz Auffälligkeiten und Hinweisen auf eine gefälschte E-Mail irrtümlich an die unberechtigten Dritten überwiesen hatte, verweigerte er eine weitere Zahlung an die Verkäuferin. Die von den Hackern versandte E-Mail enthielt sprachliche Fehler und eine abweichende Anrede. Die Verkäuferin trug daher vor, dass der Käufer Anlass zu Misstrauen gehabt hätte und ihm eine Rückfrage bei der Verkäuferin zumutbar gewesen sei.
Wie es genau zu dem Hackerangriff kommen konnte, blieb im weiteren Verlauf unklar.

Vor diesem Hintergrund erhob die Verkäuferin Klage auf Zahlung des noch ausstehenden Kaufpreises. Sie machte geltend, dass die vertraglichen Pflichten ihrerseits erfüllt worden seien und der Beklagte daher zur Zahlung des Kaufpreises verpflichtet sei. Die Beklagte führte hingegen an, dass sie eine gefälschte Rechnung erhalten habe und daher nicht zur Zahlung des Kaufpreises verpflichtet sei. Sie behauptete, die Klägerin habe ihre IT-Sicherheitspflichten verletzt, was ursächlich für die falsche Überweisung gewesen sei.

Anders als die Vorinstanz (LG Mosbach) entschied das OLG, dass die Beklagte den vereinbarten Kaufpreis an die Klägerin zu zahlen habe. Der Zahlungsanspruch besteht, da die Zahlung auf das falsche Konto und eben nicht auf das Konto der Klägerin erfolgte. Darüber hinaus stellte das Gericht fest, dass der _Beklagten kein Anspruch auf Schadenersatz zustehe, da die Klägerin alle zumutbaren Sicherheitsmaßnahmen, wie insbesondere eine regelmäßige (alle zwei bis vier Wochen) Änderung des Passworts für das Postfach sowie das Vorhalten einer aktuellen Firewall, ergriffen habe.

Gleichzeitig stellte die Berufungsinstanz fest, dass eine Ende-zu-Ende-Verschlüsselung beim Versand von Rechnungen sowie das Signieren von PDF-Dateien nicht erforderlich seien.

 

Sicherheitsvorkehrungen beim Versand geschäftlicher E-Mails

Das OLG führt aus, dass es keine konkreten gesetzlichen Vorgaben dazu gibt, welche Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr zu beachten sind. Gleichwohl verdeutlicht es mit seinem Urteil die Notwendigkeit, angemessene Sicherheitsvorkehrungen zu treffen.

Unternehmen werden dazu angehalten, die Sicherheitserwartungen im Geschäftsverkehr zu berücksichtigen und zumutbare Maßnahmen zu ergreifen, um möglichen Schäden vorzubeugen. Darüber hinaus wird klargestellt, dass Verstöße gegen diese Sicherheitsvorkehrungen zwar nicht zum Erlöschen von Primäransprüchen führen, allerdings Schadensersatzansprüche begründen können.

Der Einsatz von Maßnahmen wie der Ende-zu-Ende-Verschlüsselung oder der Verschlüsselung von PDF-Dateien wurde im Verhältnis der Parteien zueinander nicht als zwingend verpflichtend angesehen. Zudem würde eine mögliche Pflichtverletzung der Klägerin dadurch entkräftet werden, dass die Beklagte selbst keine ausdrücklichen Sicherheitsmaßnahmen für die E-Mail-Kommunikation gefordert hatte.

Um in der Praxis E-Mails mit sensiblen Informationen sicher zu versenden, empfiehlt es sich, die E-Mail zu verschlüsseln. Bei der Verschlüsselung bleibt die E-Mail auf dem gesamten Übertragungsweg verschlüsselt, also unlesbar und wird erst vom Empfänger wieder entschlüsselt und damit lesbar gemacht. Eine ausdrückliche gesetzliche Pflicht zur Verschlüsselung von E-Mails mit personenbezogenen Daten besteht jedoch nicht.

Wenn der Empfänger sicher sein will, dass der angegebene Absender der Nachricht auch mit dem tatsächlichen Absender identisch ist und der Inhalt der E-Mail nicht „unterwegs“ manipuliert wurde, hilft eine so genannte „digitale Signatur“. Sie hat eine ähnliche Funktion wie die Unterschrift unter einem Papierdokument und zeigt Ihrem Kommunikationspartner, dass die E-Mail wirklich vom Absender stammt und der Inhalt nicht von Dritten verändert wurde.

 

 

Fazit

Rechtlich ging die Beklagte im Urteil als Verliererin aus dem Rechtsstreit heraus: Die Kaufpreisforderung war durch die Zahlung auf das falsche Konto nicht erloschen und der Beklagten kam auch kein Schadensersatzanspruch gegen die Klägerin zu. Die Täuschung durch die gefälschte E-Mail ging insoweit zu ihren Lasten. Derartige Täuschungen müssen daher rechtzeitig erkannt und umgangen werden. Gerade Rechtschreibfehler in E-Mails sind dabei häufig ein Hinweis auf eine IT-Bedrohung. Für Unternehmen gilt daher insbesondere auch, dass die Mitarbeiter ausreichend geschult werden, um hier Haftungsfälle zu vermeiden.

Aber auch die Klägerin hätte etwas tun können, um den Rechtsstreit zu vermeiden, und somit für mehr Datensicherheit und Kundenzufriedenheit zu sorgen. Denn Hackerangriffe führen häufig nicht nur zu Schadensersatzpflichten sondern auch zu Datenschutzverstößen, die eine besondere Aufmerksamkeit der Aufsichtsbehörden mit sich bringen. Als wichtige Maßnahme wird beispielsweise dringend davon abgeraten, Passwörter zu häufig zu ändern: Häufige Passwortänderungen führen vermehrt dazu, dass leicht zu merkende und damit unsichere Passwörter gewählt werden. Vielmehr sollte ein ausreichend langes und sicherer Passwort gewählt werden.

Das vorliegende Urteil schafft etwas Klarheit in einem wenig geregelten Bereich und trägt zu mehr Rechtssicherheit im geschäftlichen E-Mail-Verkehr bei. Unternehmen sollten sich bewusst sein, dass angemessene Sicherheitsvorkehrungen nicht nur rechtlich geboten sind, sondern auch dazu beitragen, mögliche finanzielle Schäden zu vermeiden.

 

„>

 
 
 

 

 

 

Social-Media-Kanäle ersetzen immer mehr die traditionelle elektronische Kommunikation per E-Mail. Plattformen wie LinkedIn oder Xing eröffnen uns die Gelegenheit, das berufliche Netzwerk zu erweitern. Es gibt jedoch auch hier Grenzen, die eingehalten werden müssen. Ein Urteil des Oberlandesgerichts Hamm (Beschl. v. 3.5.2023 – 18 U 154/22) macht deutlich, wie wichtig es ist, die rechtlichen Grenzen zu kennen.

 

Das Wichtigste in Kürze

  • Das OLG Hamm hat beschlossen, dass unerwünschte Werbenachrichten, die über Online-Portale oder soziale Netzwerke versendet werden, rechtswidriger Spam sein können.
  • Dies ist der Fall, wenn keine ausdrückliche Einwilligung des Empfängers vorliegt.
  • Für eine Einwilligung ist es nicht ausreichend, dass der Absender und der Empfänger auf den Kanälen vernetzt sind.
  • Eine Werbenachricht liegt bereits vor, wenn der Absender sich oder seine Dienstleistungen in den Vordergrund rückt.

 

Hintergrund

Im Rahmen eines zivilrechtlichen Verfahrens wurde vom Oberlandesgericht Hamm geprüft, ob die von der Klägerin vorgenommenen Werbemaßnahmen rechtmäßig waren.
Die Klägerin erbringt Dienstleistungen für Immobilienmakler und bot unter anderem kostenpflichtige Dienste zur Vermittlung von Erstkontakten zu möglichen Grundstücksverkäufern an. Der Beklagte ist Immobilienmakler und hatte einen Vertrag mit der Klägerin abgeschlossen, um sein Maklergeschäft durch die Gewinnung weiterer Kunden auszuweiten.
Die Tätigkeit der Klägerin bestand darin, Anzeigen von potenziellen Verkäufern von Immobilien, die keine Telefonnummer angegeben hatten, über die entsprechenden Online-Plattformen anzuschreiben. Ziel war es, in einem möglicherweise folgenden Telefonat die betreffenden Immobilienverkäufer um Erlaubnis zu fragen, ob sich der Immobilienmakler telefonisch bezüglich des geplanten Immobilienverkaufs melden darf.

Im Vertrag wurde eine Entlohnung für die Bereitstellung dieser Datensätze vereinbart. Tatsächlich wussten die Verkäufer jedoch nicht im Voraus, dass sich ein Makler mit Vermarktungsinteresse melden würde; sie waren nur darüber informiert, dass sich jemand wegen der inserierten Immobilen melden werde. Eine ausdrückliche Einwilligung der betroffenen Personen konnte nicht nachgewiesen werden.

Da die Bemühungen des Beklagten, anhand der bereitgestellten Datensätze Kunden zu gewinnen, nicht den gewünschten Erfolg brachten, entschied er sich, den Vertrag mit der Klägerin zu beenden und lehnte die bereits ausgestellten Rechnungen für die Vermittlung von Erstkontakten ab.
Infolgedessen reichte die Klägerin eine Klage beim Landgericht Hagen ein, um die vereinbarte Vergütung einzufordern. Der Beklagte vertrat die Meinung, dass die Klägerin die Leistungen nicht ordnungsgemäß erbracht habe und er dadurch in rechtliche Schwierigkeiten gebracht wurde, da die potenziellen Verkäufer über eine potenzielle Kontaktierung durch einen Makler nicht informiert waren.

Das Landgericht wies die Klage in der ersten Instanz ab und erklärte den Vertrag nach § 134 BGB für nichtig mit der Begründung, er ziele auf wettbewerbswidrige Handlungen ab.

 

Entscheidung des OLG Hamm

Das OLG Hamm stellte in seinem Beschluss fest, dass der geschlossene Akquisevertrag nichtig und darauf gerichtet sei, unzulässige geschäftliche Handlungen nach § 7 Abs. 2 Nr. 2 UWG durchzuführen und damit zu einem wettbewerbswidrigen Handeln verpflichte. Es vertritt die Ansicht, dass unter dem Begriff der „elektronischen Post“ im Sinne des § 7 Abs. 2 Nr. 2 UWG neben E-Mails, SMS und MMS auch sämtliche Nachrichten über die Sozialen Netzwerke wie beispielsweise Xing, Facebook, LinkedIn oder auch WhatsApp fallen.

Werbemails über solche Dienste dürfen nur dann verschickt werden, wenn darin zuvor eingewilligt wurde. Geschieht der Versand ohne vorherige ausdrückliche Zustimmung des Empfängers, stellt dies ein Wettbewerbsverstoß dar.

Zwar handle es sich bei dem Nachrichtendienst eines Immobilienportals nicht um einen Social-Media-Dienst, die Funktionsweise des Postfachs ist jedoch dieselbe.

Es ist davon auszugehen, dass die Verbraucher, die Immobilien auf einer entsprechenden Plattform anbieten ein grundsätzliches Interesse an einer Kontaktaufnahme haben. Von dieser konkludent anzunehmenden Einwilligung sind jedoch nicht die Anrufe von Maklern gedeckt, die darauf gerichtet sind, dem Verkäufer Maklerdienste bzw. einen Maklervertrag anzubieten.

Definiert wird der Begriff „Werbung“ so, dass darunter jede Äußerung zu verstehen ist, die bei der Ausübung eines Handels, Gewerbes, Handwerks oder freien Berufs mit dem Ziel getätigt wird, den Absatz von Waren oder die Erbringung von Dienstleistungen zu fördern.

 

Werbung ausnahmsweise ohne Einwilligung zulässig

Häufig wird fälschlicherweise davon ausgegangen, dass die elektronische Werbung per Direktnachricht gegenüber Bestandskunden, Social-Media-Freunden oder Followern auch ohne ihre Einwilligung zulässig sei.

Nach § 7 Abs. 3 UWG müssen die dort genannten vier Voraussetzungen kumulativ vorliegen, um Werbenachrichten ohne vorherige, ausdrückliche Einwilligung des Empfängers versenden zu dürfen.

Es muss sich bei dem Absender daher um einen Unternehmer handeln, der im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat. Der Unternehmer muss diese Adresse zur Direktwerbung für eigene Waren oder Dienstleistungen verwenden und der Kunde darf der Verwendung nicht widersprochen haben. Zuletzt müsste der Kunde bei der Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen werden, dass er der Verwendung jederzeit widersprechen kann.

In der Praxis werden diese Voraussetzungen auf den Social-Media-Kanälen jedoch allenfalls im Ausnahmefall vorliegen.

Nun stellt sich die Frage, wie Unternehmer überhaupt ohne die Zustimmung des Nutzers in sozialen Netzwerken werben dürfen. Die Antwort ist: fast gar nicht. Tatsächlich bleiben nur noch zwei Möglichkeiten: Der Betrieb einer Unternehmensseite oder Fanpage (je nach Anbieter könnten sich hier jedoch datenschutzrechtliche Problem ergeben) und die kostenpflichtige Schaltung von Anzeigen oder Displaywerbung.

 

LinkedIn als Grauzone?

Obwohl die Rechtslage klar zu sein scheint, könnte man argumentieren, dass die Verwendung von LinkedIn InMails eine Grauzone darstellt, da dieses Tool explizit in den Nutzungsbedingungen von LinkedIn vorgesehen ist und Mitglieder implizit der Zustimmung zum Erhalt von Nachrichten von anderen Mitgliedern zustimmen. Dies könnte unter Umständen als eine Art „vorherige Zustimmung“ betrachtet werden.

Allerdings wird in den Nutzungsbedingungen von LinkedIn auch betont, dass Mitglieder keine Spam-Nachrichten versenden dürfen. Aus diesem Grund ist es unwahrscheinlich, dass allein die Mitgliedschaft bei LinkedIn als ausdrückliche Zustimmung zum Erhalt von Werbenachrichten ausgelegt werden kann.

 

 

Fazit

In Deutschland stellt das Gesetz gegen den unlauteren Wettbewerb (UWG) einen deutlichen rechtlichen Rahmen für das Versenden von Werbenachrichten dar. Insbesondere legt § 7 UWG fest, dass eine geschäftliche Handlung, bei der eine Nachricht ohne vorherige Zustimmung des Empfängers übermittelt wird, als unzulässige Werbung gilt.

Das Urteil des OLG Hamm muss als Signal für alle Unternehmen, die Soziale Medien wie LinkedIn oder Xing für Geschäftsaktivitäten oder zu Marketingzwecken nutzen, verstanden werden. Es zeigt, dass die Gesetze gegen unlauteren Wettbewerb auch in der digitalen Welt gelten und verdeutlicht, wie wichtig es ist, vor der Versendung von Werbenachrichten sicherzustellen, dass eine ausdrückliche Einwilligung des Empfängers vorliegt.

Folglich ist es Unternehmen zu empfehlen, ihre Marketing-Praktiken zu überprüfen und sicherzustellen, dass die geltenden Datenschutz- und Wettbewerbsgesetze eingehalten werden, um rechtliche Konsequenzen zu vermeiden.

Bei Werbenachrichten über LinkedIn, Facebook, Xing und andere Social-Media-Plattformen, die den oben genannten Anforderungen nicht genügen könnten wettbewerbsrechtliche Unterlassungsansprüche auf den Werbenden zukommen, die per Abmahnung geahndet werden können. Diese Risiken gilt es bei den unternehmerischen Entscheidungen genau abzuwägen.

 

„>

 
 
 

 

 

 

Cyberkriminalität hat sich in der heutigen digitalen Ära zu einer ständig wachsenden Bedrohung für Unternehmen aller Größen entwickelt. Besonders alarmierend ist dabei, dass Cyberangriffe häufig kleinere und mittlere Unternehmen treffen, die oftmals unvorbereitet auf solche Sicherheitsverletzungen sind. Diese Unternehmen finden sich oft in einer schwierigen Lage wieder, da sie häufig ein leichtes Ziel für Cyberkriminelle sind. Im Falle eines Cyberangriffs können die Auswirkungen verheerend sein: Daten werden verschlüsselt, gestohlen oder gelöscht, und die betroffenen Unternehmen sehen sich nicht selten mit Lösegeldforderungen konfrontiert. Diese Dynamik unterstreicht die dringende Notwendigkeit für Unternehmen, ihre Cybersicherheitsstrategien zu überdenken und zu verstärken, um sich gegen diese wachsende Bedrohung zu schützen.

 

Das Wichtigste in Kürze

  • Viele Unternehmen stehen heute einer wachsenden Anzahl komplexer Cyberangriffe gegenüber.
  • Die anhaltende Digitalisierung und zunehmende Vernetzung vergrößert die Angriffsflächen – und diese werden genutzt.
  • Cyberangriffe mithilfe von Schadprogrammen kommen beispielsweise durch E-Mail-Anhang zum Einsatz und ermöglichen verschiedenste Arten von Angriffsszenarien.
  • Die Abwehr von Cyberangriffen ist von entscheidender Bedeutung, um sowohl persönliche als auch geschäftliche Daten vor potenziellen Bedrohungen zu schützen.

 

Professionalisierung der Cyberkriminalität

In seinem jährlichen Bericht über den Zustand der IT-Sicherheit in Deutschland bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen detaillierten Einblick in die aktuellen Bedrohungen im Cyberraum. Der Bericht für das Jahr 2023 zieht das Resümee, dass die Gefahr im Bereich der Cybersecurity auf einem bisher unerreichten Niveau angelangt ist.

Bei der Cyberkriminalität ist eine stetig weiter voranschreitende Arbeitsteilung und Professionalisierung unter den Cyberkriminellen festzustellen, die sich in einem wachsenden Dienstleistungscharakter manifestiert.

Heutzutage gibt es beispielsweise eine Bandbreite von PhaaS- Dienstleistern (Phishing as a Service), die eine Vielfalt an Diensten für Cyberangreifer bereitstellen. Diese reichen von der Erstellung und dem Versand von Phishing-E-Mails über die Verwaltung von Weiterleitungs-webseiten und den endgültigen Köderseiten bis hin zu technischem Support und Schritt-für-Schritt-Tutorials. Oftmals werden vorgefertigte Phishing-Seiten für bekannte Online-Dienste wie Google, Microsoft, LinkedIn, iCloud, Facebook, Twitter, Yahoo, WordPress und Dropbox angeboten. Zusätzlich besteht die Möglichkeit, auf speziellen Wunsch hin maßgeschneiderte Phishing-Seiten für bestimmte Angriffsziele zu entwickeln.

Weit verbreitet sind auch Phishing-Proxy-Dienste, die als Mittelsmann (Man-in-the-Middle, MITM) zwischen dem Opfer und der Login-Seite eines Dienstes agieren. Diese können in der Lage sein, Zugangsdaten und Cookies zu entwenden und sogar Sicherheitsmaßnahmen wie die Multifaktor-Authentifizierung zu umgehen.

Ein beunruhigendes Beispiel für einen solchen Dienst ist EvilProxy. Besonders alarmierend ist, dass EvilProxy neben Phishing-Seiten für gängige Dienste wie Google und Microsoft auch solche für wichtige Entwicklerplattformen wie den Python Package Index (ein offizielles Verzeichnis für Python-Software), npmjs (ein von Millionen Entwicklern genutzter JavaScript Package Manager) und GitHub (eine Plattform für Softwareentwickler) anbietet. Ein erfolgreicher Angriff auf solche Seiten könnte zu Supply-Chain-Attacken führen, indem Code-Repositories böswillig modifiziert oder geklont werden, was wiederum legitime Software mit schädlichen Programmen zur Datendiebstahl infizieren könnte.

Zusammenfassend bleibt Phishing ein effektiver Weg für Angreifer, um Zugang zu IT-Netzwerken zu erlangen. Mit den genannten PhaaS-Services können auch weniger erfahrene Angreifer mit begrenzten Ressourcen Phishing-Angriffe durchführen, was die Evolution des Phishings maßgeblich beeinflussen dürfte. Zudem haben sich die Phishing-Aktivitäten diversifiziert und umfassen nun Angriffe über soziale Medien, SMS und Telefonanrufe.

 

Die wachsende Gefahr von Ransomware

Ein Ransomware-Angriff stellt eine Art digitaler Erpressung dar. Dabei nutzen die Täter verschiedene Schwachstellen wie Bedienfehler, Konfigurationsmängel, veraltete Software oder unzureichende Datensicherung, um in die Systeme einzudringen und Daten zu verschlüsseln. Die Angreifer fordern dann ein Lösegeld für die Freigabe der verschlüsselten Daten. Oft wird diese Forderung mit der Androhung verbunden, zuvor entwendete Daten zu veröffentlichen. Ein Vorgehen, das auch als Double Extortion bekannt ist. In diesen Fällen dient das Lösegeld häufig auch dazu, die Stille der Opfer zu erkaufen. Die geforderte Zahlung erfolgt meistens in digitalen Währungen wie Bitcoin oder Monero.

Ransomware-Attacken machen mittlerweile einen nicht unbedeutenden Anteil von Datenschutzverletzungen aus. Nicht selten führen diese Art von Cyberattacken zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen sowie zu einem enormen wirtschaftlichen Schaden für die angegriffene Organisation. Lösegeldforderungen im Millionenbereich sind hierbei keine Seltenheit mehr – die Täter sind sich der Notlage der Betriebe durchaus bewusst. Während früher allein die Verschlüsselung der Daten das Markenzeichen dieser Angriffe war, stellen heutzutage auch die Datenausleitung und die Veröffentlichung dieser Daten eine große Herausforderung für angegriffene Betriebe dar. Selbst wenn in solchen Fällen durch Backups und andere Vorkehrungen eine Wiederaufnahme des Betriebs möglich sein sollte, sind die Daten unwiderruflich in Hände von Kriminellen gelangt, die gezielt Lösegeld erpressen oder andere missbräuchliche Absichten verfolgen.

Durch Cyberpräventionsmaßnahmen können Unternehmen ihr IT-Sicherheitsnetz straffer spannen und es Ransomware-Gruppierungen erschweren, ihr Geschäftsmodell fortzusetzen. Die im Folgenden beschriebenen Maßnahmen sollen ermutigen, frühzeitig entsprechende Schritte zu unternehmen und sich so angemessen zu schützen.

 

Datenschutzrechtliche Tipps

Bei einem Datenschutzvorfall kann sich schnell die Aufsichtsbehörde melden. Damit die Kommunikation problemlos verläuft, sollten betroffene Unternehmen insbesondere zwei Dokumente vorliegen haben: das Verarbeitungsverzeichnis und ein Löschkonzept. Diese Unterlagen sollten stets auf dem neusten Stand und in einwandfreier Form vorliegen, um bei Bedarf schnell und effektiv reagieren zu können.

Ein wesentliches Risiko im Datenschutz stellt eine Website mit einer veralteten Datenschutzerklärung dar. Dies ist nicht nur für Wettbewerber und Aufsichtsbehörden von außen sichtbar, sondern signalisiert auch, dass das Unternehmen in puncto Datenschutz nicht optimal aufgestellt ist. Um rechtliche Konsequenzen zu vermeiden, ist es daher entscheidend, die Datenschutzerklärung regelmäßig zu aktualisieren und an die neusten Anforderungen anzupassen.

Die Datenschutz-Grundverordnung (DSGVO) ist mehr als nur eine Richtlinie; sie ist ein bindendes Gesetz. Um Haftungsszenarien präventiv auszuschließen, sind strategische Maßnahmen wie Schulungen, die Implementierung von Richtlinien und eine rechtssichere Datenschutzdokumentation unerlässlich. Diese Maßnahmen helfen nicht nur, die Einhaltung der DSGVO sicherzustellen, sondern minimieren auch das Risiko von Verstößen und den daraus resultierenden Konsequenzen.

Es ist ebenfalls wichtig zu bedenken, dass der Datenschutzbeauftragte eines Unternehmens nicht befugt ist, das Unternehmen in externen rechtlichen Auseinandersetzungen zu vertreten. Dies gilt insbesondere, wenn datenschutzrechtliche Ansprüche an das Unternehmen gestellt werden. In solchen Fällen ist es unerlässlich, ein rechtliches Team bereitzuhalten, das im Ernstfall einspringen kann.

Schließlich ist zu beachten, dass mehr als 58% der Datenschutzverletzungen in Kleinstunternehmen stattfinden. Dies unterstreicht die Notwendigkeit praktikabler Lösungen zur Umsetzung der Datenschutzanforderungen in diesem Segment. Kleinstunternehmen benötigen daher speziell zugeschnittene, realisierbare Datenschutzstrategien, die sowohl effektiv als auch umsetzbar sind, um ihre Daten und die ihrer Kunden zu schützen.

Weitere Praxistipps finden Sie hier.

 

 

Fazit

In Zukunft ist damit zu rechnen, dass Cyberkriminelle ihre Methoden weiter verfeinern und anpassen werden, um Schutzmechanismen zu umgehen. Dies macht eine kontinuierliche Anpassung und Verbesserung von Sicherheits- und Datenschutzmaßnahmen unabdingbar. Unternehmen sollten insbesondere in präventive Maßnahmen wie Mitarbeiterschulungen, regelmäßige Updates der Sicherheitssoftware und die Entwicklung eines robusten Notfallmanagements investieren.

 

„>

 
 
 

 

 

 

Im digitalen Zeitalter suchen Unternehmen ständig nach Wegen, die Effizienz zu steigern und innovative Lösungen für die Bewältigung alltäglicher Aufgaben zu integrieren. Microsoft 365 Copilot, ein auf Künstlicher Intelligenz (KI) basierendes Assistenztool, steht im Zentrum dieser Bestrebungen. Doch mit der Implementierung solcher Technologien gehen auch datenschutzrechtliche Bedenken einher, die für Datenschutzbeauftragte, Compliance-Manager und Datensicherheitsbeauftragte von zentraler Bedeutung sind.

 

Das Wichtigste in Kürze

  • Microsoft 365 Copilot ist eine KI-gestützte Assistentenfunktion, die innerhalb von Programmen wie Word, Excel, PowerPoint und Outlook eingebettet ist.
  • Die KI basiert auf der Nutzung von großen Sprachmodellen und verwendet spezifische, unternehmensbezogene Daten zur Generierung von Inhalten.
  • Datenschutzrechtliche Bedenken umfassen Themen wie die Verarbeitung personenbezogener Daten, Transparenz und Einwilligung der Nutzer sowie die Sicherheit und Isolation der verarbeiteten Daten.
  • Unternehmen müssen sicherstellen, dass der Einsatz von Microsoft 365 Copilot die Datenschutzprinzipien der Transparenz, Zweckbindung und Datenminimierung nicht untergräbt.

 

Hintergrund

Microsoft 365 Copilot steht an der Schwelle der nächsten Evolutionsstufe der Büroarbeit, indem es Künstliche Intelligenz (KI) nutzt, um die Interaktion mit der Microsoft 365-Produktivitätssuite – einschließlich Anwendungen wie Word, Excel, PowerPoint und Outlook – neu zu gestalten. Diese fortschrittliche Technologie repräsentiert nicht nur einen Quantensprung in der Effizienz und Produktivität am Arbeitsplatz, sondern wirft auch wichtige Fragen im Bereich des Datenschutzes und der Compliance auf.

Im Kern verwendet Microsoft 365 Copilot große Sprachmodelle (LLMs), die auf Technologien wie GPT-4 von OpenAI basieren. Diese Modelle wurden mit umfangreichen Datensätzen trainiert, um Inhalte zu verstehen, zusammenzufassen, vorherzusagen und zu generieren. Der Clou bei Copilot ist, dass es diese Fähigkeiten nutzt, um auf die unternehmensspezifischen Daten eines Benutzers über Microsoft Graph zuzugreifen, wodurch es kontextbezogene, maßgeschneiderte Antworten und Inhalte erzeugen kann. Dies bedeutet, dass Copilot nicht nur generische Antworten liefert, sondern solche, die spezifisch auf die Bedürfnisse und den Kontext des jeweiligen Unternehmens zugeschnitten sind.

Die Anwendungsbereiche von Microsoft 365 Copilot sind vielfältig und reichen von der Automatisierung routinemäßiger Aufgaben wie der Erstellung von Dokumenten und E-Mails bis hin zur Analyse von Daten in Excel und der Erstellung von PowerPoint-Präsentationen. Dies ermöglicht es den Nutzern, effizienter zu arbeiten, indem zeitraubende Aufgaben minimiert und die Konzentration auf kreative und strategische Aufgaben verstärkt wird.

 

Datenschutzrechtliche Bedenken bei der Implementierung von KI-Tools

Die Implementierung von KI-Tools wie Microsoft 365 Copilot im Arbeitsalltag stellt Unternehmen vor eine Vielzahl von Herausforderungen, insbesondere in Bezug auf den Datenschutz. Diese Technologien, während sie Effizienz und Produktivität erheblich steigern, werfen fundamentale Fragen hinsichtlich der Verarbeitung personenbezogener Daten, der Einhaltung der Datenschutz-Grundverordnung (DSGVO) und der Wahrung der Privatsphäre der Nutzer auf.

Microsoft 365 Copilot greift auf eine umfangreiche Datenbasis zurück, einschließlich E-Mails, Dokumenten und Chatverläufen innerhalb der Microsoft 365-Umgebung, um personalisierte und kontextbezogene Unterstützung zu bieten. Diese Verarbeitung personenbezogener Daten wirft zunächst Fragen nach der Rechtmäßigkeit gemäß Artikel 6 DSGVO auf. Die Verarbeitung muss auf einer rechtmäßigen Grundlage beruhen, wie der Einwilligung des Betroffenen oder der Notwendigkeit zur Erfüllung eines Vertrages. Unternehmen müssen daher sicherstellen, dass eine angemessene Rechtsgrundlage für die Datenverarbeitung durch Copilot besteht und dokumentiert ist.

Ein weiterer wichtiger Aspekt ist die Transparenz der Datenverarbeitung. Die DSGVO fordert, dass Unternehmen die betroffenen Personen klar und verständlich darüber informieren, wie ihre Daten verarbeitet werden. Im Falle von Microsoft 365 Copilot bedeutet dies, dass Nutzer umfassend darüber aufgeklärt werden müssen, welche ihrer Daten vom Tool verarbeitet werden, zu welchem Zweck und auf welcher rechtlichen Grundlage. Diese Informationen müssen leicht zugänglich und verständlich sein, um den gesetzlichen Anforderungen zu genügen.

 

Empfehlungen für datenschutzkonforme Nutzung im Unternehmen

Um Microsoft 365 Copilot datenschutzrechtlich korrekt zu nutzen, müssen Unternehmen eine Reihe von Maßnahmen ergreifen. Zunächst ist eine Datenschutz-Folgenabschätzung (DSFA) unerlässlich. Diese gründliche Untersuchung dient dazu, potenzielle Risiken für die Privatsphäre zu identifizieren und entsprechende Sicherheitsmaßnahmen festzulegen. Ein weiterer wichtiger Aspekt ist die Transparenz gegenüber den Nutzern: Sie sollten umfassend und verständlich über die Art und Weise, wie ihre Daten verarbeitet werden, informiert werden. Oftmals ist hierfür auch die explizite Einwilligung der Nutzer erforderlich, insbesondere bei sensiblen Daten.

Ein starkes Berechtigungskonzept spielt ebenfalls eine entscheidende Rolle. Es gewährleistet, dass nur autorisierte Personen Zugriff auf relevante Daten haben, wobei das Prinzip der minimalen Berechtigungen, das sogenannte „Need-to-Know“-Prinzip, zur Anwendung kommt. Um personenbezogene Daten effektiv zu schützen, sind außerdem technische und organisatorische Sicherheitsvorkehrungen erforderlich. Dazu zählen unter anderem die Verschlüsselung von Daten und die Implementierung von Zugangskontrollen, um Daten vor unbefugtem Zugriff oder Verlust zu schützen.

Schließlich ist die Schulung und Sensibilisierung der Mitarbeiter hinsichtlich der Datenschutzpraktiken von großer Bedeutung, insbesondere im Umgang mit KI-gestützten Werkzeugen wie Microsoft 365 Copilot. Mitarbeiter sollten dazu angehalten werden, die von Copilot generierten Inhalte sorgfältig auf ihre Genauigkeit und Datenschutzkonformität hin zu überprüfen. Durch die Beachtung dieser Maßnahmen können Unternehmen sicherstellen, dass der Einsatz von Microsoft 365 Copilot im Einklang mit den geltenden Datenschutzgesetzen erfolgt.

 

 

Fazit

Microsoft 365 Copilot bietet zweifellos das Potenzial, die Arbeitsweise in Unternehmen zu revolutionieren. Allerdings erfordert die Einführung solcher innovativen KI-Tools eine sorgfältige Abwägung und Anpassung an die datenschutzrechtlichen Anforderungen. Datenschutzbeauftragte, Compliance-Manager und Datensicherheitsleiter spielen eine entscheidende Rolle bei der Gewährleistung, dass der Einsatz von Copilot im Einklang mit der DSGVO und anderen Datenschutzvorschriften steht. Durch die Berücksichtigung der oben genannten Empfehlungen können Unternehmen die Vorteile von Microsoft 365 Copilot nutzen, ohne Kompromisse beim Datenschutz einzugehen.

 

„>

 
 
 

 

 

 

Die digitale Ära hat Unternehmen weltweit in eine neue Dimension der Effizienz und Innovation geführt. Diese Transformation, die durch das Internet und vernetzte Technologien angetrieben wird, hat es ermöglicht, Geschäftsprozesse zu optimieren, Marktreichweiten zu erweitern und Kundenbeziehungen zu intensivieren. Jedoch hat diese Entwicklung auch eine Schattenseite: Mit der zunehmenden Abhängigkeit von digitalen Technologien steigt das Risiko von Cyberangriffen, die nicht nur die technologische Infrastruktur von Unternehmen bedrohen, sondern auch erhebliche finanzielle Verluste nach sich ziehen können.

Die Zunahme von Cyberangriffen auf Unternehmen ist alarmierend. Hacker nutzen fortgeschrittene Techniken, um in IT-Systeme einzudringen, wertvolle Daten zu stehlen und Betriebsabläufe zu sabotieren. Diese Angriffe stellen nicht nur eine Bedrohung für die Informationstechnologie der Unternehmen dar, sondern auch für ihre finanzielle Stabilität.

 

Das Wichtigste in Kürze

  • Die deutsche Wirtschaft erleidet laut einer Studie des Digitalverbands Bitkom im Jahr 2023 einen Schaden in Höhe von 206 Milliarden Euro durch Datendiebstahl und Cyberangriffen.
  •  Künstliche Intelligenz (KI) spielt eine doppelte Rolle im Bereich der Cybersicherheit: Sie wird sowohl von Cyberkriminellen für ausgeklügelte Angriffe genutzt als auch von Unternehmen zur Abwehr dieser Bedrohungen eingesetzt.
  • Angesichts der erwarteten Zunahme von Cyberangriffen müssen Unternehmen in fortschrittliche Sicherheitstechnologien und -praktiken investieren, um ihre finanzielle Stabilität und operative Integrität zu schützen.

 

Zunahme der Cyberangriffe auf Unternehmen

In den letzten Jahren haben Cyberangriffe signifikant zugenommen, sowohl in ihrer Häufigkeit als auch in ihrer Komplexität. Diese Angriffe sind vielfältig und reichen von Ransomware, die ganze Systeme verschlüsselt und Lösegeldforderungen stellt, über das Eindringen in Netzwerke, um sensible Daten zu stehlen, bis hin zu ausgeklügelten Phishing-Kampagnen, die darauf abzielen, Mitarbeiter zu täuschen und sie dazu zu bringen, Zugangsdaten preiszugeben. Die finanziellen Schäden, die durch solche Angriffe entstehen, sind erheblich und vielschichtig. Direkte Schäden umfassen den Diebstahl von Vermögenswerten oder die Kosten für die Wiederherstellung kompromittierter Systeme. Doch darüber hinaus sind es oft die indirekten Kosten, die langfristig schwerer wiegen. Dazu gehören unter anderem der Verlust von Kundenvertrauen, das durch die Offenlegung von Kundeninformationen oder Ausfälle von Dienstleistungen erschüttert wird, sowie Reputationsschäden, die das Bild des Unternehmens in der Öffentlichkeit und auf dem Markt negativ beeinflussen.

Ein weiterer kritischer und häufig unterschätzter Aspekt sind die rechtlichen Konsequenzen, die aus Cyberangriffen resultieren können. Unternehmen sind zunehmend strengen Datenschutzgesetzen unterworfen, wie der Europäischen Datenschutz-Grundverordnung (DSGVO), die hohe Anforderungen an den Schutz personenbezogener Daten stellen. Die Nichteinhaltung dieser Vorschriften kann zu erheblichen Sanktionen führen, ganz zu schweigen von den Kosten, die durch Rechtsstreitigkeiten und Schadensersatzforderungen entstehen können. Die finanzielle Belastung durch die Notwendigkeit, Compliance-Verstöße zu adressieren, kann besonders für kleinere und mittlere Unternehmen, die möglicherweise nicht über die Ressourcen verfügen, um umfangreiche Sicherheitsmaßnahmen zu implementieren, verheerend sein.

Angesichts dieser komplexen Bedrohungslandschaft ist es entscheidend, dass Unternehmen eine proaktive Haltung einnehmen und in umfassende Sicherheitsstrategien investieren, die nicht nur auf die technische Abwehr von Angriffen ausgerichtet sind, sondern auch präventive Maßnahmen umfassen, um Risiken zu minimieren. Dies schließt regelmäßige Sicherheitsaudits, die Schulung von Mitarbeitern im Hinblick auf Cybersicherheitspraktiken und die Implementierung von Notfallplänen für den Fall eines Sicherheitsvorfalls ein. Nur durch eine Kombination aus technologischer Wachsamkeit und organisatorischer Resilienz können Unternehmen hoffen, sich gegen die wachsende Welle von Cyberangriffen zu wappnen und ihre finanzielle Integrität in einer zunehmend unsicheren digitalen Welt zu bewahren.

 

Diebstahl von persönlichen Daten

Der Diebstahl persönlicher Daten ist eine der häufigsten Formen von Cyberangriffen. Die finanziellen Verluste, die aus dem Diebstahl persönlicher Daten resultieren, sind beträchtlich. Für Einzelpersonen kann dies den Verlust von Ersparnissen, die Beeinträchtigung der Kreditwürdigkeit und langwierige Verfahren zur Wiederherstellung ihrer Identität bedeuten.

Unternehmen, die solche Datenverletzungen erleiden, stehen vor direkten Kosten durch die Notwendigkeit, die Sicherheitslücken zu schließen und die Systeme zu verbessern, um zukünftige Angriffe zu verhindern. Hinzu kommen die Kosten für die Benachrichtigung der betroffenen Kunden, die Bereitstellung von Überwachungsdiensten für Kreditberichte zur Minderung von Schäden sowie potenzielle Entschädigungen für die Opfer. In einigen Fällen können Unternehmen auch mit erheblichen Strafen konfrontiert sein, wenn festgestellt wird, dass sie fahrlässig gehandelt haben oder nicht ausreichend in den Schutz der ihnen anvertrauten Daten investiert haben.

 

KI als Herausforderung für die Cybersicherheit

Die Entwicklung der KI hat die Landschaft der Cybersicherheit grundlegend verändert. Einerseits nutzen Cyberkriminelle zunehmend KI-gestützte Techniken, um ausgeklügelte Phishing-Angriffe durchzuführen und Sicherheitsmaßnahmen zu umgehen. KI-Systeme können dazu eingesetzt werden, Angriffe zu automatisieren und zu personalisieren, was ihre Erfolgsrate erhöht.

Andererseits bietet KI auch leistungsstarke Werkzeuge zur Abwehr von Cyberangriffen. Durch die Analyse großer Datenmengen kann KI ungewöhnliche Muster erkennen, die auf eine Sicherheitsbedrohung hinweisen könnten, und automatisch Gegenmaßnahmen einleiten. Die Herausforderung besteht darin, KI-Systeme effektiv zu implementieren, um die Sicherheit zu verbessern, ohne dabei die Betriebsabläufe zu beeinträchtigen.

Um KI effektiv gegen Cyberangriffe einzusetzen, müssen Unternehmen in fortschrittliche Sicherheitssysteme investieren, die in der Lage sind, kontinuierliches Lernen und Anpassung zu unterstützen. Dies beinhaltet die Schulung der KI-Modelle mit aktuellen Bedrohungsdaten und die Implementierung von Systemen, die in der Lage sind, autonom auf erkannte Bedrohungen zu reagieren. Darüber hinaus ist es entscheidend, das Bewusstsein und die Ausbildung der Mitarbeiter bezüglich Cybersicherheitspraktiken kontinuierlich zu verbessern, da menschliche Fehler oft Einfallstore für Cyberangriffe darstellen.

 

 

Aussicht

Experten prognostizieren eine weitere Zunahme von Cyberangriffen auf Unternehmen, getrieben durch die fortlaufende Digitalisierung und die zunehmende Verwendung von KI durch sowohl Verteidiger als auch Angreifer. Um diesen Herausforderungen zu begegnen, müssen Unternehmen ihre Sicherheitsstrategien kontinuierlich evaluieren und anpassen. Dies beinhaltet die Investition in fortschrittliche Technologien, die Stärkung der organisatorischen Resilienz und die Schaffung einer Kultur der Cybersicherheit, die Mitarbeiter auf allen Ebenen einbezieht.

Die finanziellen Risiken, die mit Cyberangriffen verbunden sind, können gravierend sein, aber durch proaktive Maßnahmen und die effektive Nutzung von Technologien wie KI können Unternehmen ihre Anfälligkeit verringern und sich in der sich ständig verändernden Landschaft der Cybersicherheit behaupten.

 

„>

 
 
 

 

 

 

Die Schnittstelle zwischen der Welt der künstlichen Intelligenz (KI) und dem Umgang mit personenbezogenen Daten ist beträchtlich. Gerade Systeme, die eigenständig lernen, müssen in der Regel auf umfangreiche Datensätze zu greifen. Diese Systeme sind in der Lage, selbstständig Entscheidungen zu fällen, was jedoch das Risiko für die persönlichen Rechte und Freiheiten der Dateninhaber erhöht.

Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) in der EU sind auch spezifische Regelungen in Kraft getreten, die den Einsatz künstlicher Intelligenz betreffen. Demzufolge ist der Schutz personenbezogener Daten ein essenzieller Faktor beim Einsatz von KI-Technologien. Dies gilt ganz unabhängig von den derzeitigen Plänen des EU-Parlaments zur KI-Regulierung.

 

Das Wichtigste in Kürze

  • Neben vielen Vorteilen birgt der Einsatz von Künstlicher Intelligenz auch Risiken für die Rechte der von der Verarbeitung betroffenen Personen.
  • Der Anwendungsbereich der DSGVO ist eröffnet, sobald durch die KI personenbezogene Daten verarbeitet werden.
  • Bestenfalls sollte eine Anonymisierung aller relevanten personenbezogenen Daten erfolgen.

 

Datenschutzrechtliche Probleme im Zusammenhang mit künstlicher Intelligenz

Ein deutliches Spannungsverhältnis zeichnet sich zwischen der Anwendung von Künstlicher Intelligenz und den Anforderungen des Datenschutzes ab. Die Effektivität von KI-Systemen hängt unmittelbar von der Qualität und dem Umfang der Daten ab, die zur Verfügung stehen. Um fortschrittliche und leistungsstarke KI zu entwickeln, ist die Verarbeitung großer Datenmengen unumgänglich. Dabei kommt es häufig zur Einbeziehung personenbezogener Informationen, deren Verarbeitung gemäß den strikten Vorgaben der DSGVO reguliert ist.

Die Bedeutung von künstlicher Intelligenz sowie die Wichtigkeit des Schutzes persönlicher Daten haben in jüngerer Vergangenheit zunehmend an Beachtung gewonnen.

Im unternehmerischen Alltag sind viele Anwendungsszenarien denkbar, wie KI-gestützte Systeme hilfreich sein können. Sei es im Kundensupport für die automatisierte Beantwortung von Kundenanfragen und Zurverfügungstellung von Informationen über Produkte und Dienstleistungen oder für die Generierung von Inhalten und Entwürfen sowie als virtuelle Assistenten, welche zur Optimierung von Abläufen dienen.

KI-Modelle durchlaufen für ihre Einsatzbereitschaft ein intensives Training, bei dem sie häufig auf frei zugängliche Daten, wie sie im Internet zu finden sind, zurückgreifen. Die Risiken sind dabei nicht zu unterschätzen, denn diese Datenquellen können fehlerhafte sein oder diskriminierende Inhalte enthalten, was sich potenziell in den Ergebnissen, die von der KI produziert werden, widerspiegeln könnte. Darüber hinaus besteht die Möglichkeit, dass die von der KI generierten Ergebnisse personenbezogene Daten enthalten, was datenschutzrechtlich bedenklich ist und für Unternehmen, die nicht alle Vorgaben der Datenschutz-Grundverordnung (DSGVO) einhalten, rechtliche Schwierigkeiten mit sich bringen kann.

 

Tipps für Unternehmen beim Einsatz von künstlicher Intelligenz

Für viele stellt sich die Frage, ob ein datenschutzkonformer Einsatz von KI überhaupt möglich ist. Die Integration von Large Language Models (LLMs) wie ChatGPT in Unternehmensprozesse beispielsweise bietet vielfältige Chancen, bringt jedoch auch wesentliche datenschutzrechtliche Verpflichtungen mit sich. Large Language Models sind große generative Sprachmodelle mit Künstlicher Intelligenz, die mit riesigen Mengen an Textdaten vortrainiert sind.

Um diese Technologie konform mit den Datenschutzgesetzen zu nutzen, sollten Unternehmen einige Punkte beachten.

Zuallererst muss ein Unternehmen sicherstellen, dass die Datenverarbeitung durch LLMs rechtmäßig erfolgt. Dies bedeutet, dass die Verarbeitung der Daten einen rechtlichen Rahmen hat, der beispielsweise durch Einwilligungen oder gesetzliche Erlaubnistatbestände gegeben ist.

Ein weiterer essenzieller Schritt ist der Abschluss eines Auftragsverarbeitungsvertrages mit dem Anbieter des LLMs. Dieser Vertrag regelt insbesondere die Verantwortlichkeiten in Bezug auf den Datenschutz und sollte gegebenenfalls auch Standardvertragsklauseln enthalten, wenn Daten in Drittländer übertragen werden.

Vor der Einführung eines LLMs sollten Unternehmen eine Datenschutzfolgenabschätzung (DSFA) und ein Transfer Impact Assessment (TIA) durchführen. Diese Assessments dienen dazu, die Risiken der Datenverarbeitung zu bewerten und entsprechende Maßnahmen zu ihrer Minimierung zu dokumentieren.

Der Einsatz des Dienstes muss in der Datenschutzerklärung des Unternehmens transparent gemacht und im Verzeichnis für Verarbeitungstätigkeiten dokumentiert werden, um den Transparenzpflichten nachzukommen.

Es ist darauf zu achten, dass bei der Nutzung von LLMs keine personenbezogenen Daten offengelegt werden. Unternehmensinterne Daten müssen daher vor der Eingabe anonymisiert werden.

Zudem müssen adäquate Maßnahmen ergriffen werden, um die Sicherheit der Datenverarbeitung zu gewährleisten. Beispielsweise sollte bei der Nutzung von ChatGPT eingestellt werden, dass die Daten nicht für Trainingszwecke genutzt werden dürfen.

Diese Anleitung soll Unternehmen dabei unterstützen, den Einsatz von LLMs wie ChatGPT möglichst rechtssicher und verantwortungsvoll zu gestalten. Abschließende Rechtssicherheit wird man jedoch nicht erlangen können. Es ist von höchster Bedeutung, dass diese Schritte sorgfältig umgesetzt werden, um den Schutz personenbezogener Daten zu gewährleisten und die Compliance mit den gesetzlichen Datenschutzanforderungen zu sichern.

 

KI aus Sicht der Aufsichtsbehörden

Im Frühjahr 2023 untersagte die italienische Datenschutzbehörde (GPDP) vorübergehend die Datenverarbeitung italienischer Bürger durch OpenAI, das für ChatGPT verantwortlich ist. Die Behörde äußerte Bedenken hinsichtlich der Gültigkeit der rechtlichen Grundlage für die Verarbeitung personenbezogener Daten zur Algorithmus-Schulung und bemängelte die unvollständige Erfüllung von Informationspflichten. Der inkorrekte Umgang mit personenbezogenen Daten durch ChatGPT wurde ebenfalls problematisiert.

Ein weiteres Problem war das Fehlen einer Altersverifizierung, obwohl die Dienstleistungen von OpenAI gemäß den Nutzungsbedingungen erst ab 13 Jahren zugänglich sind, was zu potenziell altersunangemessenen Inhalten für jüngere Kinder führen könnte.

ChatGPT ist inzwischen wieder zugänglich für die italienische Bevölkerung, nachdem OpenAI die Forderungen der italienischen Datenschutzbehörde erfüllt hat: OpenAI musste auf seiner Website eine überarbeitete Datenschutzrichtlinie bereitstellen, die über die Datenverarbeitung und die Rechte der Betroffenen aufklärt.

Ebenso darf das Unternehmen nicht länger die Vertragserfüllung (Art. 6 Absatz 1 lit. b DSGVO) als Rechtsgrundlage anführen, sondern muss sich stattdessen auf die Zustimmung der betroffenen Personen oder ihre berechtigten Interessen stützen. OpenAI wurde auferlegt, Verfahren zur Berichtigung und Löschung von Daten sowie zum Widerspruch gegen deren Nutzung sowohl für ChatGPT-Nutzer als auch für Nicht-Nutzer zu implementieren.

Zum Schutz Minderjähriger muss OpenAI zunächst die Volljährigkeit des Nutzers bestätigen und bis September 2023 ein Altersverifikationssystem einrichten, das Minderjährige unter 13 Jahren und solche zwischen 13 und 18 Jahren ohne Zustimmung der Erziehungsberechtigten ausschließt.

Auch in Deutschland gründete die deutsche Datenschutzkonferenz (DSK) im April 2023 eine spezielle KI-Taskforce, welche sich mit dem Thema Künstliche Intelligenz befassen soll.

Als initiale Maßnahme richteten die deutschen Regulierungsinstanzen einen Fragenkatalog an OpenAI, um Einblicke etwa in die Herkunft der Daten und die Algorithmen, die der automatisierten Verarbeitung zugrunde liegen, zu gewinnen. Nachdem die Antwortfrist bereits einmal verlängert wurde, steht die Vorlage der Rückmeldungen durch OpenAI bevor. Auf Basis dieser Informationen planen die deutschen Behörden, eine Datenschutzanalyse von ChatGPT durchzuführen.

 

 

Fazit

Es ist zu erwarten, dass künftige Veränderungen der Gesetzgebung erfolgen werden, um mit der fortschreitenden Integration von künstlicher Intelligenz Schritt zu halten. Dabei stehen in der politischen Diskussion häufig die Gefahren von besonders riskanten Anwendungen mit weitreichenden Folgen und der deshalb erforderlichen Regulierung im Vordergrund. Die KI bietet jedoch auch erheblich praktische Vorteile, wie etwa die Verbesserung und Erkennung von Cybersecurity-Bedrohungen. Darüber hinaus können Unternehmen von der Effizienzsteigerung ihrer Prozesse durch den Einsatz künstlicher Intelligenz profitieren. Die Prognose, wie sich die Anwendung von KI entwickeln wird, gestaltet sich schwierig, da viele Aspekte noch im Unklaren liegen und wohl erst im Zuge weiterer technologischer Fortschritte konkretisiert werden können.

Obwohl Künstliche Intelligenz bereits in zahlreichen Bereichen Anwendung findet, bliebt es ein Themenfeld mit erheblichem Entwicklungspotenzial für die kommenden Jahre, welches sorgfältig beobachtet werden sollte.

Datenschutz spielt beim Einsatz von KI eine wesentliche Rolle, die auch es auch zukünftig besonders zu beachten gilt. Es ist für Unternehmen daher empfehlenswert, sich frühzeitig mit notwendigen Strategien und Compliance auseinanderzusetzen, um die Konformität ihrer KI-Systeme insbesondere auch mit Datenschutzvorschriften sicherzustellen.

 

„>

 
 
 
 

 

 

 

Aufgrund der Einführung des Home-Office während der Corona-Pandemie sah sich auch die öffentliche Verwaltung gezwungen kurzer Hand Videokonferenzsysteme einzuführen. Dies wurde von vielen Datenschützern, wie etwa dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) kritisiert. Diese Kritik endete schließlich in einem Rechtsstreit mit der Hansestadt Hamburg über den Einsatz von Zoom in der hamburgischen Verwaltung.

Nun gab die Hamburger Datenschutzbehörde mit Pressemitteilung vom 19.09.2023 bekannt, dass das Gerichtsverfahren mit der Senatskanzlei der Freien und Hansestadt Hamburg (FHH) mit einem Vergleich beendet wurde.

 

Das Wichtigste in Kürze

  • Aufgrund von Bedenken in Bezug auf die Datenübermittlung von Zoom in die USA, hatte der HmbBfDI 2021 eine Warnung gegenüber der Staatskanzlei ausgesprochen.
  • Die Hamburger Staatskanzlei reichte gegen die behördliche Maßnahme Klage ein.
  • Aufgrund des Inkrafttretens des EU-US-Privacy Framework im Juli 2023 beendeten die Parteien das Verfahren durch einen Vergleich.
  • Zoom hat bisher nicht erklärt, die Zertifizierungskriterien zur Erfüllung des neuen Angemessenheitsbeschlusses zu erfüllen.

 

Hintergrund

Im August 2021 hat der HmbBfDI eine offizielle Warnung an die Senatskanzlei gerichtet, da diese beabsichtigte die Nutzung von Zoom Inc. in der Hamburger Verwaltung einzusetzen.

Der Ansicht des Hamburgischen Datenschutzbeauftragten nach sei die Nutzung von Zoom als US-amerikanisches Softwareunternehmen für Videokonferenzen mit der Übermittlung personenbezogener Daten in die USA verbunden, wodurch kein ausreichender Schutz für diese Daten bestehe.

Gegen die Warnung erhob die Senatskanzlei im September 2021 Klage vor dem Verwaltungsgericht Hamburg.

 

Änderung der Rechtslage durch den Angemessenheitsbeschluss

Nach dem Schrems II-Urteil des EuGH im Jahr 2020 und dem damit verbundenen Wegfall des Privacy Shields wurde die Rechtsgrundlage für den Datentransfer in die USA aufgrund der Tatsache gekippt, dass US-Geheimdienste umfangreichen Zugriff auf die bei amerikanischen Unternehmen gespeicherten Daten haben und demnach eine Massenüberwachung grundsätzlich ermöglicht wird.

In der Zwischenzeit – am 10.07.2023 – hat die Europäische Kommission einen neuen Angemessenheitsbeschluss („EU-US Data Privacy Framework“) gem. Art. 45 Abs. 1 DSGVO erlassen, der am selben Tag in Kraft getreten ist. Nach diesen aktuellen Entwicklungen ist die Übermittlung personenbezogener Daten in die USA rechtssicher möglich, wenn das verantwortliche Unternehmen eine vom Angemessenheitsbeschluss vorgesehenen Zertifizierung hat.

Angesichts dieser erheblichen Änderung der Rechtslage einigten sich die Aufsichtsbehörde und die Senatskanzlei darauf, den Rechtsstreit gütlich zu beenden. Insbesondere besteht zwischen den Parteien kein Interesse gerichtlich klären zu lassen, ob die ausgesprochene Warnung unter den damaligen rechtlichen Umständen zutreffend war oder nicht.

 

Der EU-US-Privacy Framework ermöglicht Datentransfers an zertifizierte Unternehmen

Der im Juli 2023 veröffentlichte Angemessenheitsbeschluss der Europäischen Kommission gilt derzeit als die Grundlage für die Datenübermittlungen in die USA.

Als Nachfolger des „Privacy-Shields“ attestiert der Angemessenheitsbeschluss ein angemessenes Schutzniveau für Übermittlungen personenbezogener Daten in die USA. Damit wird festgestellt, dass personenbezogene Daten in den USA einen mit dem europäischen Datenschutzrecht vergleichbaren adäquaten Schutz genießen.

Die zentrale Voraussetzung ist eine Zertifizierung des datenempfangenden Unternehmens, wobei es sich um eine Selbstverpflichtung zur Einhaltung verschiedener datenschutzrechtlicher Verpflichtungen handelt. Die Zertifizierung des Empfängerunternehmens in den USA müssen die Exporteure von personenbezogenen Daten zuvor überprüfen (Wir berichteten hier).

 

Ist der Einsatz von Zoom jetzt datenschutzkonform?

Infolgedessen stellt sich nun die Frage, ob der Einsatz von Zoom und ähnlichen Diensten und die damit verbundene Übermittlung von personenbezogenen Daten in die USA aufgrund der neuen Regelungen datenschutzkonform ist.

Formal gesehen, größtenteils ja, denn der EU-US-Privacy Framework bietet eine Grundlage für die Datenübermittlung und aus diesem Grund ist derzeit ein Datentransfer an zertifizierte Unternehmen in den USA problemlos möglich.

Soweit keine Zertifizierung des Unternehmens vorliegt, muss die Datenübermittlung von weiteren Schutzmaßnahmen (sogenannten geeignete Garantien) begleitet werden.

Zwar hat Zoom keine Zertifizierung, jedoch beruft sich das Unternehmen in seinen Geschäftsbedingungen auf die weiterhin bestehenden Standardvertragsklauseln der Europäischen Kommission, welche grundsätzlich auch eine Grundlage für internationale Datentransfers aus dem Europäischen Wirtschaftsraum in Nicht-EWR-Länder bilden. Im Übrigen hat der Hessische Datenschutzbeauftragte bereits im letzten Jahr ein Modell für den Einsatz von Zoom in Hochschulen freigegeben.

 

 

Aussicht

Nur zwei Monate nachdem die EU-Kommission den Angemessenheitsbeschluss erlassen hat, reichte im September der französische Parlamentarier Philippe Latombe, Mitglied der zentristisch-liberalen Partei Mouvment Démocrate, vor dem Europäischen Gerichtshof Klage dagegen ein.

Das EU-US Data Privacy Framework wurde entwickelt, um ein Datenschutzniveau zu etablieren, das „im Wesentlichen gleichartig“ mit der DSGVO ist und somit eine neue Grundlage für den Datentransfer in die USA schafft. Latombe hingegen sieht seine Rechte verletzt, da seiner Ansicht nach das Framework weder mit der DSGVO noch mit der EU-Grundrechtecharta im Einklang steht. Er reicht die Klage als Privatperson ein und strebt eine vorübergehende Aussetzung des Frameworks sowie eine gründliche Überprüfung des Abkommens an.

Auch der Datenschutzverein NOYB, mitbegründet von Datenschutzaktivist Max Schrems, hatte bereits am Tag der Veröffentlichung des Angemessenheitsbeschlusses angekündigt, auch gegen den neuerlichen Beschlussrechtliche Schritte einzuleiten. Schrems hatte bereits erfolgreich gegen die Vorgängerabkommen, Safe Harbour und Privacy Shield, geklagt.

Es ist also davon auszugehen, dass auch der dritte Versuch der EU-Kommission erneut einer Überprüfung durch den EuGH unterzogen wird. Das Ergebnis kann freilich nicht vorweggenommen werden, jedoch sollte bei Datenverarbeitungen, die eine Übermittlung in die USA vorsehen im besten Fall weiterhin auch auf ergänzende Schutzmaßnahmen geachtet werden. Dies gilt insbesondere für Zoom, das sich bislang noch nicht für die Anwendung des Angemessenheitsbeschlusses zertifiziert hat.

 

„>

 
 
 

 

 

 

Anbieter digitaler Dienste wie Google, Amazon, Facebook und Co. sind heutzutage nicht mehr wegzudenken. Die Online-Plattformen bringen große Vorteile sowohl für Verbraucher als auch für Unternehmer. Sie erleichtern den grenzüberschreitenden Handel, ermöglichen den Informationsaustausch und eröffnen vor allem für europäische Unternehmen neue Geschäftsmöglichkeiten. Gleichzeitig werden sie aber auch für die Verbreitung illegaler Inhalte, den Verkauf illegaler Ware oder die Bereitstellung illegaler Dienstleistungen missbraucht. Um die Risiken für Plattformnutzer einzudämmen und Wettbewerbsnachteile für Mitbewerbern einzudämmen, hat die EU das Gesetz über digitale Dienste (Digital Services Act, kurz: DSA) erlassen. Sehr große Online-Plattformen hatten bis zum 25. August 2023 Zeit, um die Verpflichtungen aus dem DSA zu erfüllen.

 

Das Wichtigste in Kürze

  • Der Digital Services Act soll in Zukunft die Aktivitäten von Anbietern digitaler Dienste innerhalb der EU einheitlich regeln.
  • Als EU-Verordnung gilt der DSA unmittelbar in allen EU-Mitgliedstaaten, ohne dass es einer weiteren nationale Umsetzung durch die EU-Mitgliedstaaten bedarf.
  • Ziel ist die Schaffung eines sicheren digitalen Raums, in dem die Grundrechte der Verbraucher geschützt werden und gleiche Wettbewerbsbedingungen für Unternehmen gelten.
  • Sehr große Online-Plattformen und -Suchmaschinen waren verpflichtet, die Pflichten aus dem DSA bereits bis zum 25. August 2023 umzusetzen.

 

Ziel des neuen Gesetzes

Der Digital Services Act baut auf den Vorschriften der Richtlinie über den elektronischen Geschäftsverkehr auf und soll die besonderen Probleme, die im Zusammenhang mit Online-Plattformen und Suchmaschinen auftreten, regeln. Das Gesetz soll den Verbraucherschutz im Internet stärken und die Einhaltung der Grundrechte und Grundfreiheiten im Internet gewährleisten sowie einen einheitlichen Rahmen in der gesamten EU bieten. In diesem Zusammenhang sollen illegale Inhalte und Desinformationen weitmöglichst reduziert werden.

 

Anbieter von Online-Vermittlungsdiensten als Adressaten

Die Regelungen des Digital Services Act gelten generell für alle Anbieter von Online-Diensten und zwar auch solche, die zwar keinen Sitz innerhalb der EU haben, aber innerhalb der EU den Zugang zu Waren, Dienstleistungen und anderen Inhalten ermöglichen. Auch Hosting-Dienste wie Anbieter von Cloud-Diensten sind von den Regelungen betroffen. Sehr große Online-Plattformen wie beispielsweise Facebook, Instagram oder Twitter und sehr große Suchmaschinen wie Google unterliegen einer strengeren Regulierung und müssen zusätzliche Verpflichtungen erfüllen. Als „sehr große Online-Plattformen“ gelten nach dem DSA solche, die monatlich mindestens 45 Millionen aktive Nutzer innerhalb der EU erreichen. Diese werden durch die EU-Kommission ermittelt.

 

Neue Pflichten für Anbieter digitaler Dienste

Der DSA enthält neben Sorgfalts- und Transparenzpflichten Durchsetzungsmechanismen, wozu auch Bußgelder gehören. Als EU-Verordnung ist er in allen EU-Mitgliedstaaten unmittelbar anwendbar, ohne dass es eines zusätzlichen Umsetzungsakts bedarf. Nachdem das Gesetz am 27. Oktober 2022 im Amtsblatt der EU veröffentlicht wurde, ist es am 16. November 2022 in Kraft getreten. Die Umsetzung der Vorgaben des neuen Gesetzes muss spätestens bis zum 17. Februar 2024 erfolgt sein. Für Anbieter sehr großer Online-Plattformen und Suchmaschinen im Sinne des DSA hat diese bereits 4 Monaten nach Benennung durch die Kommission, wenn diese vor dem 17. Februar 2024 erfolgt, Geltung. Sehr große Plattformen waren verpflichtet, die Zahl ihrer aktiven Nutzer bis zum 17. Februar 2023 zu veröffentlichen. Auf Basis der veröffentlichten Nutzerzahlen hat die EU-Kommission bereits am 25. April 2023 die sehr großen Online-Plattformen und -Suchmaschinen gemäß dem DSA ermittelt und eine Liste veröffentlicht. Betroffen sind 17 Plattformen und 2 Suchmaschinen, darunter unter anderem Amazon, Bing, Apple, Unternehmen von Google und Meta sowie das chinesische Unternehmen Alibaba. Diese hatten bis zum 25. August 2023 Zeit, um die Verpflichtungen aus dem DSA zu erfüllen.

 

Verpflichtungen für alle Anbieter von Vermittlungsdiensten

  • Alle Anbieter von Vermittlungsdiensten sind verpflichtet, jährliche Transparenzberichte über das Lösch- und Sperrverhalten zu veröffentlichen. Für Online-Plattformen und für sehr große Online-Plattformen gelten gesteigerte Berichtspflichten.
  • Zudem müssen die Anbieter eine Kontaktstelle für Behörden und Nutzer bereitstellen.
  • Die Anbieter sind ferner verpflichtet, die Ausführung von Anordnungen zum Vorgehen gegen rechtswidrige Inhalte, die durch nationale Behörden ergangen sind, unverzüglich mitzuteilen.
  • Darüber hinaus müssen die Allgemeinen Geschäftsbedingungen in klarer, verständlicher und benutzerfreundlicher Sprache angeben, welche Beschränkungen und Moderationsmaßnahmen für Nutzerinhalte gelten und über wesentliche Änderungen der AGB informieren.

 

Weitere Pflichten für Anbieter von Hosting-Diensten

Sofern es sich um einen Anbieter von Hosting-Diensten handelt, d.h. sobald Nutzerdaten und -inhalte gespeichert werden, gelten gesteigerte Pflichten.

  • Diese umfassen insbesondere die Pflicht zur Meldung beim Verdacht der Begehung von Straftaten durch die veröffentlichten Inhalte der Nutzer sowie die Bereitstellung erforderlicher Informationen.
  • Ferner sind die Anbieter zur Einrichtung eines sog. Notice-and-action-Systems verpflichtet, das Nutzern sowie Dritten die Meldung rechtswidriger Inhalte ermöglicht.
  • Darüber hinaus müssen Beschränkungen für Nutzer, die rechtswidrige oder den Nutzungsbedingungen widersprechende Inhalte veröffentlicht haben, begründet werden.

 

Deutlich erhöhte Pflichten für Online-Plattformen

Für Online-Plattformen kommen weitere erhebliche Pflichten hinzu.

  • Anbieter müssen Beschwerde- und Rechtsbehelfsmechanismen schaffen, die es Nutzern ermöglichen, illegale Ware, Dienstleistungen oder Inhalte einfacher zu melden und Entscheidungen der Plattform über entfernte illegale Inhalte anzufechten.
  • Außergerichtliche Streitbeilegung muss im Zusammenhang mit Entscheidungen der Plattform über die Sperrung von Inhalten möglich sein und die Nutzer über diese Möglichkeit informiert werden.
  • Daneben werden die Online-Plattformbetreiber zu mehr Transparenz verpflichtet, indem das Gesetz umfangreiche Informationen über die Algorithmen, die für die Empfehlung von Inhalten oder Produkten an Nutzer verwendet werden, verlangt.
  • Nutzer, die regelmäßig offensichtlich illegale Inhalte bereitstellen, müssen nach vorheriger Warnung gesperrt werden.
  • Weiterhin soll durch die Pflicht zur Kennzeichnung jeglicher Werbung auf den Online-Plattformen Transparenz geschaffen werden. Der Einsatz von Dark Patterns, bei denen Nutzer durch gezieltes Design oder Vorschläge zu bestimmten Entscheidungen gebracht werden sollen, ist unzulässig. Auch die Ablehnung von Cookies darf nicht schwieriger sein als die Erteilung der Zustimmung. Verboten sind auch Werbemaßnahmen, die sich gezielt an bestimmte Zielgruppen wie zum Beispiel Minderjährige richten (sog. Targeted Ads).
  • Neben der allgemeinen Transparenzberichtspflicht ist über die Anzahl und Umsetzung von Streitigkeiten vor der Streitbeilegungsstelle, die Schließungen von Nutzerkonten sowie halbjährlich über die Anzahl der monatlich aktiven Nutzer zu berichten.
  • Zudem gibt es einige Sondervorschriften (Art. 29-32 DSA) für solche Online-Plattformen, die Verbrauchern den Abschluss von Fernabsatzverträgen mit dritten Unternehmern ermöglichen (sog. Online-Marktplätze).

 

Noch umfassendere Pflichten für sehr große Anbieter

Aufgrund der erheblichen zusätzlichen Risiken, die mit der umfangreichen Nutzung sehr großer Online-Vermittlungsdienste und -Suchmaschinen einhergehen, treten für die Anbieter solcher Dienste noch einmal umfassendere Pflichten hinzu.

  • Insbesondere besteht nach dem DSA die Pflicht zur Durchführung einer jährlichen Risikobewertung. Dabei muss unter anderem überprüft werden, ob die Dienste negative Auswirkungen auf die Ausübung von Grundrechten wie zum Beispiel die Meinungs- und Informationsfreiheit durch die Nutzer haben.
  • Zudem sollen die Plattformen und Suchmaschinen jährlich einer externen unabhängigen Überprüfung unterzogen werden, welche der Einhaltung der Bestimmungen dient und systematische Risiken für die Nutzer analysiert. In diesem Zusammenhang sind die Anbieter verpflichtet, der EU-Kommission sowie dem jeweiligen Koordinator für digitale Dienste am Niederlassungsort Zugang zu den relevanten Daten zu gewähren. Die EU-Kommission ist für die Aufsicht über sehr große Online-Plattformen mit über 45 Millionen monatlich aktiven Nutzern in der EU zuständig. Die Rolle des Koordinators für digitale Dienste fällt in Deutschland der Bundesnetzagentur zu.
  • Weiterhin müssen die Nutzer darüber belehrt werden, dass sie die Möglichkeit haben, sich gegen Profiling-basierte Produktempfehlungen zu entscheiden.
  • Onlinewerbung auf sehr großen Online-Plattformen und -Suchmaschinen muss für mindestens ein Jahr archiviert werden.
  • In den geforderten Transparenzberichten müssen zusätzliche Informationen zu den Personen, die zur Moderation von Inhalten eingesetzten werden, sowie die durchschnittlichen monatlichen Nutzerzahlen aufgeschlüsselt nach Mitgliedsstaat enthalten sein.

 

Privilegierung von Kleinst- und Kleinunternehmen

Kleinst- und Kleinunternehmer, d.h. Unternehmen, die weniger als 50 Mitarbeiter beschäftigen und einen Jahresumsatz von unter 10 Mio. Euro generieren, sind von den neuen Regelungen nicht betroffen. Für diese gelten jedoch die allgemeinen datenschutzrechtlichen und wettbewerbsrechtlichen Vorgaben.

 

Haftungsprivileg nach dem DSA

Neben den verschärften und teilweise neuen Verpflichtungen enthält der DSA eine Haftungsprivilegierung für die Anbieter von Online-Diensten. Diese entspricht allerdings der bisherigen Rechtslage nach dem Telemediengesetz. Danach gilt, dass die Anbieter von Online-Vermittlungsdiensten nicht haften, wenn sie keine tatsächliche Kenntnis von rechtswidrigen Inhalten der Nutzer haben oder wenn sie diese Inhalte unverzüglich entfernen, sobald sie Kenntnis davon erlangen.

 

 

Fazit

Es bleibt abzuwarten, wie sich die rechtlichen Neuerungen in der Praxis auswirken werden. Unternehmen wie Facebook und TikTok sind bereits aktiv geworden und haben erste Maßnahmen veranlasst. Amazon und Zalando wollen die neuen Regeln nicht einfach so hinnehmen und haben Klagen eingereicht, da sie ihrer Auffassung nach zu Unrecht als sehr große Online-Plattformen im Sinne des DSA eingestuft worden seien und die Vorgaben für sie als Händler nicht gelten. Vor diesem Hintergrund ist nicht auszuschließen, dass auch andere Plattformen sich gerichtlich wehren könnten. Feststeht, dass alle größeren Unternehmen, die Online-Vermittlungsdienste anbieten, d. h. nicht nur die „Big Player“ mit einem erhöhten Compliance-Aufwand rechnen müssen. Denn das Gesetz adressiert grundsätzlich alle Anbieter digitaler Dienste und enthält nur für die Kleinst- und Kleinunternehmen eine Ausnahme. Anbieter sollten demnach proaktiv handeln und sich mit den neuen Verpflichtungen auseinandersetzen, um den rechtlichen Anforderungen gerecht zu werden. Andernfalls drohen Sanktionen, insbesondere Bußgelder in Höhe von bis zu 6 Prozent des weltweit erzielten Vorjahresumsatzes.

 

„>

 
 
 

 

 

 

In Deutschland wurde dem Schutz von Hinweisgebern (Whistleblowern) lange Zeit nicht viel Bedeutung beigemessen. Oft zögerten Arbeitnehmer, die bei ihrer Arbeit auf rechtliche Verstöße stießen, diese zu melden oder dagegen vorzugehen. Die Ursache hierfür lag in der Befürchtung vor negativen Folgen und Diskriminierung. Mit dem Hinweisgeberschutzgesetz strebt die Bundesregierung nun an, diesen Umstand zu ändern (Europäische Hinweisgeberrichtlinie (EU) 2019/1937).

 

Das Wichtigste in Kürze

  • Das neue Hinweisgeberschutzgesetz (HinSchG) ist am 2. Juli 2023 in Kraft getreten.
  • Unternehmen werden dazu verpflichtet Whistleblowing in einem geschützten Rahmen zu ermöglichen, um gegen Rechtsverstöße im Arbeitskontext vorzugehen.
  • Unternehmen mit über 50 Beschäftigte mussten die gesetzlichen Vorgaben bis zum 17. Dezember 2023 wirksam umsetzen.
  • Über Hinweisgebersysteme werden eine Vielzahl von Daten verarbeitet, bei denen es sich in aller Regel um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO handelt.

 

Hintergrund

Ein Whistleblower ist jede natürliche Person, die über Kenntnisse von Verstößen oder illegalen Vorgängen innerhalb eines Unternehmens verfügt. Diese Personen spielen eine entscheidende Rolle, indem sie solche Informationen an interne Meldestellen innerhalb des Unternehmens oder an externe Stellen, wie zuständige Behörden, weiterleiten. Die Bereitstellung dieser Hinweise ist von großer Bedeutung, da sie dazu beiträgt, Missstände, rechtswidrige Handlungen oder unethische Praktiken in Unternehmen aufzudecken. Dies schützt nicht nur das Unternehmen selbst, sondern auch die Gesellschaft im Allgemeinen.

Whistleblower setzen sich jedoch oft erheblichen Risiken aus, wenn sie Missstände aufdecken. Sie können Repressalien, Vergeltungsmaßnahmen oder Stigmatisierung am Arbeitsplatz oder in der Gesellschaft ausgesetzt sein. Angesichts dieser Risiken war die Einführung eines Hinweisgeberschutzgesetzes dringend notwendig. Dieses Gesetz zielt darauf ab, Personen, die im öffentlichen Interesse handeln und dazu beitragen Missstände zu beheben, zu schützen und ihnen Sicherheit zu geben. Es soll dabei helfen, dass Whistleblower ohne Angst vor negativen Konsequenzen agieren können. Dadurch wird nicht nur ihre individuelle Sicherheit gewährleistet, sondern auch ein wichtiger Beitrag zur Aufrechterhaltung von Transparenz und Integrität in Unternehmen und anderen Organisationen geleistet.

 

Whistleblowing Richtline richtig umsetzen

In Deutschland wurde ein System etabliert, das es Mitarbeitern aller Unternehmenermöglicht, sich an externe Meldestellen zu wenden. Diese externen Meldestellen sind in der Regel spezifische Bundes- oder Landesbehörden, die für das jeweilige Thema zuständig sind. Beispiele hierfür sind das Bundesamt für Justiz, die Bundesanstalt für Finanzdienstleistungsaufsicht oder das Bundeskartellamt. Diese Einrichtungen dienen als Anlaufstellen für Whistleblower, die Missstände in Unternehmen melden möchten.

Unternehmen mit mindestens 50 Angestellten sind verpflichtet, eine sichere interne Meldestelle einzuführen. Dies kann beispielsweise durch das Einrichten eines speziellen Hinweisgebersystems geschehen oder durch die Beauftragung eines Datenschutzbeauftragten, der die Funktion der Meldestelle mit übernehmen kann. Diese Maßnahmen soll sicherstellen, dass Mitarbeitende einen vertraulichen und geschützten Kanal haben, um interne Missstände zu melden.

Die Frist zur Einrichtung einer solchen internen Meldestelle ist am 17. Dezember 2023 abgelaufen. Bis dahin hatten Unternehmen Zeit, um die notwendigen Systeme zu implementieren und sicherzustellen, dass sie den gesetzlichen Anforderungen entsprechen.

Bei größeren Unternehmen mit über 250 Beschäftigten ist die Umsetzung eines internen Hinweisgebersystems bereits seit dem Inkrafttreten des Gesetzes am 2. Juli 2023 erforderlich.

Darüber hinaus ist in bestimmten Branchen und Sektoren die Einrichtung eines Hinweisgebersystems unabhängig von der Anzahl der Beschäftigten vorgeschrieben. Dazu gehören Unternehmen im Finanzdienstleistungssektor, im Gesundheitswesen und im Energiebereich. Auch für Regierungen und den öffentlichen Dienst gilt diese Verpflichtung.

 

Das Ziel der internen Meldestelle

Das Hauptziel des Hinweisgeberschutzsystems ist es, Mitarbeitenden jederzeit die Möglichkeit zu geben, Verstöße zu melden – unabhängig davon, ob dies schriftlich, mündlich oder persönlich erfolgt. Dabei ist es von höchster Wichtigkeit, dass Meldungen vertraulich behandelt werden. Die Identität des Hinweisgebers sowie der in den Meldungen erwähnten Personen muss streng geschützt und vor unbefugter Offenlegung bewahrt werden. Arbeitgeber haben zudem die Option, ihre Meldekanäle für die Entgegennahme anonymer Meldungen einzurichten, falls dies gewünscht wird. Die Möglichkeit zur anonymen Meldung ist aber nicht gesetzlich vorgeschrieben.

Jede eingegangene Meldung muss sorgfältig dokumentiert werden. Nachdem ein Hinweis eingereicht wurde, ist es erforderlich, dass der Eingang der Meldung dem Hinweisgeber innerhalb von sieben Tagen bestätigt wird. Eine detaillierte Rückmeldung, einschließlich Informationen über eventuell ergriffene Maßnahmen, muss innerhalb von drei Monaten erfolgen. Dies stellt sicher, dass der Prozess transparent und reaktionsfähig bleibt.

Die gemeldeten Verstöße werden basierend auf den Informationen des Hinweisgebers untersucht. Nach der Untersuchung müssen geeignete Folgemaßnahmen ergriffen werden, um sicherzustellen, dass der gemeldete Verstoß angemessen behandelt wird. Während dieses Prozesses ist es wichtig, dass, sofern von der hinweisgebenden Person gewünscht, regelmäßiger Kontakt gehalten wird, um sie über den Fortschritt zu informieren.

Die interne Meldestelle ist dazu verpflichtet die hinweisgebende Person spätestens nach drei Monaten über die ergriffenen Maßnahmen zu informieren. Dies gewährleistet, dass die Person, die den Hinweis gegeben hat, über den Ausgang und die Konsequenzen ihrer Meldung informiert wird.

Diese Maßnahmen tragen dazu bei, dass der Prozess der Meldung von Verstößen sowohl effektiv als auch sicher ist und die Rechte der Hinweisgeber respektiert und geschützt werden.

 

Die Rolle des Datenschutzes

Beim Einrichten interner Hinweisgebersysteme ist es für Unternehmen essentiell, die datenschutzrechtlichen Bestimmungen zu berücksichtigen. Dies liegt daran, dass die Annahme von Hinweisen durch solche Systeme regelmäßig die Verarbeitung personenbezogener Daten mit sich bringt. Sollte die Meldung nicht anonym erfolgen, zählen zu diesen Daten Informationen über die Person, die den Hinweis gibt, detaillierte Beschreibungen des Sachverhalts einschließlich Angaben über Beschuldigte und andere beteiligte Personen, sowie Informationen, die aus unternehmensinternen Untersuchungen resultieren.

Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten ist dabei § 10 HinSchG.

Des Weiteren muss die Verarbeitung von Daten bei eingehenden Hinweisen im Einklang mit der DSGVO durch angemessene technische und organisatorische Sicherheitsmaßnahmen geschützt werden. Dies umfasst die Verschlüsselung von Meldeformularen gemäß aktuellem technologischem Standard sowie die Bereitstellung einer verschlüsselten Übertragung für E-Mails. Ferner ist der Zugang zu diesen Meldungen strikt zu kontrollieren und ausschließlich für autorisierte Personen der Meldestelle vorzusehen.

Nach einer Aufbewahrungsfrist von drei Jahren sollten die Inhalte der eingegangenen Meldungen gem. Art 17 Abs. 1 DSGVO gelöscht werden. Dies muss entsprechend im unternehmenseigenen Löschkonzept festgehalten und umgesetzt werden.

 

 

Fazit

Die Einhaltung des Hinweisgeberschutzgesetzes ist für Unternehmen von entscheidender Bedeutung. Verstöße gegen die wesentlichen Bestimmungen dieses Gesetzes werden als Ordnungswidrigkeit eingestuft. Je nach Art und Schwere des Verstoßes können Bußgelder von bis zu 50.000 Euro verhängt werden. Es ist also von größter Wichtigkeit, das Thema Whistleblowing ernst zu nehmen, insbesondere auch aus datenschutzrechtlicher Perspektive. Unternehmen sind verpflichtet, die Hinweisgeber zu schützen und gleichzeitig sichere Meldesysteme zu implementieren. Dies ist nicht nur eine gesetzliche Anforderung, sondern dient auch dazu, weiterhin von den wertvollen Beiträgen der Hinweisgeber profitieren zu können.

Neben dem Schutz der Hinweisgeber ist es ebenso wichtig, die erforderlichen Meldekanäle bereitzustellen. Das Nichtvorhandensein solcher Kanäle kann ebenfalls sanktioniert werden. Deshalb sollten Unternehmen diese Meldekanäle rechtzeitig einrichten und klare Prozesse für den Umgang mit eingehenden Meldungen etablieren. Das Hinweisgeberschutzgesetz ermöglicht es ausdrücklich, den internen Meldekanal durch einen qualifizierten externen Dienstleister betreiben zu lassen. Diese Option kann für Unternehmen eine praktikable Lösung sein, um den gesetzlichen Anforderungen nachzukommen und gleichzeitig die internen Ressourcen zu schonen.

Falls Sie Fragen zum Hinweisgeberschutz haben oder sich zu diesem Thema beraten lassen möchten, bieten wir Ihnen gerne unsere Unterstützung an. Eine fachkundige Beratung kann entscheidend sein, um sicherzustellen, dass Ihr Unternehmen die gesetzlichen Anforderungen erfüllt und gleichzeitig ein sicheres und unterstützendes Umfeld für Hinweisgeber schafft. Indem Sie die richtigen Schritte unternehmen, tragen Sie nicht nur zum Schutz der Hinweisgeber bei, sondern stärken auch die Integrität und das Vertrauen innerhalb Ihrer Organisation.

 

„>

Kontakt aufnehmen