Für Ihre
Stärke im
Wettbewerb
Behalten Sie
den Überblick
Ihr geistiges
Eigentum
zählt
Datenschutz
ist Chefsache
Erfolgsfaktor IT
Schutz der Privatsphäre
ist der Schlüssel zum Erfolg
Kern
Ihres Unternehmens
Wichtiges
im Fokus
Das Ziel
immer im Blick

Die SmartInsurtech AG aus Berlin wurde laut ihrer Presseerklärung vom 13.02.2023 Opfer eines Cyberangriffs. Dies hat gravierenden Folgen für die bei ihr angeschlossenen Versicherungsmakler. In vielen Fällen ist deren Geschäft vollständig zum Erliegen gekommen. Aus der Branche wurde berichtet, dass häufig nicht einmal eine Email Kommunikation mit Kunden möglich ist.

Neben diesen praktischen Schwierigkeiten ergeben sich für die Maklerunternehmen aber auch erhebliche datenschutzrechtliche Konsequenzen. Auch wenn sie selbst ihre Datenverarbeitung an SmartInsurtech ausgelagert haben, sind sie doch für die Sicherheit der Kundendaten verantwortlich. Besondere Relevanz hat dies bei Daten aus Kranken- oder Vermögensversicherungsverträgen.

Die Maklerunternehmen sind wegen ihrer Datenverantwortlichkeit verpflichtet, die mögliche Datenschutzverletzung bei ihrem Dienstleister gemäß Art. 33 DSGVO bei der zuständigen Aufsichtsbehörde anzuzeigen. Die Anzeige durch SmartInsurtech allein reicht nicht aus, da das Unternehmen als Auftragsverarbeiter einer eigenen Anzeige-Verpflichtung unterliegt.

Eine andere Frage ist, ob Makler auch verpflichtet sind, ihre Kunden von dem Cyberangriff zu informieren, gemäß Art. 34 DSGVO. Dies kann jetzt noch nicht abschließend beurteilt werden, weil noch keine Erkenntnisse zu einem Datenabfluss bei SmartInsurtech vorliegen. Laut SmartInsurtech soll dies bislang nicht der Fall sein.

Statt aufwändiger In-House-Schulungen bieten sich Online Seminare an.

Mit den Erfahrungen aus Praxis und Lehre stelle ich Ihnen heute meinen neuen Onlinekurs zum Datenschutzrecht vor. Im Vordergrund stand hierbei der Praxisbezug und die sichere Anwendung der DSGVO.

Schauen Sie gern herein und machen Sie sich einen Eindruck!

Vorsicht bei Verwendung von fremden Firmenbezeichnungen in der eigenen Website. Es drohen weitreichende Auskunfts- und Schadensersatzansprüche.

Der Fall

Firmenbezeichnungen genießen sehr häufig Schutz nach dem Markenrecht, auch wenn es sich auf den ersten Blick um gängige Bezeichnungen handelt. Darauf hat das Landgericht Köln in einer aktuellen Entscheidung (31 O 2/21) erneut hingewiesen und einen Unternehmer zu Auskunft und Vorlage von Bank- und Steuerunterlagen verurteilt. Dieser hatte nämlich in seine Website Metatags mit einer fremden Firmenbezeichnung integriert, um besser aufgefunden zu werden.

Die Entscheidung

Das Kölner Gericht hat den Unternehmer wegen vorsätzlicher und gewerbsmäßiger Markenverletzung zur Vorlage von Bank- und Steuerunterlagen sowie zum Schadensersatz verurteilt. Im Zuge des Prozesses kam heraus, dass die Zeichen schon über mehrere Jahre genutzt und erhebliche Umsätze damit erzielt wurden. Für die Höhe des Schadensersatzes sind Zeitdauer und Umsatz seit Verwendung entscheidend. In einer neueren Entscheidung hat der Bundesgerichtshof (Urteil vom 22.09.2021, Az. I ZR 20/21) darauf hingewiesen, dass bei der Verwendung einer fremden Marke zu Werbezwecken eine erhebliche prozentuale Beteiligung am gesamten Jahresumsatz fällig werden kann. Dies gilt selbst dann, wenn nicht nachweisbar ist, ob die Werbung überhaupt erfolgreich war oder nicht.

Das Fazit

Die Integration von Metatags mit fremden Bezeichnungen ist risikoreich und sollte wohl überlegt werden. Es besteht auch Jahre später noch die Gefahr, dass erhebliche Schadensersatzansprüche auf den Verwender zukommen. Darüber hinaus ist die Verletzung von fremden Marken im gewerblichen Umfeld strafbar. Ein vorsätzliches Handeln liegt bei der bewussten Integration von fremden Bezeichnungen nachweisbar vor.

Das Landgericht München billigt einem Betroffenen eines Identitätsdiebstahls einen Schmerzensgeldanspruch in Höhe von 2.500 EUR zu. Der Kläger kann daneben Schadensersatz fordern. (Urteil vom 9.12.2021, Az 31 O 16606/20)

Hintergrund der Entscheidung

Der Kläger war Kunde eines Finanzunternehmens und hatte diesem umfangreiche personenbezogene Daten zur Verfügung gestellt. Im Zuge des Postident-Verfahrens hatte er auch seinen Personalausweis abfotografiert und seine aktuelle Bankverbindung dem Unternehmen bekannt gegeben. Im Zuge mehrere unberechtigter Zugriffe auf die Datenbank des Finanzunternehmens waren auch die Daten des Klägers entwendet worden. Die näheren strafrechtlichen Ermittlungen zu dem Zugriff ergaben, dass das Unternehmen zwar über eine sichere IT-Landschaft verfügte. Der Angriff war aber erfolgreich, weil die maßgeblichen – und nicht veränderten – Zugangsdaten zum System noch bei einem früheren IT-Dienstleister des Finanzunternehmens vorhanden waren. Dieser Dienstleister war Opfer eines primären Hackerangriffs geworden. Im Zuge dieses Angriffs konnten als eine Art Beifang die Zugangsdaten zum System des Finanzunternehmens entwendet werden, so dass für die Angreifer nun ein Zugriff auf die Kernsysteme des Finanzunternehmens möglich war.

Identitätsdiebstahl

Das Gericht hat dem Kläger ein Schmerzensgeld für den Verlust seiner Identität zugesprochen. Es hat dazu festgestellt, dass das Finanzunternehmen fahrlässig agiert hat. Selbst wenn das Unternehmen über eine sichere IT-Landschaft verfügt habe, hätte es bei Beendigung der Beziehung zu dem früheren Dienstleister sich davon überzeugen müssen, dass die dortigen Zugangsdaten gelöscht worden seien. Auch sei fahrlässig, die Zugangsdaten nie abgeändert zu haben.

Fehlverhalten maßgeblich

Die Entscheidung ist deshalb von erheblicher Relevanz, weil das Gericht das angenommene Fehlverhaften des Finanzunternehmens mit in die Bemessung des fälligen Schmerzensgeldanspruchs einbezogen hat. Die Kammer beruft sich daher auch auf den Begründungstext zur DSGVO, wonach ein Schadensersatz/Schmerzensgeldanspruch auch eine abschreckende Wirkung haben müsse. Nur so sei eine effektive Durchsetzung des EU-Rechts möglich. Hier drängen sich gewisse Parallelen zu den aus dem US-Recht bekannten punitive damages auf.

Hohe Risiken für Datenverarbeiter

So folgerichtig die Argumentation des Gerichts ist, so gravierend dürften sich für datenverarbeitende Unternehmen zukünftig die finanziellen Risiken erhöhen. Im konkreten Fall steht zu befürchten, dass Daten von über tausenden von Kunden abgeflossen sind. Damit ergeben sich mögliche Ersatzforderungen in Millionenhöhe. Hinzu kommt, dass das Gericht neben dem Schmerzensgeld dem Grunde nach auch einen (materiellen) Schadenersatzanspruch des Klägers festgestellt hat. Hierunter dürften u.a. Kosten für Bemühungen fallen, die auf Eindämmung der Folgen des Identiätsdiebstahls durch spezialisierte Unternehmen gerichtet sind.

Maßnahmen zur Risikominimierung

Die Entscheidung zeigt, dass Unternehmen die in der DSGVO geforderten technischen und organisatorischen Maßnahmen zum Schutz der ihnen anvertrauten Personendaten beherzigen müssen. Nur durch nachweisbare und adäquate Schutzmaßnahmen lässt sich ein Schuldvorwurf wirksam entkräften. Dabei kommen insbesondere den geforderten organisatorischen (Schutz)Maßnahmen besondere Bedeutung zu. Dies zeigt sich gerade aus dem geschilderten Fall.

Die FAZ berichtet in ihrer Ausgabe vom 25.10.2021 zu einem Streitverfahren zwischen einem Verbraucher und der Schufa. Diese hat Potential, für weitreichende Konsequenzen zur Ermittlung von sog. Score Werten zu sorgen. Die Feststellung solcher Werte, die maßgeblich für die Kreditfähigkeit von Personen ist, bereitet immer wieder Probleme. Einerseits geht es um schützenswerte Betriebs- und Geschäftsgeheimnisse von Auskunfteien. Andererseits ist aber vollkommen intransparent ist, wie die Werte genau errechnet werden.

(mehr …)

Die FAZ beschäftigt sich mit der Frage des Dateneigentums und macht dabei einen Ausflug in die Welt der immateriellen Schutzrechte. Auf den ersten Blick drängt sich geradezu auf, personenbezogene Daten mit Urheber- oder Patentrechten zu vergleichen. In beiden Fällen liegen immaterielle Güter vor, die nicht greifbar und damit leicht verletzbar sind. Insofern besteht ein gleichartiges Schutzbedürfnis bei dem einzelnen Betroffenen.

(mehr …)

Der Bundesgerichtshof hat zwei Entscheidungen gefällt, die für Bauherren und sonst an öffentlich zugänglicher Kunst Interessierte, zukünftig von Bedeutung sein dürften. Konkret geht es um solche Kunstwerke, die beispielsweise in Bauwerke oder andere bauliche Einrichtungen integriert werden. Grobe Richtschnur war bislang, dass solche Werke gegen den Willen des Urhebers zwar nicht nachträglich verändert, aber grundsätzlich vom Eigentümer beseitigt werden dürfen.

(mehr …)

Nachdem bereits das Kartellamt in einem Beschluss Facebook seine Datensammelgrenzen aufgezeigt und auf dessen marktbeherrschende Stellung hingewiesen hat, konkretisieren sich nun Initiativen der Politik, das monopolartige und intransparente Bevorraten von Nutzerdaten einzuschränken. So sollen Anbieter verpflichtet werden, gesammelte Daten umfassend zur Verfügung zu stellen. Bereits in der DSGVO findet sich in Art. 20 eine Rechtsgrundlage dafür, beispielsweise von einem Social Media Anbieter die problemlose Übertragung „seiner“ Daten auf einen anderen Anbieter zu verlangen.

(mehr …)

Das Bundeskartellamt geht gegen Facebook vor und verbietet in einem Beschluss dem Netzwerk die Zusammenführung von Nutzerdaten aus verschiedenen Quellen.

Facebook solle hinsichtlich seiner aggregierten Nutzerdaten zu einer inneren Entflechtung verpflichtet werden. Gerade die Zusammenführung von Nutzerdaten und Daten außerhalb der Facebook-Welt ist dem Amt ein Dorn im Auge. Dies solle zukünftig eben nur mit einer freiwilligen Einwilligung zulässig sein, wobei diese sich im Nachhinein auch nicht als Zwangseinwilligung darstellen dürfe.

(mehr …)

Das Bundesverfassungsgericht hat heute Pressemitteilungen zu zwei Entscheidungen veröffentlicht, die eine Richtung in Sachen Kennzeichen Scan vorgeben dürften. Wie bekannt, gibt es seitens der Bundesregierung Überlegungen, zur Überwachung von Dieselfahrverboten flächendeckend automatisiert Autokennzeichen zu scannen und die jeweiligen Fahrer zu fotografieren, um einen Abgleich mit einem evt. Fahrverbot für den jeweiligen Autotyp durchzuführen. Problematisch ist dabei, dass letztlich jedes Kennzeichen erfasst werden muss, da nur so ein Abgleich mit den hinterlegten Daten möglich ist.

(mehr …)

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Datenschutzerklärung

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen