Für Ihre
Stärke im
Wettbewerb
Behalten Sie
den Überblick
Ihr geistiges
Eigentum
zählt
Datenschutz
ist Chefsache
Erfolgsfaktor IT
Schutz der Privatsphäre
ist der Schlüssel zum Erfolg
Kern
Ihres Unternehmens
Wichtiges
im Fokus
Das Ziel
immer im Blick

Die SmartInsurtech AG aus Berlin wurde laut ihrer Presseerklärung vom 13.02.2023 Opfer eines Cyberangriffs. Dies hat gravierenden Folgen für die bei ihr angeschlossenen Versicherungsmakler. In vielen Fällen ist deren Geschäft vollständig zum Erliegen gekommen. Aus der Branche wurde berichtet, dass häufig nicht einmal eine Email Kommunikation mit Kunden möglich ist.

Neben diesen praktischen Schwierigkeiten ergeben sich für die Maklerunternehmen aber auch erhebliche datenschutzrechtliche Konsequenzen. Auch wenn sie selbst ihre Datenverarbeitung an SmartInsurtech ausgelagert haben, sind sie doch für die Sicherheit der Kundendaten verantwortlich. Besondere Relevanz hat dies bei Daten aus Kranken- oder Vermögensversicherungsverträgen.

Die Maklerunternehmen sind wegen ihrer Datenverantwortlichkeit verpflichtet, die mögliche Datenschutzverletzung bei ihrem Dienstleister gemäß Art. 33 DSGVO bei der zuständigen Aufsichtsbehörde anzuzeigen. Die Anzeige durch SmartInsurtech allein reicht nicht aus, da das Unternehmen als Auftragsverarbeiter einer eigenen Anzeige-Verpflichtung unterliegt.

Eine andere Frage ist, ob Makler auch verpflichtet sind, ihre Kunden von dem Cyberangriff zu informieren, gemäß Art. 34 DSGVO. Dies kann jetzt noch nicht abschließend beurteilt werden, weil noch keine Erkenntnisse zu einem Datenabfluss bei SmartInsurtech vorliegen. Laut SmartInsurtech soll dies bislang nicht der Fall sein.

Statt aufwändiger In-House-Schulungen bieten sich Online Seminare an.

Mit den Erfahrungen aus Praxis und Lehre stelle ich Ihnen heute meinen neuen Onlinekurs zum Datenschutzrecht vor. Im Vordergrund stand hierbei der Praxisbezug und die sichere Anwendung der DSGVO.

Schauen Sie gern herein und machen Sie sich einen Eindruck!

Das Landgericht München billigt einem Betroffenen eines Identitätsdiebstahls einen Schmerzensgeldanspruch in Höhe von 2.500 EUR zu. Der Kläger kann daneben Schadensersatz fordern. (Urteil vom 9.12.2021, Az 31 O 16606/20)

Hintergrund der Entscheidung

Der Kläger war Kunde eines Finanzunternehmens und hatte diesem umfangreiche personenbezogene Daten zur Verfügung gestellt. Im Zuge des Postident-Verfahrens hatte er auch seinen Personalausweis abfotografiert und seine aktuelle Bankverbindung dem Unternehmen bekannt gegeben. Im Zuge mehrere unberechtigter Zugriffe auf die Datenbank des Finanzunternehmens waren auch die Daten des Klägers entwendet worden. Die näheren strafrechtlichen Ermittlungen zu dem Zugriff ergaben, dass das Unternehmen zwar über eine sichere IT-Landschaft verfügte. Der Angriff war aber erfolgreich, weil die maßgeblichen – und nicht veränderten – Zugangsdaten zum System noch bei einem früheren IT-Dienstleister des Finanzunternehmens vorhanden waren. Dieser Dienstleister war Opfer eines primären Hackerangriffs geworden. Im Zuge dieses Angriffs konnten als eine Art Beifang die Zugangsdaten zum System des Finanzunternehmens entwendet werden, so dass für die Angreifer nun ein Zugriff auf die Kernsysteme des Finanzunternehmens möglich war.

Identitätsdiebstahl

Das Gericht hat dem Kläger ein Schmerzensgeld für den Verlust seiner Identität zugesprochen. Es hat dazu festgestellt, dass das Finanzunternehmen fahrlässig agiert hat. Selbst wenn das Unternehmen über eine sichere IT-Landschaft verfügt habe, hätte es bei Beendigung der Beziehung zu dem früheren Dienstleister sich davon überzeugen müssen, dass die dortigen Zugangsdaten gelöscht worden seien. Auch sei fahrlässig, die Zugangsdaten nie abgeändert zu haben.

Fehlverhalten maßgeblich

Die Entscheidung ist deshalb von erheblicher Relevanz, weil das Gericht das angenommene Fehlverhaften des Finanzunternehmens mit in die Bemessung des fälligen Schmerzensgeldanspruchs einbezogen hat. Die Kammer beruft sich daher auch auf den Begründungstext zur DSGVO, wonach ein Schadensersatz/Schmerzensgeldanspruch auch eine abschreckende Wirkung haben müsse. Nur so sei eine effektive Durchsetzung des EU-Rechts möglich. Hier drängen sich gewisse Parallelen zu den aus dem US-Recht bekannten punitive damages auf.

Hohe Risiken für Datenverarbeiter

So folgerichtig die Argumentation des Gerichts ist, so gravierend dürften sich für datenverarbeitende Unternehmen zukünftig die finanziellen Risiken erhöhen. Im konkreten Fall steht zu befürchten, dass Daten von über tausenden von Kunden abgeflossen sind. Damit ergeben sich mögliche Ersatzforderungen in Millionenhöhe. Hinzu kommt, dass das Gericht neben dem Schmerzensgeld dem Grunde nach auch einen (materiellen) Schadenersatzanspruch des Klägers festgestellt hat. Hierunter dürften u.a. Kosten für Bemühungen fallen, die auf Eindämmung der Folgen des Identiätsdiebstahls durch spezialisierte Unternehmen gerichtet sind.

Maßnahmen zur Risikominimierung

Die Entscheidung zeigt, dass Unternehmen die in der DSGVO geforderten technischen und organisatorischen Maßnahmen zum Schutz der ihnen anvertrauten Personendaten beherzigen müssen. Nur durch nachweisbare und adäquate Schutzmaßnahmen lässt sich ein Schuldvorwurf wirksam entkräften. Dabei kommen insbesondere den geforderten organisatorischen (Schutz)Maßnahmen besondere Bedeutung zu. Dies zeigt sich gerade aus dem geschilderten Fall.

Die FAZ berichtet in ihrer Ausgabe vom 25.10.2021 zu einem Streitverfahren zwischen einem Verbraucher und der Schufa. Diese hat Potential, für weitreichende Konsequenzen zur Ermittlung von sog. Score Werten zu sorgen. Die Feststellung solcher Werte, die maßgeblich für die Kreditfähigkeit von Personen ist, bereitet immer wieder Probleme. Einerseits geht es um schützenswerte Betriebs- und Geschäftsgeheimnisse von Auskunfteien. Andererseits ist aber vollkommen intransparent ist, wie die Werte genau errechnet werden.

(mehr …)

Die FAZ beschäftigt sich mit der Frage des Dateneigentums und macht dabei einen Ausflug in die Welt der immateriellen Schutzrechte. Auf den ersten Blick drängt sich geradezu auf, personenbezogene Daten mit Urheber- oder Patentrechten zu vergleichen. In beiden Fällen liegen immaterielle Güter vor, die nicht greifbar und damit leicht verletzbar sind. Insofern besteht ein gleichartiges Schutzbedürfnis bei dem einzelnen Betroffenen.

(mehr …)

Nachdem bereits das Kartellamt in einem Beschluss Facebook seine Datensammelgrenzen aufgezeigt und auf dessen marktbeherrschende Stellung hingewiesen hat, konkretisieren sich nun Initiativen der Politik, das monopolartige und intransparente Bevorraten von Nutzerdaten einzuschränken. So sollen Anbieter verpflichtet werden, gesammelte Daten umfassend zur Verfügung zu stellen. Bereits in der DSGVO findet sich in Art. 20 eine Rechtsgrundlage dafür, beispielsweise von einem Social Media Anbieter die problemlose Übertragung „seiner“ Daten auf einen anderen Anbieter zu verlangen.

(mehr …)

Das Bundeskartellamt geht gegen Facebook vor und verbietet in einem Beschluss dem Netzwerk die Zusammenführung von Nutzerdaten aus verschiedenen Quellen.

Facebook solle hinsichtlich seiner aggregierten Nutzerdaten zu einer inneren Entflechtung verpflichtet werden. Gerade die Zusammenführung von Nutzerdaten und Daten außerhalb der Facebook-Welt ist dem Amt ein Dorn im Auge. Dies solle zukünftig eben nur mit einer freiwilligen Einwilligung zulässig sein, wobei diese sich im Nachhinein auch nicht als Zwangseinwilligung darstellen dürfe.

(mehr …)

Das Bundesverfassungsgericht hat heute Pressemitteilungen zu zwei Entscheidungen veröffentlicht, die eine Richtung in Sachen Kennzeichen Scan vorgeben dürften. Wie bekannt, gibt es seitens der Bundesregierung Überlegungen, zur Überwachung von Dieselfahrverboten flächendeckend automatisiert Autokennzeichen zu scannen und die jeweiligen Fahrer zu fotografieren, um einen Abgleich mit einem evt. Fahrverbot für den jeweiligen Autotyp durchzuführen. Problematisch ist dabei, dass letztlich jedes Kennzeichen erfasst werden muss, da nur so ein Abgleich mit den hinterlegten Daten möglich ist.

(mehr …)

Aufgrund der großen Resonanz nach den Veranstaltungen im Frühsommer hat die IHK Düsseldorf einen weiteren Vortragstermin zu den ersten Erfahrungen mit der DSGVO angesetzt. Im Rahmen der Veranstaltung geht es darum, die wesentlichen Grundlagen der DSGVO praxisgerecht darzustellen und erste Erkenntnisse mit den Teilnehmern zu diskutieren. Stichworte sind: Datenschutzaudit, Erstellung Verfahrensverzeichnisse, Einführung betrieblicher Datenschutz, Datenverarbeitung und berechtigte Interessen, Datenübertragung ins Ausland.

Nach der Veröffentlichung des Gesetzentwurfs zur Durchsetzung und Überwachung von Fahrverboten und einer breiten Reaktion hierauf hat das Ministerium für Verkehr und digitale Dienste nun reagiert und das ganze als Mißverständnis der Woche bezeichnet. Der Wortlauf des Gesetzes und dessen ausführliche Begründung waren eigentlich klar gefasst und konnten auch nicht grob missverstanden werden. Die geplante Legalisierung der fortlaufenden Überwachung scheint damit jedoch (zunächst) vom Tisch zu sein.

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Datenschutzerklärung

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen