Skip to content

Datenschutz für Unternehmen - Vertretung in datenschutzrechtlichen Aufsichtsverfahren - Wir beraten Unternehmen bundesweit

Das Thema Datenschutz ist immer häufiger Gegenstand von rechtlichen Auseinandersetzungen. Dabei sind zahlreiche Rechtsfragen umstritten und die gesetzlichen Vorgaben wie beispielsweise durch die EU-Datenschutz-Grundverordnung in Bewegung. Die handwerklichen Missgeschicke des Gesetzgebers erschweren dabei zusätzlich für Unternehmen die datenschutzkonforme Umsetzung der rechtlichen Vorgaben.

Auch die Datenschutzbehörden der Länder gehen im Rahmen von datenschutzrechtlichen Aufsichtsverfahren zunehmend gegen Unternehmen vor. Die Themenfelder sind vielfältig. Neben dem Umgang mit personenbezogenen Daten, der Auftragsdatenverarbeitung, der Sicherheit von Websites, Analysetools und Social-Media-Plugins, sind oft auch interne Bereiche von Unternehmen betroffen. So sind etwa der Umgang mit Mitarbeiterdaten, die Videoüberwachung des Betriebsgeländes oder andere Überwachungsmaßnahmen der Mitarbeiter immer Auslöser von datenschutzrechtlichen Aufsichtsverfahren. Dabei drohen Untersagungsverfügungen und Ordnungsgelder.

Erfolgt eine Anhörung durch die zuständige Datenschutzbehörde, so gilt es für Unternehmen Ruhe zu bewahren. Nicht alle Forderungen der Datenschützer sind berechtigt. Dies gilt um so mehr, als je nach Bundesland unterschiedliche Tendenzen auszumachen sind. Jedenfalls empfiehlt es sich bereits im Anhörungsverfahren rechtliche fundiert vorzutragen, um rechtliche Schwierigkeiten zu verhindern oder Argumentationswege zu verbauen. Oft lässt sich eine einvernehmliche Regelung mit der Datenschutzbehörde erzielen.




BSI: Mindestens 1000 deutsche Online-Shops auf Magento-Basis von Online-Skimming betroffen - Sicherheitslücke in veralteter Version

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mitgeteilt, dass mindestens 1000 deutsche Online-Shops auf Magento-Basis von Online-Skimming betroffen sind. Ursache sind Sicherheitslücken in einer veralteten Version, die im Oktober 2016 bekanntgegeben wurden. Grundsätzlich ist der Betreiber eines Online-Shops verpflichtet alle zumutbare Maßnahmen zu ergreifen, um Schäden von seinen Kunden zu verhindern und die die gespeicherten personenbezogenen Daten zu schützen. Tut er dies nicht, so drohen Schadensersatzansprüche und Ordnungsgelder.


Online-Skimming: 1.000 deutsche Online-Shops betroffen

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen Informationen vor, nach denen aktuell mindestens 1.000 deutsche Online-Shops von Online-Skimming betroffen sind. Dabei nutzen Cyber-Kriminelle Sicherheitslücken in veralteten Versionen der Shopsoftware, um schädlichen Programmcode einzuschleusen. Dieser späht dann beim Bestellvorgang die Zahlungsinformationen der Kunden aus und übermittelt sie an die Täter. Betroffen sind Online-Shops, die auf der weit verbreiteten Software Magento basieren.

Der eingeschleuste Code und der damit verbundene Datenabfluss ist für Nutzer üblicherweise nicht erkennbar. Über den Umfang der über diese Angriffe bereits abgeflossenen Zahlungsdaten liegen dem BSI zur Zeit keine Erkenntnisse vor.

Basierend auf einer von einem Entwickler von Sicherheitstools für Magento durchgeführten Analyse wurden bereits im September 2016 weltweit knapp 6.000 von Online-Skimming betroffene Online-Shops identifiziert, darunter auch mehrere hundert Shops deutscher Betreiber. CERT-Bund benachrichtigte daraufhin die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops. Aktuellen Erkenntnissen zufolge wurde diese Infektion von vielen Betreibern bis heute nicht entfernt oder die Server wurden erneut kompromittiert. Die von den Angreifern ausgenutzten Sicherheitslücken in Magento wurden von den Shop-Betreibern trotz vorhandener Softwareupdates offenbar nicht geschlossen. Dies ermöglicht Cyber-Kriminellen, weiterhin Zahlungsdaten und andere bei Bestellungen eingegebene persönliche Daten von Kunden auszuspähen. Die Anzahl aktuell bekannter betroffener Online-Shops in Deutschland ist dadurch auf mindestens 1.000 angestiegen.

Das CERT-Bund des BSI hat heute erneut die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops in ihren Netzen informiert und bittet Provider, die Informationen an ihre Kunden (Shop-Betreiber) weiterzuleiten.

"Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten", erklärt BSI-Präsident Arne Schönbohm. "Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern."

Nach § 13 Absatz 7 TMG sind Betreiber von Online-Shops verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu ist das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates.

Das BSI weist an dieser Stelle darauf hin, dass die Verpflichtung zur Absicherung von Systemen nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites gilt. Darunter fallen zum Beispiel auch Websites von Privatpersonen oder Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Dies wird bereits dann angenommen, wenn auf Websites bezahlte Werbung in Form von Bannern platziert wird.

Betreiber von Online-Shops auf Basis von Magento können mit dem kostenfreien Dienst MageReport überprüfen, ob ihr Shop-System bekannte Sicherheitslücken aufweist und von den aktuellen Angriffen betroffen ist. Zu jedem erkannten Problem werden detaillierte Informationen zu dessen Behebung bereitgestellt.




BGH: Zum Ausgleichsanspruch des Komissionsagenten entsprechend § 89b HGB und zum Zugriff auf den Kundenstamm bei einem weitgehend anonymen stationären Massengeschäft

BGH
Urteil vom 21. Juli 2016
I ZR 229/15
HGB §§ 89b, 383 Abs. 1, § 384 Abs. 2, § 392 Abs. 1 und 2, § 396

Leitsätze des BGH:


a) Ein Vertrag ist als Kommissionsagenturvertrag zu qualifizieren, wenn ein Unternehmer einen anderen gegen Zahlung einer Provision damit beauftragt, ständig von ihm gelieferte, jedoch dem Beauftragten nicht übereignete Ware im eigenen Namen auf Rechnung des Unternehmers zu veräußern, und eine Abtretung der Forderungen aus der Veräußerung der Waren an den Unternehmer vereinbart ist.

b) Dem Kommissionsagenten steht bei Beendigung des Kommissionsagenturvertrags in entsprechender Anwendung von § 89b HGB ein Ausgleichsanspruch gegen den Kommittenten zu, wenn er in dessen Absatzorganisation eingebunden ist und ihm bei Beendigung des Vertragsverhältnisses den Kundenstamm zu überlassen hat.

c) Im weitgehend anonymen Massengeschäft in einem stationären Sonderpostenmarkt benötigt der Kommittent für eine Übernahme des Kundenstamms nicht in gleicher Weise wie beim Verkauf hochwertiger Wirtschaftsgüter den Zugang zu vollständigen Kundendaten. Betreibt der Kommissionsagent in von dem Kommittenten angemieteten Räumen einen
filialähnlich organisierten Markt und hat der Kommittent über ein von ihm vorinstalliertes Kassensystem ständigen Zugriff auf Informationen zu allen Verkaufsvorgängen und auf sämtliche von den Kunden im Rahmen des Bezahlvorgangs mitgeteilten personenbezogenen Daten, ist von einer faktischen Kontinuität des Kundenstamms auszugehen, wenn der Kommittent nach Beendigung des Kommissionsagenturverhältnisses den Markt unter derselben Geschäftsbezeichnung in denselben Geschäftsräumen weiterführen kann.

BGH, Urteil vom 21. Juli 2016 - I ZR 229/15 - OLG Oldenburg - LG Osnabrück

Den Volltext der Entscheidung finden Sie hier:

Vortrag als PDF - CeBIT-Vortrag - Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud - Ein Überblick über rechtliche Problemfelder

Wir möchten uns ganz herzlich bei den zahlreichen Zuhörern unseres Vortrags "Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud - Ein Überblick über rechtliche Problemfelder" auf der diesjährigen CeBIT am 16.03.2015 bedanken.

Unsere Vortragspräsentation können Sie hier als PDF-Datei downloaden: Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud - Ein Überblick über rechtliche Problemfelder.

Zudem finden Sie den Vortrag auch bei Slideshare: http://de.slideshare.net/marcusbeckmann1973



CeBIT-Vortrag von RA Beckmann - Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud - Ein Überblick über rechtliche Problemfelder - 16.03.2015

" Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud - Ein Überblick über rechtliche Problemfelder" lautet der Titel des Vortrags von Rechtsanwalt Marcus Beckmann am 16.03.2015 - 11.10 Uhr auf der CeBIT in Hannover Halle 5, Stand D04 ( Mittelstandslounge: „Digitalisierung von A-Z“).

Weitere Informationen zur Veranstaltung finden Sie auf den Seiten der Arbeitsgemeinschaft Informationstechnologie im Deutschen Anwaltverein (DAVIT) sowie auf der CeBIT-Seite .

Sie haben Interesse an einem persönlichen Gespräch auf der CeBIT ? Senden Sie uns einfach eine kurze Mail (info@beckmannundnorda.de) mit Ihren Terminvorschlägen. Rechtsanwalt Marcus Beckmann steht am 16.03.2015 gerne für ein persönliches Treffen zur Verfügung.