Kategorie-Archiv:News

Neue Regelung zur Telefonwerbung ab 1.10.2021

Der Verkauf von Waren oder Dienstleistungen per Telefon stellt für den Angerufenen in den meisten Fällen eine besondere Belastung dar. Im Gegensatz zur E-Mail- oder Briefwerbung kann der Anruf nicht einfach in den (virtuellen) Papierkorb geschoben werden. Aus Höflichkeit oder, weil in einem ungünstigen Moment angerufen bzw. überrumpelt, legt der Angerufene nicht einfach auf.

Ergänzung des § 7 UWG

Um die Verbraucher zu schützen, verlangt der § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG) seit jeher, dass eine Einwilligung des Angerufenen in die telefonische werbliche Ansprache vorliegt. Andernfalls stellt der Werbeanruf eine unzumutbare Belästigung dar. Diese kann als Ordnungswidrigkeit ein Bußgeld von bis zu 300.000 Euro nach sich ziehen.

 

Diese Regelung wird ab dem 1.10.2021 flankiert durch § 7a UWG:

㤠7a UWG: Einwilligung in Telefonwerbung

(1) Wer mit einem Telefonanruf gegenüber einem Verbraucher wirbt, hat dessen vorherige ausdrückliche Einwilligung in die Telefonwerbung zum Zeitpunkt der Erteilung in angemessener Form zu dokumentieren und gemäß Absatz 2 Satz 1 aufzubewahren.

Finger weg vom Faxgerät – wegen Datenschutz

Das Faxgerät ist so etwas wie der Dinosaurier der modernen Nachrichtenübermittlung. Früher kam man als Behörde, Unternehmen oder Selbstständige nicht ohne aus. Heute ist es wegen alternativer Technologien wie der E-Mail oder diversen Kurznachrichtendiensten eigentlich obsolet.

Fax bei manchen nach wie vor beliebt

In manchen Behörden und Unternehmen – vor allem bei Gerichten und Rechtsanwälten – erfreut es sich dennoch immer noch großer Beliebtheit.

Sollte das in Ihrem Unternehmen auch der Fall sein, dann muss ich Sie heute warnen: Die Übermittlung per Fax ist keine datenschutzgerechte Art der Kommunikation, sofern dabei personenbezogene Daten übermittelt werden.

Fax-Technologie nicht mehr datenschutzkonform

Der Grund liegt in der Umstellung der Fax-Technologie. Früher funktionierte diese über Ende-zu-Ende-Telefonleitungen. Heute werden die Daten der Fax-Nachricht stattdessen auf einzelne Pakete verteilt und über den TCP/IP-Standard über das Internet versandt. Da dabei die Sicherheit und Vertraulichkeit nicht höher ist als in einer normalen E-Mail, eignet sich der Faxversand nicht für die Übermittlung von personenbezogenen Daten.

Ein weiterer Grund ist, dass nicht sichergestellt werden kann, wer das Fax am anderen Ende der Leitung in die Finger bekommt.

Hessischer Landesbeauftragter für den Datenschutz geht mit gutem Beispiel voran

Auf diese Umstände hat gerade auch noch einmal der oberste hessische Datenschutzbeauftragte Alexander Roßnagel aufmerksam gemacht, weshalb ich das Thema auch noch einmal aufgreife. Um mit gutem Beispiel voranzugehen, kommuniziert die hessische Datenschutzbehörde übrigens keine Faxnummern mehr nach außen.

Doch was sind nun sichere, alternative Methoden zum Fax? Nun, das sind beispielsweise inhaltsverschlüsselte E-Mails (PGP oder S/MIME), die bislang ein Schattendasein fristende DE-Mail oder Lösungen über Portale, auf denen die Kommunikationspartner verschlüsselte Nachrichten austauschen können.

Ihr altes Faxgerät können Sie jetzt auf jeden Fall guten Gewissens in die Tonne kloppen.

Corona-Impfnachweise durch Privatunternehmen

Heute möchten wir ihnen die Datenschutzrechtliche Aspekte bei der Verarbeitung von Corona-Impfnachweisen durch Privatunternehmen erläutern.

Auf vielen Ebenen wird derzeit diskutiert, ob Menschen mit Corona-Schutzimpfung Vorteile genießen dürfen. Kürzlich veröffentlichte der Deutsche Ethikrat hierzu seine Ad-hoc-Empfehlung. Einige Ladenbetreiber und Veranstalter denken darüber nach, eine Corona-Schutzimpfung zur Voraussetzung für die Inanspruchnahme ihrer Leistungen zu machen. Neben rechtlichen und ethischen Erwägungen, ob die Vertragsfreiheit Privatunternehmen ein solches Vorgehen ermöglichen sollte, stellt sich die Frage, ob ein solches Vorgehen datenschutzkonform wäre.

Umstand der (Nicht-)Impfung als Gesundheitsdatum

Machen Privatunternehmen Impfungen zur Zugangsvoraussetzung zu ihren Angeboten, müssen sie kontrollieren, ob die Kunden geimpft sind oder nicht. Dabei kommt es unweigerlich zur Verarbeitung personenbezogener Daten der Betroffenen. Eine solche Kontrolle könnte per händischer Prüfung oder per Scannen des Impfpasses mit technischen Hilfsmitteln durchgeführt werden. Da sich der Umstand der (Nicht-)Impfung einer Person auf deren Gesundheitszustand bezieht, wird es sich hierbei um „Gesundheitsdaten“ i.S.d. DSGVO handeln. Die Verarbeitung von Gesundheitsdaten ist nach der DSGVO an strenge rechtliche Voraussetzungen geknüpft.

Ausnahmen vom Verarbeitungsverbot

Die Verarbeitung von Gesundheitsdaten unterliegt einem Verbot mit Erlaubnisvorbehalt. Es gibt somit nur wenige Ausnahmetatbestände, die deren Verarbeitung überhaupt rechtfertigen können. Es wäre beispielsweise nicht möglich, die Verarbeitung damit zu rechtfertigen, dass sie für die Durchführung oder Anbahnung eines Vertrags mit einem Kunden erforderlich wäre. Obwohl die DSGVO eine solche Regelung für die Verarbeitung „normaler“ personenbezogener Daten kennt, greift sie für die Verarbeitung von Gesundheitsdaten nicht.

Im Fall von Impfkontrollen durch Privatunternehmen könnten etwa folgende Ausnahmetatbestände erwogen werden, um die Datenverarbeitung zu ermöglichen:

Die Datenverarbeitung könnte auf Grundlage von EU- oder nationalem Recht einem erheblichen öffentlichen Interesse dienen (Art. 9 Abs. 2 lit. g DSGVO, § 22 Abs. 1 Nr. 1 lit. d BDSG).

Die Abwehr von Epidemien oder Pandemien kann so ein öffentliches Interesse sein (vgl. ErwGr. 47 DSGVO). Es fehlt nach derzeitigem Stand aber an europäischen oder nationalen Regelungen, die eine Verarbeitung von Impfnachweisen durch Privatunternehmen zu diesem Zweck vorsehen. Unternehmen könnten sich ggf. auf die deutsche Generalklausel des § 22 Abs. 1 Nr. 1 lit. d BDSG stützen. Eine Verarbeitung ließe sich danach ggf. damit rechtfertigen, dass der Schutz der Kunden und Ladenbetreiber vor einer Covid-19-Infektion durch Impfkontrollen einem öffentlichen Interesse dient. Daran werden jedoch rechtlich hohe Anforderungen gestellt. So wäre im Rahmen einer Interessenabwägung zu klären, ob nicht auch mildere Mittel zur Verfügung stehen (z.B. Maskenpflicht und Abstandsregelungen). Es wäre ebenfalls zu klären, ob der Bezug zu öffentlichen Interessen dadurch beeinträchtigt wird, dass die Datenverarbeitung auch im wirtschaftlichen Eigeninteresse des Unternehmens liegen dürfte. Einen positiven Werbeeffekt solcher Maßnahmen im Vergleich zur Konkurrenz („Hier nur Geimpfte“) dürften sich Unternehmen zumindest erhoffen. Beide Aspekte würden gegen diesen Ausnahmetatbestand sprechen. Die Datenverarbeitung könnte öffentlichen Gesundheitsbelangen dienen, z.B. der Abwehr schwerwiegender grenzüberschreitender Gesundheitsgefahren, wie sie von einer Pandemie ausgehen dürften (vgl. ErwGr. 54 DSGVO) (Art. 9 Abs. 2 lit. i DSGVO, § 22 Abs. 1 Nr. 1 lit. c BDSG). Voraussetzung für eine solche Datenverarbeitung wäre jedoch ebenfalls eine europäische oder nationale Regelung, die eine Datenverarbeitung durch Private vorsieht. Ein solches Gesetz ist das Infektionsschutzgesetz. Dieses kennt tatsächlich Regelungen, die auch Privatunternehmen zur Verarbeitung von Gesundheitsdaten verpflichten. Bestimmte Einrichtungen und Unternehmen sind danach u.a. zur Meldung von Covid-19-Erkrankungen verpflichtet (vgl. § 6 Abs. 1 Nr. 1 lit. t, § 8 Abs. 1 Nr. 7 i.V.m. § 36 Abs. 1 Nr. 1-7, § 33 IfSG) oder müssen sich bestimmte Impfnachweise zeigen lassen (zu Lungentuberkulose, vgl. § 36 Nr. 4 IfSG). Allerdings sind solche Regelungen in Deutschland die absolute Ausnahme. Sie betreffen nur ganz bestimmte Unternehmen, z.B. Kindertageseinrichtungen und Pflegeheime. Auch wenn solch ein Instrument dem deutschen Gesetzgeber nicht unbekannt ist, erscheint es unwahrscheinlich, dass derartige Regelungen zur Ermöglichung einer Verarbeitung von Corona-Impfnachweisen durch Privatunternehmen eingeführt werden. Dies spricht eher dagegen, dass dieser Ausnahmetatbestand relevant werden könnte.

Die Datenverarbeitung könnte auf die Einwilligung der Betroffenen gestützt werden (Art. 9 Abs. 2 lit. a DSGVO). Für die Ausgestaltung einer solche Einwilligung gelten bestimmte Anforderungen. So muss bspw. explizit darauf hingewiesen werden, dass es mit der Einwilligung zu einer Verarbeitung der Gesundheitsdaten kommen soll. Problematisch könnte die erforderliche Freiwilligkeit der Einwilligung sein. Daran fehlt es, wenn die Betroffenen die Einwilligung nicht verweigern können, ohne erhebliche Nachteile zu erleiden. Gegen eine Wirksamkeit der Einwilligung unter diesem Aspekt könnte sprechen, dass die Betroffenen vor vollendete Tatsachen gestellt werden. Ohne Impfnachweis könnten sie die Leistungen des Unternehmens nicht in Anspruch nehmen. Zugunsten einer Wirksamkeit dürfte jedoch zu berücksichtigen sein, dass die Betroffenen – sofern überhaupt ausreichend vorhanden –  Alternativangebote anderer Unternehmen in Anspruch nehmen könnten, die keinen Impfnachweis verlangen. Zusammenfassend lässt sich festhalten, dass die Einwilligung der Kunden Privatunternehmen noch am wahrscheinlichsten eine Verarbeitung von Impfnachweisen ermöglichen könnte. Ob diese wirksam eingeholt werden kann, wäre jedoch stets im Einzelfall und in Abhängigkeit von Alternativangeboten anderer Privatunternehmen zu prüfen. So geht etwa die Landesbeauftragte für den Datenschutz und Informationsfreiheit Bremen davon aus, dass eine Impfdatenverarbeitung als „Eintrittskarte“ für Konzerte nicht auf eine Einwilligung gestützt werden kann.

Weitere Anforderungen der DSGVO

Sofern sich ein Anbieter auf einen wirksamen Ausnahmetatbestand zur Verarbeitung der Impfnachweise stützen kann, müssen auch die weiteren Anforderungen und Pflichten umgesetzt werden:

Die Betroffenen sind über die geplante Verarbeitung ihrer Daten ausreichend und im Vorfeld zu informieren.

Sofern bei der Datenverarbeitung externe Anbieter eingesetzt werden (z.B. zum Betrieb von Impfpass-Scannern), sind mit diesen entsprechende Datenschutzverträge abzuschließen.

Die Datenverarbeitung ist in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen.

Das Unternehmen muss zum Schutz der Daten angemessene technische und organisatorische Sicherheitsmaßnahmen treffen. Bei der Ausgestaltung solcher Maßnahmen sollte der Sensibilität der verarbeiteten Daten Rechnung getragen werden.

Je nach konkreter Ausgestaltung der Datenverarbeitung könnte die Durchführung einer Datenschutzfolgenabschätzung (DSFA) erforderlich werden. Dies ist immer dann erforderlich, wenn die Datenverarbeitung wahrscheinlich ein hohes Risiko für die Betroffenen birgt. Hierfür sind mehrere Kriterien von Relevanz, beispielsweise die Art der verarbeiteten Daten (z.B. besonders sensible Daten, wie Gesundheitsdaten), die Menge der verarbeiteten Daten, die Schutzwürdigkeit der Betroffenen (z.B. aufgrund eines Macht- oder sonstigen Ungleichgewichts), oder die Anwendung innovativer Technologien. Liegen mehr als zwei Kriterien vor, sollte eine DSFA durchgeführt werden.

Auch wird sich die Frage stellen, ob und wie lange die Daten überhaupt aufbewahrt werden könnten. Eine Impfkontrolle dürfte häufig in Echtzeit erfolgen und daher eigentlich keine längerfristige Datenspeicherung erfordern. Auch gibt es keine gesetzlichen Daten-Aufbewahrungspflichten. Während die Corona-Verordnungen der Bundesländer u.a. Veranstaltern und Restaurants eine Aufbewahrung von Kontaktdaten ihrer Kunden für mehrere Wochen ermöglichen (z.B. § 5 Abs. 2 S. 2 SARS-CoV-2-Infektionsschutzmaßnahmenverordnung Berlin), gibt es entsprechende Pflichten im Bereich von Impfnachweisen nicht. Ein Vorhalten der Daten dürfte damit eher schwierig werden. Sofern Betroffene in die Datenverarbeitung wirksam einwilligen, könnten sie allerdings – gestützt auf entsprechende Informationen – ggf. einer längere Speicherdauer zustimmen.

Fazit

Wollen Privatunternehmen von ihren Kunden Impfnachweise verlangen, sollten sie Vorsicht walten lassen. Die Thematik ist juristisch komplex. Allein mit Blick auf das Datenschutzrecht besteht die Schwierigkeit, eine wirksame Rechtsgrundlage für die Datenverarbeitung zu schaffen. Zudem müssen auch die weiteren Anforderungen der DSGVO erfüllt werden. Bei Verstößen gegen die DSGVO drohen im Einzelfall hohe Bußgelder (bis zu EUR 20 Mio. oder 4% des weltweit erzielten Jahresumsatzes).

Wenn Sie Fragen haben oder weitere Informationen benötigen, dann rufen Sie uns bitte an.

Hohes Bußgeld gegen WhatsApp

Bußgeld in Höhe von 225 Mio. EUR gegen das Unternehmen

Die DSGVO greift, besonders bei den großen Unternehmen werden harte Bußgelder ausgesprochen. WhatsApp war immer schon für die Europäischen Datenschützer ein Dorn im Auge. Nun hoffen wir auf angemessene Umsetzung der DSGVO bei WhatsApp!!!

Bußgeld Details

Empfänger: WhatsApp Ireland Ltd.

Datum (Veröffentl.) 02.09.2021

Bußgeld: 225.000.000 EUR

Land: Irland

Behörde:An Coimisiún um Chosaint Sonraí

Verletztes Recht:

  • Art. 5 Abs. 1 lit. a DSGVO
  • Art. 13 Abs. 1 lit. d DSGVO
  • Art. 13 Abs. 2 lit. e DSGVO
  • Art. 14 DSGVO
  • Art. 12 DSGVO

Vergehen          

Das Bußgeld steht mit umfassenden Ermittlungen gegen WhatsApp Ireland Ltd. im Zusammenhang, welche die irische Datenschutzbehörde DPC am 10. Dezember 2018 begonnen hatte. Die DPC hatte untersucht, ob das Unternehmen seinen Pflichten bzgl. der Bereitstellung und Transparenz von Informationen für Nutzer und Nichtnutzer des Messenger-Dienstes WhatsApp nachgekommen ist. Besonderes Augenmerk der Behörde galt dabei Informationen bzgl. der Übermittlung personenbezogener Daten zwischen WhatsApp und anderen Unternehmen, welche zum Facebook-Konzern gehörten.

Im Dezember 2020 legte die DPC allen beteiligten Aufsichtsbehörden einen Entscheidungsentwurf gemäß Artikel 60 DSGVO vor. Dagegen legten acht Aufsichtsbehörden Widerspruch ein. Da die DPC mit diesen keine Einigung erzielen konnte, leitete sie am 3. Juni 2021 ein Streitbeilegungsverfahren gemäß Artikel 65 DSGVO ein. Am 28. Juli 2021 traf der Europäische Datenschutzausschuss (EDPB) eine verbindliche Entscheidung in der Sache. Die Entscheidung enthielt eine klare Anweisung, welche die Datenschutzbehörde dazu aufforderte, die Bußgeldhöhe auf der Grundlage einer Reihe von Faktoren, die in der Entscheidung des EDPB enthalten waren, neu zu bewerten und zu erhöhen.

Ausgehend hiervon verhängte die irische Datenschutzbehörde aufgrund eines Verstoßes gegen den Grundsatz der Rechtmäßigkeit und Transparenz sowie der WhatsApp obliegenden Informationspflichten ein Bußgeld in Höhe von 225 Mio. EUR gegen das Unternehmen. Dieses setzt sich zusammen aus 90.000.000 EUR wegen eines Verstoßes gegen Art. 5 Abs. 1 lit. a DSGVO, 30.000.000 EUR wegen eines Verstoßes gegen Art. 12 DSGVO, 30.000.000 EUR wegen Verstößen gegen Art. 13 DSGVO und aus 75.000.000 EUR wegen eines Verstoßes gegen Art. 14 DSGVO.

Daneben sprach die DPC ferner eine Verwarnung aus und ordnete WhatsApp an, seine Verarbeitung durch eine Reihe spezifischer Abhilfemaßnahmen in Einklang mit den Vorschriften zu bringen.

Achtung! Angreifer suchen aktiv nach neuer Lücke im Exchange Server!

Admins sollten ihre Exchange Server zügig aktualisieren. Nachdem Forscher einen neuen Angriff vorgestellt haben, probieren Angreifer ihn offenbar gezielt aus.

Microsoft Exchange Server ist ein beliebtes Angriffsziel für IT-Kriminelle. Der Mailserver ist weit verbreitet in Unternehmen und Behörden und immer wieder Einfallstor in deren Netze. In der vergangenen Woche stellte der Sicherheitsforscher Orange Tsai auf der Konferenz Black Hat 2021 neue Angriffe auf die Software vor. Nur wenige Tage später wird offenbar gezielt nach der Lücke gesucht, wie Betreiber von Honeypots beschreiben. Admins sollten die Server umgehend mit allen bereitstehenden Updates versorgen. Einige Updates sind schon vor Monaten erschienen und schließen die Lücken.

Mehrere Probleme musste Orange Tsai kombinieren, wie er in seinem Vortrag beschreibt, um als unauthentifizierter Nutzer von außen Zugriff zu bekommen und sich mit mehr Rechten auszustatten. Die Schwachstelle lag im Client Access Service (CAS) von Exchange. Der wickelt eingehenden Verkehr für verschiedene Protokolle ab. Das offene Tor war die Autodiscover-Funktion. Über die Autodiscover-Datei rufen Mail-Clients bei der Einrichtung Details zum Server ab und ersparen dem Nutzer so, Serveradresse, Port und weitere Details abzutippen.

Gleich drei CVE-Nummern gab es für die Probleme, die unter dem Namen ProxyShell in die Geschichte eingehen (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Repariert wurden sie von Microsoft im April und Mai mit KB5001779 und KB5003435. Die ersten beiden Lücken hat Microsoft schon gepatcht, bevor Tsai sie gemeldet hat. Microsoft muss also auch auf anderem Weg davon erfahren haben. Wer seitdem seine Server, die am Internet hängen, seitdem nicht gepatcht hat, muss das zügig nachholen.

Bitte leiten sie die Email gerne an die IT Abteilung weiter…………

US-CERT und Microsoft warnen

US-CERT und Microsoft warnen

Das US-CERT hat inzwischen eine Sicherheitswarnung herausgegeben, die die Details zusammenfasst. Ab Windows 10 1809 wird der BUILTIN\Users-Gruppe demnach die Lese-Ausführungsberechtigung (RX) folgenden Dateien zugewiesen:

c:\Windows\System32\config\sam

c:\Windows\System32\config\system

c:\Windows\System32\config\security

Sind Volumen-Schattenkopien des Systemlaufwerks verfügbar, kann ein nicht privilegierter lokaler Benutzer den Zugriff auf diese Dateien beispielsweise für folgendes nutzen:

  • Extrahieren und Ausnutzen von Kontokennwort-Hashes mit Tools wie mimikatz für Pass-the-Hash-Angriffe
  • Das ursprüngliche Windows-Installationspasswort herausfinden
  • DPAPI-Computerschlüssel, die zur Entschlüsselung aller privaten Computerschlüssel verwendet werden können, erlangen
  • Ein Computerkonto eines lokalen Administrators für einen Silver-Ticket-Angriff übernehmen

Benjamin Deply demonstriert in einem Video aus diesem Tweet einige der sich abzeichnenden Möglichkeiten. Auf einigen Systemen fehlen zwar die benötigten VSS-Schattenkopien. Wird ein Systemlaufwerk größer als 128 GB für ein Windows-Upgrade verwendet, erstellt Windows automatisch eine VSS-Schattenkopie.

Der Befehl:

vssadmin list shadows

ausgeführt aus einer administrativen Eingabeaufforderung, zeigt diese Volumenschattenkopien an. Microsoft hat mittlerweile auch eine erste Beschreibung der Schwachstelle mit dem Bezeichner CVE-2021-36934 veröffentlicht. Diese bestätigt die fehlerhaften Zugriffsrechte in den Access Control Lists (ACLs) mehrerer Systemdateien, einschließlich der Security Accounts Manager Datenbank (SAM).

Workarounds für die Schwachstelle

Von Microsoft gibt es bisher keine Hinweise zur Beseitigung der Schwachstelle. Man könnte zwar die Schattenkopien löschen beziehungsweise abschalten, verliert dadurch aber die Möglichkeit, beschädigte Hives wiederherzustellen. Vom US-CERT gibt es in der entsprechenden Sicherheitswarnung den Vorschlag, die Zugriffsberechtigungen für die Gruppe Users durch die nachfolgenden Befehle, ausgeführt in einer administrativen Eingabeaufforderung, zu entziehen.

Bitte leiten Sie die Information an ihren IT Bereich weiter.

Schadcode-Lücke in Windows bedroht ganze Netzwerke

Schadcode-Lücke in Windows bedroht ganze Netzwerke

Angreifer könnten viele Windows-Versionen attackieren und kompromittieren. Bislang gibt es keinen Patch. Admins müssen Systeme mit einem Workaround absichern.

Derzeit ist Exploit-Code in Umlauf, der an einer bislang ungepatchten Sicherheitslücke in vielen Windows-Versionen ansetzt. Ein Sicherheitsupdate ist bislang nicht verfügbar. Es gibt aber einen Workaround, über den Admins Systeme vor Attacken schützen können. Ob es bereits Attacken gibt, ist bislang nicht bekannt.

Schadcode mit System-Rechten ausführen

Das Problem findet sich im Printer-Spooler-Service von Windows. Dem derzeitigen Informationsstand zufolge sind davon alle Versionen von Windows 7 SP1 bis Server 2019 betroffen. Verschiedene Sicherheitsforscher geben an, vollständig gepatchte Systeme mit Windows Server 2019 erfolgreich attackiert zu haben.

Als Ergebnis konnten sie Schadcode mit System-Rechten ausführen. Passiert das auf einem Domain-Server, könnten Angreifer sich im Netzwerk ausbreiten und weitere Computer mit Malware infizieren. Einem Bericht des CERT der Carnegie Mellon University zufolge muss ein entfernter Angreifer für eine erfolgreiche Attacke aber authentifiziert sein.

Ist das gegeben, könnte er an der verwundbaren RpcAddPrinterDriverEx()-Funktion des Windows-Print-Spooler-Service ansetzen und dem Betriebssystem einen mit Schadcode präparierten Treiber unterschieben.

Diese wird dann mit System-Rechten ausgeführt.

Wie kam es dazu?

Am Patchday im Juni hat Microsoft eine ähnliche Sicherheitslücke (CVE-2021-1675, „hoch“) in Printer Spooler geschlossen.

Für die neue Schwachstelle existiert bislang noch keine CVE-Nummer und Einstufung des Bedrohungsgrads.

Sicherheitsforscher sprechen von einem kritischen Bug.

Das Problem ist, dass Forscher von Sangfor versehentlich Exploit-Code für die neue Lücke veröffentlicht haben.

Das geschah im Zuge der Vorbereitungen für einen Vortrag über Printer-Spooler-Bugs auf der anstehenden Hacker-Konferenz Black Hat im August 2021.

Erst nach der Veröffentlichung stellte sich heraus, dass der Code gar nicht für die bereits geschlossene Lücke ist, sondern für eine neue Schwachstelle.

Doch da war es bereits zu spät und der Zero-Day-Exploit kursiert im Netz.

Was ist jetzt zu tun?

Bislang hat Microsoft keinen Sicherheitspatch angekündigt.

Es ist davon auszugehen, dass das Update erst am Patchday (13. Juli) kommen wird.

Bis dahin sollten Admins den Print-Spooler-Service deaktivieren, um Systeme gegen die geschilderte Attacke abzusichern.

Kinderbilder im Internet nur mit Einwilligung

Kinderbilder im Internet nur mit Einwilligung

  • Wer darf Kinderfotos im Internet veröffentlichen und verbreiten?

Kinderbilder auf Facebook oder im Internet ist ein sehr umstrittenes Thema. Die einen können die Aufregung nicht verstehen und posten munter Bilder ihrer Kleinen im Minutentakt und die anderen wettern gegen jegliche Veröffentlichung von Kinderfotos mit missionarischem Eifer.

  • Wo liegt das Problem bei der Veröffentlichung von Kinderfotos?

Zunächst muss man sich immer die Frage stellen, ob das Kind selbst überhaupt mit der Verbreitung des ihn zeigenden Bildes einverstanden ist. Was manche Eltern süß oder lustig finden, kann für das Kind nur peinlich sein. Solche Bilder sind dann häufig ein gefundenes Fressen für die Klassenkameraden, was bis zu Mobbingattacken führen kann. Wollen Sie ernsthaft der Auslöser für solche Attacken sein? Ein anderes Problem ist, dass insbesondere Bilder von heranwachsenden Teenagern missbraucht werden. Plötzlich findet sich der oder die abgebildete Jugendliche auf irgendwelchen dubiosen Websites wieder, die bspw. sexy Teenager promoten. Solche Seiten und Bilder ziehen dann auch noch Pädophile an, die dann ein leichtes Spiel haben, mit den Kindern in Kontakt zu treten. Daher sollte man sich immer die Frage stellen, muss es wirklich sein, dass ich Bilder meiner Kinder öffentlich, für jeden einsehbar, in sozialen Netzwerken oder dem Internet veröffentliche und verbreite. Reicht es nicht aus, diese maximal in einem überschaubaren geschlossenen Nutzerkreis zu präsentieren?

Wenn die Bilder erst mal im Internet veröffentlicht sind, verliert man ganz schnell die Kontrolle über die Bilder.

  • Wer darf Kinderbilder veröffentlichen?

Auch Kinder haben ein Persönlichkeitsrecht. Genau wie bei Erwachsenen, dürfen keine Bilder von Kindern veröffentlicht und verbreitete werden, für die keine Einwilligung vorliegen. Grundsätzlich muss mindestens ein Teil der sorgeberechtigten Eltern zur Veröffentlichung und Verbreitung eines Kinderfotos einwilligen. Sind sich beide sorgeberechtigten Elternteile über die Veröffentlichung eines oder mehrerer Bilder ihrer Kinder nicht einig, muss gegebenenfalls das Familiengericht über die Veröffentlichung entscheiden. Liegt das Sorgerecht ausschließlich bei einem Elternteil, darf der andere Elternteil Bilder seines Kindes nicht ohne die Einwilligung des sorgeberechtigten Elternteils veröffentlichen. Das Recht über die nach § 22 KUG erforderliche Einwilligung zu entscheiden, liegt gemäß §§ 1626, 1626 a Abs. 2, 1627, 1629 BGB ausschließlich bei dem allein sorgeberechtigten Elternteil.  Auch Verwandte, wie Großeltern, Tanten, etc. müssen die Einwilligung der Sorgeberechtigten Eltern einholen, wenn sie Bilder von deren Kind veröffentlichen und verbreiten wollen. Dessen sind sich scheinbar viele Facebook-Nutzer nicht bewusst.

Anspruch auf Unterlassung bei ungenehmigter Veröffentlichung und Verbreitung

Das abgebildete Kind und die sorgeberechtigten Eltern haben gegenüber der Person, die das Bild des Kindes ohne Einwilligung der Eltern veröffentlicht hat, einen Anspruch auf Unterlassung gem. §§ 1004 Abs.1 S. 2BGB i.V.m. §§ 823 Abs. 2 BGB, 22, 23 KUG.

  • Benötigt man für die Veröffentlichung und Verbreitung des Bildes auch die Einwilligung des abgebildeten Kindes?

Je nach Alter und Einsichtsfähigkeit, bedarf es zur Veröffentlichung und Verbreitung von Kinderfotos neben der Einwilligung der sorgeberechtigten Eltern auch die Einwilligung des abgebildeten Kindes. Die notwendige Einsichtsfähigkeit des Kindes liegt dann vor, wenn dieses in der Lage ist, die Bedeutung und Tragweite seiner Einwilligung zu überblicken. In der Regel geht man davon aus, dass spätestens ab der Vollendung des 14. Lebensjahres von einer solchen Einsichtsfähigkeit ausgegangen werden kann. In diesen Fällen dürfen auch die sorgeberechtigten Eltern nur dann Bilder, auf denen ihre Kinder abgebildet sind, im Internet veröffentlichen und verbreiten, sofern die Kinder damit einverstanden sind.

Kitas, Kindergärten, Schulen und sonstige private oder öffentliche Einrichtungen benötigen ebenfalls eine Einwilligung

Egal ob Einzelbilder oder Gruppen- und Klassenbilder, auch Kitas Kindergärten und Schulen benötigen die Einwilligung der sorgeberechtigten Eltern, wenn Bilder von deren Kinder veröffentlicht oder verbreitet werden sollen. Dies ist auch bei Gruppen und Klassenfotos der Fall, auch wenn auf diesen Bildern teilweise über 30 Kinder abgebildet sind. Solche Klassen Bilder und Gruppenfotos fallen nicht unter die Ausnahme des § 23 Abs. 1 Nr. 3 KunstUrhG.

Fazit

Bilder von minderjährigen Kindern dürfen nur dann veröffentlicht und verbreitet werden, wenn die Einwilligung der sorgeberechtigten Eltern vorliegen. Ab einer gewissen Einsichtsfähigkeit des abgebildeten Kindes, in der Regel spätestens mit der Vollendung des 14. Lebensjahres, bedarf es neben der Einwilligung der sorgeberechtigten Eltern auch noch die Einwilligung des abgebildeten Kindes selbst. Werden Bilder von minderjährigen Kindern ohne die erforderliche Einwilligung bspw. bei Facebook eingestellt, kann dies eine kostenpflichtige Abmahnung zur Folge haben. Sollte es sich sogar um Bilder handeln, die das abgebildete Kind in einer besonders peinlichen Situation zeigen, kann neben Anspruch auf Unterlassung auch ein Anspruch auf Geldentschädigung bestehen.

Des Weiteren muss man sich bewusst sein, dass eine ungenehmigte Veröffentlichung und Verbreitung nicht nur zivilrechtliche Folgen, sondern auf Antrag (§33 KUG) sogar strafrechtliche Folgen haben.

An die sorgeberechtigten Eltern oder sonstige sorgeberechtigten Personen kann man nur appellieren, Bilder seiner Kinder nur mit sehr viel Vorsicht und bedacht zu veröffentlichen. Bestenfalls sollten diese Bilder nur einem engen geschlossenen Nutzerkreis zur Verfügung gestellt werden.

Datenschutzkonforme WhatsApp-Alternativen

Wie wir ja wissen dürfen aus Datenschutzgründen Unternehmen Whatsapp nicht mehr verwenden.

Ein Überblick über DSGVO-konforme Messenger-Alternativen für die schnelle Kommunikation via Smartphone habe wir hier aufgeführt. Wenn Mitarbeiter zur firmeninternen Kommunikation oder zur Kommunikation mit Kunden Whatsapp benutzen, dann ist das spätestens seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) rechtlich heikel. Doch welche datenschutzkonformen Whatsapp-Alternativen gibt es für die schnelle, mobile Kommunikation? Ein Überblick über allgemeine Messenger-Dienste, die Datenschutz ernst nehmen, und solche, die speziell auf Unternehmen ausgerichtet sind.

Threema

  • Vorteile: Der Messenger-Dienst ist in der Schweiz ansässig und im Gegensatz zu anderen Apps nicht an eine Handynummer gekoppelt. Stattdessen erstellt Threema einen zufällig generierten Code – die Threema-ID. Man kann Threema nutzen, ohne der App Zugriff auf das Adressbuch zu geben.
  • Wer auf den praktischen Adressbuch-Upload nicht verzichten will, kann Threema Zugriff auf seine Kontakte geben. Dann funktioniert der Messenger wie Whatsapp – mit einem wichtigen Unterschied: Threema lädt die Nummern nicht auf seine Server, sondern erstellt aus ihnen einen sogenannten „Hash“. Das ist eine zufällige Nummernfolge, mit der sich zwar abgleichen lässt, ob Freunde den Dienst nutzen, die aber nicht die Telefonnummer selbst ist. So überträgt man keine Daten von anderen an das Unternehmen und ist datenschutzrechtlich aus dem Schneider.
  • Bei Threema ist die gesamte Kommunikation verschlüsselt und mit Threema Work gibt es auch eine Lösung, die speziell auf Unternehmen zugeschnitten ist.
  • Kosten: Android-Nutzer zahlen einmalig 2,99 Euro, im iTunes Store kostet die Threema-App 3,49 Euro. Für Threema Work zahlt man pro Nutzer und Monat je nach Leistungsumfang zwischen 1,40 CHF und 1,90 CHF.

Hoccer

  • Vorteile: Wurde von der Stiftung Warentest 2015 zum Testsieger der Messenger-Dienste gekürt. Der seit 2009 bestehende Dienst aus Deutschland legt das Augenmerk auf den Datenschutz: Sämtliche Informationen werden verschlüsselt an deutsche Server übermittelt und anschließend umgehend gelöscht. Nutzer müssen keine Telefonnummer angeben und der Dienst fordert keinen Zugriff auf das Adressbuch. Allerdings muss deshalb jeder Kontakt über die sogenannte Hoccer-ID zum Messenger hinzugefügt werden.
  • Kosten: Hoccer kann gratis für Android und iOS-Geräte heruntergeladen werden.

Signal

  • Vorteile: Signal kommt aus den USA und hat Server in mehreren Ländern. Eine gemeinnützige Stiftung hat den Dienst entwickelt und betreibt ihn. Die App verlangt eine Handynummer, damit man sich anmelden kann, und möchte gerne auf das Adressbuch des Smartphones zugreifen. Allerdings werden beim Abgleich des Adressbuches alle Kontakte anonymisiert und nach dem Abgleich wieder von den Servern gelöscht.
  • Signal arbeitet außerdem an einem Verfahren, das verhindert, dass Serverbetreiber Einblick in übertragene Kontaktdaten bekommen. Das könnte möglicherweise das Datenschutz-Problem aller Anbieter lösen. Zudem gilt das Verschlüsselungsprotokoll der App als „Goldstandard“ in der Kryptoszene.
  • Kosten: Signal ist kostenlos für Android und iOS sowie für den Windows-Desktop.

Wire

  • Vorteile: Das Unternehmen hinter Wire sitzt in der Schweiz und hat Server in Deutschland und Irland. Der Messenger-Dienst funktioniert nicht nur auf Smartphones und Tablets, sondern auch auf Desktop-Geräten und bietet auch die Möglichkeit, über VoIP zu telefonieren. Wire bündelt somit Funktionen, für die man sonst zwei Programme benötigt. Zur Anmeldung muss man eine E-Mail-Adresse angeben.
  • Die gesamte Kommunikation wird verschlüsselt; Wire kann sie nicht entschlüsseln: Die erforderlichen Schlüssel befinden sich ausschließlich auf den Geräten der Gesprächspartner. Mit Wire kann man auch Nachrichten versenden, die sich nach einer bestimmten Zeit selbst zerstören. Neben der Basisversion gibt es auch Wire Teams speziell für die Unternehmenskommunikation.
  • Kosten: Wire ist kostenlos für iOS, Windows- und Android-Geräte. Wire Teams kostet ab 5 Euro pro Monat und Nutzer.

Ginlo

  • Vorteile: Der Instant Messenger ginlo war früher bekannt unter dem Namen SIMSme. Die Server stehen in Deutschland und die Kommunikation darüber ist Ende-zu-Ende verschlüsselt, Dritte können nicht mitlesen. ginlo ist DSGVO-konform. Besonders wichtige Nachrichten oder Bilder kann man mit einer Selbstzerstörungsfunktion versehen. Anrufe sind allerdings nicht möglich.
  • Mit ginlo Business gibt es auch eine Version speziell für Unternehmen, die auch auf Desktop-Geräten läuft. Sie wird unter anderem von den Volkswagen Financial Services und dem Bayerischen Landkreistag genutzt.
  • Kosten: ginlo ist kostenlos für Android- und iOS-Geräte erhältlich. Die Business-Variante kostet 3 Euro pro Nutzer und Monat bei einer Mindestlaufzeit von einem Jahr.

Beekeeper

  • Vorteile: Die Messenger App eines Züricher Start-ups richtet sich gezielt an Unternehmen und soll es ermöglichen, insbesondere Mitarbeiter ohne PC-Arbeitsplatz und geschäftliche E-Mail-Adresse in die Unternehmenskommunikation miteinzubeziehen. Mit der App lässt sich jedes Teammitglied über mobile Endgeräte, den Desktop oder TV-Bildschirme verbinden. Mit Beekeeper kann man außerdem sehr einfach Mitarbeiterbefragungen machen.
  • Die App, die von Unternehmen wie Media Markt, Leonardo Hotels und Globus genutzt wird, ist DSGVO-konform.
  • Kosten: Je nach Version kostet Beekeeper ab 90 Euro pro Monat für 20 Nutzer, jeder weitere Nutzer kostet 4,50 Euro pro Monat.

Teamwire

  • Vorteile: Teamwire ist ein deutscher Instant-Messenger-Dienst, den vor allem Behörden und Organisationen mit Sicherheitsaufgaben nutzen. Der Dienst, der WhatsApp stark ähnelt, ist für iOS, Android und Windows verfügbar und funktioniert sowohl auf mobilen als auch auf Desktop-Geräten.  Alle Nachrichten werden verschlüsselt versendet, die Nutzerdaten anonymisiert. Adressdaten speichert Teamwire nicht und verarbeitet und Nachrichten speichert die App ausschließlich in deutschen Rechenzentren. Teamwire ist DSGVO-konform.
  • Kosten: Je nach Paket kostet Teamwire zwischen 1,50 Euro pro Endgerät im Monat und 4 Euro pro Nutzer im Monat.

Urheberrechtsreform: Bundestag stimmt für Upload-Filter und Leistungsschutzrecht

Urheberrechtsreform: Bundestag stimmt für Upload-Filter und Leistungsschutzrecht

Der Bundestag hat den Entwurf zur Urheberrechtsnovelle beschlossen. Inhalte-Schnipsel bleiben lizenzierungsfrei, Rechteinhaber erhalten einen Sperrknopf.

Nach einer hitzigen Aussprache hat der Bundestag am Donnerstag die seit Monaten umstrittene Urheberrechtsreform mit den Stimmen der großen Koalition verabschiedet. Kern der Initiative ist ein neues „Urheberrechts-Diensteanbieter-Gesetz“ (UrhDaG).

Damit wollen die Abgeordneten Upload-Plattformen wie YouTube, Facebook und Twitter stärker in die Pflicht nehmen und Artikel 17 der EU-Urheberrechtsrichtlinie umsetzen, was in diesem Fall ohne Upload-Filter nicht geht. AfD, FDP und die Linke lehnten das Vorhaben ab, die Grünen enthielten sich.

Konzept der urheberrechtlich „mutmaßlich erlaubten Nutzungen“

Zum Schutz der Kunstfreiheit und der sozialen Kommunikation erlaubt der Gesetzgeber von August an die Nutzung urheberrechtlich geschützter Werke insbesondere zu den Zwecken von Zitat, Karikatur, Parodie und Pastiche.

Um unverhältnismäßige Blockaden entsprechender Uploads beim Einsatz automatisierter Verfahren zu vermeiden, sind besondere Regeln für die öffentliche Wiedergabe vorgesehen.

Das Parlament führt dazu das Konzept der urheberrechtlich „mutmaßlich erlaubten Nutzungen“ auf Online-Plattformen ein. Damit sollen User Inhalte im geringfügigen Maß als legal kennzeichnen können, damit sie nicht direkt durch Upload-Filter blockiert werden.

Ausnahmen und gesetzlich erlaubte Nutzungen

Die Ausnahme vom exklusiven Verwertungsrecht für solche Schnipsel aus Video-, Audio- und Textmaterial für nichtkommerzielle Zwecke umfasst 15 Sekunden je eines Filmwerks oder Laufbilds und einer Tonspur, 160 Zeichen eines Texts sowie 125 Kilobyte je eines Fotos oder einer Grafik. Die Klausel erstreckt sich auf nutzergenerierte Inhalte, die weniger als die Hälfte eines Werkes von Dritten enthalten, und grundsätzlich zulässige Auszüge zu den genannten Zwecken „mit anderem Inhalt kombinieren“. Die im Netz beliebten Memes sowie etwa Remixe, Fan Art und gesampelte Mini-Stücke sollen unter diesen Bedingungen weiterhin veröffentlicht und verbreitet werden können.

Für gesetzlich erlaubte Nutzungen von Karikaturen, Parodien und Pastiches müssen Diensteanbieter eine Vergütung zahlen. Zitate oder die Veröffentlichung von Bildern, die unter die Panoramafreiheit fallen, bleiben auch beim Verbreiten über Upload-Plattformen abgabenfrei. Eine entsprechende Änderung am Regierungsentwurf setzte Schwarz-Rot durch, um der Kritik aus Zivilgesellschaft und Rechtswissenschaft Rechnung zu tragen.

„Roter Knopf“ zum unverzüglichen Blockieren

Maßnahmen wie der Einsatz von Filtern sollen laut der Novelle nicht dazu führen, dass von Nutzern hochgeladene Inhalte, die unter die Bagatellausnahmen fallen oder bei denen sonst kein Verstoß gegen das Urheberrecht vorliegt, nicht verfügbar sind.

Dafür wird ein Beschwerdeverfahren eingeführt.

Rechteinhaber erhalten aber einen „roten Knopf“ zum unverzüglichen Blockieren insbesondere von „Premiuminhalten“. Damit soll der Schaden in Grenzen gehalten werden, wenn ein Nutzer fälschlicherweise behauptet, dass ein Upload rechtlich zulässig sei.

Eine Beschwerde gegen eine Sperre ist nicht möglich bei Nutzungen von Filmwerken oder Laufbildern bis zum Abschluss ihrer erstmaligen öffentlichen Wiedergabe, insbesondere während Live-Streams von Sportveranstaltungen.

Voraussetzung ist, dass der Rechtsinhaber eine Blockade vom Anbieter verlangt und die hierfür erforderlichen technischen Angaben macht. Andererseits sind YouTube & Co. während laufender Beschwerdeverfahren nicht für die Wiedergabe mutmaßlich erlaubter Nutzungen verantwortlich.

Sie haften hier nur bei schuldhaften Pflichtverstößen auf Schadensersatz.

Wissenschaftliche Forschungen zu Upload-Filtern

Welche Folgen Upload-Filter haben, sollen Experten ausloten können. Diensteanbieter müssen ihnen „zum Zweck der wissenschaftlichen Forschung Zugang zu Daten über den Einsatz von Verfahren zur automatisierten und nicht automatisierten Erkennung und Blockierung von Inhalten“ geben, soweit überwiegende schutzwürdige Interessen des Betreibers dem nicht entgegenstehen. Dieser hat „Anspruch auf Erstattung der hierdurch entstehenden Kosten in angemessener Höhe“.