Legal Watch Nr. 76 – Oktober 2024.  

Cyberangriffe: ein erhöhtes Risiko und ein sich entwickelnder Rechtsrahmen.

 Die Zahl der Cyberangriffe auf Unternehmen oder öffentliche Einrichtungen in Frankreich ist in diesem Herbst unzählig.

Nach Boulanger, Cultura, Truffaut, Grosbill und SFR ist nun Free an der Reihe, Opfer eines größeren Cyberangriffs zu werden, und das, obwohl der Monat der Sensibilisierung für Cybersicherheit gerade zu Ende geht.

In einer E-Mail an seine Kunden teilte das Unternehmen mit, dass der Angriff zu unbefugtem Zugriff auf einige personenbezogene Daten von Kundenkonten geführt habe, darunter Anmeldedaten, Kontaktdaten, Vertragsdetails und in einigen Fällen die IBAN. Schätzungsweise sind mehr als 19 Millionen Kunden von dem Datenleck betroffen.

Free hat die CNIL und die ANSSI über die Datenschutzverletzung informiert.

Berücksichtigt man auch die groß angelegten Angriffe, die Anfang 2024 zwei große Drittanbieter-Zahlungsorganisationen und France Travail zum Ziel hatten, schätzen einige, dass heute die Daten von mehr als 40 Millionen Franzosen im Darknet zum Verkauf angeboten werden.

Der Anstieg dieser Angriffe hat die CNIL veranlasst, ein Informationsblatt zu veröffentlichen, um Betroffenen zu helfen, sich zu schützen.

Sie rät insbesondere dazu, die Aktivitäten auf dem Bankkonto zu überprüfen, wachsam gegenüber Identitätsdiebstahl und Phishing-Risiken zu sein, Passwörter zu ändern und Multi-Faktor-Authentifizierungsverfahren zu nutzen.

Bislang hat die CNIL, anders als ihre europäischen Pendants, selten Unternehmen sanktioniert, die Opfer von Cyberangriffen geworden waren, weil sie es versäumt hatten, Daten zu schützen.

Allerdings hat die Zentralbank das Krypto-Sicherheitsunternehmen Ledger gerade wegen unzureichenden Schutzes der Kundendaten sanktioniert.

Laut La Lettre, die die Geschichte am 23. Oktober als erste veröffentlichte, beläuft sich die verhängte Geldstrafe auf 750.000 Euro. Die CNIL hat diese Summe nicht bestätigt.

Das Unternehmen war im Jahr 2020 von mehreren Datenschutzverletzungen betroffen, die zahlreiche Kunden und Interessenten betrafen.

Den Bestimmungen der DSGVO werden nun neue Regeln hinzugefügt, die Datenverantwortliche dazu verpflichten, Daten zu sichern.

Dies sind die Verpflichtungen der europäischen NIS2-Richtlinie, die am 17. Oktober in Kraft trat.

Ziel dieser Richtlinie ist es, Bedrohungen für Netze und Informationssysteme, die wesentliche Dienste in Schlüsselsektoren erbringen, zu mindern, um die Sicherheit der Europäischen Union zu stärken.

Der Text erweitert seinen Anwendungsbereich gegenüber der NIS1-Richtlinie und zielt insbesondere auf die Infrastrukturen und Einrichtungen ab, die für das ordnungsgemäße Funktionieren der wirtschaftlichen und gesellschaftlichen Aktivitäten im Binnenmarkt unerlässlich sind: öffentliche Verwaltungen, Telekommunikationsinfrastrukturen, Informations- und Kommunikationsdienste, Anbieter digitaler Dienste, aber auch Sektoren der Lebensmittel- oder Chemieherstellung, des Gesundheitswesens oder der Abwasserbehandlung.

Die Anforderungen beziehen sich insbesondere auf Governance- und Cyber-Risikomanagementmaßnahmen, die Segmentierung der administrativen Informationssysteme, die Meldepflicht für jeden Vorfall und die Sicherheit der Lieferketten.

Die Richtlinie sieht, ähnlich wie die DSGVO, die Meldung von Vorfällen und die Verhängung von Geldstrafen vor.

Für die vollständige Einhaltung der Vorschriften ist ein Zeitraum von drei Jahren vorgesehen. Ein Mindestmaß an Maßnahmen muss jedoch schnellstmöglich umgesetzt werden, nämlich die Registrierung des regulierten Unternehmens bei der ANSSI auf dem Portal „monespaceNIS2“, die Meldung von Vorfällen und der Nachweis von Investitionen in Sicherheitslösungen.

Ungeachtet der Regeln und Sanktionen sollte man stets die menschlichen Folgen von Sicherheitsverstößen bedenken.

Genau das hat der britische Informationsbeauftragte (ICO) in einer Veröffentlichung vom 28. Oktober getan.

Die Behörde hebt in einer Warnung an die Verantwortlichen für die Datenverarbeitung die mitunter verheerenden Folgen von Datenschutzverletzungen hervor.

Sie erwähnt, dass bei 55 % der Erwachsenen in Großbritannien Daten verloren gegangen oder gestohlen worden sind, was fast 30 Millionen Menschen entspricht.

Die persönlichen und emotionalen Folgen dieser Situation werden allzu oft übersehen: 301.000 Opfer berichten von seelischer Belastung, während 25.000 von ihnen keine Hilfe von den zuständigen Organisationen erhalten.

Hinzu kommt, dass 32 % der Betroffenen davon durch die Medien und nicht durch die Organisation selbst erfahren, was ihr Gefühl des Verrats noch verstärkt.

Die ICO weist darauf hin, dass zu viele Organisationen den Schaden nicht vollständig erfassen und den Schutz personenbezogener Daten vernachlässigen.

„Wenn es zu einer Datenschutzverletzung kommt, handelt es sich nicht einfach um einen Verwaltungsfehler, sondern um ein Versagen beim Schutz von Personen.“

 

        

Am 26. September verhängte die CNIL (französische Datenschutzbehörde) gegen die Anbieter von Wahrsagediensten Cosmospace und Telemaque Geldstrafen in Höhe von 250.000 € bzw. 150.000 €, weil sie die ausdrückliche Einwilligung der betroffenen Personen nicht eingeholt hatten. vor der Verarbeitung sensibler Daten im Rahmen aufgezeichneter Beratungsgespräche.

Außerdem gab die Behörde bekannt, dass sie seit Juni 2024 elf neue vereinfachte Sanktionen erlassen hat, die Verstöße gegen die Bestimmungen zur übermäßigen Datenerhebung, zum Fehlen eines Registers, zur Missachtung der Rechte von Personen oder zur mangelnden Kooperation betreffen.

Schließlich forderte sie am 17. Oktober 2024 das Innenministerium und das Justizministerium auf, wegen deren mangelhafter Bearbeitung der Strafregisterakten Ordnung herzustellen.

Am 19. November veranstaltet die CNIL eine Veranstaltung zum Thema „Luft“, die sich mit Überwachung und ihren ethischen Implikationen befasst.

Die Debatten werden in Zusammenarbeit mit der Nationalen Kommission zur Kontrolle von Geheimdiensttechniken (CNCTR) organisiert.

Die Pariser Staatsanwaltschaft gab bekannt, dass am 18. Oktober 2024 im Rahmen eines Eurojust-Treffens die belgischen und französischen Justizbehörden ein gemeinsames Ermittlungsteam (JIT) für die Ermittlungen zu Telegram gebildet haben.

In Frankreich wurde im Februar 2024 eine Voruntersuchung eingeleitet, die zur Einleitung eines gerichtlichen Ermittlungsverfahrens und schließlich im Sommer zur Verhaftung von Pavel Durov führte.

Die Abteilung für Cyberkriminalität der Pariser Staatsanwaltschaft hatte zuvor verschiedene Staatsanwaltschaften und Ermittlungsdienste sowie ihre ausländischen Partner innerhalb von Eurojust zu den Schwierigkeiten bei der Beantwortung von Anfragen konsultiert.

Am 3. Oktober hob der Kassationsgerichtshof ein Urteil des Berufungsgerichts Caen auf und bekräftigte, dass ein Gericht den Grundsatz der Datenminimierung beachten muss, wenn es einen Arbeitgeber im Rahmen eines Zivilprozesses zur Vorlage von Beweismitteln für eine mögliche Lohndiskriminierung verpflichtet.

Die als Beweismittel angeforderten personenbezogenen Daten müssen auf das beschränkt sein, was für das Verfahren unbedingt erforderlich ist.

Am 22. Oktober reichte die Nichtregierungsorganisation Noyb bei der CNIL eine Beschwerde gegen die Social-Media-Plattform Pinterest ein..

Noyb weist darauf hin, dass die Plattform trotz eines Urteils des Gerichtshofs der Europäischen Union (EuGH) vom 4. Juli 2023, in dem diese Praxis verurteilt wurde, die personenbezogenen Daten der Nutzer ohne deren Einwilligung auf der Grundlage ihres berechtigten Interesses verwendet und das Tracking standardmäßig aktiviert.

Die Plattform wird außerdem dafür kritisiert, dass sie keine Informationen über die Drittparteien bereitstellt, mit denen sie Daten teilt.

 

Europäische Institutionen und Gremien

Die Europäische Kommission veröffentlichte am 9. Oktober den Bericht ihrer ersten Überprüfung des Angemessenheitsbeschlusses des Datenschutzrahmens (DSF) zwischen der EU und den Vereinigten Staaten.

Die Kommission kommt zu dem Schluss, dass die US-Behörden „alle Bestandteile des Rahmens umgesetzt haben“.

Dies umfasst die Umsetzung von Schutzmaßnahmen, um den Zugriff der US-Geheimdienste auf personenbezogene Daten auf das zur Wahrung der nationalen Sicherheit Notwendige und Verhältnismäßige zu beschränken, sowie die Einrichtung eines unabhängigen und unparteiischen Beschwerdemechanismus.

Der Bericht enthält Empfehlungen, um sicherzustellen, dass der Rahmen weiterhin effektiv funktioniert, wie beispielsweise die Entwicklung gemeinsamer Leitlinien zu wichtigen DPF-Anforderungen.

Während seiner Plenarsitzung am 8. und 9. Oktober verabschiedete der Europäische Datenschutzausschuss (EDPB) eine Stellungnahme zu Auftragsverarbeitern und Folgeauftragsverarbeitern sowie Leitlinien zum berechtigten Interesse. Eine Erklärung zu zusätzlichen Verfahrensregeln für die Anwendung der DSGVO und zum Arbeitsprogramm des Europäischen Datenschutzausschusses für den Zeitraum 2024-2025.

Am 4. November verabschiedete der Ausschuss außerdem seinen ersten Bericht über den EU-US-Datenschutzrahmen sowie eine Erklärung zum Zugang von Strafverfolgungsbehörden zu Daten.

Er würdigt die erzielten Fortschritte und ermutigt die US-Behörden, neue Leitlinien zu entwickeln, sowie die Europäische Kommission, den Beschwerdemechanismus für EU-Bürger zu überwachen.

In seinem Urteil C-507/23 vom 4. Oktober entschied der EuGH, dass eine Entschuldigung einen angemessenen Ausgleich für immaterielle Schäden gemäß Artikel 82 Absatz 1 DSGVO darstellen kann, insbesondere wenn eine Wiederherstellung des Zustands vor dem Schaden unmöglich ist, vorausgesetzt, dass diese Form des Ausgleichs geeignet ist, den der betroffenen Person entstandenen Schaden vollständig zu kompensieren.

 

Neuigkeiten aus den Mitgliedstaaten der Europäischen Union.

Die belgische Datenschutzbehörde (DPA) veröffentlichte am 9. Oktober online die Dokumente ihres Studientages zum Thema „intelligente Städte“.

Ziel war es, eine Diskussionsplattform zu schaffen, auf der die Beteiligten ihre Erfahrungen, bewährten Verfahren, Herausforderungen, Lösungen und Visionen für die Zukunft von „intelligenten Städten“ austauschen konnten.

Der Bericht über den Studientag, die Interventionen der Teilnehmer und Videosequenzen sind auf der APD-Website verfügbar.

In einer Entscheidung vom 11. Oktober bezüglich RTL Belgium erinnert die APD den Verantwortlichen für die Datenverarbeitung auch daran, dass er es den Besuchern seiner Website genauso einfach machen muss, die Platzierung von Cookies abzulehnen, wie sie zu akzeptieren; dies stellt eine konkrete Anwendung der Bedingungen für die Gültigkeit der Einwilligung dar.

Die APD billigt auch die Gestaltung der dem Besucher präsentierten Schaltflächen und verweist insbesondere auf die Arbeit des Europäischen Datenschutzausschusses zu diesem Thema.

In diesem speziellen Fall stach der leuchtend orangefarbene Button „Akzeptieren und schließen“ besonders aus dem restlichen Cookie-Banner hervor, und laut APD „ist dies der Button, auf den sich die Aufmerksamkeit der Nutzer hauptsächlich richten wird“.

Als Reaktion auf RTLs Argument der „künstlerischen Freiheit“ entgegnet die APD, dass „Die Verantwortlichen für die Datenverarbeitung müssen sicherstellen, dass die Verwendung einer Farbe die Nutzer nicht offensichtlich dazu verleitet, der Platzierung von Cookies in ihrem Browser zuzustimmen.“

Allerdings hindert nichts die Verantwortlichen für die Datenverarbeitung daran, eine Schaltflächenfarbe zu verwenden, die die Nutzer in ähnlicher Weise dazu ermutigen würde, die Platzierung von Cookies abzulehnen.

Zu beachten ist, dass die österreichische Datenschutzbehörde (APD) am 28. Oktober eine Entscheidung in gleicher Richtung im Zusammenhang mit dem öffentlich-rechtlichen Rundfunk Österreichischer Rundfunk getroffen hat: Sie ordnete an, dass das Unternehmen das Cookie-Banner auf seiner Website anpassen müsse, da die grafische Hervorhebung der Option „Alle Cookies akzeptieren“ die Einwilligung der betroffenen Person gemäß Artikel 6 Absatz 1 Buchstabe a DSGVO ungültig mache.

Diese beiden Fälle sind Teil einer Reihe von Beschwerden, die von der NGO Noyb in mehreren EU-Ländern eingereicht wurden, und weitere Entscheidungen in dieser Angelegenheit sind in Kürze zu erwarten.

Die irische Datenschutzbehörde (DPA) gab ihre endgültige Entscheidung am 24. Oktober nach einer LinkedIn-Umfrage bekannt.Die Untersuchung wurde eingeleitet, nachdem La Quadrature du net im Jahr 2018 eine Beschwerde bei der CNIL eingereicht hatte.

Im Mittelpunkt stand die Verarbeitung personenbezogener Daten durch LinkedIn zum Zwecke der Verhaltensanalyse und zielgerichteten Werbung für Nutzer. Es geht um die Rechtmäßigkeit, Fairness und Transparenz dieser Verarbeitung.

Die Entscheidung beinhaltet eine Rüge, die Anordnung an LinkedIn, seine Verarbeitungsprozesse den Vorschriften anzupassen, und Verwaltungsstrafen in Höhe von insgesamt 310 Millionen Euro.

Die italienische Datenschutzbehörde (APD) hat Postel SpA, Italiens größten Postdienstleister, mit einer Geldstrafe von 900.000 Euro belegt, weil das Unternehmen fast ein Jahr lang nicht auf eine bekannte und gemeldete Sicherheitslücke in seinen Systemen reagiert hat.Dadurch wurde ein Datenleck möglich: Im August 2023 wurde das Unternehmen Ziel eines Ransomware-Angriffs, der zur Blockierung seiner Server und einiger Arbeitsstationen führte.

Die im Darknet veröffentlichten Informationen betrafen Identifikations- und Kontaktdaten, Zahlungsdaten sowie Daten über strafrechtliche Verurteilungen und Straftaten, Gesundheitsdaten und die Offenlegung der Gewerkschaftszugehörigkeit.

Die niederländische Datenschutzbehörde (APD) gab am 23. Oktober bekannt, dass sie acht Ferienparks untersucht habe, die Gesichtserkennung für den Zugang zu Schwimmbädern und Spielplätzen einsetzen, und stellte fest, dass alle diese Parks gegen Datenschutzgesetze verstoßen, da es an Informationen und einer gültigen Einwilligung mangelte.

Auf Druck der APD änderten sieben der Parks ihre Datenverarbeitungsmethoden.

 

Eine Excel-Datei ermöglichte die Offenlegung der persönlichen Daten von 9.483 Beamten und Angestellten der nordirischen Polizei.

Auf zwei Anfragen nach Datenzugriff stellte die Polizei die Datei mit maskierten, aber nicht gelöschten Daten zur Verfügung. Da sie für das Datenleck verantwortlich gemacht wurde, verhängte die britische Datenschutzbehörde (DPA) eine Rekordstrafe von 900.000 € gegen die Polizei.

In einem ähnlichen Zusammenhang verhängte das ICO auch Sanktionen gegen den Stadtrat von Southend-on-Sea: Auf eine Anfrage nach Zugang zu Verwaltungsdokumenten übermittelte der Stadtrat eine Tabelle, die noch immer personenbezogene Daten enthielt.

Am Rande der internationalen Konferenz der Datenschutzbehörden verabschiedeten die Datenschutzbehörden aus 16 Jurisdiktionen, darunter Australien, Kanada, China, Spanien und das Vereinigte Königreich, eine gemeinsame Erklärung zu „Scraping“-Technologien.

Die Erklärung betont, dass Organisationen bei der Verwendung personenbezogener Daten, einschließlich Daten aus ihren eigenen Plattformen, zur Entwicklung großer KI-Sprachmodelle (LLMs) die Datenschutzgesetze einhalten müssen.

Die am 28. Oktober veröffentlichte Erklärung skizziert weitere Erwartungen, unter anderem, dass Organisationen:

• Sie setzen eine Kombination aus Sicherheitsvorkehrungen ein, überprüfen und aktualisieren diese regelmäßig, um mit den Fortschritten bei Web-Scraping-Techniken und -Technologien Schritt zu halten; und
• Sie gewährleisten, dass die autorisierte Datenentnahme für kommerzielle oder gesellschaftlich nützliche Zwecke in Übereinstimmung mit dem Gesetz und strengen vertraglichen Bedingungen erfolgt.

Mitte Oktober fand in Italien das G7-Treffen der Datenschutzbehörden statt, mit dem Ziel, die Zusammenarbeit zwischen den Behörden auf globaler Ebene zu stärken.

Es wurde eine Erklärung zur Rolle der Behörden verabschiedet, um sicherzustellen, dass KI verantwortungsvoll eingesetzt wird.

Es wurde außerdem eine Erklärung veröffentlicht, die die Bedeutung eines robusten Mechanismus für grenzüberschreitende Datenflüsse unterstreicht, der personenbezogene Daten weltweit schützt.

Am 20. Oktober veröffentlichte die australische Datenschutzbehörde (DPA) zwei Leitfäden zum Thema Datenschutz und künstliche Intelligenz:

• Ein Leitfaden zur Verwendung kommerziell erhältlicher KI-Produkte;
• Ein Leitfaden zur Entwicklung und zum Training generativer KI-Modelle.

Zu den wichtigsten Punkten des ersten Leitfadens zählt die APD Folgendes:

• Datenschutzbestimmungen gelten für alle personenbezogenen Daten, die in ein KI-System eingegeben werden, sowie für KI-generierte Ausgabedaten (sofern diese personenbezogene Daten enthalten).
• Werden KI-Systeme verwendet, um personenbezogene Daten, einschließlich Bilder, zu generieren oder abzuleiten, stellt dies eine Sammlung personenbezogener Daten dar, die den Datenschutzgrundsätzen entsprechen muss.

Als bewährte Vorgehensweise empfiehlt die APD, dass Organisationen keine personenbezogenen Daten, insbesondere keine sensiblen Daten, in öffentlich verfügbare generative KI-Tools eingeben, da damit erhebliche und komplexe Datenschutzrisiken verbunden sind.

Interne TikTok-Kommunikationen, die im Oktober veröffentlicht wurden, zeigten, dass das Unternehmen sich keine Sorgen über die schädlichen Auswirkungen der App auf amerikanische Teenager machte, obwohl eigene Untersuchungen zahlreiche Bedenken aufzeigten.

Diese vertraulichen Dokumente sind Teil einer mehr als zweijährigen Untersuchung, die von 14 Generalstaatsanwälten der Vereinigten Staaten durchgeführt wurde.

In der Klage wird behauptet, TikTok sei mit der ausdrücklichen Absicht entwickelt worden, junge Menschen von der App abhängig zu machen, und das Unternehmen habe die Öffentlichkeit über die damit verbundenen Risiken irregeführt.

Laut NPR, die Zugang zu den Dokumenten hatte, ermittelte TikTok die genaue Anzahl der Aufrufe (260), die erforderlich sind, damit eine Person mit hoher Wahrscheinlichkeit von der Plattform abhängig wird.

Laut staatlichen Ermittlern „möge dies zwar bedeutsam erscheinen, doch TikTok-Videos können nur 8 Sekunden lang sein und werden von den Zuschauern in schneller, automatischer Folge abgespielt. (...) Daher ist es wahrscheinlich, dass der durchschnittliche Nutzer in weniger als 35 Minuten von der Plattform abhängig wird.“

Das Internet Archive ist derzeit einer Welle von Cyberangriffen ausgesetzt.

Die erste Angriffsserie, die Mitte Oktober öffentlich wurde, bestand aus mehreren DDoS-Angriffen. Die Hacker gaben außerdem bekannt, dass sie Zugriff auf die Daten von 31 Millionen Nutzern erlangt hatten.

Ende Oktober wurde die Organisation erneut Opfer eines Einbruchs, diesmal in ihrer Zendesk-E-Mail-Support-Plattform, nachdem sie wiederholt vor dem Diebstahl von Authentifizierungstoken gewarnt worden war.