„Cyber Resilience Act“ (CRA) offiziell im Amtsblatt der Europäischen Union veröffentlicht

[datensicherheit.de, 20.11.2024] Laut einer Meldung des eco – Verband der Internetwirtschaft e.V. vom 20. November 2024 wurde der „Cyber Resilience Act“ (CRA / EU-Verordnung 2024/2847) an diesem Tag offiziell im Amtsblatt der Europäischen Union (EU) veröffentlicht, womit der Countdown für die Umsetzung der IT-Sicherheitsvorschriften begonnen habe. Der CRA lege horizontale Cyber-Sicherheitsanforderungen für Produkte mit digitalen Elementen in der EU fest, um weit verbreitete Sicherheitslücken und inkonsistente Sicherheitsupdates anzugehen.

Foto: eco e.V.

Prof. Dr. Norbert Pohlmann: Der CRA hat das Potenzial, Europa als Vorreiter in der Cyber-Sicherheit zu positionieren und langfristig globale Standards für vernetzte Geräte zu setzen

CRA erste europäische Verordnung, welche Mindestmaß an Cyber-Sicherheit für alle vernetzten Produkte festlegt

Prof. Dr. Norbert Pohlmann, eco-Vorstand für „IT-Sicherheit“, kommentiert: „Mit dem CRA geht die EU einen wichtigen Schritt für die Verbesserung der Cybe-Ssicherheit in einer zunehmend vernetzen digitalen Welt. Denn der CRA hat das Potenzial, Europa als Vorreiter in der Cyber-Sicherheit zu positionieren und langfristig globale Standards für vernetzte Geräte zu setzen – insbesondere in Bezug auf IoT-Anwendungen.“ Dies sei nicht nur ein Gewinn für die Sicherheit von Endgeräten, sondern auch für die Stabilität unserer digitalen Infrastrukturen insgesamt.

Damit sei der „Cyber Resilience Act“ die erste europäische Verordnung, welche ein Mindestmaß an Cyber-Sicherheit für alle vernetzten Produkte festlege, „die auf dem EU-Markt in den Verkehr gebracht werden“. Begrüßenswert sei laut Pohlmann zunächst, dass der CRA die Verantwortlichkeiten klar zuweise: „Hersteller werden stärker in die Pflicht genommen, Cyber-Sicherheitsanforderungen nicht nur bei der Entwicklung, sondern über den gesamten Lebenszyklus ihrer Produkte hinweg zu erfüllen. Dieser Ansatz ist ein entscheidender Schritt, um die Resilienz und das Vertrauen in digitale Produkte nachhaltig zu stärken.“

eco: CRA-Umsetzung sollte Handhabbarkeit der Regelungen in der Praxis sicherstellen und unnötige Bürokratie vermeiden

„Auch die gefundene Lösung für Open-Source-Technologien stellt einen Kompromiss dar, der Sicherheitsanforderungen und Innovationsförderung zusammenbringt. Dennoch müssen wir die Umsetzung weiterhin kritisch und konstruktiv begleiten, um sicherzustellen, dass Open-Source-Projekte nicht durch übermäßige Anforderungen beeinträchtigt werden“, unterstreicht Professor Pohlmann. Gleichzeitig sei die feingliedrige Systematik des CRA, insbesondere die Unterscheidung in vier Risikokategorien, mit gemischten Gefühlen zu sehen:

„Während diese Differenzierung für mehr Klarheit sorgt, könnte sie für kleinere Unternehmen und andere Akteure im Markt zu komplex sein. Hier wird es darauf ankommen, die Handhabbarkeit der Regelungen in der Praxis sicherzustellen und unnötige Bürokratie zu vermeiden.“ Insgesamt sei der CRA indes ein wichtiger Meilenstein für die Stärkung der Cyber-Sicherheit in Europa. Der eco-Verband werde sich aktiv dafür einsetzen, „dass die Verordnung ihre Ziele erreicht und dabei praktikable Lösungen für alle Marktteilnehmer entwickelt werden“, so Professor Pohlmann abschließend.

Weitere Informationen zum Thema:

EUR-Lex Der Zugang zum EU-Recht, 20.11.2024
Dokument 32024R2847 / Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung) (Text von Bedeutung für den EWR)

datensicherheit.de, 24.10.2024
CRA-Verabschiedung ein Paradigmenwechsel für die Produkt-Cyber-Sicherheit / CRA erzwingt, vernetzte Produkte über gesamten Lebenszyklus hinweg mit neuen Updates zu versehen

datensicherheit.de, 18.10.2024
Cyber Resilience Act der EU (CRA): Verabschiedung und Konsequenzen für Unternehmen / Suzanne Button kommentiert Bedeutung des CRA für europäische Unternehmen und unterstreicht Handlungsbedarf

datensicherheit.de, 11.10.2024
Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung / Fraunhofer IEM empfiehlt drei Sofortmaßnahmen für Unternehmen

[datensicherheit.de, 18.11.2024] Die Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH hat am 17. November 2024 Stellung zu einem aktuellen Hacker-Angriff auf den Stromanbieter Tibber genommen, bei dem Daten von über 50.000 deutschen Kunden offengelegt worden sein sollen. Die betreffenden Datensätze würden laut Medienberichten seit dem 11. November 2024 im sogenannten Darknet zum Verkauf angeboten. Unter anderem hätten Cyber-Kriminelle Namen, E-Mail-Adressen, Bestellbeträge und teilweise unvollständige Adressdaten der Tibber-Kunden entwendet. „Auch wenn das Unternehmen Tibber betont, dass keine Zahlungs- oder Verbrauchsdaten betroffen sind, hat der Vorfall erhebliche Unsicherheiten bei den Betroffenen ausgelöst.“ Die Verbraucherkanzlei Dr. Stoll & Sauer bietet Tibber-Kunden nach eigenen Angaben rechtliche Unterstützung, um mögliche Ansprüche auf Schadensersatz prüfen zu lassen.

Tibber-Bestätigung: Betroffene Daten stammen aus dem Tibber-Shop

Die Kanzlei Dr. Stoll & Sauer fasst die bisherigen Erkenntnisse zusammen:

• Am 11. November 2024 seien gestohlene Datensätze im Darknet aufgetaucht. Tibber habe bestätigte, dass diese Daten aus dem Tibber-Shop stammten.
• Tibber habe in seinem Online-Shop Smart-Energy-Hardware verkauft, darunter den Strom-Tracker „Pulse“.
• Laut Tibber seien keine Zahlungs- oder Verbrauchsdaten, Passwörter oder vollständige Adressen entwendet worden.
• Die Hacker behaupteten, 243.000 Datenzeilen gestohlen zu haben. Tibber gehe hingegen von 50.000 betroffenen Kunden aus. Diese Diskrepanz könnte auf Mehrfachnennungen oder die Aufteilung von Daten in mehrere Zeilen zurückzuführen sein.
• Tibber habe den Vorfall bei der Berliner Polizei angezeigt und die betroffenen Kunden informiert. Interne und externe Experten sowie Behörden arbeiteten an der Aufklärung des Vorfalls und an Verbesserungsmaßnahmen.

Dr. Stoll & Sauer empfiehlt möglicherweise vom Tibber-Datenleck betroffenen Verbrauchern kostenlose Erstberatung via Datenleck-Online-Check

Die Chancen auf Schadensersatz seien enorm gestiegen: Der Bundesgerichtshof (BGH) habe sich am 11. November 2024 eindeutig verbraucherfreundlich zum „facebook“-Datenleck positioniert (Az.: VI ZR 10/24). Dr. Stoll & Sauer empfiehlt daher Verbrauchern, die möglicherweise vom Tibber-Datenleck betroffen sind, eine kostenlose Erstberatung über den Datenleck-Online-Check.

Die Kanzlei prüfe dort die mögliche Betroffenheit und die rechtlichen Optionen zur Geltendmachung von Schadensersatzansprüchen. Die Kanzlei habe vor Landgerichten mehrfach Schadensersatzansprüche aufgrund des „facebook“-Datenlecks geltend gemacht. Weitere Informationen zum Thema „Datenleck“ seien auf der Website der Kanzlei zu finden (s.u.).

Behörden über Tibber-Datenleck informiert – Ermittlungen laufen

„Kaum ein Tag vergeht, ohne dass ein neues Datenleck bekannt wird. Nun reiht sich auch der Stromanbieter Tibber in die Liste der betroffenen Unternehmen ein.“ Tibber, bekannt für seine dynamischen Strompreise, biete „Ökostrom“ für Kunden in Nordeuropa und Deutschland an. Mit den an den Börsenpreis gekoppelten Stromtarifen sollten Haushalte durch „smarte“ Technik Geld sparen können.

Seit dem 11. November 2024 stehe in einem beliebten Darknet-Forum ein Datensatz mit dem Titel „Tibber Data Breach – Leaked, Download“ bereit. Einige Beispielzeilen enthalten demnach Name, E-Mail-Adresse, Bestellbetrag und unvollständige Adressdaten.

Tibber-Vorfall nicht auf die leichte Schulter nehmen – BGH erleichtert Durchsetzung von Schadensersatz

Betroffene eines Datenlecks sollten den Vorfall bei Tibber nicht auf die leichte Schulter nehmen: „Neben einer möglichen Spam-Welle könnten personenbezogene Daten wie Name, Adresse, E-Mail-Adresse, Bankdaten und Passwörter im Darknet verkauft und für kriminelle Aktivitäten genutzt werden.“ Dies könne bis zum Identitätsdiebstahl führen, bei dem Kriminelle im Namen der Opfer Geschäfte tätigten.

Was dies für Tibber-Kunden bedeutet bzw. welche Rechte Verbraucher haben:

Auskunftsanspruch gemäß Art. 15 DSGVO
Nutzer könnten von Tibber verlangen, Auskunft darüber zu erhalten, ob sie vom Datenleck betroffen sind. Sollte Tibber keine oder eine unvollständige Auskunft erteilen, könne dies bereits einen Schadensersatzanspruch nach Art. 82 DSGVO begründen.

BGH stärkt Verbraucherrechte
Der BGH habe am 11. November 2024 klargestellt, dass der reine Kontrollverlust über personenbezogene Daten bereits einen Schaden nach der DSGVO darstelle. Dies erleichtere die Durchsetzung von Schadensersatzansprüchen erheblich.

Keine zusätzlichen Nachweise erforderlich
Nach der Rechtsprechung des BGH seien weitere Nachweise über Ängste oder Befürchtungen nicht zwingend erforderlich, auch wenn solche Nachweise den Schadensersatz erhöhen könnten.

Erleichterungen für Betroffene
Mit der erwarteten BGH-Entscheidung vom 18. November 2024 werde es Verbrauchern künftig noch einfacher gemacht, immateriellen Schadensersatz bei Datenschutzverletzungen geltend zu machen.

Präzedenzfall „facebook“-Datenleck
Dieses zeige exemplarisch, wie Kontrollverluste über personenbezogene Daten Schadensersatzansprüche nach der DSGVO auslösen könnten – eine Entwicklung, die auch für Tibber-Betroffene relevant sei.

Weitere Informationen zum Thema:

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Kostenlose Erstberatung direkt online abrufen

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Verbraucher haben bei Datenlecks Anspruch auf Schadensersatz / Massive Datenlecks im Internet – Wir verhelfen Ihnen zu Ihrem Recht

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH, 11.11.2024
Oberstes Gericht in erster Einschätzung auf Seiten der Facebook-User / Facebook-Datenleck: BGH stellt Ansprüche der Verbraucher auf Schadensersatz in Aussicht

heise online, Dr. Christopher Kunz, 13.11.2024
Stromanbieter Tibber gehackt, 50.000 deutsche Kunden betroffen / Tibber bestätigt, dass Hacker eingedrungen sind und Kundendaten an sich gebracht haben. Im Darknet werden diese nun verkauft.

[datensicherheit.de, 15.11.2024] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat in einer aktuellen Stellungnahme Ergebnisse einer branchenweiten Schwerpunktprüfung im Forderungsmanagement gemeldet: „Obwohl Löschfristen abgelaufen waren, hat ein Hamburger Dienstleister aus der Forderungsmanagement-Branche Datensätze mit personenbezogenen Daten ohne Rechtsgrundlage bis zu fünf Jahre lang aufbewahrt.“ Diese Ordnungswidrigkeit hat der HmbBfDI demnach mit einem Bußgeld in Höhe von 900.000 Euro geahndet.

Der HmbBfDI hat marktstarke Unternehmen aus dem Forderungsmanagement geprüft

Aufgefallen sei dieser Verstoß, „weil der HmbBfDI im Rahmen einer Schwerpunktprüfung marktstarke Unternehmen aus dem Forderungsmanagement geprüft hatte“. Hamburg sei in diesem Sektor ein europaweit führender Standort. Die verarbeiteten Daten über säumige Schuldner seien tendenziell besonders sensibel und würden regelmäßig mit weiteren Stellen wie Auskunfteien und Adressermittlungsdiensten geteilt. Daher müssten die betroffenen Personen auf einen verantwortungsvollen Umgang mit ihren Daten vertrauen können.

Unabhängig von individuellen Beschwerdefällen sei überprüft worden, wie die Daten der Schuldner bei den jeweiligen Dienstleistern aufbewahrt und verarbeitet werden. „Zu diesem Zweck erhielten die Unternehmen ausführliche Fragebögen zugesandt, deren Antworten umfassende Einblicke in die Datenhaltung gaben.“ Darüber hinaus seien die Unternehmen aufgefordert worden, Dokumente wie das Verzeichnis der Verarbeitungstätigkeiten, Auflistungen der Sicherheitsmaßnahmen sowie verwendete Musterschreiben vorzulegen. Zusätzlich habe der HmbBfDI im Anschluss an die schriftliche Vorprüfung einige Unternehmen in den jeweiligen Geschäftsräumen aufgesucht.

Überwiegend konnte der HmbBfDI hohes Maß an Professionalität und Sensibilität konstatieren

„Überwiegend konnte der HmbBfDI ein hohes Maß an Professionalität und Sensibilität feststellen. Im Dialog wurden Verbesserungen bei der Transparenz gegenüber Betroffenen erreicht.“ Insbesondere die Formulierung einer aussagekräftigen Datenauskunft nach Art. 15 DSGVO und die Prozesse für eine fristgerechte Auskunftserteilung hätten dabei im Vordergrund gestanden.

Im Falle eines Unternehmens indes habe das Team des HmbBfDI bei der Vor-Ort-Prüfung festgestellt, „dass trotz abgelaufener Löschfristen Datensätze weiterhin aufbewahrt worden waren“. Bis Mitte November 2023 habe das Unternehmen eine sechsstellige Zahl von Datensätzen mit personenbezogenen Daten ohne Rechtsgrundlage gespeicher – und damit gegen Artikel 5 Absatz 1 lit. a, 6 Absatz 1 DSGVO verstoßen. „Auch wenn die ursprünglich verarbeiteten Datensätze in diesem Zeitraum nicht an Dritte weitergegeben wurden, waren sie teilweise noch fünf Jahre nach Ablauf der gesetzlichen Aufbewahrungsfrist nicht aus der Datenbank des Unternehmens gelöscht worden.“

Betroffenes Unternehmen hat Buße akzeptiert und professionell mit dem HmbBfDI kooperiert

Diese Ordnungswidrigkeit habe der HmbBfDI jetzt mit einem Bußgeld in Höhe von 900.000 Euro geahndet. „Der Bußgeldbescheid ist rechtskräftig. Das Unternehmen hat den Verstoß eingeräumt und das Bußgeld akzeptiert.“ Es habe bei der Aufarbeitung professionell mit der Aufsichtsbehörde zusammengearbeitet, was bei der Bußgeldbemessung berücksichtigt worden sei. Bei einem weiteren der geprüften Unternehmen seien ebenfalls erhebliche, inhaltlich vergleichbare Mängel im Zusammenhang mit Löschpflichten festgestellt worden – das entsprechende Verfahren dauere noch an.

„Wenn die Kundenbeziehung endet, sind die erhobenen Daten sofort beziehungsweise nach festgelegten Fristen zu löschen“, so der HmbBfDI, Thomas Fuchs. Er unterstreicht abschließend: „Deshalb sollten Unternehmen – bereits bevor sie Daten erheben – eine Bestandsaufnahme machen, welche Daten gesammelt und wie lange sie vorgehalten werden dürfen. Es ist nicht akzeptabel, wenn Unternehmen, die in datengetriebenen digitalen Branchen arbeiten, kein kohärentes Löschkonzept entwickelt haben!“

Weitere Informationen zum Thema:

datensicherheit.de, 26.08.2024
HmbBfDI-Zwischenbilanz 2024: Bisher Bußgelder in Höhe von 130.000 Euro verhängt / HmbBfDI ahndete vielfältige Verstöße gegen die Datenschutzgrundverordnung (DSGVO)

datensicherheit.de, 16.04.2024
Thomas Fuchs hat Hamburger Tätigkeitsbericht Datenschutz 2023 vorgestellt / Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit übergab den Report an die Bürgerschaftspräsidentin

43 Prozent der befragten deutschen Unternehmen besorgt wegen Cyber-Angriffen

[datensicherheit.de, 14.11.2024] „Die Lage der IT-Sicherheit in Deutschland war und ist besorgniserregend“ – zu diesem Schluss kam das Bundesamt für Sicherheit in der Informationstechnik (BSI) im neuen BSI-Lagebericht 2024. Zu ähnlichen Ergebnissen kommt nach eigenen Angaben eine Cyber-Sicherheitsstudie des Industrieversicherers QBE: Demnach wächst die Bedrohung durch Cyber-Attacken – 24,2 Prozent der deutschen Unternehmen seien in den vergangen zwölf Monaten von Cyber-Angriffen betroffen gewesen und 43 Prozent seien um ihre Fähigkeit besorgt, eine Cyber-Attacke abwehren zu können.

Foto: QBE

Thorsten Mairhofer: Neben rein technischen Cyber-Sicherheitsvorkehrungen ganzheitlich auch organisatorische und prozessuale Aspekte mitdenken!

Bedrohung durch Cyber-Angriffe substanziell

42,5 Prozent der deutschen Unternehmen seien „besorgt“ oder zumindest „eher besorgt“ über ihre Fähigkeit, potenzielle Cyber-Angriffe abzuwehren. Dies sei das Ergebnis einer Umfrage unter IT-Entscheidungsträgern, welche der Industrieversicherer QBE in Zusammenarbeit mit dem Meinungsforschungsinstitut Civey durchgeführt habe.

Lediglich 18,2 Prozent der Befragten hätten diesbezüglich keinerlei Sorge. Dabei scheine die Bedrohung durch Cyber-Angriffe substanziell zu sein: „Immerhin gaben mit 24,2 Prozent nahezu ein Viertel der Befragten an, im vergangenen Jahr von einem Cyber-Angriff betroffen gewesen zu sein.“

Fehlgeschlagene Software-Aktualisierung des Cyber-Sicherheit-Anbieters Crowdstrike als Warnschuss

Dass die Bedenken hinsichtlich IT-Risiken zunähmen, dürfte zudem auch mit jüngsten Ereignissen zusammenhängen. So habe erst im Juli 2024 eine fehlgeschlagene Software-Aktualisierung des Cyber-Sicherheit-Anbieters Crowdstrike Millionen von Computern mit Microsoft-Betriebssystem lahmgelegt. 27,9 Prozent der Befragten gäben an, die Cyber-Sicherheit ihres Unternehmens aufgrund dieses Vorfalls in den kommenden zwölf Monaten auszubauen.

„Der Crowdstrike-Vorfall zeigt, wie wichtig es für Unternehmen ist, neben rein technischen Sicherheitsvorkehrungen – etwa dem Schutz der IT-Infrastruktur – ganzheitlich auch organisatorische und prozessuale Aspekte mitzudenken“, unterstreicht Thorsten Mairhofer, „Underwriter Cyber“ bei QBE Deutschland. Insbesondere Unternehmen mit Schwächen im Bereich „Business Continuity Management“ hätten Aufgrund unzureichender Vorkehrungen Beeinträchtigungen ihres Geschäftsbetriebs hinnehmen müssen.

Neuer Cyber-Risikofaktor: Künstliche Intelligenz

Neuste Entwicklungen trügen noch zur Brisanz des Themas zu, so seien 53,4 Prozent der befragten IT-Verantwortlichen der Meinung, dass sich Künstliche Intelligenz (KI) negativ auf die Cyber-Sicherheit auswirke. Nur 11,4 Prozent gingen davon aus, dass KI einen positiven Beitrag – etwa bei der Abwehr potenzieller Cyber-Angriffe – leisten könne.

Für die vorliegende aktuelle Studie habe das Marktforschungsinstitut Civey unter 500 IT-Entscheidern im Zeitraum zwischen dem 20. September und dem 6. Oktober 2024 eine repräsentative Befragung durchgeführt.

Weitere Informationen zum Thema:

datensicherheit.de, 13.11.2024
Erkenntnis aus BSI-Bericht 2024: Zahl der Cyber-Vorfälle in Deutschland erneut zugenommen / Kleine und mittlere Unternehmen – mithin das Rückgrat der deutschen Wirtschaft – stehen besonders im Fokus der Cyber-Angreifer

datensicherheit.de, 26.07.2024
Robuste Sicherheitspraktiken notwendig: CrowdStrike-Vorfall hat IT-Schwachstellen enthüllt / Am 19. Juli 2024 hatte ein Software-Update des Cybersecurity-Unternehmens CrowdStrike weltweit einen massiven IT-Ausfall ausgelöst

datensicherheit.de, 24.07.2024
Melissa Bischoping benennt Lehren aus dem CrowdStrike-Ausfall / Das Beheben des akuten „CrowdStrike“-Problems hat nur das Entfernen einer einzigen Datei erfordert – in der Praxis aber astronomischen Aufwand verursacht

[datensicherheit.de, 12.12.2024] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) meldet, dass Forscher der Universität Bayreuth in Zusammenarbeit eben mit dem LfDI Rheinland-Pfalz die Grundlage für digitale Experimentierumgebungen schaffen. In dieser sollen Unternehmen und Behörden künftig die Datenschutzkonformität ihrer Anwendungen testen können. Das Projekt wird demnach vom Bundesministerium für Bildung und Forschung (BMBF) gefördert. Nach LfDI-Angaben läuft das Projekt „Die Datenschutz-Sandbox“ seit dem 1. Oktober 2024 und wird vom BMBF über drei Jahre mit 1,01 Millionen Euro unterstützt – diese Förderung erfolge im Rahmen der „Plattform Privatheit“ des BMBF.

Diese „Regulatory Sandbox“ soll helfen, Probleme zu erkennen und Innovationskraft zu fördern

Innovative digitale Anwendungen gingen oft mit Unsicherheiten hinsichtlich des Datenschutzes einher. Einer Umfrage des Branchenverbandes Bitkom zufolge habe der Großteil der befragten Unternehmen deshalb schon einmal von der Einführung einer digitalen Anwendung abgesehen, während andere in Kauf nähmen, gegen geltendes Datenschutzrecht zu verstoßen. Eine sogenannte „Regulatory Sandbox“ könnte nun helfen, Rechtsverstöße und Datenschutzprobleme zu vermeiden, gleichzeitig aber die Erprobung neuartiger Anwendungen im „regulatorischen Sandkasten“ zu ermöglichen und so die Innovationskraft zu fördern.

„Eine ,Sandbox’ in diesem Sinne ist ein zeitlich begrenzter, digitaler Experimentierraum, in dem Unternehmen oder Behörden die Rechtskonformität ihrer Anwendungen unter realen Bedingungen testen können.“ So sollen in Kooperation mit den Aufsichtsbehörden mögliche Datenschutzprobleme in einem gesicherten Raum erkannt werden – „bevor die Anwendungen auf den Markt kommen“. Obwohl das europäische Recht für den Bereich der Künstlichen Intelligenz (KI) die Einrichtung von „KI-Reallaboren“ bereits verbindlich vorgebe, sei noch weitgehend offen, wie eine „Sandbox“ unter deutschen Regularien zu realisieren sei.

„Datenschutz-Sandbox“ soll beim LfDI eingerichtet und umfassend rechts- sowie IT-wissenschaftlich analysiert werden

Deshalb solle nun mit dem vom BMBF geförderten Projekt „Die Datenschutz-Sandbox“ die Grundlage für solche Experimentierräume geschaffen werden. „Hierfür begleiten Prof. Dr. Agnes Koschmider vom Lehrstuhl ,Wirtschaftsinformatik’ der Universität Bayreuth und Prof. Dr. Christoph Krönke vom Lehrstuhl ,Öffentliches Recht I’ der Universität Bayreuth die Einrichtung und Realisierung einer Datenschutz-Sandbox beim LfDI Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, aus rechtswissenschaftlicher und informationstechnischer Sicht.“

In einem ersten Schritt werden laut LfDI die rechtlichen Bedingungen und technischen Voraussetzungen für die Einrichtung einer solchen „Sandbox“ erfasst. Anschließend werde eine „Datenschutz-Sandbox“ beim LfDI eingerichtet und umfassend rechts- sowie IT-wissenschaftlich analysiert. Am Ende des Projekts solle ein praktischer Leitfaden entstehen, um den anderen 17 Datenschutz-Aufsichtsbehörden in Deutschland die Einrichtung einer „Datenschutz-Sandbox“ zu erleichtern.

„Datenschutz-Sandbox“ hat das Ziel Win-Win-Situation zu ermöglichen

„Unser Projekt ist ein wichtiger Schritt in Richtung sicherer und innovativer digitaler Anwendungen in Deutschland. Wir stellen damit eine Balance zwischen dem Schutz sensibler Daten und der Förderung von Innovationen her, indem wir eine Umgebung schaffen, in der Unternehmen neue Technologien und Lösungen testen können, ohne die Privatsphäre der Nutzenden zu gefährden“, erläutert hierzu Professor Krönke.

Der LfDI, Professor Kugelmann, als Projektpartner führt weiter aus: „Innovation ist datenschutzkonform möglich. Wir als Aufsichtsbehörde haben größtes Interesse daran, dass die Anforderungen des Datenschutzes von Anfang an in die Entwicklung neuer Technologien einfließen. Mit der ,Datenschutz-Sandbox’ schaffen wir eine Win-Win-Situation: Meine Behörde kann frühzeitig intensiv beraten, Unternehmen können ihre Anwendungen in einem klar abgesteckten Rahmen rechtssicher testen und entwickeln. Die Bürgerinnen und Bürger profitieren schließlich von Produkten, die ihre Rechte und Freiheiten im nötigen Maße achten statt sie zu gefährden.“

Weitere Informationen zum Thema:

Bundesministerium für Bildung und Forschung
Datenschutz-Sandbox / Datenschutzkonformität neuer digitaler Anwendungen sicher testen

Schaden durch Cyber-Attacken für deutsche Wirtschaft jährlich rund 150 Milliarden Euro

[datensicherheit.de, 08.11.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch it’s.BB e.V., lädt zur nächsten „Awareness“-Veranstaltung zum Thema „Cybersicherheit im Unternehmen: Welche Risiken und Nebenwirkungen?“ ein: Im Rahmen dieses Web-Seminars soll die wachsende Bedrohung durch Cyber-Angriffe und deren immensen wirtschaftlichen Schäden – welche jährlich Milliarden Euro betragen – detailliert beleucht werden.

Abbildung: it’s.BB e.V.

Wachsende Bedrohung durch Cyber-Angriffe und deren immensen wirtschaftlichen Schäden im Fokus

Analyse verschiedener Arten von Cyber-Angriffen, deren Kosten und rechtlichen Aspekte sowie zusätzliche Tipps

Laut Schätzungen des Branchenverbands Bitkom soll sich der Schaden allein in der deutschen Wirtschaft auf etwa 150 Milliarden Euro pro Jahr belaufen – wobei bis zu 88 Prozent der Unternehmen von solchen Angriffen betroffen seien.

Die Agenda umfasst „eine Analyse der verschiedenen Arten von Cyber-Angriffen, deren Kosten und rechtlichen Aspekte sowie zusätzliche Tipps zur Verbesserung der digitalen Abwehrfähigkeit und Resilienz“. Abschließend soll Raum für Fragen und Diskussionen geboten werden, um auf spezifische Anliegen und Herausforderungen einzugehen.

Web-Seminar beleuchtet Cyber-Sicherheit in Unternehmen am 20.11.2024

„Cybersicherheit im Unternehmen: Welche Risiken und Nebenwirkungen?“
Web-Seminar in Kooperation mit der IHK Berlin via „MS Teams“-Plattform
Mittwoch, 20. November 2024, 16.00-1700 Uhr
Teilnahme kostenfrei, Anmeldung erforderlich (s.u.)

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung

– Harald Fladischer, neXenio GmbH
– Anna Borodenko, IHK Berlin

16.10-16.45 Uhr

• Begrüßung und Einführung
• Cyber-Angriffe
• Kosten
• Rechtliche Aspekte
• Zusätzliche Tipps

– Harald Fladischer, neXenio GmbH
– Daniel Augistin, SSE – Secure Systems Engineering GmbH

16.45-17.00 Uhr Fragen / Diskussion / Abschluss

Weitere Informationen zum Thema und Anmeldung:

eventbrite
Mittwoch, 20. November / Cybersicherheit im Unternehmen: Welche Risiken und Nebenwirkungen?

[datensicherheit.de, 07.11.2024] Laut einer aktuellen Bitkom-Meldung hat das Bundeskabinett hat am 6. November 2024 das sogenannte KRITIS-Dachgesetz ( KRITIS-DachG) beschlossen. Mit diesem soll demnach der Schutz Kritischer Infrastrukturen etwa in den Bereichen Energie, Verkehr oder Gesundheitswesen verbessert und die bereits im Januar 2023 in Kraft getretene europäische „Critical Entities Resilience Directive“ umgesetzt werden. Das KRITIS-Dachgesetz definiere „Kritische Anlagen“ und lege Mindeststandards sowie Meldepflichten fest. Grundlage der in der Meldung gemachten Angaben ist laut Bitkom eine Umfrage, welche „Bitkom Research“ im Auftrag des Digitalverbands durchgeführt hat: Dabei seien 1.003 Unternehmen ab zehn Beschäftigten und einem Jahresumsatz von mindestens einer Million Euro in Deutschland, darunter 556 Unternehmen aus KRITIS-Sektoren, telefonisch befragt worden. Diese Befragung habe im Zeitraum von KW 16 bis KW 24 2024 stattgefunden und sei als Gesamtumfrage repräsentativ.

Bitkom-Präsident begrüßt, dass KRITIS-Dachgesetz nach Verzögerungen nun endlich kommt

Der Bitkom-Präsident, Dr. Ralf Wintergerst. kommentiert: „Bitkom begrüßt, dass das KRITIS-Dachgesetz nach monatelangen Verzögerungen nun endlich kommt. Deutschland muss seine Kritischen Infrastrukturen besser schützen, dafür stellt das KRITIS-Dachgesetz die Weichen.“

Die Zahl der Angriffe auf deutsche Unternehmen habe zuletzt erneut zugenommen – und nichts spreche für eine Trendwende: „86 Prozent der KRITIS-Unternehmen waren in den vergangenen zwölf Monaten von analogen oder digitalen Angriffen wie Sabotage, Industriespionage oder Datendiebstahl betroffen.“

Laut Bitkom muss das KRITIS-Dachgesetz aber unbedingt nachgebessert werden

80 Prozent bezeichneten die Bedrohungslage für das eigene Unternehmen durch diese Attacken als „sehr groß“ oder „eher groß“. Neben den Unternehmen gerieten zunehmend aber auch Verwaltungen und öffentliche Einrichtungen in das Visier Cyber-Krimineller und hierzu müsse das KRITIS-Dachgesetz unbedingt nachgebessert werden:

„Wir dürfen nicht nur die Unternehmen in den Blick nehmen, auch alle Einrichtungen der Bundesverwaltung müssen als Kritische Infrastruktur gelten.“ Beim Schutzniveau dürften die Verwaltungen keine Kompromisse machen.

Bitkom betont Notwendigkeit einheitlicher, praxistauglich ausgestalteter Meldewege und -fristen

Wichtig sei jetzt, „dass das Gesetz zügig das parlamentarische Verfahren durchläuft und noch in dieser Legislatur in Kraft treten kann“. Die von der EU vorgegebene Umsetzungsfrist zum 17. Oktober 2024 sei bereits abgelaufen. Die Unternehmen brauchten und wollten Klarheit und Rechtssicherheit. „Dazu gehört auch, dass es zwischen KRITIS-Dachgesetz und dem NIS-2-Umsetzungsgesetz keine Widersprüche geben darf!“, fordert Dr. Wintergerst.

Abschließend betont der Bitkom-Präsident: „Wir brauchen einheitliche Meldewege und Meldefristen, die praxistauglich ausgestaltet sind!“ Bereits heute sagten drei Viertel der KRITIS-Unternehmen, dass der bürokratische Aufwand bei der Meldung von Cyber-Angriffen zu hoch sei.

Weitere Informationen zum Thema:

datensicherheit.de, 06.11.2024]
eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz / Unsicherheiten bei Unternehmen gilt es laut eco zu vermeiden, um den KRITIS-Schutz in Deutschland nachhaltig zu stärken

datensicherheit.de, 05.09.2023
KRITIS-Dachgesetz: eco moniert drohende Doppelregulierung und Rechtsunsicherheiten / KRITIS-DachG soll erstmals bundesweit einheitliche Vorgaben zum physischen Schutz kritischer Anlagen machen

datensicherheit.de, 06.12.2022
KRITIS-Dachgesetz geplant: Sinnvolle Regulierung mit Augenmaß gefordert / Verabschiedung von Eckpunkten für einheitliche Schutzstandards in KRITIS-Unternehmen am 7. Dezember 2022 geplant

Unsicherheiten bei Unternehmen gilt es laut eco zu vermeiden, um den KRITIS-Schutz in Deutschland nachhaltig zu stärken

[datensicherheit.de, 06.11.2024] Für den eco – Verband der Internetwirtschaft e.V. stellt der Beschluss der Bundesregierung vom 6. November 2024 zum „KRITIS-Dachgesetz“ (KRITISDachG) einen wichtigen Schritt dar, um eben den Schutz Kritischer Infrastrukturen in Deutschland weiter zu stärken. Das Gesetz habe das Bundeskabinett passiert und schaffe damit neue Vorgaben für den physischen Schutz bedeutender und Kritischer Einrichtungen. „Da das „NIS-2-Umsetzungsgesetz“ (NIS2UmsuCG) bereits im Juli 2024 verabschiedet wurde und sich aktuell im parlamentarischen Verfahren befindet, betont die Internetwirtschaft jedoch die Notwendigkeit klarer Abgrenzungen und fordert eine Regulierung ohne Überschneidungen, um Doppelstrukturen zu vermeiden.“

Foto: eco e.V.

eco-Vorstand Klaus Landefeld: Internetwirtschaft braucht klar definierten und kohärenten Ordnungsrahmen, um Dienste effizient anbieten zu können!

eco drängt auf Gewährleistung, dass für bereits regulierte Anbieter keine zusätzlichen Pflichten oder doppelte Aufsicht entstehen

eco-Vorstand Klaus Landefeld kommentiert: „Es muss gewährleistet sein, dass Anbietern, die bereits durch andere Gesetze reguliert sind, durch das KRITIS-DachG keine zusätzlichen Pflichten oder doppelte Aufsicht entstehen!“ Der aktuelle Gesetzentwurf beseitige dieses Risiko jedoch nicht vollständig, da der Telekommunikations- und IT-Sektor nach wie vor teilweise vom Gesetz erfasst werde.

Für die Internetwirtschaft, darunter Rechenzentrumsbetreiber und Anbieter von „Cloud“-Diensten, bestünden mit dem NIS2UmsuCG bereits umfassende gesetzliche Vorgaben, ebenso wie für den Telekommunikationssektor unter dem TKG.

Unternehmen der Branche befürchteten nun, dass die im Gesetz festgelegten Zuständigkeiten wie zum gemeinsamen Betrieb eines Meldeportals nicht klar genug verteilt seien und zu Überschneidungen zwischen dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesnetzagentur führen könnten.

eco setzt sich weiterhin für klare Regulierungsstrategie ein

„Die Internetwirtschaft braucht einen klar definierten und kohärenten Ordnungsrahmen, um ihre Dienste effizient anzubieten“, unterstreicht Landefeld und führt weiter aus: „Wir begrüßen ausdrücklich, dass es zwischen dem NIS-2-Umsetzungsgesetz zur Cyber-Sicherheitsstärkung und dem KRITIS-Dachgesetz klare Übereinstimmungen für die Schaffung branchenspezifischer Sicherheitsstandards gibt.“

Aber einheitliche und transparente Aufsichtsstrukturen seien auch dabei von essenzieller Bedeutung – das ist immerhin ein erklärtes Ziel der europäischen Harmonisierung, welche in der NIS-2-Richtlinie angestrebt und durch den kürzlich veröffentlichten Durchführungsrechtsakt zumindest für die digitalen Diensteanbieter auch verwirklicht werde.

Der eco setzt sich demnach daher weiterhin für eine Regulierungsstrategie ein, welche klare Grenzen zwischen bestehenden und neuen Vorschriften zieht, um Unsicherheiten bei Unternehmen zu vermeiden und den Schutz Kritischer Infrastrukturen in Deutschland nachhaltig zu stärken.

Weitere Informationen zum Thema:

datensicherheit.de, 05.09.2023
KRITIS-Dachgesetz: eco moniert drohende Doppelregulierung und Rechtsunsicherheiten / KRITIS-DachG soll erstmals bundesweit einheitliche Vorgaben zum physischen Schutz kritischer Anlagen machen

[datensicherheit.de, 06.11.2024] Die Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) meldet, dass der Europäische Datenschutzausschuss (EDSA) in seiner jüngsten Sitzung zwei wichtige Dokumente angenommen hat. Beide Papiere wurden demnach unter wesentlicher BfDI-Beteiligung erarbeitet.

EDSA anerkennt Bemühungen der US-Behörden, fordert indes weitere Klarstellungen

Das erste Papier beschäftigt sich laut BfDI mit dem Angemessenheitsbeschluss für die USA. Der EDSA sehe an verschiedenen Stellen Bemühungen der US-Behörden, die datenschutzrechtliche Situation zu verbessern.

Aus Sicht der europäischen Datenschützer seien jedoch in einigen Punkten weitere Klarstellungen erforderlich.

EDSA beschlossen Stellungnahme zu Empfehlungen der „High-Level-Group on access to data for effective law enforcement“

Außerdem habe der EDSA eine Stellungnahme zu den Empfehlungen der „High-Level-Group on access to data for effective law enforcement“ beschlossen. Diese Gruppe solle Lösungen insbesondere zu den Themen Vorratsdatenspeicherung und Verschlüsselung vorschlagen.

Die Stellungnahme richte sich an die Europäische Kommission und die Mitgliedstaaten, bei allen weiteren Schritten sicherzustellen, „dass die Datenschutzgrundrechte gewahrt bleiben und die Rechtsprechung des EuGH beachtet wird“.

Weitere Informationen zum Thema:

edpb European Data Protection Board, 05.11.2024
EDPB adopts its first report under the EU-U.S. Data Privacy Framework and a statement on the recommendations on access to data for law enforcement

edpb European Data Protection Board, 04.11.2024
EDPB Report on the first review of the European Commission Implementing / Decision on the adequate protection of personal data under the EU-US Data Privacy Framework

edpb European Data Protection Board, 04.11.2024
Statement 5/2024 on the Recommendations of the High-Level Group on Access to Data for Effective Law Enforcement

[datensicherheit.de, 05.11.2024] Laut einer aktuellen Meldung des Web-Portals „die erbschützer“ gibt es es „gute Nachricht für alle enterbten oder übergangenen Verwandten, die den Pflichtteil einfordern“ – das Oberlandesgericht Hamm verlangt demnach von den Notaren, das zur Berechnung des Pflichtteils erforderliche Nachlassverzeichnis akribisch zu führen. Daher dürfen sich diese nicht länger auf unvollständige Angaben der Erben verlassen, sondern müssten selbst bei der Nachlassermittlung zugunsten Pflichtteilsberechtigter initiativ werden.

Notare müssen selbst Nachlassvermögen umfassend über die letzten zehn Jahre vor dem Tod des Erblassers ermitteln

In der Praxis bedeute dies: Der Notar müsse die Kontoauszüge der letzten zehn Jahre von den Erben oder den Banken herausverlangen und diese etwa auf mögliche Schenkungen durchforsten. Werden Notare fündig, erhöhe dies die Erbschaftssumme, aus der übergangene Erben ihren Pflichtteil verlangen könnten. Rechtsanwalt Dr. jur. Sven Gelbke, Geschäftsführer der JustSolutions GmbH, Herausgeberin „die erbschützer“, kommentiert: „Die Entscheidung stellt klar, dass sich Notare nicht einfach auf die Vermögensangaben der Erben verlassen dürfen und deren Angaben nach stichprobenartiger Überprüfung einfach übernehmen können!“

Vielmehr müssten die Notare selbst das Nachlassvermögen umfassend über die letzten zehn Jahre vor dem Tod des Erblassers ermitteln. „In der Deutlichkeit hat das noch kein Gericht verlangt“, betont Dr. Gelbke die Entscheidung des Oberlandesgerichts Hamm (Az.: I-5 W 94/23). Das Gericht habe bei Schenkungen des Erblassers an den Ehegatten die Ermittlungspflicht der Notare sogar ausdrücklich auf die gesamte Dauer der Ehe ausgedehnt – „auch wenn dies Zeiträume betrifft, die länger als zehn Jahre zurückliegen“.

Ganze Jahrgänge ohne Kontoauszüge: Weil Erbin kein notarielles Verzeichnis vorlegte, wurde sie verurteilt

Dr. Gelbke berichtet: „In dem der Entscheidung zugrunde liegenden Fall hatte ein übergangener Erbe gegen die Ehefrau des 2018 verstorbenen Mannes auf Vorlage eines notariellen Nachlassverzeichnisses geklagt, um seine Pflichtteilsansprüche gegen die Alleinerbin geltend machen zu können. Weil die Erbin das notarielle Verzeichnis nicht vorlegte, erging ein Urteil gegen sie. Weil sie die darin festgesetzte Frist ignorierte, setzte das Gericht im Vollstreckungsverfahren ein Zwangsgeld in Höhe von 500 Euro gegen sie fest.“ Erst Anfang 2023 habe die Erbin dann ein notarielles Nachlassverzeichnis vorgelegt. Der übergangene Erbe habe indes moniert, dass jenes Nachlassverzeichnis seinen Namen nicht wert gewesen sei.

Dieses Verzeichnis habe nicht der Vorgabe genügt, alle lebzeitigen unentgeltlichen oder teilunentgeltlichen Zuwendungen des Erblassers innerhalb von zehn Jahren vor dessen Todestag anzugeben. „So fehlten Angaben zu den Konten des Erblassers zwischen den Jahren 2008 bis 2010.“ Die Angabe des Notars, er habe die Konten des Erblassers im Rahmen eigener Ermittlungen erst ab dem 1. Februar 2012 gesichtet, habe nicht dazu gepasst, „dass der Notar als mögliche ausgleichspflichtige Schenkung eine Transaktion auf dem Konto des Verstorbenen vom 29.7.2011 angegeben hatte“.

Notare müssen Bestand des Nachlasses selbst und eigenständig ermitteln und klar zum Ausdruck bringen, den Inhalt selbst zu verantworten

Das habe das Oberlandesgericht Hamm genauso gesehen: „Ende 2023 verurteilte es die Alleinerbin zu weiteren 500 Euro Zwangsgeld, weil sie ihrer Verpflichtung zur Vorlage eines lückenlosen notariellen Nachlassverzeichnisses nicht nachgekommen war.“ Zum Hintergrund: Der Anspruch auf Vorlage eines notariellen Verzeichnisses solle es dem Pflichtteilsberechtigten ermöglichen, sich die notwendigen Kenntnisse zur Bemessung seines Pflichtteilsanspruchs zu verschaffen. Hierbei solle ein notarielles Nachlassverzeichnis eine größere Gewähr für die Vollständigkeit und Richtigkeit der Auskunft als das private Verzeichnis des Erben bieten.

Dementsprechend müsse der Notar den Bestand des Nachlasses selbst und eigenständig ermitteln und klar zum Ausdruck bringen, „dass er den Inhalt selbst verantwortet“. Der Notar sei in der Ausgestaltung des Verfahrens weitgehend frei. Er müsse zunächst von den Angaben des Auskunftspflichtigen ausgehen. „Allerdings darf er die Angaben des Erben nicht nur auf Plausibilität prüfen und dann seine Recherchen einfach einstellen. Vielmehr muss er den Nachlass selbst ermitteln und feststellen. Dabei hat er diejenigen Nachforschungen anzustellen, die ein objektiver Dritter in der Lage des Gläubigers für erforderlich halten würde“, macht Dr. Gelbke deutlich.

Notare dürfen sich nicht allein auf Bankauskünfte verlassen und müssen auch Lebensversicherungen in das Verzeichnis aufnehmen

Ausgehend von diesem Maßstab gehöre zu der Ermittlung von Zuwendungen, „dass der Notar Einsicht in die vollständigen Kontounterlagen bzw. Kontoauszüge des Erblassers nimmt“. In dem entschiedenen Fall habe das Gericht moniert, dass es sich der Notar zu leicht gemacht habe, „indem er sich darauf berufen hatte, dass die Bank keine älteren Kontodaten mehr aufbewahre“. Möglich sei nämlich, dass die Alleinerbin die entsprechenden Kontoauszüge noch liefern könnte.

Außerdem habe das Gericht moniert, dass der Notar die Alleinerbin nicht nach Schenkungen jenseits der Zehn-Jahresfrist befragt habe. „Erst recht fehlt es laut Gericht an Ermittlungen seitens des Notars, die über die Wiedergabe der Auskunft der Schuldnerin hinausgehen.“ Unvollständig habe das Gericht das vom Notar erstellte Nachlassverzeichnis bezüglich. der darin aufgeführten Lebensversicherungen erachtet. „Hier habe der Notar nicht klar herausgearbeitet, welche Beträge als Schenkungen anzusehen sind – die ausgezahlte Versicherungssumme oder die vorher eingezahlten Prämien.“

Weitere Informationen zum Thema:

die erbschützer
Häufige Fragen und Antworten