News

Die zunehmende Digitalisierung verändert die klassischen Geschäftsprozesse von Unternehmen in immer größer werdenden Umfang. Flankiert von zusätzlichen gesetzlichen Anforderungen wie DS-GVO, IT-Sicherheitsgesetz und anderen Vorgaben ergeben sich neue Herausforderungen für nahezu jedes Unternehmen.

Wir sind heute gezwungen, Vertrauen in Technologien zu stecken, die wir gar nicht verstehen. Insbesondere, wenn man bedenkt, dass in den meisten Unternehmen die eigentlichen Kronjuwelen Daten sind. Die Suche nach vertrauenswürdigen Technologien ist somit mehr als berechtigt. Jeder, der seine Daten aus der Hand gibt, will die Sicherheit haben, dass diese nicht in die falschen Hände geraten. Hier ist das notwendige Bewusstsein vielfach noch nicht vorhanden.

Daher versuchen Einige der Digitalisierung aus dem Wege zu gehen. Dies kann sich jedoch praktisch heute fast niemand mehr leisten, da die Digitalisierung sämtliche Bereiche der Wirtschaft betrifft.

Zum Thema Sicherheit lautet daher die entscheidende Frage der Zukunft: Wie schütze ich meine Daten, ohne auf die klar vorhandenen Vorteile der Digitalisierung, z.B. den ortsungebundenen und schnellen Zugriff auf Daten und Systeme, verzichten zu müssen?

Folgende Punkte gehören dabei zu den typischen Stolperfallen bei der IT-Sicherheit:

Erstmals, seit Inkrafttreten der DS-GVO, wurde in Deutschland eine Bußgeldstrafe in zweistelliger Millionenhöhe verhängt. Eine große Berliner Wohnungsgesellschaft muss 14,5 Millionen Euro Bußgeld wegen Datenschutzverstößen zahlen. Dies teilte die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) in einer Pressemitteilung mit. Dem Bußgeld waren zwei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 vorausgegangen. Dabei wurden insbesondere schwere Verstöße gegen die datenschutzrechtlichen Löschpflichten festgestellt. Das Unternehmen hatte persönliche Daten mit hohem Vertraulichkeitsgrad von früheren Mietern, wie z.B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits-und Ausbildungsverträgen, Steuer-, Sozial-und Krankenversicherungsdaten etc. über Jahre hinweg nicht gelöscht.

Wer kennt sie nicht, diese lästige Aufforderung des Systemadministrators zu einem erzwungenem Passwortwechsel nach Ablauf eines fixen, zeitlichen – meist recht kurzen – Intervalls. Wenn uns das Unternehmen vorgibt, dass wir z.B. alle 90 Tage unsere Passwörter (ggf. nicht nur eines) wechseln müssen und diese dann aber auch noch eine gewisse Komplexität aufweisen sollen, dann führt dies, aufgrund der üblicherweise getroffenen Einstellungen hinsichtlich des Passwortalters und der Passworthistorie, nicht selten zu einer gut kultivierten und unternehmensweit verbreiteten „gelben Zettelwirtschaft mit Passwortinformationen“ und somit - aufgrund der damit verbundenen Risiken - im Ergebnis zu weniger Datenschutz und weniger Informationssicherheit. Nachdem verschiedene Datenschutzbehörden der Länder und auch die Datenschutzkommission dies erkannt und bereits mehrfach vorgelegt haben, zieht nun endlich auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) nach und ändert endlich die Vorgaben für einen Passwortwechsel-Zwang.

Die GoBD von 2014 gelten vorerst weiter! Dies teilte das Bundesministerium für Finanzen (BMF) in einer offiziellen Stellungnahme mit. Eigentlich sollten die GoBD von 2014 durch eine bereits veröffentlichte Neufassung vom 11.07.2019 ersetzt werden. Diese sollte auf Besteuerungszeiträume Anwendung finden, die nach dem 31.12.2019 enden. Inzwischen hat das BMF die Neufassung der GoBD jedoch vorerst zurückgezogen. Als Begründung nannte das Ministerium „weiteren Abstimmungsbedarf mit den Bundesländern. Seit ihrer Verkündung stand die Neufassung der GoBD vielfach in der Kritik. Im Wesentlichen wurden ihr Schwächen im Detail nachgesagt. Es wird daher angenommen, dass die neuen GoBD nachgebessert und etwaig bestehende Inkonsistenzen in der Neufassung vor Inkrafttreten beseitigt werden sollen.

Bis auf Weiteres sind also wieder offiziell die GoBD aus 2014 maßgeblich! Dies hat zur Folge, dass die zahlreichen Erleichterungen, die die neuen GoBD enthalten, vorerst nicht gelten. Auch wenn das BMF in seiner offiziellen Erklärung davon ausgeht, dass „das Folgeschreiben nach erfolgter Abstimmung mit den Ländern kurzfristig wieder online gestellt und im Bundesteuerblatt veröffentlicht wird“, sollten all diejenigen sehr vorsichtig sein, die die Erleichterungen des BMF-Schreibens vom 11.7.19 (z.B. bei der Konvertierung oder beim Scannen) nutzen wollen!

Die europäische Datenschutz-Grundverordnung sieht einen Bußgeldrahmen von bis 20 Mio oder bis zu 4 % des Bruttoumsatzes des Vorjahres vor, je nachdem, welcher Betrag höher ist. Bislang sind die von den deutschen Datenschutzbehörden verhängten Geldbußen verhältnismäßig niedrig ausgefallen. Dies wird sich wohl bald ändern. Wie das Rechtsmagazin LTO berichtet, testen die Datenschutzbehörden von Bund und Ländern derzeit ein von der Datenschutzkonferenz (DSK) entwickeltes neues Bußgeldmodell zur Bußgeldbemessung. Momentan wird es bei Bußgeldverfahren begleitend herangezogen und auf seine Tauglichkeit in der Praxis sowie auf seine Zielgenauigkeit hin überprüft. Das Modell soll insbesondere zu einer höheren Nachvollziehbarkeit in der Bußgeldpraxis führen. Auf ihrer nächsten Konferenz im November will sich die DSK zu dem Konzept, welches sich derzeit im Entwurfsstatus befindet, weiter abstimmen. Wenngleich das Bußgeldkonzept noch nicht veröffentlich wurde, liegt es einigen Datenschutzanwälten zumindest in Teilen schon vor, weil es auch in den Begründungen von bereits verhängten Bußgeldbescheiden wiedergegeben ist. Dies ermöglicht eine belastbare Analyse. Fest steht, dass das neue Modell zu höheren Bußgeldern führen wird.

Der Europäische Gerichtshof (EuGH) hat in seiner viel beachteten Entscheidung im Fall "Planet49“ die rechtlichen Anforderungen an eine Einwilligung beim Setzen von Cookies klargestellt: Wenig überraschend stellt auch nach Auffassung des EuGHs eine bereits vorangekreutze Checkbox keine wirksame Einwilligungserklärung zum Setzen von Cookies dar, weil eine Einwilligung immer ausdrücklich abgegeben werden muss und eine aktive Handlung des Nutzers voraussetzt. Die Auffassung des EuGHs in diesem Punkt verwundert insofern nicht sonderlich, da vorangekreuzte Checkboxen bereits gemäß Erwägungsgrund 32 Satz 4 zur DS-GVO explizit kein wirksames Einwilligungsmittel darstellen. Allerdings stellte der BGH in diesem Zusammenhang auch klar, dass es hierbei keinen Unterschied macht, ob es sich bei den durch die Cookies im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente, die in sein Gerät eindringen. Außerdem legt der EuGH fest, welche Cookie-Informationen dem Nutzer zur Verfügung gestellt werden müssen. Demnach sind neben der Identität des Verantwortlichen und der Zweckbestimmung der Verarbeitung, für die die Daten bestimmt sind auch Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, erforderliche Informationen, die dem Betroffenen im Kontext mit der Verwendung von Cookies zu erteilen sind.  

Die Entscheidung des EuGHs hat zur Folge, dass § 15 Abs. 3 TMG somit als europarechtswidrig anzusehen ist und der BGH diesen Paragrafen voraussichtlich in Kürze für unanwendbar erklären wird. Website-Betreiber sollten nun Ihre Cookie-Einstellungen dahingehend überprüfen, ob diese den genannten Anforderungen genügen. Bei Bedarf unterstützen wir Sie gern dabei!

Die Berliner Datenschutzbehörde hat im August dieses Jahres die in Deutschland bislang höchste Bußgeldstrafe seit Inkrafttreten der Europäischen Datenschutz-Grundverordnung verhängt. Dies teilte die Behörde in ihrer Pressemitteilung vom 19. September mit. Die Behörde gegen einen Betreiber mehrerer Lieferdienstplattformen eine Strafe in Höhe von knapp 200.000€ aufgrund mehrfacher Datenschutzverstöße. Die Aufsichtsbehörde beanstandete insbesondere die Missachtung von Betroffenenrechte. So wurde vielfach den Auskunftsersuchen über die Verarbeitung personenbezogener Daten, Werbewidersprüchen oder Löschbegehren von Kunden nicht nachgekommen. In einem Fall war der Betroffene seit über zehn Jahren nicht mehr auf der Plattform aktiv gewesen und dennoch kam das Unternehmen seiner Löschpflicht nicht nach. Der Lieferdienst gab als Erklärung für die Datenschutzverstöße technische Fehler sowie Mitarbeiterversehen an. In Anbetracht der hohen Zahl der Verstöße, des jahrelangen Zeitraums, in dem Verstöße stattfanden sowie der Tatsache, dass das Unternehmen nicht in der Lage war, die von der Behörde beanstanden Datenschutzdefizite zu beheben und angeordnete Maßnahmen zur Erreichung eines angemessenen Datenschutzes innerhalb der vorgegeben Frist umzusetzen, geht die Aufsichtsbehörde von „grundsätzlichen, strukturellen Organisationsproblemen“ auf, die sich straferhöhend auf das verhängte Bußgeld ausgewirkt haben.

Dieser Fall zeigt einmal mehr, wie wichtig ein gutes Datenschutzmanagement im Unternehmen ist, das eine rechtzeitige und umfängliche Erfüllung der datenschutzrechtlichen Pflichten sowie eine gute Zusammenarbeit mit der Aufsichtsbehörde sicherstellt. Ausgangspunkt ist hier die Kenntnis der eigenen Prozesse und Verfahren im Unternehmen. Nur so ist ein gutes Management zur Wahrung der Betroffenenrechte möglich. Das Aufdeckungsrisiko ist hierbei besonders hoch und kommt in über 70% der Fälle aus der Organisation selbst und von Kunden. Gerne unterstützen wir Sie bei dieser wichtigen Unternehmensaufgabe mit unseren Produkten zum Datenschutz (Datenschutz-Beratung, externer DSB oder Datenschutzaudit) und zur Beratung (Prozessmanagement). Sprechen Sie uns an!

Nachdem die britische Finanzbehörde FCA bereits dem britischen Finanzmarkt einen Fristaufschub zur Umsetzung der Vorgaben für die starke Kundenauthentifizierung gewährt hat, macht nun auch die deutsche Bafin von dieser Möglichkeit Gebrauch, die die Europäische Aufsichtsbehörde (EBA) den nationalen Aufsehern eingeräumt hatte. Damit dürfen inländische Zahlungsdienstleister Online-Zahlungen mit Kreditkarten auch nach dem 14.09.2019 vorerst auch ohne Starke Kundenauthentifizierung ausführen, ohne von der BaFin dafür beanstandet zu werden. Damit will die BaFin insbesondere für den Verbraucher Beeinträchtigungen bei Online-Zahlungen verhindern und eine reibungslose Umstellung auf die Anforderungen der PDS 2 erreichen.

Gemäß den Vorgaben der Zweiten Zahlungsdiensterichtlinie (PSD 2) ist eigentlich ab dem 14.09.2019 bei Zahlungen im Internet eine Starke Authentifizierung zwingend vorgeschrieben, um einen höheres Sicherheitsniveau bei Online-Käufen zu gewährleisten. Bei Online-Zahlungen mit Kreditkarte müssen Kunden dann zusätzlich zur Kreditkartennummer und Prüfzahl auch eine TAN angeben, die zuvor aufs Handy gesendet wurde und ein Passwort eingeben. Nach Angaben der BaFin haben die kartenausgebenden Zahlungsdienstleister mit Sitz in Deutschland die neuen Vorgaben bereits umgesetzt, jedoch besteht bei den Unternehmen, die Kreditkartenzahlungen im Internet nutzen immer noch großer Anpassungsbedarf. Damit Verbraucher und Unternehmen aber nun nicht völlig auf die Möglichkeit der Kreditkartenzahlung im Internet verzichten müssen und oder mit Störungen rechnen müssen, wird die Bafin auf das Erfordernis der Starken Authentifizierung bei Kreditkartenzahlungen im Internet vorerst nicht bestehen. Bis wann das so sein wird, wird die Bafin nach Konsultation der Markteilnehmer und in Abstimmung mit der Europäischen Bankenaufsicht sowie den nationalen europäischen Aufsichtsbehörden bekannt geben. Die Bafin erwartet jedoch von allen Beteiligten, die Zeit dringend für Anpassungen und Nachbesserungen der Infrastruktur zu nutzen und die Vorgaben für eine Starke Kundenauthentifizierung schnellmöglich umzusetzen.  

Wie die Börsenzeitung unter Bezugnahme auf einen Bericht der Aufsicht vermeldet, wird die EZB in den nächsten Monaten damit beginnen, die IT-Risiken in den ihrer Aufsicht unterstellten Banken (derzeit 114) im Rahmen von Vor-Ort-Prüfungen (One-Site-Inspektion) zu überprüfen. Anlass dafür ist die große Zahl an schwerwiegenden Mängeln, die bei den rund 160 Prüfungen, die im vergangenen Jahr von Aufsichtsteams der EZB in den Banken der Eurozone festgestellt wurden. Insgesamt wurden damals 1.200 Vorfälle festgestellt, die schwerwiegende Auswirkungen auf Banken haben, wenn sie nicht rechtzeitig behoben werden. Bei 31% der Vorfälle handelte es sich um Kreditrisiken, 26% betrafen Governancerisiken und immerhin 15% stellten IT-Risiken dar. Vor allem beim Sicherheitsmanagement im Zusammenhang mit IT-Risiken wurden viele gravierende Mängel festgestellt. So sei vielfach die Umsetzung von Maßnahmen zur Identifizierung und Beseitigung von IT-Risiken zu langsam und nicht ausreichend erfolgt und Software-Update zur Schließung von Sicherheitslücken zu selten durchgeführt worden. Aufgrund der hohen Bedeutung des IT-Sicherheitsmanagements für die Sicherheit von Banken sieht sich die EZB-Aufsicht nun dazu veranlasst zu reagieren und wird daher künftig in den Banken Prüfungen durchführen, die sich auf IT- und Cyberrisiken beziehen. Die geprüften Banken erhalten nach erfolgter Prüfung einen Abschlussbericht mit Vorgaben zur Behebung der festgestellten Mängel. Die Erkenntnisse aus den Vor-Ort-Prüfungen werden im jährlichen Prozess zur aufsichtlichen Überprüfung und Bewertung berücksichtigt werden.

Wie das Online-Magazin Finanz-Szene berichtet, teilte die BaFin letzte Woche in einem Rundschreiben an die Spitzenverbände von Banken, Fintechs und Zahlungsinstituten mit, dass der Starttermin zum Inkrafttreten der zweiten Zahlungsdiensterichtlinie (Payment Services Directive 2 – PSD II) aufgeschoben wird. Ursprünglich war festgelegt, dass alle Regelungen der PSD2 bis zum Stichtag 14.09.2019 umgesetzt sein müssen. Zuletzt hatten vielfach Branchenvertreter moniert, dass die von den Banken bereitgestellten Schnittstellen erhebliche Mängel aufweisen und insoweit "nicht marktreif" seien. Durch den Aufschub gewährt die Aufsicht den Banken zum einen, Zeit zum Nachbessern, zum anderen erhalten die TPPs („Third Party Provider“, z.B. Fintechs oder andere Drittanbieter), die mit Apps auf Bankkonten zugreifen, mehr Zeit, sich auf die neuen Schnittstellen von Finanzinstituten einzustellen.  

Bis auf Weiteres können Drittanbieter daher ihr Geschäftsmodell weiter betreiben, da die Banken ihre bislang bestehenden, jedoch nicht-PSD2-konformen Kontoschnittstellen, vorerst nicht abklemmen dürfen.  

Immer mehr Banken nutzen das Know-How von Fintechs. Insbesondere im Bereich des Outsourcings von Bankdienstleistung gehen viele Banken Kooperationen mit Fintechs ein. Aus diesem Grund hat der Bundesverband deutscher Banken (BdB) eine neue Leitlinie für die Zusammenarbeit entwickelt, die regulatorische und bankspezifische Anforderungen an Fintechs enthält. Dies betrifft Bereiche wie z.B. interne Kontrollen, Informationssicherheit und Revisionstätigkeit. Ziel der Leitlinie ist es zum einen, mehr Sicherheit und Transparenz zu schaffen, zum anderen soll die Leitlinie den Fintechs den Erwartungshorizont von Banken verständlich machen und ihnen als Hilfestellung dienen, um sich auf die Zusammenarbeit gezielter vorbereiten zu können. Der BdB unterteilt sodann in 4 Reifegradstufen. Stufe 4 bedeutet dabei, dass das Fintech die in der Leitlinie enthaltenen Anforderungen nicht erfüllt, während hingegen Stufe 1 bedeutet, dass alle Anforderungen ordnungsgemäß eingehalten werden. Zudem müssen sich die Banken gemäß dieser Leitlinie dazu bereit erklären, sich einmal im Jahr von ihrer Kooperationsbank überprüfen zu lassen.

Die Leitlinie soll offiziell im November in Frankfurt am Main vorgestellt werden.