Cyberangriffe, Cookie-Banner & mehr

Wird diese Nachricht nicht richtig dargestellt, klicken Sie bitte hier.

Datenschutz Update

Deutschland auf Cyberangriffe schlecht vorbereitet - BSI warnt

Immer häufiger greifen Hacker deutsche Behörden und deutsche Unternehmen an. Doch auf solche Vorfälle ist der Staat nur schlecht vorbereitet, sagt die Präsidentin des verantwortlichen Bundesamts für Sicherheit in der Informationstechnik (BSI)

Die deutsche Abwehr gegen groß angelegte Hackerattacken hat nach Einschätzung der Präsidentin des Bundesamts für Sicherheit in der Informationstechnik gefährliche Lücken. Stand jetzt gebe es kein gemeinsames Lagebild des Bundes und der Länder und keine Strukturen, die in einem solchen Krisenfall eine Koordinationsfähigkeit gewährleisten, sagte Claudia Plattner dem »Tagesspiegel« (Sonntag). "Dabei brauchen wir das unbedingt. Wir können nicht 16 Mal miteinander telefonieren, um herauszufinden, was gerade wo passiert" lautet die Einschätzung des BSI.

Plattner fragte: "Was machen wir, wenn zum Beispiel in Hamburg und in München gleichzeitig das Licht ausgeht aufgrund eines Cybervorfalls, der im schlimmsten Fall aus einer geopolitischen Spannungslage entstanden ist? Dann müssen wir von der ersten Sekunde an alles daransetzen, diese Krise zu bewältigen." Und dies bedeute, man müsse sofort ein gemeinsames Lagebild haben. Gegebenenfalls müssten Krisenstäbe einberufen werden, Bund und Länder müssten sich zusammentun. Auf all das sind wir heute nicht vorbereitet, diese Koordination untereinander ist nicht eingeübt. Eine gemeinsame Datenbank verbietet das Grundgesetz – so einfach und eindeutig ist das leider" so die Einschätzung der Behörde.

Statement
Stephan Auge, Teamleiter Managementsysteme

Das BSI und die Ermittlungsbehörden sind nicht nur für Behörden da, sondern unterstützen auch Unternehmen der Privatwirtschaft bei Cyberabgriffen und stehen unterstützend zur Seite. Aber auch für Unternehmen der Privatwirtschaft sind bei Angriffen jeweils verschiedene Ermittlungsbehörden zuständig, welche sich zu Erkenntnissen erst wieder Austauschen müssten. Auch diese einheitlichen Infrastrukturen sind nicht gegeben.

Daher sollten Unternehmen damit beginnen, ihre Cybersicherheitsstrategie zu überdenken und sich auf das Worst-Case-Szenario vorzubereiten. Es sollten Maßnahmen zur Informationssicherheit implementiert und umgesetzt werden, welche auch das richtige Verhalten bei einem Notfallszenario regeln. Wenn es erst einmal zu einem Cyberabgriff gekommen ist, ist schnelles Handeln gefragt und man hat keine Zeit die richtigen Notfallkontakte aufwendig herauszusuchen.

Willkommen an Bord - Zwei neue Sprecher im Datenschutz Talk

Wir freuen uns sehr, zwei neue Gesichter in unserem Podcast Team begrüßen zu dürfen !

Lothar Symanofsky und Natalia Wozniak.
Ab sofort werden Lothar und Natalia gemeinsam mit dem bisherigen Sprecherteam wechselnd jeden Freitag in unserem Podcast zu hören sein, und Sie mit interessanten Einblicken und wertvollen Erkenntnissen durch unseren Podcast begleiten.

Mit ihrer Expertise und Leidenschaft für Datenschutz Themen freuen wir uns sehr ihre einzigartigen Perspektiven und Fachkenntnisse mit Ihnen allen zu teilen.

Wir laden Sie herzlich ein, sie auf Ihrem Weg in unserem Podcast zu begleiten.

Jetzt die ersten Folgen anhören

Gestaltung von Cookie-Bannern – Betroffene müssen gleichwertige Auswahloptionen haben

Das OLG Köln hat sich mit seinem Urteil vom 19.01.2024 (Az. 6 U 80/23) zu Anforderungen an Transparenz und Ausgestaltung von Cookie-Bannern hinsichtlich einer wirksamen Einwilligung geäußert.

Wie transparent und fair müssen Cookie-Banner sein?

Dem Urteil ging eine Abmahnung der Verbraucherzentrale NRW voraus. Diese beklagte die intransparente Ausgestaltung eines Cookie-Banners auf der Website wetteronline.com.

Die Verbraucherzentrale NRW führte aus, dass Nutzern beim Aufrufen der benannten Website, keine gleichwertige Auswahl hinsichtlich der Ablehnung, Auswahl und Einwilligung zur Verwendung von Cookies, gegeben war.

Nutzer hatten lediglich die Möglichkeit, auf erster Ebene, der Verwendung von Cookies mittels „Akzeptieren und Schließen“ zuzustimmen, oder in ein untergeordnetes Menü mit dem Button „Einstellungen“ zu gelangen.

Hier hatten die Nutzer wiederum nur eine Auswahl zwischen „Alles akzeptieren“ und „Speichern“. Folglich sei für den Nutzer nicht ersichtlich, welche Funktionseigenschaften die Cookies beinhalten und mit welchem Button die Ablehnung der Cookies vorgenommen werden könne.

Eine echte Wahlmöglichkeit für die Nutzer war somit nicht gegeben.

Weiterhin war der Button „Akzeptieren und Schließen“ visuell deutlich hervorgehoben, während der Button „Einstellungen“ dem Hintergrund der Website visuell angeglichen war.

Demnach war dieser für Nutzer eindeutig schlecht sichtbar und folgend eine rechtswirksame Einwilligung anzuzweifeln, da die Nutzer zur Abgabe einer Einwilligung in die Verwendung von Cookies bewegt werden sollten.

Ein Button zur Ablehnung einwilligungspflichtiger Cookies fehlte auf der Website gänzlich.

Das OLG Köln sah die Grundsätze der Freiwilligkeit und Transparenz verletzt.

Nach Ansicht des OLG Köln entspreche das Cookie-Banner demnach nicht den Anforderungen des §25 Abs. 1 TTDSG und Art.4 Nr. 11 DSGVO, um eine wirksame Einwilligung der Nutzer zu begründen.

Um eben diese zu erwirken, müsse eine gleichwertige Möglichkeit zur Ablehnung unter Berücksichtigung der Wahlmöglichkeiten zweier Optionen angeboten werden.
Folgend hat das OLG Köln hat die Portalbetreiber nun in zweiter Instanz dazu verurteilt, diese Praxis zu unterlassen.

Zitat aus den Begründungen des Urteils:

“Das „X“-Symbol ist Nutzern bekannt als Möglichkeit, um ein Fenster zu schließen, nicht aber, um in die Verwendung von Cookies und anderen Technologien durch den Websitebetreiber einzuwilligen. Dass hiermit eine Einwilligung erklärt wird, wird dem durchschnittlichen Nutzer nicht bewusst sein. Zwar steht unmittelbar neben dem „X“- Symbol „Akzeptieren & Schließen“. Die Verknüpfung dieser beiden Funktionen ist aber irreführend und intransparent für die Nutzer. Auch wird für die Nutzer nicht ohne weiteres erkennbar, dass es sich bei „Akzeptieren & Schließen“ und dem „X“-Symbol um ein und denselben Button handelt. Vor diesem Hintergrund kann die Einwilligung mithilfe des „X“-Symbols weder als unmissverständlich oder eindeutig bestätigend noch als freiwillig im Sinne von § 25 Abs. 1 TTDSG, Art 4 Nr. 11 DSGVO bewertet werden.”

Folgend hat das OLG Köln hat die Portalbetreiber nun in zweiter Instanz dazu verurteilt, diese Praxis zu unterlassen.

Feststellung von unzureichenden Cookie-Bannern sehr leicht

In diesem Kontext sei auch nochmals darauf hingewiesen, dass das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) am 09.02.2024 bekanntgegeben hat, mehr als 350 Webseiten und 15 Apps ohne Anlass und proaktiv geprüft zu haben. Der Schwerpunkt lag auf der Überprüfung von Cookie-Bannern, insbesondere auf die Einbindung von Widerspruchsmöglichkeiten, sowie der Implementierung von Cookies und Diensten auf der Website, ohne rechtswirksame Einwilligung.

Statement
Marco Doll, Consultant Datenschutz

Das aktuelle Urteil des OLG Köln und die darin erläuterten Feststellungen unterstreichen die Notwendigkeit an die transparente und nutzerfreundliche Ausgestaltung von Cookie-Bannern.
Um die rechtswirksame Einwilligung in die Verwendung von Cookies zu begründen, ist es aus datenschutzrechtlicher Sicht folgerichtig und zu begrüßen, dass Cookie-Banner, wie nochmals im hier zugrunde liegenden Urteil vom OLG Köln, gemäß den gesetzlichen Anforderungen zu gestalten sind.

Auch den verantwortlichen Unternehmen und Betreibern von Websites verleiht das Urteil des OLG Köln nochmals Handlungs- und Rechtssicherheit, insofern diese die Ausgestaltung der Cookie-Banner dementsprechend vornehmen und rechtswirksame Einwilligungen empfangen.

Denn nur rechtmäßig erteilte Einwilligungen, sind für den jeweiligen beabsichtigen Zweck, rechtssicher zu gebrauchen.

Aktuelle Seminare in unserer Akademie

Wir geben Ihnen Sicherheit und unterstützen Sie, Ihre Kompetenzen und Qualifikationen rund um die Themen Datenschutz, Informationssicherheit und Managementsysteme zu erweitern.

Sie wünschen eine maßgeschneiderte Weiterbildung?

Wir beraten Sie gerne.

zu unseren Seminaren

Home Office - IT-Sicherheit für Zuhause

Vor genau vier Jahren hat sich unser Leben durch Corona stark verändert: Einschränkungen, Lockdowns und die Umstellung auf Homeoffice prägten unseren Alltag. Heute sind die meisten Beschränkungen aufgehoben, aber das Arbeiten von zu Hause aus ist geblieben. Deshalb werfen wir einen Blick auf technische Schutzmaßnahmen für die Informationssicherheit im Homeoffice. In früheren Artikeln haben wir bereits dargestellt, welche Maßnahmen Organisationen im Zusammenhang mit dem Homeoffice ergreifen sollten. Heute geht es darum, wie jeder Einzelne die Arbeit seines Systemadministrators mit ein paar einfachen technischen Kniffen erleichtern und seine private IT-Sicherheit verbessern kann. Unsere Checkliste soll dabei helfen, das Thema auf breiter Ebene bekannt zu machen und konkrete Anleitungen zu geben.

Team Insights mit Tatjana Fioravante

Wer sind eigentlich die Gesichter hinter migosens? Wer arbeitet in welchem Tätigkeitsbereich? Unsere Kolleginnen und Kollegen melden sich zu Wort und berichten über ihren Weg zur migosens, geben einen Einblick in ihre Aufgaben, was ihnen an migosens besonders gefällt und verraten, wie sie privat ticken. Als nächstes möchten wir gerne unsere Kollegin Tatjana Fioravante vorstellen.

Kennen Sie schon unseren „Datenschutz Talk", den Podcast der migosens zu den Themen Datenschutz und Informationssicherheit?

Hören Sie doch mal rein! www.migosens.de/podcast
Auch auf Spotify, iTunes und Deezer zu finden.

Wenn Sie diese E-Mail (an: unknown@noemail.com) nicht mehr empfangen möchten, können Sie diese hier kostenlos abbestellen.

Impressum | Datenschutz

migosens GmbH

Wiesenstr. 35, 45473

Mülheim an der Ruhr, Deutschland