Facebook trifft weltweite Löschpflicht

Das Oberlandesgericht Wien hat entschieden, dass Facebook eine weltweite Löschpflicht trifft – bspw. bei Hass-Postings. Zudem können Betroffene überall klagen und nicht nur am Sitz von Facebook Inc. in Kalifornien oder in Irland, wo Facebooks Europazentrale liegt.

Facebook ist vor dem OLG Wien gescheitert. Machen Betroffene gerechtfertigte Löschantrage geltend, muss der Konzern die entsprechenden Inhalte weltweit aus seinem sozialen Netzwerk entfernen.

Betroffene können in Österreich klagen

Facebook vertrat die Auffassung, dass europäische Betroffene Löschansprüche nur am Sitz von Facebooks Europazentrale in Irland geltend machen könnten. Dem Widersprach jetzt das OLG Wien. Betroffene können auch in Österreich klagen. Das Urteil könnte auch einen Vorgeschmack auf eine gesamteuropäische Entscheidung geben. Betroffene in Deutschland dürften dann in der Bundesrepublik klagen. Die Entscheidung des OLG reiht sich gedanklich in die EuGH-Entscheidung zum sog. „Recht auf Vergessen“ ein, wonach Google auf Anfrage Suchergebnisse über Personen löschen muss.

Aktuell werden aber Suchergebnisse nur aus der jeweiligen nationalen Suchmaschine herausgefiltert. International oder aus anderen Ländern sind die Ergebnisse noch zugänglich. Hinsichtlich Facebook gehen die österreichischen Richter somit weiter. Es sei darauf hingewiesen, dass die rechtskräftige Entscheidung aus Österreich einer rechtskräftigen Entscheidung des LG Würzburg (Urteil v. 7.3.2017 – Az. 11 O 2338/16 UVR) entgegensteht. Es bleibt abzuwarten, wie sich die Löschpflichten für alle Anbieter weiterentwickeln. Die Schwedische Datenschutzbehörde bspw. tendiert mittlerweile auch zur Annahme, dass Einträge weltweit gelöscht werden müssen. Unter Umständen zeichnet sich hier bereits die zukünftige gesamteuropäische Entwicklung ab.

Datenschutzrechtliche Zulassungsprüfung für Autos

Die Bundesbeauftragte für den Datenschutz und die informationsfreiheit Andrea Voßhoff fordert eine datenschutzrechtliche Zulassungsprüfung für Autos.

Um der rasanten Digitalisierung des Autos und Straßenverkehrs Rechnung zu tragen fordert Andrea Voßhoff eine datenschutzrechtliche Zulassungsprüfung für Autos. Als Vorbild dafür dienen ihr die vom Bundestag verabschiedeten Zulassungsbedingungen für intelligente Stromzähler, sog. Smart Meter. Für Smart Meter wurden hohe IT-Sicherheitsstandards, Techniken zur Pseudonymisierung von Nutzern und das Privacy by Design-Prinzip festgeschrieben. Die Automotive-Branche kenne mit der Typgenehmigung bereits ähnliche Verfahren.

Auch freiwillige Verhaltensregeln möglich

Neben einer verpflichtenden datenschutzrechtlichen Zulassungsprüfung kämen aber auch freiwillige Verhaltensregeln der Automotive-Branche in Betracht. Die ab 2018 in Kraft tretende Datenschutzgrundverordnung (DS-GVO) sieht solche freiwilligen Verhaltensregeln ausdrücklich vor. Der Vorsitzende der Gesellschaft für Datenschutz und Datensicherheit (GDD) Rolf Schwartmann verlangt zudem eine Folgenabschätzung zur Privatsphäre im vernetzten Auto vom kommenden Jahr an. Grund hierfür ist, dass die Datenverarbeitung im Auto als „risikoreiche Datenverarbeitung“ im Sinne der DS-GVO einzustufen sei.

Voßhoff betrachtet sämtliche Daten als personenbezogen

Nach dem Willen von Andrea Voßhoff sollen alle im vernetzten Auto erhobenen Daten als personenbezogen gelten und entsprechenden gesetzlichen Regelungen unterliegen. Im Rahmen eines Symposiums zum Datenschutz im automatisierten und vernetzten Fahrzeug der Bundesdatenschutzbeauftragten wurden 13 datenschutzrechtliche Empfehlungen zum automatisierten und vernetzten Fahren veröffentlicht. So sollen Automobilhersteller u.a. gewährleisten, dass Fahrzeugnutzer die Verarbeitung bestimmter Daten selektiv erlauben oder untersagen können. Auch der Privacy by default-Grundsatz soll zur Anwendung kommen: Fahrzeuge sollen so voreingestellt sein, dass sie so wenig wie möglich über das Fahrverhalten des Betroffenen erfassen.

Aktuell sieht sich die Automotive-Branche vor einigen rechtlichen Herausforderungen. Neben den nun veröffentlichten Regeln der Bundesdatenschutzbeauftragten brachte auch das Bundesverkehrsministerium neue Ankündigungen: so sollen Daten Sachen gleichgestellt und der Grundsatz der Datensparsamkeit aufgegeben werden.

Was passiert mit persönlichen Daten nach dem Tod?

Datenschutz gilt über den Tod hinaus. Zumindest wenn es um Kommunikationsdaten geht. So sieht es das Kammergericht Berlin, das dieser Frage nachging: wer erbt den Social Media-Account eines Verstorbenen?

Die digitale Revolution macht vor keinem Bereich unseres Lebens halt: autonomes Fahren, Electronic Healthcare und Telemedizin, Selbstoptimierung mittels Wearables und eine permanente Vernetzung mit Menschen auf der gesamten Welt. Bis zum Tod eines Menschen sammeln sich gigantische Mengen an Daten an. Die Frage: wem gehören sie nach dem Tod?

Persönliche Daten nach dem Tod: Fernmeldegeheimnis wichtiger als Erbrecht

Im vorliegenden Fall (Urteil v. 31.5.2017 – Az. 21 U 9/16) ging es um die Frage, ob die Eltern eines verstorbenen Mädchens Erbe von dessen Facebook-Account geworden sind. Was zunächst lapidar klingen mag, wirft eine Menge Rechtsfragen auf, für die die aktuelle Gesetzeslage nicht immer Antworten parat hat.

Das Kammergericht kam zu dem Ergebnis, dass das Fernmeldegeheimnis aus dem Telemediengesetz jedweden infrage kommenden Ansprüchen der Eltern entgegenstünde. Insofern wies das Gericht darauf hin, dass es die Frage nach einer eventuellen Vererbung des Accounts an die Eltern nicht zu klären habe. Denn selbst wenn dies der Fall sei, stünde das Recht Dritter auf den Schutz ihrer Kommunikation mit der Verstorbenen dem Recht der Eltern entgegen.

Fall verdeutlicht grundsätzliche Probleme

Obwohl das Gericht die Frage einer möglichen Vererbung nicht abschließend in seinem Urteil bewertet hat, ist es doch auf wichtige Kernprobleme eingegangen. Grundsätzlich sei es nämlich möglich, dass die Eltern im Wege der Erbschaft in die Rechte und Pflichten des Vertrages mit Facebook eingetreten sind. Allerdings wiederum nicht im Sinne der aktiven Fortführung, sondern in Form eines passiven Leserechts der Inhalte und Kommunikation. Problematisch ist ferner, dass die Nutzungsvereinbarungen von Facebook, zumindest zum fraglichen Zeitpunkt, keine Regelung enthielten, wie im Falle des Todes eines Nutzers mit dessen Profil und den Daten umzugehen sei. Die Tatsache, dass selbst der Branchenprimus unter den Social Media-Diensten noch keine Regelung für diesen Fall gefunden hat verdeutlicht, dass es nicht leicht zu bewerkstelligen ist. Oder aber, dass sich die Branche noch keine ausreichenden Gedanken macht bzw. keinen Handlungsbedarf sieht.

BGB enthält keine explizite Regelung

Abgesehen von den genannten Problemen existiert ein weiteres. Das Bürgerliche Gesetzbuch (BGB) enthält für derartige Fälle keine Regelungen. Das Gericht führte aus, dass das BGB nicht regelt „ob höchstpersönliche Rechtspositionen (ohne vermögensrechtliche Auswirkungen) vererbbar seien, sondern setze für eine Vererbung voraus, dass sie in irgendeiner Form im Eigentum des Verstorbenen verkörpert seien und nicht nur virtuell existierten“. Die Abgrenzung zwischen nicht vererbbaren höchstpersönlichen „E-Mails“ – das Kammergericht greift auf eine Entscheidung des Bundesverfassungsgerichts (Urteil v. 16.6.2009 – Az. 2 BvR 902/06, BVerfGE 124, 43) zur Wirkung des Fernmeldegeheimnisses bei E-Mails zurück, auch wenn der Begriff für die Frage nach den Kommunikationsdaten eines Social Media-Dienstes wie Facebook kaum passt – und vererbbaren „E-Mails“ aufgrund wirtschaftlichen Bezugs sei in erheblichem Maße problembehaftet.

Vererbung des digitalen Nachlasses im Rahmen schuldrechtlicher Verträge

Unabhängig von der wohl nicht passenden Verwendung des Begriffs „E-Mails“ für die Kommunikationsinhalte sozialer Netzwerke – insbesondere Chats, Posts, Kommentare und Reaktionen (bspw. „Like-Button“) – drehen sich die Fragen noch um weitere Themenfelder der digitalen Gesellschaft des 21. Jahrhunderts.

Aktueller Stand der Literatur und des Gerichts ist, dass der digitale Nachlass nicht als dingliches Recht auf die Erben übergeht. Vielmehr werden die schuldrechtlichen Rechte und Pflichten aus dem zwischen dem Erblasser und dem Provider geschlossenen Vertrag auf die Erben übertragen. Das bedeutet, dass der geschlossene Vertrag als Ganzes auf die Erben übergeht. Gerade hier stellt sich die oben erwähnte Problematik der Unterscheidung höchstpersönlicher und wirtschaftlicher Kommunikationsinhalte.

Letztlich haben wir in Deutschland noch keine abschließende Antwort auf diese Fragen. Das Kammergericht hat deshalb auch die Revision zum Bundesgerichtshof zugelassen. Zudem erscheint es fraglich, ob die Unterscheidung zwischen höchstpersönlichen und wirtschaftlichen Kommunikationsinhalten auf Dauer zielführend ist. Die Debatte um „Daten als neue Währung“ verdeutlicht, dass Daten in unserer Gesellschaft zukünftig immer einen wirtschaftlichen Faktor aufweisen könnten. Wie soll mit Daten in einem Nachlass verfahren werden, die für den privaten Nutzer höchstpersönlich für den Provider aber wirtschaftlich sind? Kann eine Bewertung zur Klärung der Erbfrage nur aus Sicht des Erblassers beantwortet werden? Oder müssen Kommunikationsinhalte objektiv bewertet und demnach höchstpersönliche Aspekte des Erblassers und wirtschaftliche Aspekte des Providers einbezogen werden? Dieses Problem mag noch nicht drängend sein, solange Daten hauptsächlich wirtschaftlich für den Provider sind. In Zukunft könnten aber mehr und mehr Modelle auf dem Markt auftauchen, die es Privatpersonen erlauben ihre eigenen höchstpersönlichen Daten wirtschaftlich zu nutzen. Was passiert mit unseren Daten nach dem Tod? Diese Frage bleibt noch nicht vollständig beantwortet.

EU-Kommission hält BDSG-neu für rechtswidrig

Die EU-Kommission hält das deutsche Umsetzungsgesetz für die Datenschutzgrundverordnung (DSGVO) für rechtswidrig. Grund sind vermeintliche Öffnungsklauseln, die die Bundesregierung nutzen will.

Die beschlossene DSGVO soll für einen höheren Standard im europäischen Datenschutzrecht sorgen und ist bereits beschlossen. 2018 tritt sie in Kraft. Das geplante deutsche Umsetzungsgesetz BDSG-neu hat jetzt die EU-Kommission auf den Plan gerufen.

Keine Öffnungsklausel vorgesehen

Grund hierfür ist ein Streit um Öffnungsklauseln in der DSGVO, die eigene nationale Regelungen erlauben würden. Die Bundesregierung ist der Auffassung, dass die DSGVO solche Klauseln vorsieht. Dem widerspricht die EU-Kommission: es gebe lediglich Raum für nationale Spezifizierungen.Konkret kritisiert die Kommission den geplanten § 23 BDSG-neu, der nach Ansicht der EU zu weitreichende Ausnahmen für öffentliche Stellen vorsieht, personenbezogene Daten für „andere Zwecke“ verarbeiten zu dürfen. Die Formulierung sei zu ungenau. Auch die Betroffenenrechte würden zu stark eingeschränkt: der Entwurf unterlaufe die vorgesehen Möglichkeiten zur Einsichtnahme in gespeicherte Daten und deren Recht auf Korrektur bzw. Löschung.

Ist die geplante Nachjustierung ausreichend?

Mittlerweile liegt ein Änderungsantrag vor, der Abhilfe schaffen soll. Insbesondere bei den Betroffenenrechten soll nachgebessert werden. Ob die beantragten Änderungen ausreichen, ist nicht sicher. Kritik kommt weiterhin von deutschen Datenschutzbeauftragten der Länder. In der aktuellen Fassung des BDSG-neu wurde die beantragte Änderung angenommen.

Ärztetag fordert dezentrale Speicherung und höchsten Datenschutz

Dezentrale Speicherung digitaler Patientenakten, keine zentrale Cloud-Lösung und höchsten Datenschutz. Das fordert der Deutsche Ärztetag für die Digitalisierung des Gesundheitswesens.

Nachdem die Ransomware „Wannacry“ weltweit zehntausende Computer befallen hatte, sieht der Deutsche Ärztetag Handlungsbedarf bei der Digitalisierung des Gesundheitswesens. Wannacry verschlüsselte massenweise Dateien und legte u.a. in Großbritannien mehrere Krankenhäuser lahm.

Nein zur zentralen Cloud-Lösung, ja zum höchsten Datenschutz

Deutschlands Mediziner wollen keine zentrale Cloud-Lösung für die Daten ihrer Patienten. Angriffe wie mit Wannacry würden zeigen, dass Patientendaten in einer Cloud nicht sicher seien. Entsprechendes findet sich auch in den Beschlussfassungen des 120. Deutschen Ärztetages. Anstatt einer zentralen Datenbank in Form einer Cloud schlägt der Ärztetag vor, die Patientendaten dezentral bei den jeweiligen behandelnden Ärzten und der Patienten zu speichern. Dies soll eine dezentrale Punkt-zu-Punkt-Kommunikation unter Berücksichtigung höchster Datenschutzstandards gewährleisten.

Darüber hinaus sollen in der Medizin keine Softwareprodukte, einschließlich Apps, mehr zum Einsatz kommen dürfen, die nicht diesen Anforderungen genügen. Dies soll in einem noch zu beschließenden digitalen Medizinproduktegesetz als Zulassungsvoraussetzung normiert werden.

Ärzte weisen insbesondere auf Hacking-Gefahr hin

Explizit beziehen sich die Ärzte auf jüngste Vorfälle wie Wannacry, aber auch auf Meldungen über gehackte Medizinprodukte wie Insulinpumpen und Herzschrittmacher. Zwei kürzlich publizierte Studien haben über 8000, teils schwere, Sicherheitslücken bei Herzschrittmachern und weiteren medizinischen Produkten offengelegt. Nur 17% der Hersteller haben überhaupt Maßnahmen zum Schutz der Geräte und Daten unternommen. Dabei können unterlassene Sicherheitsmaßnahmen und fehlender Datenschutz für den Patienten im schlimmsten Fall tödliche Folgen haben. Nur 9% der Hersteller testen ihre Produkte jährlich auf potentielle Sicherheitslücken. Die Studien beziehen sich auf Medizinprodukte aus den USA.

 

„Von Sicherheitslücken durchsiebt“: Forscher prüfen Tizen OS von Samsung

Tizen OS ist das hauseigene Betriebssystem von Samsung und kommt auf mobilen Endgeräten und Fernsehern des Unternehmens zum Einsatz. Sicherheitsforscher haben das Betriebssystem getestet. Die Bilanz ist deutlich negativ.

Mit Tizen OS will sich Samsung unabhängiger von Googles Android OS machen, das v.a. auf Smartphones und Tablets des Herstellers zum Einsatz kommt. Schrittweise soll es Android auf den mobilen Endgeräten ablösen sowie im Smart Home und Internet of Things-Segment Samsungs Produkte auszeichnen. Sicherheitsforscher haben den Code des Open-Source-Betriebssystems analysiert und das Ergebnis veröffentlicht.

„Der wohl schlimmste Code, den ich je gesehen habe“

Dieses Ergebnis fiel alles andere als positiv aus. Der Code von Tizen wird als der wohl schlimmste bezeichnet, den die Sicherheitsforscher je gesehen haben. Alleine 40 Zero Day-Lücken konnte sie ausfindig machen. Zudem verwendeten die Programmierer von Tizen Befehle, die heutzutage aufgrund ihrer Anfälligkeit für Hacker-Angriffe eigentlich nicht mehr Verwendung finden. In Samsungs Betriebssystem tauchen diese Befehle faktisch an allen Stellen auf.

Jedweder Schadecode möglich

Die Sicherheitslücken ermöglichen de facto die Ausführung jedweden Schadcodes. Grund hierfür ist die Verwendung veralteter Befehle in Tizen Store. Dieses Programm dient dem Erwerb und der Installation von Apps. Dem entsprechend hat Tizen Store Zugriffsrechte auf alle weiteren Programme und das Betriebssystem, um bspw. Updates durchzuführen. Über diese Zugriffsrechte können Hacker umfängliche Angriffe durchführen. Sogar ein infiziertes Update des gesamten Betriebssystems ist möglich.

Was tun?

Unternehmen, die Geräte von Samsung mit Tizen OS nutzen, sollten im besten Fall auf die Nutzung vorübergehend verzichten. Zumindest in Europa und den USA ist Tizen auf Smartphones und Tablets von Samsung noch nicht präsent, dafür aber auf einigen Wearables wie Smart Watches. Samsung selbst übt sich in Zurückhaltung. Allerdings soll bereits gemeinsam mit den Sicherheitsforschern an einer Lösung der Probleme gearbeitet werden. In Anbetracht des Umfangs wird es sich wohl nicht um kurzfristige Lösungen handeln.

BfDI kritisiert Entwurf für autonomes Fahren

Die Bundesdatenschutzbeauftragte Andrea Voßhoff hat datenschutzrechtliche Bedenken zum Gesetzesentwurf für autonomes Fahren geäußert. Sie schließt sich damit der Kritik ihrer Länderkollegen an. Das geplante Gesetz ließe zu viele Fragen unbeantwortet.

Das autonome Fahren soll gesetzlich noch vor der Sommerpause ermöglicht werden. Darauf drängt auch die Regierung und hat Bundestag und Bundesrat einen entsprechenden Gesetzesentwurf mit Eilbedürftigkeit vorgelegt.

Art und Umfang der Datenverarbeitung zu ungenau

Andrea Voßhoff hat sich in der Debatte um den Gesetzesentwurf der Kritik der Landesdatenschutzbeauftragten angeschlossen. Konkret handelt es sich um die geplante Neufassung des § 63a des Straßenverkehrsgesetzes. Er schreibt vor, dass ein Datenspeicher in autonom fahrenden Autos Fahrzeugdaten erfassen und drei Jahre speichern soll. Die so gespeicherten Daten sollen bei der Aufklärung eines Unfallhergangs herangezogen werden.

Die Datenschutzbeauftragten bemängeln, dass unklar bleibe welche Fahrzeugdaten genau gespeichert werden sollen. Zudem sei nicht geregelt, ob und unter welchen Bedingungen Daten gelöscht werden und wie die Weitergabe an Dritte gehandhabt wird. Letztlich ist auch noch unklar, in welchen Fällen Unfallgegner und Behörden auf die Daten zugreifen dürfen, um einen Unfallhergang aufklären zu können.

In einem solchen Fall stellt sich unweigerlich das Problem einer wirksamen Einwilligung des Betroffenen in die Verarbeitung seiner Daten. Diese kann u.a. nur dann vorliegen, wenn der Betroffene vollständig und verständlich über Art und Umfang der Datenverarbeitung informiert wurde. Bleiben Veränderungen an dem aktuellen Gesetzentwurf aus sollten sich Unternehmen auf eine anhaltende Rechtsunsicherheit einstellen.

Erneut Ärger um transatlantischen Datenschutz

Privacy Shield löste Safe Harbor ab, das vom Europäischen Gerichtshof für ungültig erklärt wurde. Auf beiden Seiten des Atlantiks erhoffte man sich davon ein Ende der Auseinandersetzungen um den transatlantischen Datenschutz. Nun hat das Europäische Parlament eine kritische Resolution angenommen.

Seit Inkrafttreten des Privacy Shield-Abkommens reißt die Kritik nicht ab. Nun hat das Europäische Parlament auf eine Executive Order des US-Präsidenten Donald Trump reagiert, die möglicherweise Nicht-US-Bürger aus dem Datenschutz ausschließt.

EU-Parlament betrachtet Überwachungspraxis als europarechtswidrig

Als Reaktion auf die Executive Order nahm das Parlament in Straßburg nun eine Resolution an, die die US-amerikanische Überwachungspraxis als nicht vereinbar mit dem geltenden EU-Recht klassifiziert. Das hat zunächst einmal keine direkten rechtlichen Auswirkungen für europäische Unternehmen. Das Tauziehen um den transatlantischen Datenschutz dürfte aber weitergehen.

Es erhöht zum einen aber den Druck auf die zuständige EU-Kommissarin Věra Jourová zu handeln. Die Abgeordneten erwarten von ihr mehr Einsatz für die europäischen Datenschutzstandards. Zum anderen könnte es für Unternehmen schwieriger werden, US-amerikanische Dienstleister zur Verarbeitung personenbezogener Daten einzusetzen. Privacy Shield schreibt vor, dass Nicht-EU-Dienstleister eine angemessene Struktur zum Schutz personenbezogener Daten vorhalten müssen. Diese muss das europäische Datenschutzniveau garantieren. Nach der nun angenommen Resolution ist das für US-amerikanische Unternehmen fraglich, die der Überwachung der nationalen Sicherheitsbehörden unterliegen.

Wie geht es mit Privacy Shield weiter?

Für Unternehmen wird der Zustand der Rechtsunsicherheit bei Datentransfers in die USA wohl noch weiter andauern. Věra Jourová hat auf einem Treffen der EU-Justizminister durchblicken lassen, dass das Vertrauen in die USA erneuert werden müsse. Zwar können Unternehmen aktuell auf Basis des Privacy Shield-Abkommens weiterhin Daten in die USA transferieren. Allerdings hat der EuGH in seiner Entscheidung zu Safe Harbor die europäischen Datenschutzbehörden ermächtigt, vermuteten Datenschutzverstößen eigenständig nachzugehen. Ein pauschaler Angemessenheitsbeschluss der EU-Kommission steht Ermittlungen nicht mehr entgegen, so wie es während des Safe Harbor-Abkommens der Fall war. Damit dürfte es nur eine Frage der Zeit sein, bis europäische Behörden die ersten Ermittlungen gegen US-amerikanische Dienstleister einleiten.

Wie Digitalisierung das Kartellrecht beeinflusst

Die Digitalisierung bringt immer neue Geschäftsmodelle hervor. Viele digitale Plattformen stellen ihr Angebot entgeltfrei zur Verfügung, Daten und der Handel mit ihnen werden immer relevanter. Welche Auswirkungen hat das auf das Kartellrecht und für Unternehmen?

Mit diesen und anderen Fragen setzt sich ein Aufsatz von Rechtsanwalt Sebastian Telle auseinander, erschienen in der Zeitschrift zum Innovations- und Technikrecht. Im Folgenden werden die grundlegenden Probleme der aktuellen Entwicklungen aufgezeigt.

Daten als neue Währung?

Immer wieder wird davon gesprochen, dass es sich bei Daten um eine neue Währung handelt. Insbesondere bei entgeltfreien Plattformen, wie bspw. sozialen Netzwerken und Messenger-Diensten, herrscht oft die Meinung vor, dass Nutzer diese Dienste mit ihren Daten bezahlen würden. In vielen Fällen nutzen kostenlos angebotene Dienste die Nutzerdaten, bspw. für personalisierte Werbemaßnahmen. Wie also sollen solche Geschäftsmodelle kartell- und wettbewerbsrechtlich bewertet werden?

Sebastian Telle gibt hierzu einen lesenswerten Überblick. Für die kartellrechtliche Definition bestimmter Sachverhalte sind eine Marktdefinition und eine Marktabgrenzung erforderlich. Neben den schon erwähnten verwendeten Nutzerdaten bei entgeltfreien Plattformen wird teilweise vertreten, dass zu einer solchen Marktdefinition auch die Aufmerksamkeit der Nutzer herangezogen werden kann. Deren Identifikation soll wiederum durch generierte Daten gemessen werden. Letztlich soll die potentielle Entgeltlichkeit des Angebotes zur Begründung eines relevanten Marktverhältnisses ausreichen.

Wie Daten und Marktmacht sich verhalten, wie sich ein eventueller Marktmissbrauch auszeichnet und wie ein Verbot wettbewerbsbeschränkender Verhaltensweisen aussehen kann wird von Sebastian Telle anschaulich dargelegt. Die Lektüren kann jedem empfohlen werden, für den Datenschutz, Wettbewerbs- und Kartellrecht relevant sind.

Petya: Globaler Schadangriff verbreitet sich über Unternehmen

Kurz nach WannaCry läuft bereits der nächste globale Angriff mit Schadsoftware. Die Angreifer nutzen vor allem Unternehmensnetzwerke. Anders als WannaCry verschlüsselt die aktuelle Petya-Kampagne die Daten nicht, sondern macht sie endültig unbrauchbar.

Unternehmen werden in diesen Tagen Opfer einer globalen Angriffswelle mit Schadsoftware, die vermutlich Teil einer „Petya-Kampagne“ ist, zu der auch die im letzten Mai weltweit auftretende WannaCry-Ransomware zu zählen ist. Als Petya wird eine ganze Familie an Schadcodes bezeichnet, der neben dem Trojaner Petya noch die Programme Goldeneye und Mischa angehören. Für die nun grassierende Schadsoftware existieren unterschiedliche Bezeichnungen. Eine ältere ist „NotPetya“, weil Sicherheitsforscher davon ausgingen, dass die aktuelle Schadsoftware doch nicht zur Petya-Familie zu zählen ist. Dies scheint jedoch der Fall zu sein, weshalb momentan der Name „exPetr“ relativ weit verbreitet ist.

Angriff und Verbreitung über Unternehmensnetzwerke

Die Angreifer haben sich vermutlich gezielt für die Verbreitung über Unternehmensnetzwerke entschieden. Nach dem jetzigen Kenntnisstand nutzt exPetr gezielt Unternehmen, die eine Buchungssoftware namens MeDoc verwenden. Die von den Angreifern entdeckte Sicherheitslücke scheint u.a. deshalb attraktiv zu sein, weil die ukrainische Regierung MeDoc für die Abwicklung von Zahlungen verwendet. Unternehmen, die Geschäftsbeziehungen zur Ukraine unterhalten bzw. dort Steuern entrichten sowie Bürger müssen MeDoc installieren, um Rechnungen stellen und Steuern bezahlen zu können. Von der Ukraine aus hat sich exPetr nach Russland ausgebreitet. Mittlerweile sind namhafte dänische wie deutsche Unternehmen und US-amerikanische Anwaltskanzleien betroffen.

Daten werden vernichtet, Entschlüsselung wohl nicht möglich

Anders als bei WannaCry werden die Daten der befallenen Computer nicht verschlüsselt, um sie für erpresserische Zwecke nutzen zu können. Zwar erscheint nach Befall des Computers eine entsprechende Mail. Abgesehen davon, dass die bei einem deutschen Mailanbieter hinterlegte Adresse der vermeintlichen Erpresser inzwischen abgeschaltet wurde, ist die generierte Zahlenfolge zu einer Bitcoin-Zahlung zufällig und damit nutzlos. Dies berichtet das IT-Sicherheitsunternehmen Kaspersky. Die Daten werden von exPetr zwar verschlüsselt. Eine sogenannte Installations-ID fehlt jedoch, so dass die Angreifer keinen Schlüssel zur Freigabe der Daten erstellen können. Damit werden die verschlüsselten Daten endgültig unbrauchbar. Der weltweite Schaden ist noch nicht bekannt, dürfte aber beträchtlich ausfallen.

Aktuell kann man betroffenen Unternehmen und Personen nur dazu raten, die befallenen Geräte vollständig vom Stromnetz zu entfernen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht Handlungsempfehlungen.