Windows 8 oder andere veraltete Software im Einsatz?

Sehen Sie sich hier? Haben Sie in Ihrem Unternehmen vielleicht auch noch ältere Software im Einsatz? Vielleicht wissen
Sie es auch nicht (ok, sollten Sie natürlich als Geschäftsführung). Dann fragen Sie doch bitte einmal Ihre IT. In Ihrem
eigenen Sinne ist es wirklich wichtig, da Sie das Ganze verantworten.
Es läuft doch alles so gut. Warum wechseln oder aktualisieren?
Der Schein trügt (manchmal). Es ist durchaus möglich und auch wahrscheinlich, dass ältere Betriebssystem, wie bspw.
Windows 8.1 noch sehr gut laufen. Auch Anwendungssoftware, die nicht aktuell ist, tut noch ihren (guten) Dienst.
Also warum wechseln? Die Antwort ist recht simpel. Es hat sich Alles weiterentwickelt.
Eine Software ist immer nur so gut und sicher wie die Menschen, die diese programmiert haben. Und da sich Menschen,
die auf der „schlechten“ Seite des Lebens stehen, sich auch weiterentwickeln, werden alte bestehende Sicherheitslücken
schnell mal ausgenutzt. Aber natürlich wird es auch irgendwann technische Probleme geben, da die Peripherie neuer und
moderner geworden ist und die Software dann einen alten Stand hat.
Und dann noch der liebe Datenschutz!
Gem. der DSGVO das, übertrieben gesehen, keine veraltete Soft- und/oder Hardware genutzt werden (Stichwort: „Ptivacy
bei Default“). Hat man veraltete Strukturen im Einsatz, wie bspw. Mobilgeräte, für die man schlichtweg keine SoftwareUpdates für das Betriebssystem mehr erhält, kann man dies schlecht einer Aufsicht erklären, wenn es hierüber mal zu einer
Datenpanne oder einer erfolgreichen Cyber-Attacke kommt.
Nun kann man natürlich die Meinung vertreten, dass man einen solchen Vorfall nicht meldet. Kommt dieser dann doch
heraus, droht doppelt Ärger. Also, nicht zu empfehlen! Auch ist das persönliche Haftungsrisiko einer Geschäftsführung
nicht zu vernachlässigen. Bei Vorsatz kann das Eis dann doch schnell dünn werden und die Versicherung zahlt am Ende
nicht bzw. die Geschäftsführung darf die private Tasche aufmachen.
Zudem sollten Ihre Mitarbeiter*innen mit „guter“ aktueller und sicherer Hard- und Software arbeiten. Oder etwa nicht?
Anrufe! Werbung? Cyber-Attacke? Auf jeden Fall nervig.
Kennen Sie auch die Anrufe von (angeblich) Microsoft bei denen die Anrufenden Sie dazu überzeugen wollen, dass Sie
dringenden Handlungsbedarf haben, da Ihr Rechner einem hohen Risiko ausgesetzt sei Viren oder Trojaner zu bekommen.
Oder noch besser, Ihr Rechner hat bereits einen Trojaner. Dieses Szenario trifft Privatpersonen und Unternehmen!
Bitte nicht ernst nehmen. Zumindest nicht mit der vermeintlichen Microsoft-Unterstützung am Telefon da mal kurz
nachschauen. Microsoft ruft Sie nicht an! Es handelt sich schlichtweg um einen Angriffsversuch. Kontaktieren Sie lieber
Ihre IT-Abteilung.
Nun aber die andere Seite. Sie rufen (mögliche) Interessenten an. Erlaubt? Ok?
Telefonwerbung ist Werbung über das Telefon. Das Wettbewerbsrecht (UWG) und des Datenschutzrecht (DSGVO und
BDSG) bestimmen die Zulässigkeit von Werbeanrufen. Insbesondere das UWG ist für Werbeanrufe zu beachten, da die
telefonische Kontaktaufnahme Auswirkungen auf den Wettbewerb hat.
Sie haben Verbraucher als Kunden? Aufpassen! Fakt ist, dass Werbeanrufe nach dem UWG gegenüber Verbrauchern
(B2C) nur mit deren ausdrücklicher Einwilligung zulässig sind.
Ihre Kunden sind Geschäftskunden? Dann dürfen Sie nach den Vorgaben von § 7 Abs. 2 Nr. 2 UWG Ihre B2BGeschäftskontakte als „sonstige Marktteilnehmer“ mit Werbeanrufen Produkte anpreisen oder Dienstleistungen vorstellen.
Wichtig ist, dass auch hier zumindest eine mutmaßliche Einwilligung anzunehmen ist.
Mutmaßliche Einwilligung?
Maßgeblich ist hierbei, dass man als anrufende Partei erwarten kann, dass die angerufene Person einen solchen Anruf
erwarte bzw. positiv gegenüber dem Angebot steht. Liegt eine „einfache“ Sachbezogenheit vor, wie bspw. eine entgeltliche
Vermittlung von Aufträgen, darf man nicht von einer Einwilligung ausgehen.
Und vergessen Sie am Ende auch nicht den datenschutzrechtlichen Part bzw. die Dokumentations- und
Aufbewahrungspflichten. Eine notwendige Einwilligung muss nachvollziehbar dokumentiert werden.
Kennen Sie „Follina“? Eine weitere Sicherheitslücke am Microsoft-Sternenhimmel.
Aktuell besteht in einer Standardanwendung von Microsoft Windows eine Zero-Day-Sicherheitslücke. Betroffen sind davon
eigentlich alle modernen Versionen. Das Kritische ist hierbei, dass KEINE Interaktion erforderlich ist, um diese Lücke
auszunutzen und Schadcode auszuführen. Aktivierte Makros bspw. bei Excel oder Word reichen aus. Oder auch das
Vorschaufenster in Ihrem Explorer, bei dem der Inhalt angezeigt wird.
Obwohl es bereits erfolgreiche Angriffe gab, spielt Microsoft das Risiko eher runter. Leider gibt es hierfür bis dato noch
keinen Patch.
Fakt ist, das Einfallstor sind wieder einmal präparierte Office-Dokumente, hier nicht nur die klassischen Formate, wie bspw.
doc oder xls, nein auch das Richtext-Format (RTF).
Bußgelder im Mai 2022? (Textliche Auszüge von Dr-Datenschutz)
Es ist nur eine kleine Übersicht! Aber es sind praxisnahe Fälle, die ggf. auch bei Ihnen auftreten können.
• Unrechtmäßiger Erstellung biometrischer Profile
Behörde: Information Commissioner’s Office (ICO), Branche: Künstliche Intelligenz/ Softwareentwicklung
Verstoß: Art. 5 Abs. 1 lit. a und e DSGVO, Art. 6 DSGVO, Art. 9 DSGVO, Art. 14 DSGVO, Art. 15 DSGVO, Art.
16 DSGVO, Art. 17 DSGVO, Art. 21 DSGVO, Art. 22 DSGVO, Art. 35 DSGVO
Bußgeld: 9.000.000 Euro
• Datenschutzbehörden mögen keine Cookies ohne Einwilligung
Behörde: Gegevensbeschermingsautoriteit, Branche: Medien
Verstoß: Art. 5 Abs. 1 lit. e DSGVO, Art. 5 Abs. 2 DSGVO, Art. 6 Abs. 1 lit. a DSGVO, Art. 7 Abs.1 und 3
DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 14 DSGVO, Art. 24 DSGVO
Bußgeld: 50.000 Euro
• Eine nicht gemeldete Datenpanne und unzureichende TOM
Behörde: Datatilsynet, Branche: Öffentlicher Dienst
Verstoß: Art. 32 DSGVO, Art. 33 DSGVO
Bußgeld: 13.442 Euro
• Mülltrennung ist auch datenschutzrechtlich relevant
Branche: Gesundheit, Verstoß: Art. 32 Abs.1 lit. b DSGVO, Art. 32 Abs. 2 DSGVO, Art. 32 Abs. 4 DSGVO
Bußgeld: 5.000 Euro
Fazit?
Ob kleine oder große Bußgelder. Bußgelder müssen nicht sein.
Klar ist, dass Akquise bei Unternehmen wichtig ist. Aber man muss sich vorab Gedanken machen, wie man an die jeweilige
Zielgruppe herangeht und sich fragt, ob das korrekt und rechtskonform ist. Wir haben ja gesehen, dass es nicht nur das
Datenschutzrecht ist, was ein Unternehmen beachten muss.
Eine stetige Prüfung des Unternehmens ist somit ein Muss, da bspw. wirklich gute Mitarbeiter*innen, die einfach nicht
ausreichend geschult sind, schnell Fehler mit unangenehmen Folgen machen können.
Sie haben Fragen? Melden Sie sich bitte bei uns! Es bleibt spannend!