+++ Regulatorik ToGo +++ Schleichwerbung und Verbraucherrechte +++ Neuregelungen im April +++ Kostenschätzung für Cyberattacken bei KMU, Selbständigen und Vereinen +++

Jede Veränderung führt in erster Linie zu Aufwand. Es liegt jedoch an Euch, aus dem Aufwand Erfolg zu generieren – und dafür steht Euch MaSK Consulting zur Seite. Die aktuellen Entwicklungen in der Welt der Regulatorik sind umfangreich. Ein kurzer Überblick kann daher nicht schaden, fangen wir im Bereich Schleichwerbung an. Mit dem Urteil des LG Karlsruhe vom 21. März 2019 steht fest, dass ein so genanntes “Taggen“ oder einfach gesagt das Markieren von Fotos ohne Weberkennzeichnung Schleichwerbung nach dem deutschen Wettbewerbsrecht UWG darstellt und ihr mindestens eine Abmahnung riskiert. Dabei sind die Umstände für das Urteil und dessen Auswirkungen immer auf den vorliegenden Einzelfall zu beziehen. Da mich in letzter Zeit immer häufiger Fragen zu dem Thema der Betroffenheit (“Von welchen Gesetzen bin ich denn überhaupt als Selbständiger betroffen? Ist die DSGVO die Datenschutzrichtlinie oder muss ich noch mehr beachten?“) erreichen – neben der DSGVO gibt es ebenfalls noch das BDSG, das TMG sowie diverse Rechtsprechungen und Empfehlungen, wie die Anforderungen umgesetzt werden können. Eine Betroffenheit kann daher sehr weitreichend ausfallen, muss es aber nicht. Individuelle Betroffenheitsfeststellungen oder wie ihr Prozesse rechtssicher gestaltet und für euren Verein oder Euer Unternehmen optimiert könnt ihr gerne an info@maskconsulting.com richten.

Die Bundesregierung hat per 28. März 2019 über die gesetzlichen Neuregelungen des Monats April informiert. Wesentliche Änderungen gibt es dabei in der besseren Zusammenarbeit und strukturierten Vorgehensweise bei Organspenden, einem leichteren Zugang zu Informationen über Schwangerschaftsabbrüchen sowie dem Hinweis, dass ältere Energieweise ablaufen (seit 2009 für Häuser des Baujahrs 1966 und später ausgestellte Ausweise). Auswirkungen auf alle deutschen Unternehmen dürfte dabei insbesondere der Anstieg des Mindestlohns für Aus- und Weiterbildungsdienstleistungen ab 01. April 2019 haben.

Das europäische Parlament hat mit dem Erscheinungsdatum 26. März 2019 bekanntgegeben, die online und offline Verbraucherrechte weiter zu stärken. Dabei wurden neue Regeln festgelegt, dies insbesondere den Warenkauf im Internet und / oder örtlichen Laden sowie das Herunterladen von Produkten wie beispielsweise Spielen. Ziel des EU-Gesetzgebers ist auch hier weiterhin die Harmonisierung von vertraglichen Rechten und die Stärkung des Verbraucherschutzes. Damit einhergehend sind Herausforderungen und notwendige Anpassungen für eure Unternehmen. Das EU-Parlament verfolgt damit stringent die Strategie eines digitalen Binnenmarkts im Rahmen der Digitalisierung weiter, um jeder Interessensgruppe in der Wirtschaft einen besseren Zugang zu, Online-Markt zu ermöglichen. Egal ob es sich dabei um einen On- oder Offline Warenkauf handelt, die Auswirkungen für Anbieter solcher Waren sind umfangreich. Dabei spielt es keine Rolle, ob ihr Anbieter von Web based Trainings (WBT), Onlinekursen, “intelligenten“ Waren oder digitalen Dienstleistungen seid.

Wie geht es weiter? Aktuell liegen die Richtlinien zur Genehmigung bei den zuständigen EU-Ministern, dies wird jedoch als reine Formsache gesehen. Spätestens 20 Tage nach der Veröffentlichung im Amtsblatt der EU treten diese in Kraft und sich aller Voraussicht nach innerhalb von zweieinhalb Jahren national umzusetzen.

Beinahe zeitgleich haben wir über unser regelmäßiges Monitoring einmal erhoben, wie teuer eine Cyberattacke für klein- und mittelständische Unternehmen in einer ersten Schätzung werden kann. Statistische Verfahren haben bekanntermaßen ihre Tücken – bei Kosten im Bereich der Digitalisierung bzw. Strafzahlungen liegen allerdings verlässliche, rechtliche Rahmenbedingungen vor. Gehen wir einmal davon aus, ihr seid ein Verein, ein mittelständisches Unternehmen oder selbständig und verwaltet Eure Daten (Wichtig: es müssen keine kritischen Gesundheitsdaten betroffen sein!) online und / oder offline. Bei einer Cyberattacke ist es dabei ähnlich wie mit einer Wirtschaftskrise, ihr merkt erst das ihr betroffen seid, wenn ihr mittendrin steckt. Gehen wir also weiter davon aus, ihr bemerkt die Cyberattacke. Dabei spielt es keine Rolle, ob ihr es durch eine eigene Security-Information feststellt oder ein Schreiben bekommt, mit der Aufforderungen einen Betrag X zur Freigabe Eurer Daten zu bezahlen.

Bereits die Kosten die entstehen, Eure Kunden über die abgezweigten Daten zu informieren, können sich auf ca. 4.000 EUR belaufen. Die Anwaltskosten schlagen dabei bereits mit etwa 2.000 EUR zu Buche. Die Feststellung der Schwachstellen, über die der Datenabzug überhaupt erst möglich wurde, kostet in einer IT-Initiative (IT-Forensik) um die 5.000 EUR. Sofern es sich um kritische Daten handelt, die ihr für die Fortsetzung Eures Betriebs benötigt (z. B. Termin-, Kunden- oder Mitgliederlisten), sollte in jedem Fall mit mindestens zwei Tagen Betriebsunterbrechung und damit 5.000 EUR Ausfall gerechnet werden. Sofern die Hacker die abgezogenen Daten veröffentlichen, ist von einer Schadenersatzklage der betroffenen Kunden auszugehen. Hier sind die Regelungen der DSGVO einschlägig, allerdings sollte mit mindestens 20.000 EUR gerechnet werden. Die damit einhergehende Vertrauenskrise bzw. Reputationsschäden können konsequenterweise nicht valide pauschalisiert werden, jedoch sollten für eine ausreichende Krisenkommunikation mindestens 2.000 EUR Berücksichtigung finden. Die Kosten für die Aufarbeitung des Datenabzugs durch die Strafverfolgungs- und Datenschutzbehörden sind unberücksichtigt. Erfolgte der Datenabzug z. B. durch eine Ransomware, kann ggf. ein vollständiger Austausch der betroffenen IT-Infrastruktur notwendig werden (Kostenpunkt: ca. 12.500 EUR). In Summe können so für ein mittelständisches Unternehmen oder einen Selbständigen (m/w/d) geschätzte Kosten in Höhe von 50.500 EUR entstehen. Wirtschaftlich für Euch kein Problem? Dann kann ich Euch nur beglückwünschen – ihr dürft dabei allerdings nicht vergessen, viele Straf- und Untersuchungsaufwendungen sind mit monetären Mindestgrößen versehen, denen je nach Schwere bzw. Kritikalität nach Oben wenige Grenzen gesetzt sind.

Ihr bietet euren Kunden digitale Inhalte an oder habt dies vor? Sorgt mit der Umsetzung der regulatorischen Anforderungen bereits heute für Sicherheit bei Euch und euren Kunden. Weitere Informationen anfordern unter info@maskconsulting.com.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.