Da hat es sich Facebook wohl zu einfach gemacht. Lapidar hat das Unternehmen behauptet, kein Mitglied ihrer Rechtsabteilung habe ausreichende deutsche Sprachkenntnisse, um Beschwerden, Gerichtsbeschlüsse oder Mitteilungen auf Deutsch in vollem Umfang zu verstehen. Zu Unrecht, wie das OLG Düsseldorf im Rahmen eines Kostenfestsetzungsverfahrens im Dezember 2019 festgestellt hat:
Sachverhalt
Das Landgericht Düsseldorf hatte Facebook in Irland im Wege der Rechtshilfe einen Beschluss in deutscher Sprache zustellen lassen. Facebook verweigerte die Annahme wegen einer fehlenden englischen Übersetzung und argumentierte, dass der Beschluss damit nicht zugestellt worden sei.
Entscheidung des OLG
Davon ließ sich das OLG jedoch nicht beeindrucken. Es komme bei der Beurteilung der Verständnisfähigkeit nicht darauf an, ob konkrete Mitglieder der Geschäftsleitung oder der jeweiligen Rechtsabteilung über entsprechende Sprachkenntnisse verfügen, sondern auf die Organisation des Unternehmens insgesamt. Dass das Unternehmen den Beschluss nicht verstehen könne, sei in diesem Fall eine reine Schutzbehauptung.
Facebook habe Millionen von Nutzern in Deutschland, mit denen ausdrücklich auf Deutsch kommuniziert wird. Sämtliche im Verhältnis zwischen Unternehmen und Nutzern bestehenden Vertragsdokumente (AGB, Gemeinschaftsstandards, Nutzungsbedingungen) würden auf Deutsch vorliegen, auch das deutsche Recht würde in den entsprechenden Dokumenten besonders berücksichtigt, so z.B. das Deutsche Produkthaftungsgesetz. Derartige Formulierungen seien ohne profunde Kenntnisse der deutschen Sprache und des deutschen Rechts nicht möglich. Das Gericht sah es damit als erwiesen an, dass Facebook über ausreichende Deutschkenntnisse verfügt, so dass die Verweigerung der Annahme des gerichtlichen Schriftstücks durch Facebook unzulässig und rechtsmißbräuchlich gewesen sei.
Fazit
Bei der Entscheidung zeigt sich einmal mehr, wie eine kleine Rechtsstreitigkeit über einen nur geringen dreistelligen Betrag, große Wirkung entfalten kann. Die Notwendigkeit, mit den international tätigen und auftretenden Unternehmen nur in der jeweiligen Sprache des Hauptsitzes kommunizieren zu müssen, scheint jedenfalls aufgrund dieser Entscheidung zu entfallen.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
Die Datenschutzgrundverordnung ist nun seit knapp 1,5 Jahren in Kraft und die Kommunikation der Aufsichtsbehörden mit Unternehmen nimmt zu. Die anfängliche Zurückhaltung flacht ab und es werden aktiv Prüfungen und Untersuchungen vorgenommen.
Dabei stellen sich Unternehmen oft die Frage in welcher Sprache muss ich mit der Aufsichtsbehörde kommunizieren und in welcher Sprache muss ich meine Dokumente vorhalten. Gerade weltweit agierende Konzernunternehmen fertigen ihre Unterlagen in der Regel in Englisch an. Dies ist auch zulässig, so lange ein international aufgestelltes Unternehmen als Unternehmenssprache Englisch festgelegt hat.
Hier ist vor allem auch in Hinblick auf die Informationspflichten gegenüber den Beschäftigten zu beachten, dass alle Beschäftigten diese verstehen können.
Bei Bedarf kann eine deutsche Aufsichtsbehörde aber Teile oder ganze Dokumente in Deutsch anfordern.
Dies ergibt sich aus der in Deutschland definierten Amtssprache. Diese ist nach den Verwaltungsgesetzen der einzelnen Bundesländer deutsch.
Unten den oben genannten Umständen ist es erlaubt seine datenschutzrechtlichen Dokumentationen in Englisch zu pflegen. Man sollte sich aber bereits vorab um eine für den Einzelfall schnell zugängliche Übersetzungsmöglichkeit bemühen, um einem möglichen Verlangen der Aufsichtsbehörde zügig nachkommen zu können.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Die Bundesregierung will den verwundbaren Finanzsektor besser vor Cyberattacken schützen. Das Bundesfinanzministerium und die Deutsche Bundesbank haben ein Programm Namens TIBER-DE beschlossen, um die Widerstandsfähigkeit von Finanzunternehmen gegen Hackerangriffe zu stärken.
TIBER steht für „Threat Intelligence Based Ethical Red Teaming“ und unterscheidet sich von den üblicherweise durchgeführten Penetrationstests dergestalt, dass sie nicht nur auf Einzelsysteme abzielen, sondern szenariobasiert sind, weniger zeitlichen Restriktionen unterliegen, die reale Bedrohungslage berücksichtigen, Fachbereiche und teils auch Ländergrenzen überschreiten können - und damit realen Angreifern viel näher kommen.
TIBER ist zwar für den Finanzsektor geschaffen, kann aber auch für andere Branchen angewendet werden.
it.sec verfolgt die Entwicklung des Standards von Anbeginn und bietet TIBER Tests auf Basis jahrzehntelanger Erfahrung im Finanzsegment sowie bei Red-Team Assessments vollumfänglich (und mit Referenzen) an.
Mehr Informationen finden sich bei der FAZ und der Deutschen Bundesbank.
Holger Heimann
Geschäftsführer
it.sec GmbH & Co. KG
„Ransomware“ sollte auch durch die mediale Verbreitung niemandem mehr ein Fremdwort sein. Kurz erklärt ist Ransomware ein Schadprogramm, das eine kritische Lücke im System ausnutzt, um bspw. alle greifbaren Daten (lokal auf dem Rechner, aber auch auf Netzwerkfreigaben) zu verschlüsseln, die dann - laut Angreifer - nur gegen Bezahlung (vorwiegend in Bitcoins) wieder entschlüsselt werden. Dass Ransomware also keine leichtzunehmende Bedrohung ist, hat sich spätestens seit WannaCry & Co. gezeigt. Allein davon waren weltweit über 300.000 Geräte infiziert und der Schaden wird auf ca. 4 Milliarden US-Dollar geschätzt. Bei solch einem immensen Schaden blieben selbst deutsche Unternehmen nicht verschont. So war u.a. die Deutsche Bahn von der Ransomware betroffen. Damit wäre nun auch im globalen Maße bewiesen, dass ein Zusammenbrechen von realer Infrastruktur durch Software nicht mehr nur die Fantasie eines Hollywood-Films ist.
Ein weiteres erschreckendes Beispiel ist, dass eine Variante namens "SamSam", u.a. die komplette IT eines ganzen Krankenhauses in den USA lahm legte. Hier forderten die Angreifer 4 Bitcoins (zu dem damaligen Zeitpunkt umgerechnet ca. 55.000 US-Dollar). Das Krankenhaus war anfangs gegen eine Bezahlung und musste daher auf Papier und Stift umsteigen, entschied sich aber nach zwei Tagen das Lösegeld zu bezahlen. In diesem Fall kam der Erpresser seinem Versprechen nach und entschlüsselte die Dateien.
Doch ist dies immer der Fall? Leider nein!
Des Öfteren werden die Daten so verschlüsselt, dass ein Entschlüsseln nicht mehr möglich ist und auch gar nicht erst von den Angreifern eingeplant wird. Unzählige Opfer verfügen darüber nicht genügend Kenntnisse und wissen sich oft nicht anders zu helfen und greifen somit zur Geldbörse. Wie der "Telstra Security Report" zeigt, konnten in ca. 80 % der Vorfälle die Daten entschlüsselt werden.
Der Report enthält aber auch das erschreckende Ergebnis einer Umfrage, dass vier von fünf Ransomware-Opfer bei einer erneuten erfolgreichen Attacke den Erpresserbetrag wieder bezahlen würden, sofern keine Backups vorhanden sind. Das Signalwort hierbei ist "erneut". Bedeutet dies nun, dass diejenigen, die bereits einmal Opfer einer Ransomware-Attacke wurden, sich kaum bis keine Gedanken über die Sicherheit ihrer Daten machen und wie die Daten gegen Angriffe von außen besser geschützt werden können?!? Unserer Erfahrung nach leider ja!
Ob nun von Hand oder mittels Software, tägliche Backups von kritischen Daten sollten heutzutage zum Standard gehören. Dabei ist es wichtig mit Blick auf Ransomware, dass mindestens ein Backup-Medium offline ist, d.h. abgekoppelt von allen Verbindungen, z.B. eine externe und manuell abschaltbare Festplatte.
Neben dem Backup der Daten, empfiehlt es sich auch jegliche eingesetzte Software auf dem neuesten Stand zu halten, um sich gegen Ransomware zu schützen. Auch sollte das Bewusstsein der Mitarbeiter oder von Freunden und Verwandten geschult werden und lieber zweimal überlegt werden, bevor man Links oder Anhänge in E-Mails anklickt oder öffnet. Dadurch wird das Risiko eines erfolgreichen Ransomware-Angriffs deutlich verringert. Der damit einhergehende Imageverlust bei Unternehmen fällt weg und es spart eine Menge Geld (und Nerven).
Bitte bedenken Sie auch, dass jede Lösegeldzahlung das Geschäftsmodell Ransomware weiter fördert.
Christian Stehle Junior IT Security Consultant und
Christopher Schöndube Senior IT Security Consultant