Kategorie: Online-Datenschutz
23. September 2016
Wie Yahoo gestern abend mitteilte, wurden etwa 500 Millionen Nutzer-Accounts von Unbekannten gestohlen. Bei den vom Zugriff betroffenen Daten handelt es sich wohl um Namen, E-Mailadressen, Telefonnumern und Geburtsdaten.
Auch wenn die Nachricht von gestern abend, 22.09.2016, stammt, fand der Diebstahl wohl bereits 2014 statt. Yahoo hat nun an alle betroffenen Nutzer entsprechende informatorische E-Mails versandt mit dem Hinweis, ihr Passwort so schnell wie möglich zu ändern. Zwar seien die Passwörter wohl nach wie vor verschlüsselt gewesen und keinerlei Bankdaten betroffen. Da jedoch auch Sicherheitsfragen nebst deren Antworten für die Angreifer abrufbar waren, können somit nicht nur die Nutzer sondern auch die Angreifer die Passwörter ändern oder zurücksetzen.
Die betroffenen Nutzer sollten nun nicht nur ihr Yahoo Passwort, sondern auch alle anderen Passwörter ändern. Kritisch ist insbesondere die Nutzung eines Passworts für mehrere Konten, ebenso wie die gleichen Antworten auf die häufig genutzten Sicherheitsabfragen.
Immer wieder sind insbesondere Internetplattformen von Angriffen dieser Art betroffen. Allen Nutzern wird empfohlen, ein möglichst sicheres Passwort zu verwenden und verschiedene Passwörter für die unterschiedlichen Nutzerkonten zu verwenden.
14. September 2016
Das Oberlandesgericht Frankfurt entschied in seinem Urteil vom 28.07.2016 Az. U 93/15, dass Einwilligungserklärungen in E-Mail- und Telefonwerbung dann unzulässig sind, wenn sich die Erklärung auf eine Vielzahl werbender Unternehmen bezieht und die Geschäftsbereiche der Unternehmen so unbestimmt formuliert sind, dass für den Erklärenden nicht klar erkennbar ist, welche Produkte und Dienstleistungen beworben werden.
Im vorliegenden Fall klagten Verbraucherschützer gegen den Veranstalter eines Online-Gewinnspiels. Auf der Webseite des Beklagten konnten Nutzer an einem Gewinnspiel teilnehmen und gleichzeitig einwilligen, dass ihre personenbezogene Daten von den „…in der Liste aufgeführten Sponsoren für die jeweils angegebenen Produkte und Dienstleistungen…“ zu E-Mail- und Telefonwerbung verwendet werden dürfen. Die Begriffe „Liste“, „Sponsoren“, „Produkte“ und „Dienstleistungen“ waren jeweils mit Links zu einer Liste hinterlegt, welche die einzelnen teilnehmenden Unternehmen sowie deren Geschäftsbereich enthielt. Die so erhobenen personenbezogenen Daten wurden von dem Beklagten an die teilnehmenden Unternehmen übermittelt.
Das Landgericht verpflichtete den Beklagten, die beschriebene Einwilligungserklärung nicht mehr zu verwenden. Die Berufung des Beklagten gegen das Urteil des Landgerichts blieb erfolglos. Als Begründung führt das OLG an, dass eine wirksame Einwilligungserklärung stets Freiwilligkeit und Kenntnis der konkreten Sachlage beim Betroffenen voraussetzt. Die Kenntnis über die konkrete Sachlage bezweckt, dass der Betroffene informiert entscheiden kann, wem er zu welchen Zwecken seine personenbezogenen Daten mitteilt.
Eine informierte Entscheidung kann der Betroffene jedenfalls dann nicht treffen, wenn die beworbenen Produkte und Dienstleistungen lediglich pauschaliert mit Oberbegriffen wie „Vermögenswirksame Leistungen“, „Telekommunikationsprodukte“ oder „Versandhandel“ beschrieben werden.
Wirksame Einwilligungen, die den Anforderungen der §§ 4a und 28 Abs. 3 Bundesdatenschutzgesetz entsprechen, lagen im vorliegenden Falle somit nicht vor.
1. September 2016
Quasi unendlicher Speicherplatz und stete, vom Endgerät unabhängige Erreichbarkeit. Die offensichtlichen Vorzüge des Cloud-Hostings liegen auf der Hand, doch birgt das Thema nicht unerhebliche Datenschutzrisiken. Insbesondere wenn internationale Anbieter genutzt werden, ist die datenschutzrechtlich vorgeschriebene Kontrolle über die eigenen Daten schnell nicht mehr vorhanden. Subunternehmer sind nicht erkennbar, Verschlüsselungen fehlen oder Auftragsdatenverarbeitungsverträge können nicht abgeschlossen werden, diese Punkte sind nur beispielhaft für die Probleme die sich daraus ergeben.
Nichts desto trotz taucht in der Mandatsarbeit regelmäßig die Frage nach der Nutzbarkeit von Clouds auf, und nicht selten wird dabei Dropbox als Wunschanbieter genannt. Der US-amerikanische Anbieter ist jedoch aus den oben benannten Gründen keine Option für den Einsatz im Unternehmen. Die Sicherheitsbedenken bestätigen sich nun durch einen Vorfall im Jahr 2012, der aber erst jetzt publik wurde. Dabei waren mehr als 68 Mio. Passwörter von Nutzern gehackt worden. Laut Dropbox soll es jedoch keinen unbefugten Zugriff auf Kundenkonten gegeben haben. Dropbox rät den Nutzern, die sich vor 2012 registriert haben und seitdem ihr Passwort nicht geändert haben, dies nun nachzuholen.
16. August 2016
Joachim Herrmann (CSU), Innenminister des Freistaates Bayern, will das Social-Network Facebook in die Verantwortung nehmen, und durch eine Gesetzesänderung dazu verpflichten, bei Ermittlungen zu stattgefundenen oder bevorstehenden Straftaten die entsprechend notwendigen Nutzerdaten schneller und umfänglicher herauszugeben. Bis dato ist dies entweder nur durch ein aufwendiges Rechtshilfeersuchen in den USA möglich, wo die Daten gespeichert werden, oder durch ein allerdings lediglich auf einer freiwilligen Vereinbarung beruhenden Kooperation mit Facebook selber. Die bürokratischen Hürden und die damit verbundene Dauer im ersten, und die Unzuverlässigkeit des zweiten Weges führen jedoch häufig dazu, dass sich diese Praxis nicht als erfolgreich erweist.
Die deutschen Behörden teilten dazu mit, dass rund 2/3 der Anfragen unbeantwortet blieben. Facebook sieht sich hingegen als enger Verbündeter der deutschen Behörden und spricht von einer engen Zusammenarbeit. Die Zahlen werden jedoch auf einer eigenen Website bestätigt.
10. August 2016
Einem Bericht der Süddeutschen Zeitung zufolge, standen auf dem Online-Reiseportal www.cosmita.com jahrelang Informationen ungeschützt im Internet. Die Nutzer dieses Portals konnten darüber Ihre Reiseunterlagen einsehen, Sitzplatzreservierungen sowie Essensbestellungen für den Flug vornehmen und sonstige Reisepläne an Freunde und Verwandte versehden. Zur Einsicht und Bearbeitung dieser Informationen benötigte der Nutzer nur seinen Flug-Buchungscode und seinen Nachnamen oder den eines Mitreisenden.
Diese recht einfache Zugriffsmöglichkeit auf die Daten des Reiseportals haben sich zuletzt auch Kriminelle zu eigen machen und damit die oberen bereits genannten personenbezogene Daten von mehreren Millionen Reisenden abgreifen können. Weitergehende technische Kenntnisse waren dafür nicht erforderlich. Jeder wäre in der Lage gewesen, diese Informationen abzurufen. Recherchen der Süddeutschen Zeitung haben ergeben, dass der Auslöser hierfür ein seit 2011 bestehendes Datenleck bei dem Ticket-Großhändler Aerticket gewesen sei. Aerticket stelle für mehrere tausend Großkunden, wie unter anderem die Unister-Töchter www.fluege.de, Flug 24, Ab in den Urlaub, Tickets aus. Etwa ein Viertel davon seien von dem Datenleck betroffen und damit einsehbar gewesen. Nach Angaben der Süddeutschen Zeitung zufolge, sei die Sicherheitslücke umgehend nach Kenntnis geschlossen worden.
Aerticket verteidige sich derzeit mit der Behauptung, dass die über fünf Jahre bestehende Sicherheitslücke gar nicht von Kriminellen entdeckt worden sei. Die Sicherheitsexperten des Ticket-Großhändlers hätten geprüft, ob eine überdurchschnittlich hohe Anzahl an Zugriffen von einzelnen IP-Adressen aus einem bestimmten WLAN-Netz zu verzeichnen gewesen seien. Dies sei jedoch zumindest in den vergangenen eineinhalb Jahren nicht der Fall gewesen. Nun läge der Fall beim Berliner Datenschutzbeauftragten zur abschließenden Prüfung. Diese könne sich jedoch noch einige Monate hinziehen. Die Konsequenzen seien noch nicht bekannt.
28. Juli 2016
Das Spiel Pokémo Go ist nun schon seit einiger Zeit in aller Munde bzw. Hände. Während die Spieler, bei denen von Teenagern bis Frührentnern alle Altersgruppen vertreten sind, die kleinen Monster jagen, beschäftigen sich Daten- und Verbraucherschützer mit den rechtlichen Nebenwirkungen der App.
So hat der Bundesverband der Verbraucherzentrale (vzbv) bereits das kalifornische Unternehmen Niantic, das die App entwickelt hat, abgemahnt. Ingesamt 15 Klauseln der umfangreichen Nutzungs- und Datenschutzbestimmungen verstoßen nach Ansicht ds vzbv gegen deutsches Recht.
Kritisch sieht der vzbv insbesondere, dass durch die verpflichtende Angabe personenbezogener Daten im Rahmen der Anmeldung ein anonymes Spielen so gut wie unmöglich sei. Darüber hinaus gebe Niantic keinen konkreten Zweck der Datennutzung an und behalte sich vor, die Nutzerdaten an beliebige unbeteiligte Dritte zu übermitteln.
Der vzbv hat Niantic nun aufgefordert, bis zum 09. Augsut eine strafbewehrte Unterlassungserklärung hinsichtlich der Verwendung der 15 abgemahnten Klauseln abzugeben.
Dass die Nutzung von Pokémon Go nicht nur datenschutzrechtliche sondern auch tatsächliche Risiken birgt, hat kürzlich ein Vorfall in Niedersachsen gezeigt. Wie heise online berichtet, waren dort drei Spieler auf der Jagd nach den Monstern auf einem Truppenübungsplatz gelaufen, auf dem gerade mit scharfer Munition geschossen wurde.
22. Juli 2016
Weltweit leben bis zu vier Milliarden Menschen in Gebieten, in denen es keine Internetverbindung gibt. Ein Pilotprojekt soll dies ändern. Mit Hilfe von Drohnen soll in absehbarer Zukunft auch in abgelegenen Regionen unserer Erde Internet verfügbar sein. Möglich machen will dies kein Geringerer als der Internetriese Facebook mit seiner Initiative internet.org. Ziel ist es, überall auf der Erde Internet für die Menschen verfügbar und erreichbar zu machen. Zu der initiative gehören neben Facebook weitere namhafte Unternehmen wie beispielsweise Samsung und Ericsson.
Seinen Jungfernflug hat Aquila, wie die erste Drohne heißt, bereits erfolgreich absolviert. Medienberichten zu Folge hielt sich die mit einer Spannweite von 40 Metern ausgestattete und durch Solarenergie betriebene Drohne 90 Minuten in einer Höhe von etwa 650 Metern in der Luft. Facebook beabsichtigt, mehrere dieser „fliegenden Internetstationen“ zu bauen, um sie in einer Höhe von etwa 20.000 Metern über jeweils drei Monate in einem Umkreis von 100 Kilometern über einzelne Gebiete kreisen zu lassen. Dadurch könnten Menschen in abgelegene Teile der Erde den Anschluss ans Netz erlangen, wie Medien berichten.
Die Initiative internet.org existiert seit 2014. Seither können registrierte Nutzer in Entwicklungsländern über ihre Mobilfunknummer kostenlos auf ausgewählte Internetseiten, wie zum Beispiel Facebook und Wikipedia zugreifen. Jedoch erfährt die Initiative heftige Kritik. Das Angebot sei weder neutral, noch sei es sicher; Zuckerberg sei nicht das Internet, heißt es unter anderem von der Electronic Frontier Foundation (EFF). Facebook dürfe nicht zum Schrankenwärter für das Internet werden.
5. Juli 2016
Data protection should not know any borders, this is why we started to publish international news on privacy and data protection in an own blog. Please subscribe it using www.privacy-ticker.com/newsletter or just visit www.privacy-ticker.com.
Some of last months’ topics were:
– Agreement by EU and U.S. negotiators on final changes on the Privacy Shield
– The future of privacy rules after UK´s referendum to leave the EU
– French DPA launches public consultation on GDPR
– Belgian DPA against Facebook for tracking of non-users
– Customer passwords from Deutsche Telekom are for sale on the dark web
– German courts ruled: WhatsApp has violated the Telemedia Act
– Verizon publishes Data Breach Investigations Report 2016: Phishing attacks trend upwards
– Microsoft acquires LinkedIn: privacy issues arise
– Accountability initiative by the EDPS: achieving compliance with the GDPR
– The role of the DPO´s under the new GDPR: the German reference
Thank you.
23. Juni 2016
Laut einer Studie des US-Konzerns Forcepoint wurden in den vergangen zwei Jahren 91 Prozent der Organisationen im Gesundheitssektor Opfer von Datendiebstahl.
Als größtes Risiko hat der Anbieter von Software-Lösungen zur IT-Sicherheit vor allem den Einsatz privater Endgeräte wie Smartphones in der betrieblichen IT-Umgebung ausgemacht.
So wäre es heute Praxis, dass zum Beispiel Ärzte sowohl im Rahmen der Forschung als auch der Patientenuntersuchung ungehinderten und räumlich unabhängigen Zugang zu elektronischen Patientenakten benötigen und dabei regelmäßig über ihre Privatgeräte auf Datenbanken zugreifen, Patientendaten versenden und empfangen.
In Deutschland herrscht nach Aussage der Studie noch weitgehende Unklarheit, welche Sicherheitsmaßnahmen in Bezug auf Patientendaten das sogenannte E-Health-Gesetz künftig verlange. Den meisten Krankenhäusern attestiert das Unternehmen deutliche Missstände hinsichtlich Präventivmaßnahmen zu einer frühzeitigen Angriffserkennung und fehlenden Überblick über die im Betrieb eingesetzte „Schatten-IT“ durch den Einsatz privater Endgeräte.
Eine neue Funktion im sozialen Netzwerk Facebook bietet Dienstleistern neuerdings die Möglichkeit ihren tatsächlichen Erfolg von Werbeanzeigen in dem Netzwerk zu verifizieren. Hierbei können die Händler ihre Angebote auf Facebook mit einem geographisch definierten Gebiet verbinden. Bekommt anschließend ein Nutzer einer Werbeanzeige angezeigt und betritt mit eingeschalteter Ortungsfunktion im Mobilfunkgerät ein Geschäft des Händlers in dem Gebiet, wird dies durch Facebook registriert. Zudem sollen mit Hilfe von Programmierschnittstellen zwischen den Kassensystemen der Händler und Facebook tatsächlich getätigte Einkäufe erfasst werden können. Facebook gab an, dass die Händler die Kunden jedoch nicht einzeln erfassen könnten.
Pages: 1 2 ... 49 50 51 52 53 ... 89 90 
