BSI: Cyber-Sicherheit für Kinder und Jugendliche

2. Februar 2023

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte einen kurzen Videoclip, in dem es die Sicherheit von Kindern und Jugendlichen im Netz thematisierte. Konkret beantworteten Michaela Hansert (BSI-Expertin) und Martin Bregenzer (EU-Initatiove klicksafe) Fragen zum Umgang mit Apps und zur Prävention von Cybermobbing.

Hilfreiche Tipps

In dem Kurzclip betonten die Experten, dass Kinder mittlerweile schon früh Kontakt zu Online-Anwendungen und Apps haben. Häufig verfügten Kindern schon von einem jungen Alter an über ein Handy oder anderes mobiles Gerät. Daher sollten Erziehungsberechtigte Sorge dafür tragen, die Geräte der Kinder und vor allem Apps sicher einzurichten.

Beispielsweise ließen sich In-App-Käufe durch die Einrichtung eines Passworts verhindern. Soweit der Pin dem Kind unbekannt bliebe, könne es für die Freischaltung einer Funktion in der App kein Geld ausgeben. Zusätzlich sei daran zu denken, dass für Streaming-Dienste und andere Anwendungen die Möglichkeit bestehe, Kinderprofile anzulegen. Über diese ließe sich beispielsweise die Bildschirmzeit kontrollieren und beschränken. Weitere Hinweise zu technischen Voreinstellungen und Beschränkungen von Geräten können Interessierte über Medien Kindersicher erfahren.

Anschließend sprachen die Experten über die Probleme und Fragestellungen, die mit dem Thema Cybermobbing einhergehen. Dazu bekräftigten sie die Bedeutung von präventiven Maßnahmen. Die Accounts der Kinder in sozialen Medien sollten so eingestellt sein, dass Mobbing erschwert werde. Insbesondere der Zugriff auf Bilder der Kinder und Jugendlichen solle eingeschränkt werden. Andernfalls sei es möglich, dass Dritte die Bilder zweckentfremden und unberechtigterweise verwenden. Außerdem sollten Erziehungsberechtigte sicherstellen, dass ihre Kinder sichere Passwörter gebrauchen. Ansonsten sei es möglich, dass für Dritte das Passwort zu leicht zu erraten sei. In der Folge könnten sich beispielsweise Klassenkameraden leicht in Accounts einhacken.

Darüber hinaus sei eine gute Kommunikation zwischen Kindern und den Erziehungsberechtigten für einen sicheren Umgang mit mobilen Geräten förderlich. Konkret warnten die Experten davor, mobile Geräte dem Kind zu Strafzwecken zu entziehen. Im Falle vom Cybermobbing sei es insoweit möglich, dass sich Kinder ihren Eltern nicht mehr anvertrauten. Grund sei die Befürchtung, das Handy nicht mehr nutzen zu dürfen. Andererseits sollten Erziehungsberechtigte ihre Kinder auch über die Rechte anderer Personen im Internet aufklären. Insbesondere darüber, dass keine Bilder fremder Personen im Internet veröffentlicht werden dürfen.

Experten warnen vor sorglosem Umgang mit ChatGPT

31. Januar 2023

Kaum jemand bleibt derzeit vom Hype um ChatGPT verschont. Das Textverarbeitungstool ist ein auf künstliche Intelligenz (KI) gestütztes System, das nicht nur Texte zusammenfassen oder übersetzen, sondern auch Fragen beantworten und sogar eigene Artikel schreiben kann. Allerdings wird ChatGPT auch kritisch gesehen. KI-Experten und Wissenschaftler warnen vor den Gefahren eines sorglosen Umgangs.

Was ist ChatGPT?

ChatGPT wurde von OpenAI entwickelt, einer KI-Firma, die maßgeblich von Microsoft finanziert wird. Das Programm sieht zunächst aus wie ein Chatfeld. In dieses können Nutzer ihre Fragen oder auch Arbeitsanweisungen stellen.  ChatGPT antwortet dann auf Basis seines Trainings in einem Dialogformat. So stellt das Programm auch Rückfragen, wenn man noch etwas klarstellen oder konkretisieren soll. Die Antworten klingen zumeist auf den ersten Blick plausibel. In den USA konnte die KI sogar eine Jura-Prüfung der Universität von Minnesota bestehen.

Veraltete Daten, manipulationsanfälliges System

Die Problematik erschließt sich nicht auf den ersten Blick. Für Nutzer ist ChatGPT ein harmloses Tool, für die meisten eine Spielerei. Allerdings stammen die Trainingsdaten aus dem Jahr 2021. Sie sind damit keineswegs aktuell. Zudem hat die TU Darmstadt zusammen mit dem Forschungslabor „Leap in Time“ herausgefunden, dass man dieses System manipulieren kann. Schwachstellen zeigten sich demnach insbesondere in antisemitischen und rassistischen Äußerungen sowie falschen und ins Leere laufenden Quellenangaben. So habe eine Frage nach dem Klimawandel zu einem Link auf eine Internetseite zu Diabeteserkrankungen geführt. Es kann zudem nicht nachvollzogen werden, welche Quellen ChatGPT wie in seine Aussagen einbezogen hat.

Zwar gebe es Sicherheitsmechanismen, die beispielsweise kriminelle Inhalte verhindern sollen. Diese ließen sich allerdings leicht umgehen. Ändere man das Vorgehen, zeige „die Software einem, wie man eine betrügerische Mail generiert oder wirft auch gleich drei Varianten aus, wie Trickbetrüger beim Enkeltrick vorgehen können. Auch eine Anleitung für einen Wohnungseinbruch liefert GPT. Falls man auf Bewohner treffe, könne man auch Waffen oder physische Gewalt einsetzen.“

Datenschutzbedenken

Auch Datenschutzbedenken mehren sich im Zusammenhang mit ChatGPT. Ein Problem ergibt sich bereits daraus, dass sich alle Server in den USA befinden. Angesichts der allgemeinen rechtlichen Problematik bei Datentransfers in die USA ist daher auch die Nutzung von ChatGPT datenschutzrechtlich bedenklich. Die KI verarbeitet zahlreiche Daten der Nutzer in einer Art und Weise, die für diese nicht nachvollziehbar ist.

Während die Nutzung im privaten Rahmen wohl tatsächlich eine eher unbedenkliche Spielerei ist, müssen sich Unternehmen gut überlegen, ob und wie sie ChatGPT einsetzen wollen. Insbesondere, da Microsoft angekündigt hat, das Tool im Rahmen seines Cloud-Services Azure und in den Office-Paketen verfügbar zu machen, ist die Versuchung groß, es auch im Unternehmen zu verwenden. Hier sollte darauf geachtet werden, möglichst keine personenbezogenen Daten mit ChatGPT zu verarbeiten.

 

Kategorien: Allgemein
Schlagwörter: , , ,

Cookie-Banner bald nicht mehr irreführend?

30. Januar 2023

Ein Arbeitskomitee des Europäischen Datenschutzausschusses (EDSA) hat einen Bericht über Cookie-Banner vorgelegt. Wenn die Datenschutzbehörden diesen Bericht umsetzen, könnten irreführende Cookie-Banner bald Geschichte sein.

Der Bericht regelt auch die Anwendung der ePrivacy Richtlinie und dessen nationalen Umsetzungen, wie dem TTDSG in Deutschland, da es im Anwendungsbereich der Richtlinie keinen einheitlichen Mechanismus gibt. Das bedeutet, dass die Aufsichtsbehörden nicht verpflichtet sind, bei grenzüberschreitenden oder EU-weiten Verarbeitungen eine europaweite Absprache vorzunehmen. Der Bericht bietet jedoch eine abgestimmte Positionierung zu einigen Aspekten, was aus Sicht der Praxis von Vorteil ist.

Abgrenzung ePrivacy Richtlinie und DSGVO

Die Aufsichtsbehörden klären im Bericht das Verhältnis zwischen der ePrivacy Richtlinie und der DSGVO. Sie stellen fest, dass für die Verarbeitungen, die nach der Speicherung von oder dem Zugang zu Informationen auf dem Gerät eines Nutzers stattfinden, wie das Setzen oder Lesen von Cookies, die DSGVO als relevante Rahmengestaltung gilt.

Ablehnung von Cookies auf erster Ebene

Der Berichtsentwurf ist das Ergebnis einer Zusammenarbeit der Datenschutzbehörden im Rahmen des EDSA-Ausschusses für Cookie-Banner. Dieser Entwurf bestätigt bestehende Gesetze und legt eine Mindeststandards für die Bewertung von Cookie-Bannern fest. Viele nationale Richtlinien gehen jedoch weiter.

Laut dem Bericht des EDSA sollen folgenden Praktiken als rechtswidrig angesehen werden:

  • Fehlende Ablehn-Option auf derselben Ebene wie die Zustimmung
  • Bereits angekreuzte Kästchen anstelle einer aktiven Zustimmung
  • Eingebettete Textlinks zur Ablehnung
  • Links außerhalb des Cookie-Banner zur Verweigerung der Zustimmung
  • der Vorwand des berechtigten Interesses an der Installation nicht notwendiger Cookies
  • Keine permanente Möglichkeit, die Zustimmung zu widerrufen

Der EDSA verlangt – präzise formuliert – eine Möglichkeit, die Einwilligung bereits “auf der ersten Ebene” nicht zu erteilen. Dabei müssen Schaltflächen nicht eins zu eins gleich gestaltet sein. Die Ablehnungsmöglichkeit ist, wenn sie in einem Fließtext eingebettet besonders hervorgehoben und sich vom restlichen Text abhebt, wohl zulässig. Dafür genügt etwa Fettdruck, Unterstreichung oder eine andere Farbe.

Dagegen werden einige Fragen im Berichtsentwurf des EDSA nicht vollständig beantwortet. So hat die Taskforce beispielsweise keine Entscheidungen über irreführende Farben und Kontraste von Schaltflächen getroffen und auch nicht geklärt, wo ein gut sichtbarer und standardisierter Ort für die Widerrufserklärung liegen sollte. Die endgültige Version des EDSA-Berichts ist noch nicht veröffentlicht worden.

Bußgeldverfahren gegen PimEyes eröffnet

26. Januar 2023

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü) leitete ein Bußgeldverfahren gegen das Unternehmen “PimEyes” ein. Grund hierfür sei, so der LfDI BaWü die datenschutzwidrige Speicherung biometrischer Daten durch das Unternehmen.

Verarbeitung durch PimEyes

PimEyes ist eine sog. Reverse Suchmaschine. Die Nutzer können alle möglichen Webseiten nach vorhandenen Bildern der eigenen Person durchsuchen lassen. Der LfDI BaWü betonte, dass es sich bei den verarbeiteten Bildern um personenbezogene Daten handele. Diese seien überdies personenbezogene Daten besonderer Kategorie gem. Art. 9 DSGVO. Konkret verarbeite PimEyes biometrische Daten, d.h. persönliche Erkennungsmerkmale, wie etwa die Gesichtsform oder Augenfarbe.

Zur Datenschutzkonformität seiner Dienstleistung, konnte sich PimEyes zunächst ausführlich äußern. Der LfDI BaWü gab bekannt, dass er im Rahmen der Untersuchung unteranderem Fragen zu den implementierten technischen und organisatorischen Maßnahmen gestellt habe.

Das Unternehmen habe vorgebracht, dass es nur Bilder verwende, die im Internet öffentlich zugänglich seien. Mit Hilfe der Bilder seien keine Personen identifizierbar, sodass es an einem Personenbezug fehle. Darüber hinaus sei es möglich betroffene Personen, sofern sie dies wollen, aus der Fotodatenbank auszuschließen. Um diese sog. „Opt-Out“ Möglichkeit wahrzunehmen, müssen die betroffenen Person einen Identitätsnachweis und ein Bild vorlegen. Der Missbrauch von Bildern durch Dritte, verbiete das Unternehmen in seinen Allgemeinen Geschäftsbedingungen.

Biometrische Daten

In seiner Pressemitteilung betonte der LfDI BaWü, dass die Verarbeitung personenbezogener Daten besonderer Kategorie verboten sei. Ausschließlich in den nach Art. 9 Abs. 2 DSGVO normierten Fällen sei die Verarbeitung ausnahmsweise erlaubt.

Demnach habe sich die Frage gestellt, auf welcher Rechtsgrundlage PimEyes die Bilder verarbeite. Für eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO fehle es schon an der Einwilligung der betroffenen Personen. Soweit PimEyes freizugängliche Bilder von Internetseiten verarbeite, stelle sich insoweit die Frage, wann und wie es eine Einwilligung der betroffenen Person einhole. Sofern die betroffenen Person ihre Bilder selbst öffentlich gemacht habe, könne die Ausnahme nach Art. 9 Abs. 2 lit. e DSGVO in Betracht kommen. Allerdings sei es wahrscheinlicher, dass Dritte die Bilder betroffenen Personen veröffentlicht haben. Für eine Verarbeitung im öffentlichen Interesse nach Art. 9 Abs. 2 lit. g DSGVO fehle die erforderliche Beauftragung durch eine öffentliche Stelle.

Fazit

Aus Sicht der Landesbehörde seien viele Fragen im Rahmen der Untersuchung offen geblieben, sodass sie im Ergebnis ein Bußgeldverfahren gegen PimEyes eröffnet habe.

 

Die EU und ihre digitalen Ziele – Update

25. Januar 2023

Bereits 2021 hatte die Europäische Kommission eine Zielvorstellung für digitale Veränderungen in Europa präsentiert, die bis 2030 umgesetzt werden soll. Kurz gefasst sollen dadurch Kompetenzen, digitale Infrastruktur, Digitalisierung in Unternehmen und öffentlichen Diensten gestärkt werden.

Warum ist uns das besonders wichtig? Digitale Veränderungen beinhalten Chancen und Risiken – auch für den Datenschutz.

Die Ziele

Die Europäische Kommission hat ihre Ziele und Strategien im digitalen Kompass zusammengefasst. Ein zentrales Ziel sei unter anderem die digitale Souveränität Europas, die anhand folgender Kernpunkte erreicht werden sollen.

Eine digital befähigte Bevölkerung und hoch qualifizierte digitale Fachkräfte

Bis 2030 sollen etwa 20 Millionen Informations- und Kommunikationstechnologische Fachkräfte weitergebildet werden.

Sichere, leistungsfähige und tragfähige digitale Infrastrukturen

Alle europäischen Haushalte sollen Zugang zu einer Gigabit-Leitung und alle besiedelten Gebiete 5G erhalten. Der weltweit europäische Anteil am Halbleitermarkt soll verdoppelt und 10.000 klimaneutrale, hochsichere Randknoten in der EU errichtet werden.

Digitalisierung von Unternehmen

Die Digitaltechnik soll auf 75% der Unternehmen erhöht werden, indem sie Cloud-Computing, Big Data und künstliche Intelligenz in ihr Unternehmen integrieren

Digitalisierung öffentlicher Dienste

Ziel sei zum Beispiel, dass jeder europäischen Bürger Online-Zugang zu wesentlichen öffentlichen Diensten und ihren elektronischen Patientenakten bekommt

Folgen für den Datenschutz

Die Umsetzung der geplanten Ziele hat weitreichende Folge auf dem Gebiet des Datenschutzes. Es stellen sich diverse Herausforderungen für Verantwortliche.

Förderung von Datenschutzbeauftragten

Die Weiterentwicklung und Erhöhung digitaler Fachkräfte betrifft zum einen die Förderung von Datenschützern und deren Ausbildung. Zum anderen steigt der Bedarf an Sensibilisierung anderer Fachkräfte durch Datenschutzbeauftragte. Nimmt die Verbreitung digitaler Infrastruktur zu und erhöht sich der Stand der Digitaltechnik auf 75%, müssen sämtliche Bereiche ihre Kenntnisse im Datenschutz stärken, um der DSGVO gerecht werden zu können.

Der internationale Datentransfer

Digitale Infrastrukturen sind im Rahmen der digitalen Ziele und damit nicht zuletzt auch beim Datenschutz von Bedeutung. Insbesondere bei der Auftragsverarbeitung (Art. 28 DSGVO) wird auf Dienstleister zurückgegriffen, die Daten in der Cloud von Drittländern verarbeiten. Hier müssen die Bestimmungen des Art. 44 DSGVO beachtet werden, was häufig zu Herausforderungen in Verbindung mit Drittlandtransferprüfungen und Subdienstleistern führt. Im Zuge einer erweiterten digitalen Infrastruktur in der EU könnte eine Alternative zu Drittlandtransfers ausgebaut werden. Anfänge dafür sieht man z.B. an Projekten wie der EU Data Boundary von Microsoft.

Öffentliche und nicht-öffentliche Dienste

Die EU möchte auch die Digitalisierung der öffentlichen Dienste sowie den einfachen Zugang zu Patienten-/Bürgerakten, die sensible Daten nach Art. 9 Abs. 1 DSGVO enthalten können, vorantreiben. An den Schnittstellen dieser Dienste wird eine große Menge von Daten zwischen öffentlichen Stellen und Privatpersonen aber auch nicht öffentlichen Stellen ausgetauscht werden. Vor allem an diesen Stellen herrscht ein hohes Risiko, welches mehr Aufwand wie unter Umständen eine Datenschutz-Folgenabschätzungen und damit das Einführen zusätzlicher Schutzmaßnahmen zur Folge haben kann.

Fazit

Im Ergebnis müssen, trotz der positiven Auswirkungen der Digitalisierung, dennoch die vielseitigen Risiken für den Datenschutz beachtet werden, damit die Digitalisierung Europas ein tatsächlicher Erfolg wird. Leider besteht bislang auf europäischer Ebene Uneinigkeit darüber, wie mit der Lösung dieser Probleme umgegangen werden soll und welche Schwerpunkte gesetzt werden müssen. Es bleibt abzuwarten, welche Gesetzgebungsvorhaben in Zukunft durchgesetzt werden, um das komplexe Zusammenspiel von Datenschutz und Bereichsregulierung zu ordnen.

Privacy by Design wird im Februar ISO-Standard

24. Januar 2023

Es gibt Neuigkeiten! Vierzehn Jahre nach der Einführung durch den kanadischen Datenschutzbeauftragten ist „Privacy by Design“ (PbD) im Begriff, ein internationaler Datenschutzstandard für den Schutz von Verbraucherprodukten und -dienstleistungen zu werden.

Doch was versteht man unter PbD? Hinter dem Begriff „Privacy by design“ verbirgt sich nichts Anderes als „Datenschutz durch Technikgestaltung“. Dahinter steckt der Gedanke, dass der Datenschutz bei Datenverarbeitungsvorgängen am besten eingehalten wird, wenn er bei deren Erarbeitung bereits technisch integriert ist. Das Konzept wurde 2009 vorgestellt und besteht aus einer Reihe von Grundsätzen, die die Berücksichtigung des Datenschutzes im gesamten Datenmanagementprozess einer Organisation fordern. Seitdem wurden sie von der Internationalen Versammlung der Datenschutzbeauftragten und -behörden angenommen und in die europäische Datenschutzgrundverordnung (DSGVO) aufgenommen.

Wer ist die ISO?

Die ISO ist ein Netzwerk von 167 nationalen Normungsgremien. Sie legt über 24.000 Normen fest, darunter die ISO 27001 für Informationssicherheits-Managementsysteme, deren Einhaltung Organisationen nach einer Prüfung durch Wirtschaftsprüfungsunternehmen wie Deloitte, KPMG und PwC zertifiziert werden kann.

Die Verabschiedung durch die ISO gibt der Operationalisierung des Konzepts „Privacy by Design Leben“, so Ann Cavoukian, die PbD-Erfinderin, „und hilft Organisationen, herauszufinden, wie sie es umsetzen können. Der Standard ist so konzipiert, dass er von einer ganzen Reihe von Unternehmen genutzt werden kann – von Start-ups über multinationale Unternehmen bis hin zu Organisationen jeder Größe. Bei jedem Produkt kann dieser Standard eingesetzt werden, weil er einfach zu übernehmen ist. Wir hoffen, dass der Datenschutz proaktiv in die Gestaltung der Abläufe [einer Organisation] eingebettet wird und die Datenschutzgesetze ergänzt.“

Was kommt auf uns zu?

In seiner ursprünglichen Fassung umfasst PbD sieben Grundsätze, darunter die, dass der Datenschutz die Standardeinstellung einer Organisation sein sollte, dass er in die Gestaltung von IT-Systemen und Geschäftspraktiken eingebettet ist und dass er Teil des gesamten Datenlebenszyklus ist.

Die endgültige ISO-Norm 31700 ist detaillierter und enthält 30 Anforderungen verteilt auf 32 Seiten. Sie enthält allgemeine Anleitungen zur Entwicklung von Funktionen, die es den Verbrauchern ermöglichen, ihre Datenschutzrechte durchzusetzen, zur Zuweisung relevanter Rollen und Befugnisse, zur Bereitstellung von Datenschutzinformationen für Verbraucher, zur Durchführung von Datenschutzrisikobewertungen, zur Festlegung und Dokumentation von Anforderungen an Datenschutzkontrollen, zur Gestaltung von Datenschutzkontrollen, zum Datenmanagement über den gesamten Lebenszyklus und zur Vorbereitung auf und zum Umgang mit Datenschutzverletzungen.

In der vorgeschlagenen Einleitung wird darauf hingewiesen, dass sich PbD auf verschiedene Methoden für die Entwicklung von Produkten, Prozessen, Systemen, Software und Dienstleistungen bezieht. Die vorgeschlagene Bibliographie, die dem Dokument beiliegt, verweist auf andere Normen mit detaillierteren Anforderungen an die Identifizierung personenbezogener Daten, Zugangskontrollen, die Zustimmung der Verbraucher, Corporate Governance und andere Themen.

Zusammen mit der Norm wird ein separates Dokument mögliche Anwendungsfälle skizzieren.

Ausblick

Cavoukian wiederholte das Argument, das sie schon seit Jahren vorbringt: Datenschutz kann ein Wettbewerbsvorteil für Unternehmen sein, die ihn annehmen. „Wir müssen uns von dem veralteten Entweder-Oder-Modell von Datenschutz und Geschäft verabschieden“, so ihr Standpunkt. „Das kann eine Win-Win-Situation sein. Es geht um Datenschutz und Geschäftsinteressen. You can do both.“

ISO 31700 wird allerdings zunächst kein Konformitätsstandard sein.

Datenschutzverstöße von Unternehmen: EuGH verhandelt

Am Dienstag, den 17. Januar 2023, fand vor dem Europäischen Gerichtshof die mündliche Verhandlung im Fall “Deutsche Wohnen” (C-807/21) statt. Das Unternehmen war von der Berliner Beauftragten für Datenschutz und Informationsfreiheit mit einem Bußgeld von 14,5 Millionen Euro wegen der unangemessenen Speicherung von Mieterdaten bestraft worden. Der EuGH wird sich nun mit der Frage beschäftigen, ob eine juristische Person in Deutschland nach EU-Recht direkt für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) bestraft werden kann, ohne dass eine Verletzung durch eine identifizierte natürliche Person festgestellt werden muss. Diese Anforderungen sind in der DSGVO nicht vorgesehen.

Der Europäische Gerichtshof hat in der mündlichen Verhandlung ein besonderes Interesse daran gezeigt, wie die Regelungen in Deutschland die europäische Harmonisierung beeinflussen. Da der Fall von großer Bedeutung ist, hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vor der Verhandlung mit einer rechtlichen Stellungnahme positioniert.

Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein und Vorsitzende der Datenschutzkonferenz für das Jahr 2023: „Die Entscheidung in diesem Verfahren wird für Deutschland eine grundlegende Weichenstellung bedeuten. Sie wird daher von den deutschen Datenschutzaufsichtsbehörden mit Spannung erwartet.“

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Die Sanktionierung von Datenschutzverstößen durch Unternehmen ist in Deutschland gegenüber anderen EU-Mitgliedstaaten derzeit deutlich erschwert. Dies widerspricht dem Ziel einer einheitlichen Durchsetzung europäischen Rechts und steht nicht im Einklang mit der DSGVO. Gerade bei großen Konzernen ist der Nachweis einer persönlichen Verursachung in der Unternehmensleitung häufig kaum zu führen. Das Verfahren vor dem EuGH wird hoffentlich in dieser Frage die erforderliche Rechtssicherheit für Unternehmen und Aufsichtsbehörden schaffen.“

Hackerangriff auf T-Mobile USA: 37 Millionen Kund*innen betroffen

20. Januar 2023

Wie das Unternehmen am Donnerstag mitteilte, wurden beim zweiten großen Hackerangriff innerhalb von weniger als zwei Jahren die persönlichen Daten von rund 37 Millionen T-Mobile-Kunden in den Vereinigten Staaten ausgespäht. Die Hacker hatten Zugriff auf Namen, Adressen und Geburtsdaten der Kundinnen und Kunden, nicht aber auf hochsensible Daten wie Sozialversicherungs- oder Kreditkartennummern.

Ermittlungen dauern noch an

In einem Bericht teilte T-Mobile mit, am 5. Januar entdeckt zu haben, dass ein “böswilliger Akteur” an die Daten gelangt war. Mit Hilfe externer Cybersicherheitsexperten habe der Mobilfunkanbieter den Datenabfluss am nächsten Tag gestoppt, hieß es. Allerdings schloss der zum Bonner Telekom-Konzern gehörende US-Mobilfunkanbieter nicht aus, dass der Vorfall, der am oder um den 25. November begann, hohe Kosten verursachen könnte.

“Wir verstehen, dass ein Vorfall wie dieser Auswirkungen auf unsere Kunden hat und bedauern, dass es dazu gekommen ist”, so T-Mobile in einer Erklärung.

Kein Einzelfall

Die neuste Datenpanne ist der achte Hackerangriff auf T-Mobile. Im Juli 2022 musste das Unternehmen in einem Vergleich 350 Millionen Dollar zahlen, um den Vorwurf zu entkräften, dass seine Fahrlässigkeit zu einer Datenpanne im Jahr 2021 geführt hatte. Dazu kamen Ausgaben in Höhe von 150 Millionen Dollar innerhalb von zwei Jahren, um die Datensicherheit zu erhöhen.

5 Mil. Euro Bußgeld gegen TikTok

19. Januar 2023

Die französische Datenschutzbehörde „Commission nationale de l‘informatique et des libertés“ (CNIL) veröffentliche vergangene Woche eine Pressemitteilung, derzufolge sie ein Bußgeld gegen die Social-Media Plattform TikTok in Höhe von 5 Millionen Euro verhängt habe. Der Grund für das hohe Bußgeld sei der rechtswidrige Umgang mit Cookies gewesen.

Schlechter Banner, schlechte Informationen

Die CNIL monierte, dass die Nutzer der Webseite „tiktok.com“ Cookies nicht so leicht ablehnen wie akzeptieren können. Zusätzlich informiere TikTok die Nutzer nur unzureichend über die verschiedenen Cookies, die das Unternehmen auf der Webseite einsetze.

Die französische Behörde gab bekannt, dass sie zwischen Mai 2020 und Juni 2022 die TikTok-Webseite auf ihre Cookie-Konformität hin untersucht habe. Demnach sei Gegenstand der Untersuchung die von TikTok UK und TikTok Ireland betriebene Webseite gewesen. Die Behörde habe die Webseite als nicht registrierter Nutzer besucht.

Konkret sei der CNIL aufgefallen, dass das eingesetzte Banner lediglich einen „Akzeptieren“-Button beinhaltet habe. Das Ablehnen der Cookies sei hingegen nur durch die Betätigung mehrerer Schaltflächen möglich gewesen. Dabei sei es problematisch, dass die Nutzer aufgrund des komplizierten Abwahl-Mechanismus Cookies rasch akzeptierten. Außerdem habe das Unternehmen weder auf dem Banner noch auf der per Link aufrufbaren Unterseite ausreichende Informationen für die Nutzer zur Verfügung gestellt.

Verstoß gegen Art. 82 Datenschutzgesetz

Im Ergebnis habe CNIL einen Verstoß gegen Art. 82 des französischen Datenschutzgesetz festgestellt.

Das Datenschutzgesetz ist ein nationales Regelungswerk, dass die Öffnungsklauseln der Datenschutz-Grundverordnung (DSGVO) umsetzt. Art. 82 des Datenschutzgesetzes legt Regelungen zur Speicherung und zum Auslesen bereits gespeicherter Informationen im Endgerät des Nutzers fest. Dabei ist eine vorherige Information über das Auslesen und Speichern erforderlich. Zusätzlich bedarf es für beide Vorgehensweisen eine Einwilligung.

Die Norm ähnelt der deutschen Regelung des § 25 TTDSG. Diese findet in Deutschland neben der DSGVO für die Gestaltung von Cookie-Bannern und ihrem Einsatz Anwendung.

Dortmunder Datenpanne – Personenbezogene Daten im Lost Place

18. Januar 2023

Wieder einmal sorgt ein sogenannter “Lost Place” für Verantwortliche im datenschutzrechtlichen Kontext für  Schnappatmung. Unter Lost Places versteht man leerstehende Gebäude, denen keine Nutzung mehr zukommt und demzufolge über Jahre hinweg in Vergessenheit geraten. Das Versorgungsamt der Stadt Dortmund soll für eine Datenpanne, in welcher unter anderem sogar besonders sensible Daten i. S. d. Art. 9 DSGVO nicht ordnungsgemäß vernichtet wurden verantwortlich sein. Nach dem Auszug aus dem Gebäude wurden wohl Dokumente im jetzigen Lost Place zurückgelassen. Unter anderem auch Gesundheitsdaten, Details über Bankdaten und auch Namen bis in das Jahr 2007. Das Versorgungsamt stellte vor dem Auszug Elterngeldanträge sowie Ausweise für Menschen mit schweren Behinderungen aus. Die Stadt Dortmund zeigt sich eifrig durch eine angestrebte Begehung sicherzustellen, dass nicht noch mehr Unterlagen auftauchen.

Wie die zuständige Datenschutzbehörde reagieren wird bleibt aufgrund der Aktualität der Geschehnisse noch abzuwarten.

1 2 3 254