Kategorie: Allgemein
9. April 2021
Letzte Woche wurde bekannt, dass personenbezogene Daten von über 530 Millionen Facebook-Nutzern in einer Datenbank öffentlich zugänglich gemacht worden sind. Nun gibt es einen ähnlich schwerwiegenden Vorfall auch bei LinkedIn. Am Mittwoch berichtet Cyber-News, dass 500 Millionen LinkedIn Nutzer Ziel eines Hackerangriffs geworden sind und deren Daten auf einem beliebten Hacker-Forum zum Verkauf angeboten werden.
Im Falle von LinkedIn, die zu diesem Vorfall auf ihrer Homepage bereits ein Statement abgaben, heißt es, dass die gehackten Daten nur veröffentlichte Informationen enthalten. “Es handelt sich dabei um öffentlich einsehbare Mitgliederprofildaten, die von LinkedIn abgegriffen worden zu sein scheinen. Es handelte sich nicht um eine LinkedIn-Datenverletzung, und es waren keine privaten Mitgliederdaten von LinkedIn in den Daten enthalten, die wir überprüfen konnten.”
Laut Cyber News umfassen die gehackten Daten Konto-IDs, vollständige Namen, E-Mail-Adressen, Telefonnummern, Arbeitsplatzinformationen, Geschlechter und Links zu anderen Social-Media-Konten. Insgesamt waren 500 Millionen Nutzer betroffen, eine hohe Zahl bei insgesamt 740 Millionen Mitgliedern, so könnten etwa zwei Drittel der Nutzerbasis der Plattform betroffen sein.
Über die weiteren Entwicklungen in diesem aktuellen Fall werden wir Sie auf dem Laufenden halten.
8. April 2021
Die Europäische Kommission verfolgt das Thema Cybersecurity mit hoher Priorität. In diesem Zuge wurde im Dezember 2020 ein Vorschlag für eine neue Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) vorgelegt. Diese soll die bestehende Richtlinie ablösen.
Die Erneuerung der NIS-Richtlinie stellt eine Reaktion auf vergangene Sicherheitsvorfälle öffentlicher und privater Einrichtungen auf dem Gebiet der Cybersicherheit dar. Der Vorschlag beinhaltet eine neue Cybersicherheitsstrategie, welche die Resilienz und Reaktion innerhalb der EU verbessern soll. Auch umfasst ist einen Vorschlag für eine Richtlinie über die Abwehr von Angriffen durch Betreiber wesentlicher Dienste, die physische Bedrohungen von diesen Betreibern abwenden soll.
Praktische Auswirkung wird der Entwurf auch für Unternehmen des Gesundheitssektors entfalten. Der Vorschlag sieht in diesem Bereich deutlich verschärfte Pflichten vor. So sollen Unternehmen des Gesundheitssektors technische und organisatorische Maßnahmen ergreifen, die dem Stand der Technik entsprechen und damit ein angemessenes Sicherheitsniveau für die IT-Systeme gewährleisten. Dazu definiert der Entwurf einige Mindestanforderungen an das Risikomanagement, in dem etwa Datenverschlüsselung, Risikobewertungen und eine besondere Berücksichtigung der Lieferkette vorgesehen sind. Durch die Einführung solcher Mindeststandards könnten in Zukunft Vorfälle, wie der durch einen Hackerangriff verursachten Todesfall im Universitätsklinikum Düsseldorf, vermieden werden.
Mit der Erneuerung der NIS-Richtlinie reagiert die EU mithin auch auf die wachsende digitale Verantwortung, welche sich insbesondere in der COVID-19-Pandemie drastisch erhöht hat.
In einem Hacker-Forum sind vor kurzem Daten von 533 Millionen Facebeook-Nutzern aufgetaucht, die zumindest potentiell für Identitätsdiebstahl missbraucht werden könnten.
Konkret enthält der Datensatz die Telefonnummern, E-Mail-Adressen, Geburts- und andere Daten von Facebook-Nutzern aus über 106 Ländern der Welt. Eine Facebook-Sprecherin kommentierte den Vorfall auf Twitter und beschwichtigte, dass es sich um Daten handele, die bereits im August 2019 abhandengekommen seien, das Problem mittlerweile aber behoben wurde.
An die Daten kamen die Hacker wohl durch sogenanntes Scraping, bei dem über automatisierte Anfragen Daten in großem Stil abgegriffen werden können. Bereits 2019 waren Telefonnummern von 420 Millionen Nutzern in Netz aufgetaucht, nachdem eine Funktion zur Freundessuche für den Datenabgriff missbraucht wurde (wir berichteten).
Trotz Beschwichtigung seitens Facebook ist auch die Irische Datenschutzbehörde auf den Fall aufmerksam geworden und äußerte sich gegenüber der BBC dahingehend, eine eigene Prüfung anzustoßen, bei der festgestellt werden soll, um was für Daten es sich tatsächlich handelt.
7. April 2021
Für die Übermittlung personenbezogener Daten in Drittländer sind durch Entscheidung des EuGH bereits Voraussetzungen für Unternehmen entwickelt worden. Diese sollten insbesondere in Anbetracht der aktuellen Arbeit der Datenschutzbehörden von den Unternehmen regelmäßig überprüft werden.
In dem konkreten Fall geht es um Mailchimp, einem US-Newsletter Dienstleister. Ein Newsletter Empfänger war an die bayerische Datenschutzbehörde herangetreten. Die Datenschützer entschieden, dass die Nutzung des Newsletter Dienstes nicht zulässig sei.
Mailchimp nutzt für die Übermittlung der personenbezogenen Daten in Drittländer die EU-Standardvertragsklauseln nach Artikel 46 der DSGVO. Zusätzlich muss jedoch eine Prüfung vorgenommen werden, die das Datenschutzniveau ermittelt, um die Notwendigkeit “zusätzlicher Maßnahmen” festzustellen.
Weil die Prüfung nicht geschah, entschied das Bayerische Landesamt für Datenaufsicht, dass Mailchimp von dem Unternehmen nicht weiter genutzt werden darf. Die Entscheidung der Datenschutzbehörde zeigt die Notwendigkeit der Einhaltung der Vorgaben bei der Übermittlung von Daten in Drittländer. Damit wird bei der Datenübertragung in die USA die Datenschutzkonformität in den Vordergrund gestellt.
Es liegt im Verantwortungsbereich des Unternehmens die Maßnahmen, die der Anbieter im Drittland trifft, datenschutzrechtlich zu prüfen, um die personenbezogenen Daten zu schützen. Daraus folgend kann das Unternehmen alternative Anbieter ermitteln oder den Aufwand für eine Umstellung festhalten.
Der Hessische Beauftragte für Datenschutz und Informationsfreiheiten Alexander Roßnagel kündigte das Ende der Duldung für den Einsatz von Microsoft Teams an Schulen an. Das Kultusministerium sucht nun Ersatz.
Bisher wurde an hessischen Schulen Microsoft Teams für den Distanz-Unterricht genutzt. Dies duldete der hessische Datenschutzbeauftragte. Nun wird die Frist am 31. Juli 2021 enden.
In einer Stellungnahme hieß es dabei, dass die Duldung der Videokonferenzsysteme von US-Anbietern – im speziellen Microsoft Teams – ausläuft. Dies sei vorher nur verlängert worden, weil kein Ersatz da war. „Der Grund für den verlängerten Zeitraum bis Ende Juli dieses Jahres lag in dem gescheiteren Bemühen des Hessischen Kultusministeriums (HKM), den hessischen Schulen bis zum Beginn des aktuellen Schuljahres ein landeseinheitliches, datenschutzkonformes Videokonferenzsystem zur Verfügung zu stellen.” Zudem hatten die „Komplexität des Ausschreibungsverfahrens sowie die Klärung grundsätzlicher Fragestellungen zum Datenschutz” dazu geführt. Eine weitere Verlängerung dieser Duldung sei „ausgeschlossen“.
Wie der Datenschutzbeauftragte mitteilt, sei vielmehr davon auszugehen, „dass bis zum Beginn des neuen Schuljahres eine Anwendung zur Verfügung steht, die sowohl den technischen als auch datenschutzrechtlichen Anforderungen entspricht.“ Hierzu wird ein europaweites Ausschreibungsverfahren durchgeführt. Der fortlaufende Einsatz von Microsoft Teams ist dann also nicht mehr „erforderlich noch datenschutzrechtlich zulässig”. Auch weitere Bundesländer prüfen derzeit Alternativen zu US-amerikanischen Softwareprodukten.
Die Nachverfolgung persönlicher Kontakte wird seit Beginn der Covid-19-Pandemie als ein wirksames Mittel zur Pandemiebekämpung betrachtet. Nachdem das Robert-Koch-Institut die Corona-Warn-App veröffentlichte, machten sich auch private Anbieter an die Entwicklung entsprechender Apps, wie beispielsweise die App Luca. In einer Stellungnahme vom 26. März hat sich die Datenschutzkonferenz (DSK) – das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder – zu diesen Thema geäußert.
Öffentliche Stellen wollen privat betriebene Apps nutzen
Hintergrund der Stellungnahme ist, dass nunmehr einige Länder und Landkreise die Absicht bekundet hätten, private entwickelte Apps zu nutzen und auch eine Verbindung zu den lokalen Gesundheitsämtern zu ermöglichen. Dabei weist die DSK noch einmal darauf hin, dass ein solches Vorgehen datenschutzkonform erfolgen müsse. Dies sei in datensparsamer Weise aber nur dann möglich, wenn es bundesweit auf einheitliche Regelungen gestützt werde. Solche gesetzliche Regelung fehlten jedoch, so die DSK.
DSK zu den Anforderungen an die Datensicherheit
Auch fasst die DSK noch einmal zusammen, welche Funktionen eine App zur Gewährleistung der Datensicherheit aufweisen sollte: Ende-zu-Ende-Verschlüsselung (sodass auch der Betreiber nicht auf die Daten zugreifen kann), automatisierte fristgemäße und datenschutzkonforme Datenlöschung, sichere Wege zur Datenübermittlung von Nutzer/Veranstalter zum Gesundheitsamt (anstatt E-Mail oder Fax), strikte Zweckbindung der Daten (sichergestellt durch entsprechende technische und organisatorische Maßnahmen) sowie unverzügliche Information über das Infektionsrisiko. Aus organisatorischer Sicht müsse die datenschutzrechtliche Verantwortung klar verteilt werden, Betroffenenrechte seien transparent und eindeutig zu regeln und die Freiwilligkeit der digitalen Erhebnung sicherzustellen.
Auch Luca-App habe noch Anpassungsbedarf
In Bezug auf die App Luca seien bereits wesentliche Punkte sichergestellt, jedoch identifiziert die DSK auch hier noch notwendige Anpassungen. So sieht die DSK die derzeit implementierte zentrale Speicherung aller erhobenen Daten kritisch und möchte hier auf eine dezentrale Speicherung hinwirken. Problematisch sei zudem, dass der Schlüssel zur Entschlüsselung der Daten (es gebe nur einen Schlüssel für alle Gesundheitsämter) bei dem Anbieter liege. Hier könne beispielsweise ein Hacker-Angriff alle erhobenen Daten in Gefahr bringen.
DSK: Orientierungshilfe für Betreiber und Appell an Gesetzgeber
Schließlich betont die DSK die Verantwortung der zuständigen Aufsichtsbehörden, die Systemsicherheit zu überprüfen und mit den Anbietern entsprechender Apps im Gespräch zu bleiben. Zur Unterstützung werde die DSK eine Orientierungshilfe für die App-Betreiber erarbeiten und kurzfristig veröffentlichen. Gleichzeitig appelliere die DSK an die Gesetzgeber des Bundes und der Länder, bundeseinheitliche gesetzliche Regelungen zur digitalen Kontaktnachverfolgung zu schaffen. Dabei sei auch zu prüfen, inwieweit mit datensparsameren Verfahren das Ziel der Kontaktnachverfolgung im Rahmen der aktuellen Pandemiebekämpfung erreicht werden kann.
6. April 2021
Weil Booking.com einen Datenschutzvorfall zu spät gemeldet hat, hat die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens (AP) eine Strafe in Höhe von 475.000 Euro verhängt. Bereits 2019 konnten Hacker auf die Daten von über 4000 Kunden zugreifen, darunter auch Personalausweis- und Kreditkartendaten. Die Entscheidung zeigt, dass nicht nur die Verhinderung von Datenpannen höchste Priorität hat, sondern auch der konstruktive Umgang mit den Betroffenen und der Aufsichtsbehörde, wenn es doch einmal zur Datenpanne gekommen ist.
Über Mitarbeiterkonten mehrerer Hotels in den Vereinigten Arabischen Emiraten haben die Hacker Zugang zu den Daten bekommen. Dieser Zugang könnte durch “social-engineering”-Techniken (im negativen Kontext: das Ausnutzen einer Schwachstelle eines Menschen) oder Phishing erlangt worden sein. Daher sieht sich Booking.com nicht in der Verantwortung und stellt sich auf den Standpunkt, die Daten seien nicht über die eigene IT-Infrastruktur abgegriffen worden.
Die AP sieht hingegen Hinweise auf eine Mitverantwortung des Betreibers. Das große Problem für Booking.com ist jedoch, dass sie die Datenpanne erst nach 22 Tagen den betroffenen Kunden und nach 25 Tagen der Aufsichtsbehörde gemeldet haben. Nach Artikel 33 Abs. 1 DSGVO muss eine entsprechende Meldung aber binnen 72 Stunden nach Bekanntwerden beim Verantwortlichen erfolgen. Booking.com arbeitet nun an einer Verbesserung seiner internen Prozesse.
1. April 2021
EU-Justizkommissar Didier Reynders und der Vorsitzende der Kommission für den Schutz personenbezogener Daten Yoon Jong In haben den erfolgreichen Abschluss der Angemessenheitsgespräche bekannt gegeben. Die Gespräche begannen bereits 2017. Beim Thema Datenschutz herrsche ein hohes Maß an Übereinstimmung zwischen der EU und der Republik Korea. Beide Seiten einigten sich auf einige zusätzliche Garantien, um das Schutzniveau in Südkorea noch einmal zu stärken. Zuvor wurden im südkoreanischen Datenschutzgesetz entscheidende Änderungen beschlossen, u.a. eine Stärkung der Ermittlungs- und Durchsetzungsbefugnisse der PIPC, der unabhängigen Datenschutzbehörde der Republik Korea.
Bis es zum freien Datenfluss kommen kann, muss die EU-Kommission das Verfahren zur Annahme ihrer Angemessenheitsfeststellung einleiten. In diesem Verfahren muss der Europäische Datenschutzausschuss eine Stellungnahme abgeben und ein Ausschuss, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt, zustimmen. Anschließend stellt sie die Angemessenheit fest.
Die EU-Kommission kann gemäß Art. 45 Abs. 3 DSGVO beschließen, dass ein Drittland ein “angemessenes Schutzniveau” bietet, also der Schutz personenbezogener Daten im Wesentlichen mit dem in der EU vergleichbar ist. Auf Grundlage dieser Angemessenheitsbeschlüsse dürfen personenbezogene Daten aus der EU in das Drittland übermittelt werden, ohne das weitere Schutzmaßnahmen ergriffen werden müssen. Südkorea wird das 13. Land sein, in das personenbezogene Daten auf der Grundlage eines Angemessenheitsbeschlusses übermittelt werden dürfen.
31. März 2021
Ein Verstoß gegen die Bestimmungen des 5. Kapitels der DSGVO (Art. 44 ff. DSGVO) liegt dann nicht vor, wenn personenbezogene Daten von Beschäftigten vor der Einführung der DSGVO am 25. Mai 2018 an eine Konzernmutter in ein Drittland (USA) übermittelt wurden. Auch ein Anspruch auf Schadensersatz gem. Art. 82 DSGVO im Zusammenhang mit der Datenübermittlung und weitergehenden Verarbeitung von personenbezogenen Daten an bzw. bei der Konzernmutter in den USA steht einem Beschäftigten nicht zu. Das hat das Landesarbeitsgericht (LArbG) Baden-Württemberg mit Urteil v. 25.02.2021, Az. 17 Sa 37/20 entschieden.
Wie wir bereits berichteten, stellt die Datenübermittlung in die USA seit dem Schrems-II-Urteil viele Unternehmen vor Herausforderungen. Eine Datenübermittlung in ein Drittland ist seitdem nur unter Einhaltung der in Kapitel 5 genannten Anforderungen der DSGVO zulässig, die in der Praxis aber nur selten vorliegen. Werden diese Anforderungen nicht eingehalten und erfolgt eine Datenübermittlung dennoch, liegt ein Verstoß gegen die Bestimmungen der DSGVO vor.
Dieser Verstoß kann zu einem Recht auf Schadensersatz nach Art. 82 DSGVO führen. Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Nur wenn der Verantwortliche nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, wird er von der Haftung befreit.
Sachverhalt
Einen solchen Schadensersatzanspruch hat der Kläger im vorliegenden Fall geltend gemacht. Diesen begründete er damit, dass er durch die im Jahr 2017 erfolgte Datenübermittlung seines Arbeitgebers an die Konzernmutter in den USA und wegen der dortigen Verarbeitung seiner Daten, einen immateriellen Schaden erlitten habe. Als Schaden machte er die Gefahr eines Missbrauchs der Daten durch die Ermittlungsbehörden in den USA oder andere Konzerngesellschaften bzw. einen Kontrollverlust geltend.
Die Entscheidung
Das Gericht erkannte in dem konreten Fall zwar an, dass solche Umstände grundsätzlich zur Begründung eines immateriellen Schadens im Sinne von Art. 82 DSGVO in Betracht kommen. Es verneinte eine Haftung des Arbeitgebers vorliegend jedoch, da es an einem konkreten Verstoß gegen die Bestimmungen der DSGVO fehlte. Insbesondere erfordere Art. 82 DSGVO, dass der Schaden “wegen eines Verstoßes” gegen die DSGVO entstanden ist, d.h. einem Verordnungsverstoß zugeordnet werden könne (Kausalität). Einen solchen Anknüpfungspunkt für den Schaden konnte das Gericht vorliegend aber nicht feststellen, da die Datenübermittlung in die USA stattgefunden hat, als die DSGVO noch nicht in Geltung war.
Die “Schutzgemeinschaft für allgemeine Kreditsicherung”, kurz Schufa, könnte verkauft werden. Der Finanzinvestor EQT hat sein Interesse an der Auskunftei bekundet und damit den Stein ins Rollen gebracht. Auch andere Private-Equity-Investoren wie die US-amerikanische Hellman & Friedman sollen zu den Interessenten gehören. Die Eigentümer der Schufa sind zu großen Teilen Banken und Einzelhandelsunternehmen. Konkret soll es sich bei den verkaufsbereiten Eigentümern um die Commerzbank und die Deutsche Bank handeln. Im Verkaufsfall könnte die Schufa mit 2 Milliarden Euro bewertet werden. Allerdings befinden sich die Gespräche noch in einem frühen Stadium.
Die Schufa ist eine Kreditauskunftei, die 1927 mit dem Ziel gegründet wurde, Bonitätsauskünfte zu erteilen. Die Informationen über die Bonität verkauft die Schufa Holding AG an Unternehmen und die Bewerteten. Zu diesem Zweck hält sie Daten von 68 Millionen Deutschen sowie 6 Millionen Unternehmen bereit. Jeder, der einmal einen Mietvertrag oder Handyvertrag abschließen oder ein Auto finanzieren wollte, kann davon ausgehen, mit der Schufa in Kontakt gekommen zu sein.
Ob es zu einem Verkauf kommt oder nicht, ein Politikum könnte sich auf jeden Fall daraus entwickeln. Datenschützer werden den weiteren Prozess aufmerksam verfolgen, wenn sich ein amerikanischer Finanzinvestor in diesen immensen Datenschatz einkaufen könnte. In der jüngeren Vergangenheit hat die Schufa einige Kritik erfahren, als sie mit dem Projekt “Check Now” Kontoauszüge von Kunden auswerten wollte. Die Kritik hat allerdings dazu geführt, dass “Check Now” in der bisher geplanten Form eingestellt wird. Noch kritischer war eine parlamentarische Anfrage der Linken, die die Frage aufwirft, ob Bonitätsauskünfte der Schufa (und anderer) mit den Menschenrechten vereinbar seien.
