Kategorie: Allgemein
26. August 2019
Als Folge eines Sicherheitsvorfalls, durch welchen Unbekannte Zugriff auf eine Kundendatenbank des Webhosters Hostinger erlangten, ließ dieser die Passwörter von 14 Millionen Kunden zurücksetzen.
Laut Hostinger konnten Daten wie Datenbank Namen, E-Mail- , IP-Adressen und Kennwörter eingesehen werden. Bankdaten blieben davor jedoch geschützt, da diese auf einem externen Server hinterlegt sind. Die Kennwörter sind zwar durch einen SHA-1 geschützt worden, jedoch gilt dieser Hash-Algorithmus als sehr unsicher.
Die Nutzer welche sich nun wieder in Ihren Account einloggen wollen, müssen ein neues Passwort vergeben. Der Webhoster bat seine Kunden bei der Vergabe neuer Passwörter darauf zu achten, dass diese nicht bereits bei einem anderen Online-Service genutzt werden.
Zukünftig will Hostinger eine Zwei-Faktor-Authentifizierung (2FA) einrichten um die Accounts seiner Kunden besser zu schützen.
19. August 2019
Medienberichten zufolge haben Hacker aus Israel eine Datenbank aufgespürt, in der circa eine Millionen Fingerabdrücke sowie andere biometrische Daten nahezu ungeschützt abgelegt sind.
Ausweislich des Berichtes handelt es sich hierbei um eine Datenbank für die Software „Biostar 2“. Diese wird von dem koreanischen Unternehmen Suprema Inc. entwickelt und verkauft. Mittels dieser Software wird Unternehmen die Verwaltung der Zugangskontrolle mittels intelligenter Türschlösser ermöglicht. Zu diesem Zweck werden beispielsweise Fingerabdrücke oder sonstige biometrische Daten im System hinterlegt.
Der Vorfall bezöge sich auf mehr als 27 Millionen Datensätze sowie 23 Gigabyte Daten. Diese seien durch Kunden durch lediglich unzureichende Passworte, wie beispielsweise „abcd1234“, gesichert worden. Darüber hinaus seien von Unternehmensseite ebenfalls unzureichende Maßnahmen die zur Sicherung der Daten vorgenommen worden.
Aus datenschutzrechtlicher Perspektive ist die Vertraulichkeit personenbezogener Daten elementar wichtig. Dies zeigt bereits, dass Integrität und Vertraulichkeit personenbezogener Daten einer der Grundsätze für jede Datenverarbeitung im Sinne der DSGVO ist (vgl. Art. 5 Abs. 1 lit f) DSGVO).
15. August 2019
Die Digitalisierung des Gesundheitssystems schreitet weiter voran. Das digitale Versorgungsgesetz (DVG) sieht vor, dass Ärzte künftig Gesundheits-Apps verschreiben können und die Kosten dafür von den Krankenkassen erstattet werden sollen. Viele Patienten nutzen schon jetzt Gesundheits-Apps, die sie zum Beispiel dabei unterstützen, ihre Arzneimittel regelmäßig einzunehmen oder ein Diabetes Tagebuch zu führen.
Bei den Apps werden jedoch in großem Umfang Gesundheitsdaten verarbeitet, welche nach Art. 9 DSGVO zu den sensiblen Daten zählen. Der Einsatz von Gesundheits-Apps birgt damit erhebliche Risiken für das Recht auf informationelle Selbstbestimmung.
Mit Inkrafttreten der EU-Medizinprodukte-Verordnung am 25. Mai 2017 müssen sich Entwickler von Gesundheits-Apps auf deutlich höhere Anforderungen einstellen. Nicht nur nur die Definition weitet sich aus, weshalb mehr Apps der Verordnung unterfallen, auch die Risikoklasse steigt. Bis zum 26. Mai 2020 gilt allerdings noch eine weniger strenge Übergangsregelung.
Laut dem Bundesministerium für Gesundheit soll für die Gesundheits-Apps ein zügiger Zulassungsweg geschaffen werden.
14. August 2019
Externe Unternehmen haben für Facebook Sprachaufnahmen der User seines Messenger-Dienstes ausgewertet. Laut der Finanznachrichtenagentur Bloomberg wussten die Mitarbeiter nicht um was für Daten es sich handelt und sollten diese nur transkribieren.
Betroffen seien die Nutzer des Messenger-Dienstes, die die Transkriptionsfunktion eingeschaltet hatten. Facebook wollte auf diese Weise prüfen, ob die Software die Sätze richtig verstanden hat. Facebook gab außerdem an, dass die betroffenen Nutzer in die Verarbeitung eingewilligt hätten und dass die Auswertung der Sprachaufnahmen pausiert wurde.
Ende Juli erst wurde Facebook eine Rekordstrafe von 5 Milliarden Dollar wegen Datenschutzverstößen auferlegt. Bei einer Anhörung im US-Kongress im April 2018 hat Mark Zuckerberg die Auswertung von Sprachaufnahmen noch als „Verschwörungstheorie“ abgetan.
12. August 2019
Journalisten des Bayerischen Rundfunks (BR) haben festgestellt, dass der Partnervermittlungsdienst „Lovoo“ lediglich über unzureichende Maßnahmen zum Schutz personenbezogener Daten verfügt.
So hätten die Journalisten des BR die Standorte von Nutzern des Dienstes mittels einer „Radarfunktion“ für einen Zeitraum von mehreren Tagen aufgezeichnet. Mit diesen Daten hätte man Bewegungsprofile erstellen und Rückschlüsse auf Wohn- und Arbeitsorte ziehen können. Darüber hinaus ließen sich diese Informationen mit weiteren Profilinformationen wie der sexuellen Orientierung oder hinterlegten Bildern kombinieren.
Die Kritik des BR resultiert daraus, dass der Nutzerstandort mittels eines geometrischen Messverfahrens wohl wesentlich genauer bestimmen lässt als von „Lovoo“ angegeben. Durch die konkrete Lokalisierbarkeit etwaiger Nutzer steigt die Gefahr des Missbrauchs dieser Daten. Das Risiko ist umso größer, da es sich bei den potentiell abgefragten Daten um besonders sensible, mithin schutzwürdige Daten handelt.
„Lovoo“ selbst nahm in einer Pressemitteilung zum potentiell unzureichenden Datenschutz Stellung. Das Unternehmen erläuterte, dass bereits vor Veröffentlichung der Ergebnisse durch den BR Maßnahmen zur Behebung des Problems ergriffen worden wären. So könnten Nutzer nun lediglich in einem Umkreis von maximal 1000 Meter lokalisiert werden. Darüber hinaus sei die mehrfache Abfrage des Standorts von Nutzern in der Umgebung eingeschränkt worden.
8. August 2019
Anfang Juli 2019 hatte die hessische Datenschutzbehörde Schulen die Nutzung von Microsoft Office 365 untersagt. In seiner Stellungnahme erklärte der Hessische Beauftragte für Datenschutz und Informationsfreiheit, dass es unzulässig sei, das Programm an hessischen Schulen einzusetzen, sofern dort personenbezogene Daten in der europäischen Cloud gespeichert werden.
Am 2. August 2019 folgte eine zweite Stellungnahme zum Einsatz von
Microsoft Office 365 in hessischen Schulen. Der Landesdatenschutzbeauftragte
erklärte darin: „Seither fanden intensive Gespräche mit Microsoft über die
Datenschutzkonformität der schulischen Anwendung von Office 365 statt, die zu
einer datenschutzrechtlich veränderten Einschätzung führten und die einen
erheblichen Anteil der Bedenken entkräfteten.“ Im Rahmen dieser Einschätzung erweist sich diese
Überprüfung als außerordentlich komplex und aufwendig, da eine Vielzahl rechtlicher und technischer
Fragen zu klären war.
In seiner zweiten offiziellen Stellungnahme hat der Hessische Beauftragte
für Datenschutz und Informationsfreiheit sich nach intensiven Gesprächen mit
Microsoft dazu entschlossen, den Einsatz von Office 365 in hessischen Schulen
unter bestimmten Voraussetzungen und dem Vorbehalt weiterer Prüfungen zum
gegenwärtigen Zeitpunkt zu dulden. Die Einschätzung betrifft die Version ab
1904 (für die Produkte Office 365 ProPlus, Office 365 Online und
Office 365 Apps) und der Landesdatenschutzbeauftragte betont, dass Schulen
Office 365 einsetzen dürfen, wenn sie die Übermittlung jedweder Art von
Diagnosedaten unterbinden.
Zu gegebener Zeit wird der Landesdatenschutzbeauftragte weitere
Vorgaben hinsichtlich der Parameter machen, die als Grundlage für die Nutzung
der Cloud umzusetzen sind. Dazu wird
auch Microsoft Schulen Handlungsanleitungen zur Verfügung stellen.
Allerdings können sich die Schulen, die den Erwerb beabsichtigen,
ebenfalls auf die Duldung berufen, aber tragen das finanzielle Risiko, falls
die weitere Überprüfung zur Unzulässigkeit des Einsatzes von Office 365 in
hessischen Schulen führen sollte.
6. August 2019
Eine Liste mit den Datensätzen von 2025 registrierten Journalisten, Analysten, Influencern, Korrespondenten und Produzenten war auf der E3-Website mindestens einige Tage lang abrufbar.
Als Erste machte die Journalistin Sophia Narwitz in einem Youtube-Video auf die Datenpanne aufmerksam, nachdem sie selbst über eine anonyme E-Mail davon Kenntnis erlangt hat.
Inzwischen ist die Liste zwar nicht mehr im Google-Cache, offenbar wurde sie jedoch von Unbekannten kopiert und ist nun andernorts im Internet zu finden.
Der eigentliche Zweck solcher Listen ist, dass Aussteller die Teilnehmer der Messe nach deren Einwilligung kontaktieren können. Laut dem Veranstalter war das Dokument zunächst nur per Passwort erreichbar, erschien dann aber als Download auf einer E3-Unterseite. Ungeklärt bleibt noch, wie es zu diesem Vorfall kam.
5. August 2019
Bei einer der
größten Datenpannen in der nordamerikanischen Finanzbranche erhielt eine
Hackerin Zugriff auf Konten und Kreditkartenanwendungen von US-Bank-Kunden. Die
US-Bank, die ihren Sitz in Virginia hat, berichtete, dass Daten von mehr als
100 Millionen US-Bürgern und 6 Millionen Kanadiern gestohlen wurden.
Nach Angaben
der Bank seien persönliche Daten von Kreditkartenanträgen und existierenden
Kreditkarten betroffen, etwa Namen, Adressen, Telefonnummern,
E-Mail-Adresse, Geburtsdaten und angegebenes Einkommen sowie Informationen zur
Kreditwürdigkeit und Verfügungslimits. Jedoch seien keine
Kreditkartenkontonummern oder Anmeldeinformationen betroffen, stellte die
US-Bank fest.
Die Hackerin hatte zuvor als Software-Entwicklerin bei Amazon Web Services gearbeitet, dem Cloud-Anbieter der US-Bank. Wie die US-Bank betont, habe die entdeckte Schwachstelle nicht speziell an der Cloud-Umgebung gelegen. Laut Bloomberg handelte es sich um eine falsch konfigurierte Firewall, die den Datendiebstahl ermöglicht habe.
Die Hackerin soll bereits Informationen über den Hack in Sozialen Medien veröffentlicht haben. Die US-Bank bemerkte den Datendiebstahl erst nach einer entsprechenden E-Mail von einem Nutzer, der vor einem potenziellen Datenleck warnte, das mit dem mutmaßlichen Angreifer in Verbindung steht. Laut US-Bank „ist es unwahrscheinlich, dass die Hackerin die erbeuteten Daten weiterverbreitet oder betrügerisch eingesetzt habe.“
Der Skandal
schlägt inzwischen auch Wellen bis nach Europa. Eine italienische Bank wird mit
einem Datendiebstahl bei der US-Bank in Zusammenhang gebracht.
1. August 2019
Der Bundesbeauftragte für Datenschutz und Informationsfreiheit, Herr Prof. Ulrich Kelber möchte künftig die Sprachassistenten „Alexa“ und „Siri“ überprüfen. Zumindest geht dies aus Medienberichten sowie einer Mitteilung des Bundestages hervor. Er betonte, dass sich mit den in Rede stehenden Sprachassistenten beschäftigt und deren datenschutzrechtliche Konformität auf Grundlage der Datenschutzgrundverordnung geprüft werden müsse.
Darüber hinaus hat der Hessische Landesdatenschutzbeauftragte, Herr Prof. Ronellenfitsch die Nutzung von Microsoft Office 365 an Schulen verboten. Dies sind nur zwei Beispiele dafür, dass die Aufsichtsbehörden mittlerweile langsam die Überforderung des ersten Jahres nach Inkrafttreten der DSGVO überwinden und zum täglichen Geschäft übergehen.
Ob dies tatsächlich der Fall ist und wie die Meinung der Aufsichtsbehörden bezüglich der Umsetzung der DSGVO im Allgemeinen aussieht, können Sie beim datenschutzticker.live, am 30.10.2019 in der Wolkenburg in Köln erfahren. Im Rahmen des datenschutzticker.live werden unter anderem sowohl Herr Prof. Kelber als auch Herr Prof. Ronellenfitsch und der Landesdatenschutzbeauftragte für Sachsen-Anhalt, Herr Dr. von Bose über aktuelle Themen referieren.
Hierfür müssen Sie sich lediglich verbindlich anmelden. Die Veranstaltung ist kostenlos.
30. Juli 2019
Der EuGH hat vergangenen Montag in einem Urteil verkündet, dass Webseiten mit integrierten Facebook „Gefällt mir“-Button eine Mitverantwortung für die Erhebung und Übermittlung von personenbezogenen Daten an Facebook tragen (C-40/17).
Die Betreiber der Webseiten müssen in diesem Falle über die Erhebung der Daten informieren und eine entsprechende Einwilligung einholen. Für die weitere Verarbeitung nach Übermittlung der Daten ist Facebook alleinverantwortlich.
In dem konkreten Fall ging es darum, dass der Webseitenbetreiber Fashion ID den „Gefällt mir“-Button eingesetzt hat um sein Onlinesortiment zu bewerten. Die personenbezogenen Daten wurden jedoch bereits bei Aufsuchen der Webseite an Facebook übermittelt, vollkommen unabhängig, ob der Webseiten-Nutzer einen „Gefällt mir“-Button genutzt hat oder überhaupt ein Facebook-Account betreibt. Die Klage ging von der Verbraucherzentrale NRW aus, die eine Datenübermittlung ohne Einwilligung stark kritisierte.
Das Verfahren begann beim Landgericht Düsseldorf und führte über das Oberlandesgericht Düsseldorf zum Europäischen Gerichtshof.
Die Entscheidung des EuGH wurde mit dem Prinzip der „Gemeinsamen Verantwortung“ gemäß Art. 26 DSGVO untermauert, wodurch Fashion ID selbst auf seiner Webseite über die Erhebung, Nutzung und Übermittlung der personenbezogenen Daten informieren und die Einwilligung der Nutzer einholen muss.
Der Digitalverband Bitkom kritisierte die Entscheidung des EuGH, da sich diese auf alle Social-Media-Plugins auswirken wird und Cookie-Banner sowie Datenschutzerklärungen bereits viel Platz auf den Webseiten einnehmen ohne vom Nutzer genügend Beachtung zu erhalten.
