Kategorie: DSGVO
22. Juni 2021
Die unzulässige Weitergabe von Gesundheitsdaten rechtfertigt ein Schmerzensgeld in Höhe von 10.000 Euro, das entschied das Landgericht Meiningen mit Urteil vom 23.12.2020 (Az. (122) 3 O 363/20.
Sachverhalt
Zwischen den Parteien bestand ein Unfallversicherungsvertrag. Nachdem der Kläger einen Verkerhrsunfall erlitt und dabei schwer verletzt wurde, führten die Parteien ein Verfahren vor dem Landgericht Meiningen, in dem es um die Ansprüche aus dem Unfallversicherungsvertrag ging. Gleichzeitig führte der Kläger auch ein Verfahren gegen die Haftpflichtversicherung des anderen Unfallbeteiligten vor dem Landgericht Erfurt, in welchem es um die Geltendmachung weiterer Schadensersatzansprüche ging. Die Beklagten aus beiden Verfahren wurden dabei durch dieselbe Anwaltskanzlei vertreten.
Im Rahmen des Verfahrens vor dem Landgericht Meiningen holte der Unfallversicherer ein Gutachten zum Gesundheitszustand des Klägers ein. Mit Einverständnis der beklagten Unfallversicherung, aber ohne Einwilligung des Klägers, zitierte die für beide Verfahren zuständige Kanzlei auch im Erfurter Verfahren wörtlich aus dem Gutachten, das den Gesundheitszustand des Klägers bewertete und im Auftrag der Unfallversicherung erstellt wurde.
Darin sah der Kläger einen Vertoß gegen die vertraglichen Pflichten der Unfallversicherung, insbesondere seine Gesundheitsdaten seien besonders schützenswert, auch datenschutzrechtlich. Außerdem könne ein negativer Einfluss auf den Ausgang des Erfurter Prozesses durch das Bekanntwerden des Gutachtens nicht ausgeschlossen werden. Die Beklagte hingegen sah keinen Verstoß gegen datenschutzrechtliche Bestimmungen. Sie war der Auffassung, sie müsse sich eine etwaige Pflichverletzung Dritter, d.h. der Kanzlei, nicht zurechnen lassen. Diese sei eine eigenständige datenverarbeitende Stelle im Sinne der DSGVO.
Entscheidung
Das Gericht gab der Klage teilweise statt und sprach dem Kläger ein Schmerzensgeld in Höhe von 10.000 Euro aufgrund einer Nebenpflichtverletzung aus dem Versicherungsvertrag zu.
Dazu stellte es fest, dass die Beklagte dem Kläger gegenüber gem. § 241 Abs. 2 BGB zur Verschwiegenheit verpflichtet war. Es führte aus, dass sensible Daten des anderen Teils Dritten nicht ohne Weiteres offenbart werden dürften, und zwar auch dann nicht, wenn die Vertraulichkeit nicht spezialgesetzlich oder in Vertragsbedingungen ausdrücklich geregelt sei. Aus dem Versicherungsvertrag ergebe sich die Nebenpflicht, die aus diesem Vertragsverhältnis erlangten Daten nicht an Dritte weiterzugeben. Bei den Gesundheitsdaten handle es sich um sensible Daten, die besonders geschützt seien. Auch eine Rechtfertigung für die Weitergabe der Daten aus Art. 6 Abs. 1 lit. f DSGVO, einem berechtigten Interesse, verneinte das Gericht. Danach, so das Gericht, sei die Verarbeitung, zu der auch die Weitergabe von Daten an Dritte gehört, rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen und Grundrechte der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Das Gericht sah das Recht des Klägers auf Schutz seines Allgemeinen Persönlichkeitsrechts gem. Art. 2 Grundgesetz gegenüber dem Recht der Versicherung, die in Erfurt verklagt worden war, sich im Prozess zu verteidigen, als überwiegend an. Es erkannte keinen zwingenden Grund für die Verwertung des Gutachtens in dem Verfahren in Erfurt. Zudem hätten in dem Erfurter Verfahren auch noch gerichtliche Gutachten eingeholt werden können.
Die Verletzung des Allgemeinen Persönlichkeitsrechts stufte das Gericht auch als besonders schwerwiegend ein, da es sich bei den Gesundheitsdaten um höchstpersönliche Daten der Intimssphäre handelte.
21. Juni 2021
Der Negativpreis “Big Brother Award” in der Kategorie Gesundheit geht 2021 an das Berliner Unternehmen Doctolib. Laut Jury missachtet der Vermittler von Arztterminen auf seiner Internetplattform die Vertraulichkeitspflicht. Zudem soll er die Daten der Nutzer und jene aus Arztpraxen für kommerzielle Marketingzwecke verarbeiten.
Weiteres Datenschutz-Debakel
Der Terminvergabe-Dienstleister Doctolib hat zudem die Suchanfragen von Patienten per URL-Weitergabe mit Facebook und Outbrain geteilt. Über Doctolib können auch Termine bei Ärzten verschiedener Fachrichtungen gebucht werden. Dabei ist es auch möglich, direkt nach dem gewünschten Arzt zu suchen. Wer nicht sicher ist, welcher Arzt am ehesten angesprochen werden soll, kann beliebige Suchbegriffe nutzen. Auf diese Weise kann die Zielgruppe eingegrenzt werden. Für Patienten war jedoch nicht ersichtlich, dass Doctolib die Daten aus der Anfrage in einem Cookie speichert und per Get-URL an seine Marketingpartner Facebook und Outbrain versendet.
Doctolib hat allerdings mittlerweile die Datenübertragung und die schlecht erklärte Einwilligung eingeräumt und am vergangenen Wochenende nachweislich abgeschaltet, berichtet Mobilsicher.de, die sich Doctolib näher angesehen hatten. Zudem habe Doctolib nach eigenen Angaben bei Facebook und bei Outbrain veranlasst, dass alle über die Cookies erfassten Daten aus der Vergangenheit gelöscht werden.
18. Juni 2021
Apple CEO Tim Cook hat mit einem neuen Video auf dem YouTube-Kanal von Apple UK, Apple’s neue Datenschutzfunktionen für europäische Nutzer vorgestellt. Dieses sechsminütige Video enthält hauptsächlich datenschutzrelevante Clips von der WWDC (Worldwide Developers Conference von Apple).
Es scheint als habe sich Apple dazu entschlossen, vor allem zu den europäischen Nutzern zu sprechen, da die Privatsphäre in diesem Kontinent als besonders wichtig erachtet wird. Die Europäische Union hat 2018 mit der Datenschutzgrundverordnung ein sehr umfangreiches und strenges Datenschutzgesetz eingeführt. Selbst Apple musste seine Sicherheitsvorkehrungen verstärken, um den extrem hohen Standards des Gesetzes gerecht zu werden. Während einige amerikanische Unternehmen bzw. Unternehmen aus Nicht-EU Ländern die DSGVO nur in Europa einhalten, verpflichtete sich Apple, seinen Kunden weltweit die gleichen verbesserten Datenschutzstandards zu bieten. Apple setzt seine Führungsrolle im Bereich Datenschutz fort, erweitert sein Engagement und fördert positive Veränderungen in der gesamten Branche. Auf der WWDC 2021 wurden eine Reihe neuer Datenschutzfunktionen für iOS 15, iPadOS 15, macOS Monterey, watchOS 8 und iCloud angekündigt. Diese neuen Funktionen sollen Nutzern in Europa und auf der ganzen Welt helfen, den Zugriff auf ihre Daten besser zu kontrollieren und zu verwalten.
Apple-Boss Cook betont gleich zu Anfang des Videos, dass für Apple “Privatsphäre ein grundlegendes Menschenrecht” sei. Man arbeite “schonungslos” daran, diese “in alles was wir machen” einzubauen. Es sei ein Grundelement jedes Designs von sowohl Apple Produkten als auch Apple Diensten, “die wir in die Welt tragen”, so Cook pathetisch. “Andere” hätten den Kunden zum Produkt gemacht und sammelten immer mehr personenbezogene Daten. “Unsere Linse bleibt auf Technik fokussiert, die für die Menschen arbeiten kann.”
Der Schutz der Privatsphäre sei “eine Priorität für unsere Nutzer in Europa und der ganzen Welt”. Cook beginnt, indem er zwei bestehende Funktionen hervorhebt, (Datenschutz-Nährwertkennzeichnungen und App-Tracking-Transparenz), und schließt dann mit einer bekannten Zusammenfassung über die Moral des Unternehmens in diesem Bereich ab.
Diese beschriebenen Datenschutzfunktionen gehören zu den neuesten in einer langen Reihe von Innovationen, die Apple-Teams entwickelt haben, um die Transparenz zu verbessern. Ferner sind es Funktionen, die dazu beitragen, dass die Nutzer ihre Daten besser kontrollieren können und sodann die Freiheit haben, Technologien zu nutzen, ohne sich Gedanken darüber zu machen, wer ihnen über die Schulter schaut.
In der Frage, ob auch eine nicht federführende Aufsichtsbehörde gegen Facebook bei DSGVO Verstößen vorgehen kann, hat der EuGH nun ein Urteil gefällt. Damit legt er einen lang anhaltenden Streit zwischen der irischen Datenschutzbehörde und anderen Ländern bei.
Der Sachverhalt
Zu urteilen hatte der EuGH in einem Rechtsstreit zwischen der belgischen Datenschutzbehörde und mehreren Unternehmen des Facebook-Konzerns, konkret Facebook Ireland Ltd., Facebook Inc. und Facebook Belgium BVBA. Begonnen hat das Verfahren bereits im Jahre 2015 und damit vor in Kraft treten der DSGVO im Mai 2018, jedoch zog sich der Sprung durch die einzelnen Instanzen lange hin.
Das Verfahren selbst zielte darauf ab, Facebook mittels Unterlassungsklage zu verpflichten, auf den Einsatz von Cookies ohne Einwilligung der belgischen Benutzer zu verzichten und die Datenerhebung auf Webseiten von Dritten zu unterlassen. Zudem sollte Facebook Abstand von der Praxis nehmen übermäßig Daten durch Social-Plugins zu erheben und die dadurch gewonnen personenbezogenen Daten zu löschen.
Facebook ist jedoch der Ansicht, dass in diesem Fall die belgische Datenschutzbehörde gar nicht zuständig ist. Damit beruft sich der Konzern auf die 2018 in Kraft getretenen Regeln der DSGVO, wonach nur die Datenschutzbehörde gerichtliche Schritte einleiten können soll, in deren Mitgliedsland Facebook seine Hauptniederlassung hat. Im konkreten Fall, müsste demnach die irische Datenschutzbehörde tätig werden.
Die Richterinnen und Richter des EuGH gelangten hier allerdings zu einer anderen Rechtsauffassung und entschieden, dass zwar grundsätzlich tatsächlich die federführende Datenschutzbehörde (Irland) tätig werden müsse, wenn es sich um DSGVO-Verstöße handele. Allerdings verweist der EuGH zusätzlich auf die Artikel 56 Abs 2, und Artikel 66 DSGVO, nach denen unter bestimmten Voraussetzungen auch andere Behörden bei grenzüberschreitenden Datenverarbeitungen zuständig sein könnten.
Fazit
Letzten Endes folgt der EuGH mit seinem Urteil damit den Ausführungen des Generalanwalts Michael Bobek, der in seinen Schlussanträgen eine Zuständigkeit für andere Datenschutzbehörden in Ausnahmefällen annahm. Das Urteil sollte in seiner Tragweite nicht unterschätzt werden, denn wie Bayerns Justizminister Georg Eisenreich zutreffend urteilte könntenes Unternehmen „künftig schwerer haben, sich durch eine geschickte Standortwahl einer effektiven Kontrolle zu entziehen“.
10. Juni 2021
Das Oberverwaltungsgericht für das Land Nordrhein-Westfalen hat auf der Grundlage der Datenschutz-Grundverordnung entschieden, dass die Kopien von Examensklausuren den Kandidaten kostenfrei zur Verfügung gestellt werden müssen. Damit bestätigte es das erstinstanzliche Urteil des Verwaltungsgerichts Gelsenkirchen.
Im Jahr 2018 hatte der Kläger erfolgreich an der zweiten juristischen Staatsprüfung teilgenommen und anschließend beim Landesjustizprüfungsamt die Zusendung seiner Klausurunterlagen nebst Prüfergutachten beantragt. Diesem Antrag wollte das LJPA nur gegen Zahlung eines Vorschusses von 69,70 € für die Kopie von 348 Seiten nachkommen. Der Absolvent verweigerte die Zahlung, das LJPA anschließend die Zusendung. Das VG Gelsenkirchen verurteilte das Land NRW nach der Klage des Absolventen dazu, die Kopien kostenfrei zur Verfügung zu stellen. Das OVG NRW hat die Berufung des Landes NRW nun zurückgewiesen.
Aus Art. 15 Abs. 3 DSGVO folgt der Anspruch auf unentgeltliche Zurverfügungstellung einer Kopie von allen den Klägern betreffenden personenbezogenen Daten, auf postalischem oder elektronischem Weg. Davon seien auch die Klausuren und Prüfergutachten umfasst. Das OVG konnte weder Ausnahmen noch Anhaltspunkte dafür erkennen, dass sich der Kläger rechtsmissbräuchlich verhalte oder dem LJPA ein unverhältnismäßig großer Aufwand entstehe. Wegen der grundsätzlichen Bedeutung wurde die Revision zum Bundesverwaltungsgericht zugelassen.
9. Juni 2021
In vor kurzem herausgegebenen Pressemitteilungen verschiedener Datenschutzbehörden (etwa Berlin, Brandenburg, Bayern, Saarland, Rheinland-Pfalz, Niedersachsen und Hamburg) kündigen diese an, im Rahmen einer bundesländerübergreifenden Kontrolle Datenübermittlungen in Staaten außerhalb der europäischen Union oder des Europäischen Wirtschaftsraums zu kontrollieren.
Hintergrund und Anlass der Kontrolle ist die bereits im Juli 2020 ergangene „Schrems II“-Entscheidung des Europäischen Gerichtshofes (EuGH). In diesem erklärte der EuGH den Durchführungsbeschluss der Europäischen Kommission zum „EU-U.S. Privacy Shield“ für ungültig und sorgte damit für große Unsicherheit hinsichtlich des transatlantischen Datentransfers (wir berichteten).
Nun haben die Aufsichtsbehörden der verschiedenen Länder angekündigt, im Rahmen einer bundesländerübergreifenden Kontrolle die Datenübermittlungen von ausgewählten Unternehmen in Staaten außerhalb der Europäischen Union zu überprüfen. Das Ziel der Behörden ist dabei klar definiert und soll der „breiten Durchsetzung“ der Anforderungen des EuGHs aus der „Schrems II“-Entscheidung dienen, wie das Bayerische Landesamt für Datenschutzaufsicht in seiner Pressemitteilung verlauten lässt.
Neben den einzelnen Pressemitteilungen haben die Aufsichtsbehörden auch ihre sehr umfangreichen Fragebögen veröffentlicht. Diese können beispielsweise unter den folgenden Links abgerufen werden:
Beachtet werden sollte beim Verwenden der Fragebögen allerdings, dass bisher nicht ersichtlich ist, welche Behörde tatsächlich welchen Fragebogen verwendet. Die Entscheidung darüber, welcher Themenkomplex überprüft werden soll, obliegt jeder Behörde individuell. Wie großflächig die Überprüfungen tatsächlich stattfinden, wird sich erst in Zukunft zeigen. Über weitere Entwicklungen werden wir Sie hier im Datenschutzticker auf dem Laufenden halten.
27. Mai 2021
Der Europäische Datenschutzbeauftragte (EDSB) hat in einer Pressemitteilung erklärt, dass er zwei Untersuchungen im Hinblick auf das im vergangenen Jahr erlassene Schrems-II-Urteil eingeleitet hat. Eine zur Nutzung von Cloud-Diensten, die von Amazon Web Services (AWS) und Microsoft bereitgestellt und im Rahmen von sog. Cloud II-Verträgen von Institutionen, Einrichtungen und Agenturen der Europäischen Union genutzt werden, und eine zur Nutzung von Microsoft 365 durch die Europäische Kommission.
Hintergrund der Untersuchung ist, dass der EDSB im Oktober vegangenen Jahres die EU-Instiutionen dazu aufforderte, über ihre Übermittlung personenbezogener Daten an Drittländer Bericht zu erstatten. Das Ergebnis der Umfrage machte deutlich, dass auch EU-Institutionen die Tools und Dienste von internationalen Dienstleistern nutzen und damit personenbezogene Daten außerhalb der EU und insbesondere in die USA übertragen werden.
Der EDSB, Wojciech Wiewiórowski, sagte: “Nach dem Ergebnis der Berichterstattung durch die EU-Institutionen und -Einrichtungen haben wir bestimmte Arten von Verträgen ermittelt, die besondere Aufmerksamkeit erfordern, und aus diesem Grund haben wir beschlossen, diese beiden Untersuchungen einzuleiten. Mir ist bekannt, dass die „Cloud II-Verträge“ Anfang 2020 vor dem Urteil „Schrems II“ unterzeichnet wurden und dass sowohl Amazon als auch Microsoft neue Maßnahmen angekündigt haben, um sich dem Urteil anzupassen. Dennoch reichen diese angekündigten Maßnahmen möglicherweise nicht aus, um die vollständige Einhaltung des EU-Datenschutzrechts und damit die Notwendigkeit einer ordnungsgemäßen Untersuchung sicherzustellen.“
Nun will der EDSB sicherstellen, dass auch von EU-Institutionen die europäische Datenschutzgrundverordnung (DSGVO) eingehalten wird und EU-Institutionen in Bezug auf Privatssphäre und Datenschutz mit gutem Beispiel vorangehen.
Ziel der Untersuchungen ist es, die Einhaltung des Urteils bei den EU-Institutionen zu bewerten und die Empfehlungen bei der Nutzung von Produkten von US-Anbietern umzusetzen.
Die Tatsache, dass auch der EDSB Untersuchungen aufgenommen hat, zeigt einmal mehr, dass der Datentransfer in Drittländer und Sofortmaßnahmen dagegen dringend erforderlich sind. Gleichzeitig dürfte das Ergebnis dieser Untersuchungen auch wegweisend für einen weiteren Umgang mit den genannten Dienstleistern sein.
26. Mai 2021
Der Essenslieferdienst Lieferando speichert detaillierte Tracking-Daten seiner Fahrer. Dies berichtet der Bayerische Rundfunk. Den Stein ins Rollen gebracht hatten Angestellte von Lieferando, die Auskunft über ihre gespeicherten personenbezogenen Daten verlangten, die dem BR vorliegen.
Über die App “Scoober” werden pro Lieferung 39 Datenpunkte erfasst – von der Zuteilung der Bestellung über die Abholung bis zur Auslieferung an die Kunden. Alle 15 bis 20 Sekunden wird der genaue Standort des Fahrers gespeichert. Über diese Datenpunkte kann festgestellt werden, ob die Fahrer die jeweiligen Vorgaben erreichen, Verspätungen werden personalisiert gespeichert. Für Fahrer in Vollzeit kommen so 100.000 Datenpunkte pro Jahr zusammen. Die Datensätze reichen überdies zum Teil bis ins Jahr 2018 zurück.
Lieferando selbst hält die Daten für notwendig, um den Lieferbetrieb ordnungsgemäß durchführen zu können. Außerdem stehe die Datenverarbeitung im Einklang mit der Datenschutz-Grundverordnung. Eine Leistungs- oder Verhaltenskontrolle der Mitarbeiter finde nicht statt. Daran zweifelt der Vorsitzende des Gesamt-Betriebsrats für Deutschland, Semih Yalcin, und hält die Datenverarbeitung für “totale Überwachung” und “unverhältnismäßig”.
Diese Kritik teilt der Datenschutzbeauftragte des Landes Baden-Württemberg, Stefan Brink. Er hat sich der Sache nach einer Beschwerde eines Fahrers angenommen. Die dauerhafte Überwachung der Arbeitsleistung sei nach Einschätzung seiner Behörde “klar rechtswidrig”. Allerdings hat er die Angelegenheit und seine Untersuchungsergebnisse an die niederländische Datenschutzbehörde weitergegeben. Lieferando gehört zum niederländischen Mutterkonzern Just Eat Take Away, daher muss die DPA die weiteren Ermittlungen anstellen. Diesem droht nun eine zweistellige Millionenstrafe: da der Umsatz von Just Eat Take Away in der Corona-Pandemie im Jahr 2020 um 54 % auf 2,4 Milliarden Euro gestiegen ist und nach der DSGVO die Strafe bis zu vier Prozent des weltweiten Jahresumsatzes betragen kann, droht ein Bußgeld von bis zu 96 Millionen Euro.
25. Mai 2021
Am 25.05.2018 trat die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Ihr Ziel ist es, natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu schützen. Doch diese positiven Aspekte haben auch Nachteile, besonders für kleine und mittlere Unternehmen.
Viel Bürokratie, wenig Kontrolle
Für viele, besonders kleinere, Unternehmen bedeutet die Umsetzung der DS-GVO viel Bürokratie. Es kommt auch immer häufiger vor, dass ehemalige Mitarbeiter Auskunft über ihre personenbezogenen Daten vom Unternehmen verlangen. Ein Anspruch, der kleinere Unternehmen vor große Herausforderungen stellt und nicht selten damit endet, dass das Unternehmen eine höhere Abfindung zahlt, um sich, ohne Auskunft, zu vergleichen.
Außerdem ist der Vollzug der DS-GVO schwierig. Jeder EU-Mitgliedstaat hat eigene Aufsichtsbehörden, in Deutschland gibt es 17 Landesbehörden und den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Es ist leicht nachvollziehbar, dass die DS-GVO unterschiedlich interpretiert wird. Der Bundesdatenschutzbeauftragte Kelber spricht sich daher für eine engere Abstimmung der einzelnen Aufsichtsbehörden aus.
Einheitlichkeit in Europa
Dennoch dürfte das Fazit nach drei Jahren DS-GVO positiv ausfallen. Viele Menschen in Europa machen Gebrauch von ihren Betroffenenrechten. Die DS-GVO hat die Vereinheitlichung des Datenschutzes in Europa erreicht. Außerdem ist es ein Kernanliegen der DS-GVO, natürlichen Personen verschiedene Instrumente an die Hand zu geben, um sich auch gegen die großen Unternehmen und sozialen Netzwerke zur Wehr setzen zu können. Sie hat das Bewusstsein der Nutzer für Privatsphäre im Internet gestärkt. Damit hat sich die DS-GVO zu einem weltweiten Vorbild für den Datenschutz entwickelt.
Quo vadis, DS-GVO?
Wie praktisch jedes Gesetz hat auch die DS-GVO noch Luft nach oben. Die EU-Kommission hat im Sommer 2020 eine Prüfung in Aussicht gestellt, ob kleinere und mittlere Unternehmen von manchen Regelungen ausgenommen werden können. In diesem Zusammenhang könnte sich Ulrich Kelber vorstellen, einzelne Pflichten zu entbürokratisieren, zumindest in Fällen, in denen jedem klar sein müsse, dass eine Datenverarbeitung stattfinde. Außerdem möchte er Schwächen beim Scoring und Profiling ausbessern. Die Evaluierung der DS-GVO ist allerdings erst für 2024 angesetzt.
20. Mai 2021
Dass der Wahlkampf der Parteien nicht mehr ausschließlich auf Wahlplakaten stattfindet, ist kein Geheimnis. Auch die Politik geht mit der Zeit und bemüht sich zunehmend um den Einsatz „neuer“ Medien. So setzt die CDU zur Unterstützung des eigenen Wahlkampfs seit der Bundestagswahl im Jahr 2017 auf eine eigene App, die CDU-Connect-App.
Mit Hilfe der Connect-App soll es den Wahlkampfhelfern der CDU möglichst einfach gemacht werden, einen effizienten Haustürwahlkampf zu organisieren. So kann in der App beispielsweise eingetragen werden, in welcher Straße man es bereits versucht, bei welchem Haus man geklingelt, ob und wer geöffnet hat und letztlich natürlich auch, wie die Person zur CDU steht. Über die Jahre sollen sich dabei riesige Datensätze angesammelt haben. Auf die Sicherheitslücke aufmerksam geworden ist die Softwareentwicklerin Lilith Wittmann, die nach eigenen Angaben über Twitter auf die App hingewiesen wurde. Ihre Herangehensweise und Ergebnisse veröffentlichte sie dann in einem eigenen Blogpost.
Das Besondere an ihrem Fund sind dabei allerdings nicht die oben genannten Rohdaten, sondern vielmehr die erfassten Zusatzinformationen, die bei einem Besuch notiert wurden. So wurde etwa der Inhalt einzelner Gespräche paraphrasiert oder politische Meinungen in Kurzform festgehalten. Auf Anfrage des Spiegels hin versicherte die CDU jedoch, die Daten nur anonymisiert gespeichert zu haben, sodass Aussagen nicht auf einzelne Personen rückführbar seien.
Anders sieht es allerdings bezüglich der Daten von eigenen Wahlkampfhelfern und Unterstützern aus. Nach Angaben von Wittmann waren die Informationen von knapp 20.000 Menschen einsehbar. Davon umfasst sein sollen Daten, wie etwa E-Mail-Adressen, Fotos und teilweise auch Facebook-Tokens. Weitreichendere Angaben wurden von etwa 1350 Unterstützern entdeckt. Bei ihnen ließen sich Adressen, Geburtsdaten und Interessen finden.
Ihren Fund hat Wittmann dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der CDU mitgeteilt. Die Partei reagierte schnell und entfernte die App vorsorglich aus dem Play und App Store. Zusätzlich meldete man sich bei Twitter und verspricht die Sicherheitslücke schnellstmöglich zu schließen. Außerdem sollen laut Angaben der CDU alle Betroffenen informiert werden.
Pages: 1 2 ... 21 22 23 24 25 ... 39 40 
