Kategorie: Online-Datenschutz
9. April 2021
Letzte Woche wurde bekannt, dass personenbezogene Daten von über 530 Millionen Facebook-Nutzern in einer Datenbank öffentlich zugänglich gemacht worden sind. Nun gibt es einen ähnlich schwerwiegenden Vorfall auch bei LinkedIn. Am Mittwoch berichtet Cyber-News, dass 500 Millionen LinkedIn Nutzer Ziel eines Hackerangriffs geworden sind und deren Daten auf einem beliebten Hacker-Forum zum Verkauf angeboten werden.
Im Falle von LinkedIn, die zu diesem Vorfall auf ihrer Homepage bereits ein Statement abgaben, heißt es, dass die gehackten Daten nur veröffentlichte Informationen enthalten. “Es handelt sich dabei um öffentlich einsehbare Mitgliederprofildaten, die von LinkedIn abgegriffen worden zu sein scheinen. Es handelte sich nicht um eine LinkedIn-Datenverletzung, und es waren keine privaten Mitgliederdaten von LinkedIn in den Daten enthalten, die wir überprüfen konnten.”
Laut Cyber News umfassen die gehackten Daten Konto-IDs, vollständige Namen, E-Mail-Adressen, Telefonnummern, Arbeitsplatzinformationen, Geschlechter und Links zu anderen Social-Media-Konten. Insgesamt waren 500 Millionen Nutzer betroffen, eine hohe Zahl bei insgesamt 740 Millionen Mitgliedern, so könnten etwa zwei Drittel der Nutzerbasis der Plattform betroffen sein.
Über die weiteren Entwicklungen in diesem aktuellen Fall werden wir Sie auf dem Laufenden halten.
8. April 2021
Die Europäische Kommission verfolgt das Thema Cybersecurity mit hoher Priorität. In diesem Zuge wurde im Dezember 2020 ein Vorschlag für eine neue Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) vorgelegt. Diese soll die bestehende Richtlinie ablösen.
Die Erneuerung der NIS-Richtlinie stellt eine Reaktion auf vergangene Sicherheitsvorfälle öffentlicher und privater Einrichtungen auf dem Gebiet der Cybersicherheit dar. Der Vorschlag beinhaltet eine neue Cybersicherheitsstrategie, welche die Resilienz und Reaktion innerhalb der EU verbessern soll. Auch umfasst ist einen Vorschlag für eine Richtlinie über die Abwehr von Angriffen durch Betreiber wesentlicher Dienste, die physische Bedrohungen von diesen Betreibern abwenden soll.
Praktische Auswirkung wird der Entwurf auch für Unternehmen des Gesundheitssektors entfalten. Der Vorschlag sieht in diesem Bereich deutlich verschärfte Pflichten vor. So sollen Unternehmen des Gesundheitssektors technische und organisatorische Maßnahmen ergreifen, die dem Stand der Technik entsprechen und damit ein angemessenes Sicherheitsniveau für die IT-Systeme gewährleisten. Dazu definiert der Entwurf einige Mindestanforderungen an das Risikomanagement, in dem etwa Datenverschlüsselung, Risikobewertungen und eine besondere Berücksichtigung der Lieferkette vorgesehen sind. Durch die Einführung solcher Mindeststandards könnten in Zukunft Vorfälle, wie der durch einen Hackerangriff verursachten Todesfall im Universitätsklinikum Düsseldorf, vermieden werden.
Mit der Erneuerung der NIS-Richtlinie reagiert die EU mithin auch auf die wachsende digitale Verantwortung, welche sich insbesondere in der COVID-19-Pandemie drastisch erhöht hat.
In einem Hacker-Forum sind vor kurzem Daten von 533 Millionen Facebeook-Nutzern aufgetaucht, die zumindest potentiell für Identitätsdiebstahl missbraucht werden könnten.
Konkret enthält der Datensatz die Telefonnummern, E-Mail-Adressen, Geburts- und andere Daten von Facebook-Nutzern aus über 106 Ländern der Welt. Eine Facebook-Sprecherin kommentierte den Vorfall auf Twitter und beschwichtigte, dass es sich um Daten handele, die bereits im August 2019 abhandengekommen seien, das Problem mittlerweile aber behoben wurde.
An die Daten kamen die Hacker wohl durch sogenanntes Scraping, bei dem über automatisierte Anfragen Daten in großem Stil abgegriffen werden können. Bereits 2019 waren Telefonnummern von 420 Millionen Nutzern in Netz aufgetaucht, nachdem eine Funktion zur Freundessuche für den Datenabgriff missbraucht wurde (wir berichteten).
Trotz Beschwichtigung seitens Facebook ist auch die Irische Datenschutzbehörde auf den Fall aufmerksam geworden und äußerte sich gegenüber der BBC dahingehend, eine eigene Prüfung anzustoßen, bei der festgestellt werden soll, um was für Daten es sich tatsächlich handelt.
6. April 2021
Weil Booking.com einen Datenschutzvorfall zu spät gemeldet hat, hat die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens (AP) eine Strafe in Höhe von 475.000 Euro verhängt. Bereits 2019 konnten Hacker auf die Daten von über 4000 Kunden zugreifen, darunter auch Personalausweis- und Kreditkartendaten. Die Entscheidung zeigt, dass nicht nur die Verhinderung von Datenpannen höchste Priorität hat, sondern auch der konstruktive Umgang mit den Betroffenen und der Aufsichtsbehörde, wenn es doch einmal zur Datenpanne gekommen ist.
Über Mitarbeiterkonten mehrerer Hotels in den Vereinigten Arabischen Emiraten haben die Hacker Zugang zu den Daten bekommen. Dieser Zugang könnte durch “social-engineering”-Techniken (im negativen Kontext: das Ausnutzen einer Schwachstelle eines Menschen) oder Phishing erlangt worden sein. Daher sieht sich Booking.com nicht in der Verantwortung und stellt sich auf den Standpunkt, die Daten seien nicht über die eigene IT-Infrastruktur abgegriffen worden.
Die AP sieht hingegen Hinweise auf eine Mitverantwortung des Betreibers. Das große Problem für Booking.com ist jedoch, dass sie die Datenpanne erst nach 22 Tagen den betroffenen Kunden und nach 25 Tagen der Aufsichtsbehörde gemeldet haben. Nach Artikel 33 Abs. 1 DSGVO muss eine entsprechende Meldung aber binnen 72 Stunden nach Bekanntwerden beim Verantwortlichen erfolgen. Booking.com arbeitet nun an einer Verbesserung seiner internen Prozesse.
31. März 2021
Das Bundeskartellamt will das Datensammeln von Facebook einschränken. Dies sollten Richter vom Oberlandesgericht (OLG) Düsseldorf klären. Nun hat das OLG Düsseldorf im Rechtsstreit zwischen Facebook und dem Bundeskartellamt einige entscheidungserhebliche Fragen zum EU-Datenschutzrecht dem Gerichtshof der Europäischen Union (EuGH) in Luxemburg zur Vorabentscheidung vorgelegt.
Bisheriger Ablauf des Verfahrens
Das Bundeskartellamt hatte dem US-Internetkonzern im Jahr 2019 Beschränkungen für den Austausch von Daten auferlegt, worüber wir bereits berichteten. Die Behörde argumentierte: das Ausmaß, in dem Facebook Daten ohne Zustimmung der User sammelt und zwischen seinen Diensten teilt, stelle einen Missbrauch seiner Marktmacht dar.
Die Behörde hatte dem Konzern untersagt, Nutzerdaten der Facebook-Töchter WhatsApp und Instagram sowie Webseiten anderer Anbieter mit den Facebook-Konten der Nutzer zu verknüpfen, sofern der Nutzer in diese Datenerhebung und Datenverwendung nicht zuvor nach den Bestimmungen der DSGVO eingewilligt hat. Und falls die User ihre Erlaubnis nicht geben, dürfe Facebook sie nicht von den Diensten ausschließen. Eine solche Entflechtung der Datenströme hätte weitreichende Folgen für Facebooks Geschäftsmodell.
Der Präsident des Bundeskartellamts hatte damals insbesondere die Zusammenführung der Daten von unterschiedlichen Plattformen (Facebook, WhatsApp und Instagram) kritisiert. Der Düsseldorfer Oberlandesrichter Jürgen Kühnen erklärte seinerseits, dass die Datennutzung durch Facebook nicht zu einem Missbrauch der marktbeherrschenden Stellung führe. Wie wir bereits berichteten, folgte eine Berufungsklage des Kartellamts vor dem Bundesgerichtshof in Karlsruhe. Der BGH teilte die Meinung der Bundeskartellbehörde.
Entscheidung im Hauptsacheverfahren
Nun befasste sich das Düsseldorfer Gericht im Hauptsacheverfahren erneut mit der Akte, um ein endgültiges Urteil zu verkünden. Die zentrale Frage lautet: Dürfen Wettbewerbshüter das Kartellrecht als Werkzeug benutzen, um den Datenschutz durchzusetzen – oder überschreiten sie damit ihre Kompetenz? Dabei kam das Gericht laut Pressemitteilung zu folgendem Ergebnis: „Ob Facebook seine marktbeherrschende Stellung als Anbieter auf dem Markt für soziale Netzwerke deshalb missbräuchlich ausnutzt, weil es die Daten seiner Nutzer unter Verstoß gegen die DSGVO erhebt und verwendet, kann ohne Anrufung des EuGH nicht entschieden werden.“ Das OLG kann somit nicht ohne das EU-Gericht entscheiden, ob der US-Internetkonzern seine marktbeherrschende Stellung ausnutzt, weil er Daten seiner Nutzer unter Verstoß gegen Regeln des Datenschutzes sammelt und verwendet. Denn zur Auslegung des europäischen Rechts sei der EuGH berufen.
Dabei bekräftigte Kühnen die frühere Beurteilung seines Gerichts. Das OLG wird in den kommenden Wochen eine formelle schriftliche Eingabe an den EuGH machen und den Fall offiziell übergeben.
Ausblick
Der EuGH soll entscheiden, ob der US-Internetkonzern eine marktbeherrschende Stellung ausnutzt, indem er Daten seiner Nutzer und Nutzerinnen unter Verstoß gegen Regeln des Datenschutzes sammelt und verwendet. Zu klären ist zudem, ob eine nationale Kartellbehörde DSGVO-Verstöße feststellen und dagegen vorgehen kann. Auch die Definition sensibler Daten soll genauer eingegrenzt werden. Bis zu einer Antwort wird das Verfahren am OLG ausgesetzt.
29. März 2021
Immer wieder zeigt sich in Umfragen, dass sich Internet-Nutzer von sog. Cookie-Bannern in ihrem Nutzungserlebnis eingeschränkt fühlen, oder diese wegen ihrer Komplexität nicht verstehen und deswegen oft ungeprüft akzeptieren. Auch die Politik beschäftigt sich seit dem Aufkommen der Cookie-Banner wiederholt mit der Frage, wie diese in Zukunft gestaltet werden sollen. Nun hat sich auch das Bundesjustizministerium dafür ausgesprochen, dass Cookie-Banner nutzerfreundlicher gestaltet werden sollen.
Auf eine Anfrage des Handelsblatt hin äußerte sich Staatssekretär Christian Kastrop, dass das Problem im Wesentlichen in der Gestaltung der Cookie-Banner liege. Diese würden durch die Anbieter undurchsichtig und kompliziert designed oder mit langen Texten versehen, sodass die Nutzer schnell genervt seien und die Cookie-Nutzung oftmals ungeprüft akzeptieren. Notwendig sei deshalb, die erforderliche Einwilligung “einfach, verständlich und rechtssicher“ auszugestalten.
Unterschiedliche Lösungsansätze
Die Regierungsparteien sind sich über die Art und Weise, wie dies erreicht werden soll, aber scheinbar nicht einig. Während die Union einheitliche Voreinstellungen, welche durch die Dienstanbieter verwaltet werden und dann für alle Webseiten gelten sollen, ins Spiel bringt, verweist die SPD auf eine europäische Lösung: die Regelung der Thematik in der neuen E-Privacy-Verordnung, welche nun bereits seit Jahren auf sich warten lässt. Diesen Weg schlägt auch die Landesbeauftragte für Datenschutz aus Schleswig-Holstein vor.
Verbraucherschützer fordern ebenfalls eine einfachere Regelung zum Schutz der Nutzer. Auch hier wird eine einheitliche Lösung über den Internet-Browser bzw. das Betriebssystem vorgeschlagen, jedoch als Standardeinstellung eine Verweigerung der Cookie-Nutzung gefordert. Der Verwendung von Cookie müsste dann ausdrücklich zugestimmt werden.
Nutzerfreundlichkeit sieht auch der Vorschlag der Hamburger Grünen vor, wonach zwei Schaltflächen für “Cookies akzeptieren” und “Cookies ablehnen” gleichberechtigt nebeneinander stehen sollen, also ohne Unterschiede im Design (wie Farbe oder Größe). Über eine dritte Schaltfläche könnten dann individuelle Einstellungen vorgenommen werden.
Nicht wenige Unwägbarkeiten
Die Diskussion über die Zukunft der Cookie-Banner ist gerechtfertigt. Für Dienstanbieter bedeuten Cookie-Banner Mehraufwand, für Nutzer regelmäßig unübersichtliche Ärgernisse. Eine nationale Regelung trifft jedoch sowohl auf tatsächliche als auch auf rechtliche Hindernisse. Einerseits erscheint es fraglich, welchen Mehrwert eine deutsche Regelung im länderübergreifend operierenden Internet bietet, andererseits müsste das Gesetz die europarechtlichen Vorgaben erfüllen.
Ähnliche Probleme ergeben sich bei der einheitlichen Cookie-Verwaltung. Die Anzahl der im Internet eingesetzten Cookies ist kaum zu überblicken, sodass es nur schwer vorstellbar ist, dass hier eine Auswahl aller in Betracht kommender Cookies möglich ist. Wird dann stattdessen in Kategorien von Cookies eingewilligt? Wenn ja, wie verhält sich dies mit der Vorgabe der Datenschutz-Grundverordnung in die Informiertheit einer Einwilligung? Dies alles sind Fragen, die in diesem Zusammenhang der Klärung bedürften.
26. März 2021
Der Apple-Videotelefondienst FaceTime machte im Jahr 2019 mit einer Negativschlagzeile auf sich aufmerksam, so dass auch Datenschützer hellhörig wurden. Es kam bei der zu dieser Zeit neu hinzugefügten Gruppen-FaceTime-Funktion zu einer Softwarepanne, wodurch Nutzer des Dienstes unerlaubt belauscht werden konnten. Durch Hinzufügen einer Rufnummer konnten Anrufer das Mikrofon des Angerufenen aktivieren, ohne dass die angerufene Person hierfür abnehmen musste. Drückte der Angerufene eine Taste des eigenen iPhones, wurde außerdem das Videobild übertragen. Nachdem dieses von Apple verursachte Problem immer mehr in sozialen Netzwerken kursierte und mediale Aufmerksamkeit auf sich zog, deaktivierte Apple die Gruppen-FaceTime-Funktion.
Der Fehler wurde sodann zeitnah behoben und die Funktion wieder freigeschaltet, so dass zum aktuellen Zeitpunkt keine Gefahr droht.
Jenseits des Vorfalls stellt sich die Frage: Wie sicher ist FaceTime eigentlich? FaceTime bietet eine gute Übertragungsqualität für iOS-Gerätenutzer. Und auch in Sachen Sicherheit muss sich der Apple-Dienst nicht hinter anderen Anbietern verstecken. Der Dienst ist Ende-zu-Ende-verschlüsselt und Metadaten zu den Videokonferenzen werden nach 30 Tagen gelöscht. Der Dienst ist somit zumindest für den privaten Gebrauch als sicher zu bewerten.
FaceTime weist zwar einen hohen Sicherheitsstandard auf und auch die Gespräche werden Ende-zu-Ende verschlüsselt; dennoch bleibt weiterhin das Problem hinsichtlich des US-Bezugs. Die Aufsichtsbehörden sind beim Einsatz von US-Dienstleistern für Videokonferenzen streng, vor allem bezüglich Videkonferenzsystemen an Schulen. Die Behörden (Berliner Beauftrage für Datenschutz und Informationsfreiheit sowie LfDI Rheinland-Pflaz) lassen den Einsatz von US-Software nur noch für einen begrenzten Zeitraum zu und verweisen hier auf Open-Source-Software wie Big Blue Button oder Jitsi Meet. Gerade im Hinblick auf das Schrems-II-Urteil erscheint die Nutzung der Open-Source-Software aus datenschutzrechtlicher Sicht sinnvoller als die Nutzung von US-Anbietern.
Grundsätzlich ermöglicht FaceTime Videokonferenzen mit bis zu 32 Teilnehmern. Insofern bietet sich das Tool für Videokonferenzen für kleine bis mittlere Gruppen an. Dabei ist die Anrufqualität des Messengers auch regelmäßig gut. Allerdings muss bedacht werden, dass FaceTime ausschließlich auf Apple-Geräten nutzbar und nicht für den Einsatz im Unternehmen konzipiert ist. Insofern sollten, auch um flexibel zu bleiben, andere Videokonferenz-Apps zum Einsatz im Unternehmen in Betracht gezogen werden, sofern nicht alle Mitarbeiter über ein Apple-Gerät verfügen. Sämtliche Alternativen bieten den Vorteil, dass die Nutzer nicht auf den Apple-Kosmos beschränkt sind. Gerade in der Geschäftswelt ist es jedoch oftmals erforderlich, auch Nutzer anderer Geräte einzubinden, um mit unternehmensexternen Personen kommunizieren zu können. In vielen Fällen scheitert der Einsatz außerdem an der begrenzten Teilnehmerzahl. Eine Limitierung auf 32 Personen mag zunächst nicht niedrig klingen, doch gerade im Rahmen von Schulungen und anderen größeren Veranstaltungen stößt das Tool schnell an seine Grenzen.
Folglich ist FaceTime in datenschutzrechtlicher Hinsicht nicht groß zu beanstanden. Der US-Bezug ist allerdings immer als problematisch anzusehen. Dementsprechend obliegt es schlussendlich der unternehmerischen bzw. persönlichen Entscheidung, ob der Einsatz von FaceTime für den konkreten Zweck geeignet ist und der Nutzen in einem angemessenen Verhältnis zum Risiko steht.
23. März 2021
Google sammelt auch im Inkognito-Modus des Chrome-Browsers Daten zu Internetaktivitäten, obwohl im Inkognito-Modus weitreichende Privatsphäre versprochen werde. Einige Google-User wollten im Wege einer Sammelklage dagegen vorgehen. Google stellte einen Antrag auf Einstellung des Verfahrens. Dieser wurde nun von der zuständigen Bundesrichterin Lucy Koh abgelehnt, wie Bloomberg berichtete.
Damit können sich die Prozessparteien auf das Haupterfahren vorbereiten. Im Einzelnen geht es darum, dass Google über eigene Webseiten und unzählige Webseiten Dritter Daten für Nutzerprofile auch dann sammelt, wenn die User den Inkognito-Modus aktiviert haben. Google vertritt dabei den Standpunkt, dass das aus dem Inkognito-Startbildschirm sowie den Datenschutzbedingungen klar hervorgehe. Demzufolge hätten die Nutzer also eingewilligt.
Richterin Koh ist nicht überzeugt: Google habe entgegen der eigenen Behauptung nicht dargelegt, dass die User der Datensammlung zugestimmt haben. Die Hinweise im Eröffnungsbildschirm des Chrome-Browsers seien irreführend.
Googles Vorbringen, die Vorwürfe seien verjährt, lässt die Richterin ebenfalls nicht gelten. Jedes Erheben von Daten sei ein eigenes Vergehen und lasse eine neue Verjährungsfrist beginnen. Ob das Verfahren wie von den Klägern gewünscht als Sammelklage für alle einschlägig Betroffenen geführt werden kann, ist noch offen. Eine Anhörung dazu ist auf den 22. Januar 2022 datiert. Das Verfahren lautet Brown et al v. Google et al und ist am US-Bundesbezirksgericht für das nördliche Kaliforniern unter dem Az. 5:20-cv-03664 anhängig.
18. März 2021
Durch die Ausnutzung von Sicherheitslücken erlangten Hacker Zugriff auf die Microsoft Exchange Server (wir berichteten). Die Lücken wurden inzwischen durch ein Windows-Update behoben.
Inzwischen äußerten sich auch weitere Datenschutzaufsichtsbehörden zu dem Vorfall. Einigkeit besteht hinsichtlich der Rechtsfolgen zumindest dann, wenn ein Data Breach in Form eines eindeutigen und nachweisbaren Zugriffs auf personenbezogene Daten stattgefunden hat. In diesem Fall ist die Meldung einer Datenpanne unerlässlich. Bei den Details unterscheiden sich die Meldungen jedoch.
Hier ein landespezifischer Überblick:
Auch Microsoft informiert über die technisch notwendigen Schritte. Darüber hinaus können sich Betroffene mit dem erst kürzlich veröffentlichten Microsoft On-premises Mitigation Tool (EOMT) wohlmöglich noch weiter absichern. Das Tool ersetzt die Sicherheitspatches allerdings nicht. Es kann auf der Github-Website von Microsoft heruntergeladen werden. Sind die Server abgesichert, lädt das Tool den Microsoft Security Scanner herunter. Dieser untersucht dann die Server auf schädliche Elemente.
16. März 2021
Das in Deutschland noch recht neue soziale Netzwerk “Clubhouse” ändert seine umstrittene Einladungspolitik. Bislang mussten Nutzer, die von ihrem zweimaligen Einladungsrecht Gebrauch machen wollten, der App den Zugriff auf das gesamte iPhone-Adressbuch gestatten (für Android-Smartphones ist eine App in Planung, es gibt aber derzeit noch keine). Nach einem Update ist diese Freigabe nun nicht mehr notwendig. Stattdessen kann auch einfach die Nummer eines Dritten im Einladungsfeld eingegeben werden. Man kann also auch Menschen einladen, die selbst nicht im eigenen Adressbuch stehen.
Zwar war es auch in der Vergangenheit möglich, dass der Nutzer nicht sein gesamtes Adressbuch für die App freigeben muss, im Gegenzug war es dann allerdings nicht möglich, von seinem Einladungsrecht Gebrauch zu machen. Für Nutzer, die bereits ihr Adressbuch freigegeben haben, soll bald die Möglichkeit bestehen, bei den App-Betreibern eine Löschung dieser Daten zu beantragen. Eine weitere geplante Neuerung ist die Möglichkeit, mittels eines Creator First-Programms Geld zu verdienen. Dazu sollen Creator, also Nutzer, die ein Gespräch führen, sich einfacher mit dem Publikum und auch mit Marken vernetzen können. Wie die Monetarisierung konkret aussieht, ist noch unklar, zunächst ist ein Testlauf geplant. Angekündigt haben die App-Betreiber diese Neuerungen standesgemäß in einem ihrer Online-Townhall-Meetings.
Clubhouse ist eine Audio-Only-App, die es in den USA seit rund einem Jahr und in Deutschland seit einigen Wochen gibt. Sie funktioniert wie ein Live-Podcast. Creator können Räume eröffnen und allein oder zusammen mit anderen Nutzern ein Gespräch führen. Grundsätzlich kann sich jeder Zuhörer auch aktiv an dem Gespräch beteiligen. Der Hype, den die App ausgelöst hat, dürfte auch an der künstlichen Verknappung liegen. Man bekommt nur auf Einladung eines Mitglieds Zugang zu diesem sozialen Netzwerk, wobei jedes Mitglied nur zwei weitere Personen einladen darf.
