Kategorie: Online-Datenschutz

Landgericht Zwickau: Schadensersatz gegen „Meta“

3. November 2022

Das Landgericht (LG) Zwickau erließ am 14. September 2022 ein Versäumnisurteil (Az. 7 O 334/22) gegen den U.S.-Konzern „Meta“ und sprach dem Kläger dabei einen Anspruch auf immateriellen Schadensersatz gegen den Konzern zu. Grund für den Schadensersatz nach Art. 82 DSGVO in Höhe von 1000 Euro waren mehrere Verstöße gegen die Datenschutz-Grundverordnung (DSGVO).

Unzureichende Informationen

Zunächst stellte das Gericht fest, dass Meta seinen nach Art. 13 und 14 DSGVO bestehenden Informationspflichten nicht ausreichend nachgekommen sei. Demnach liege keine nach Art. 5 Abs. 1 lit. a DSGVO erforderliche faire und transparente Verarbeitung vor.

Insbesondere, so das Gericht, fehlten Informationen darüber, auf welche Weise und zu welchen Zwecken „Facebook“ die Telefonnummern seiner Nutzer verarbeite. Diese könnten auf der von Meta bereitgestellten Social-Media-Plattform Facebook ihre Telefonnummern freiwillig angeben.

Konkret sei es problematisch, dass Facebook nicht darüber informiere, dass Dritte die angegebenen Telefonnummern einsehen könnten. Dies sei möglich, obwohl der Nutzer sein Profil auf die Funktion „privat“ einstelle. Zusätzlich könnten Dritte die Telefonnummern abgreifen und diese für unlautere Zwecke weiterverwenden. Darüber informiere Facebook den Nutzer allerdings nicht.

Ferner sei der Informationsumfang über die sog. „Zwei-Faktor-Authentifizierung“ als problematisch zu bewerten. Dabei informiere Facebook lediglich darüber, dass er die Telefonnummern der Nutzer neben der Zwei-Faktor-Authentifizierung auch für „weitere Zwecke“ verwende. Eine genaue Erläuterung, welche weiteren Zwecke gemeint seien, erfolge nicht.

Außerdem bewertete das Gericht die Such-Option mittels Telefonnummer als kritisch. Dieser ermögliche es Nutzern andere Nutzer mit Hilfe der hinterlegten Telefonnummer zu suchen. Darüber informiere Facebook die Nutzer grundsätzlich. Doch diese Information sei nur über eine Unterverlinkung einzusehen.

Unzureichende Sicherheitsmaßnahmen

Darüber hinaus stellte das Gericht fest, dass Facebook gegen den Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO verstoßen habe. Demzufolge habe der Konzern keine angemessene Sicherheit für die verarbeiteten personenbezogenen Daten gewährleistet. Insbesondere habe Facebook es versäumt, hinreichende technische und organisatorische Maßnahmen zum Schutz der Nutzerdaten zu ergreifen.

Hintergrund dieser Sicherheitslücke war ein Vorfall aus dem Jahr 2019. Mit Hilfe eines automatisierten Verfahrens konnten unbekannte Dritte eine große Anzahl an Nutzerdaten abgreifen. Aus der Sicht des Gerichts hätte Facebook mehr Sicherheitsmaßnahmen ergreifen müssen, um den Datendiebstahl zu verhindern. Insbesondere habe das Unternehmen sog. „Sicherheitscapachas“ verwenden können. Diese Methode stelle sicher, dass ein Mensch und kein automatisiertes System die Daten abfrage.

Außerdem stellte das Gericht einen Verstoß gegen Art. 33 und 34 DSGVO fest. Demnach sei Facebook dazu verpflichtet gewesen, die zuständige Aufsichtsbehörde über den 2019 geschehenen Vorfall zu informieren. Dem sei das Unternehmen nicht nachgekommen.

Fazit

Abschließend stellte das Gericht fest, dass aufgrund der dargelegten Verstöße der Kläger einen erheblichen Kontrollverlust über seine personenbezogenen Daten erlitten habe. Mithin bestehe für die betroffene Person ein ersatzfähiger Schaden.

Vorsicht, Phishing! Unternehmen muss über 5 Mio. Euro zahlen

Bei der britischen Interverse Group Limited sorgte das Zusammenspiel aus einer trügerischen E-Mail und einem unvorsichtigen Mitarbeiter für einen größeren Datenschutzvorfall.

Was sind „Phishing-Mails“?

Unter dem Begriff Phishing versteht man Versuche von Kriminellen, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben: So auch im vorliegenden Fall.

Der Mitarbeiter des Unternehmens öffnete eine E-Mail, welche eine mit Malware versehene Zip-Datei enthielt. Dadurch erhielten die Angreifer Zugriff auf den Computer des Mitarbeiters, wodurch weitere Systeme und Server infiziert und Anti-Viren-Programme deinstalliert werden konnten.

Durch die so ermöglichte Abschaltung der Schutzmaßnahmen war es den Betrügern möglich, Zugang zu personenbezogenen Daten von über 100.000 Beschäftigten des Unternehmens zu erhalten. Enthalten waren dabei unter anderem Namen, Telefonnummern, Bankverbindungen, Sozialversicherungsnummern sowie Gehaltsinformationen. Dies stellt für Betrüger eine überaus gute Ausbeute dar.

Meldung: Art. 33 DSGVO

Das Unternehmen meldete daraufhin den Vorfall gem. Art. 33 DSGVO bei der britischen Datenschutzbehörde ICO, woraufhin diese den Vorfall prüfte. Das Ergebnis dieser Untersuchung fiel jedoch schlecht für das betroffene Unternehmen aus: Die ICO stellte fest, dass nur unzureichende technische und organisatorische Maßnahmen vorhanden waren. So war etwa das Betriebssystem, das auf den Servern eingesetzt wurde, veraltet, der betroffene Mitarbeiter, der die schadhafte Mail öffnete, war nicht datenschutzrechtlich geschult worden, Schwachstellentests sind nicht durchgeführt worden und einer Meldung des Virenscanners wurde keine Beachtung geschenkt. Dies stellt ein absolutes Fehlerhaften dar. Lediglich die umfassende Kooperation des Unternehmens mit der ICO, sowie eine nachträgliche Verbesserung der Sicherheitsmaßnahmen konnten das Bußgeld in Höhe von 5.057.878 Euro etwas abmildern.

Fazit

Der Fall macht deutlich, wie wichtig und unumgänglich es für Unternehmen ist, angemessene technische und organisatorische Maßnahmen zu implementieren und die Cybersicherheit auf dem aktuellen Stand zu halten. Die DSGVO sieht in Art. 32 Abs. 1 vor, dass technische und organisatorische Maßnahmen dem Stand der Technik entsprechen müssen.

Zielgerichtete Beratung durch Experten und entsprechende Schulungen von Mitarbeitern, unter anderem etwa zur Sensibilisierung und Erkennung von Angriffsversuchen von Dritten, können das Risiko eines Datenschutzvorfalls verringern. Investitionen in diesem Bereich können so Bußgelder in Millionenhöhe verhindern.

Datenleck bei Thomson Reuters: Mindestens drei Terrabyte an Daten betroffen

Wie nach Recherchen von Cybernews bekannt wurde, gab es bei Thomson Reuters kürzlich ein Datenleck, bei dem mindestestens drei seiner Datenbanken, darunter die drei Terrabyte große Datenbank ElasticSearch für jedermann zugänglich war.

Die betroffenen Daten

Thomson Reuters, der Nachfolger der Nachrichtenagentur Reuters, ist ein Medienkonzern mit Hauptsitzen in New York und Toronto. Der Konzern bietet seinen Kunden verschiedene Produkte wie das Medientool Reuters Connect, die Datenbank Westlaw oder auch andere Recherche-Suites an. Die von dem Datenleck betroffene Datenbank ElasticSearch enthält Informationen aus allen Plattformen des Konzerns und wird bevorzugt von Unternehmen eingesetzt, die mit umfangreichen, ständig aktualisierten Datenmengen arbeiten.

Laut Cybernews waren die Daten mehrere Tage lang verfügbar. Es waren sensible Daten betroffen, wie beispielsweise Informationen zu Lieferketten, Zugangsdaten zu Servern Dritter und Anmelde- und Kennwortrücksetzungsprotokolle, in denen die E-Mail-Adresse der Kontoinhaber und die genaue Zeit, zu der die Passwortänderung gesendet wurde, ersichtlich waren.

Die Reaktion des Konzerns

Thomson Reuters reagierte unverzüglich auf den Hinweis, schaltete die Server ab und leitete eine Untersuchung ein. Laut dem Unternehmen seien zwei der drei betroffenen Server so konzipiert gewesen, dass sie öffentlich zugänglich waren. Der dritte sei als sogenannter nicht-produktiver Server nur mit einer kleinen Untergruppe von Kunden verbunden gewesen und enthalte keine Anwendungsdaten. Zudem habe das Leck überwiegend Kunden in den USA betroffen, welche informiert worden seien.

Dagegen zweifeln die Forscher von Cybernews an, dass das Leck so harmlos war, wie es Thomson Reuters erscheinen lässt. Ihnen zufolge hat das Unternehmen Daten zugänglich gemacht, die in kriminellen Foren wegen des möglichen Zugriffs auf andere Systeme Millionen wert wären.

Fazit

Von außen lässt sich kaum beurteilen, wie schwer das Datenleck tatsächlich war. Es zeigt jedoch, wie wichtig es für Unternehmen ist, ihre digitale Infrastruktur kontinuierlich zu überprüfen, damit Sicherheitslücken nicht wie im vorliegenden Fall tagelang ungesehen bestehen bleiben und das Unternehmen angreifbar machen.

BSI stellt aktuellen Lagebericht vor

26. Oktober 2022

Gestern veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen Lagebericht zur IT-Sicherheit in Deutschland für den Zeitraum Juni 2021 bis Mai 2022. Daraus geht hervor, dass die Bedrohung im Cyberraum so hoch wie nie sei. Als Grund für diese hohe Bedrohung machte das BSI zwei Faktoren aus. Einerseits stellten Cybercrime, insbesondere durch „Ransomware“ eine Gefahr dar. Andererseits sei die Cybersicherheit durch Hacker- und Sabotage-Angriffe im Zusammenhang mit dem Ukrainekrieg bedroht.

Bedrohung durch „Ransomware“

In dem Bericht befasste sich das BSI und die zuständige Ministerin des Innern und für Heimat, Nancy Faeser zunächst mit der sog. „Ransomware“. Insbesondere Unternehmen seien Opfer dieser Art von Hackerangriff.

„Ransomware“ ist eine Schadsoftware, mit der Hacker lokale oder vernetzte Daten oder Systeme verschlüsseln. Diese Verschlüsselung verhindere für den Nutzer den Zugang zu seinen Daten. Ziel des Angriffs können entweder einzelne Dateien, wie Bild- oder Videodateien oder umfangreiche Dateisätze, wie ganze Datenbanken oder Serversysteme sein. Um die Verschlüsselung aufzuheben, bedarf es eines bestimmten Tools. Die Hacker drohen den betroffenen Personen damit, das Entschlüsselungstool zu vernichten. Außerdem verlangen sie Lösegeld, verbunden mit der Aussicht das Entschlüsselungstool auszuhändigen. Darüber hinaus könne es vorkommen, dass die Hacker zusätzlich damit drohen, erlangte Dateien zu veröffentlich. Das BSI stellte fest, dass die Kombination aus Lösegeld- und Schweigegelderpressung der Regelfall sei.

Um sich vor „Ramsomware“-Angriffe zu schützen, sei es erforderlich, dass Unternehmen die Nutzung ihrer Systeme durch unbefugte Personen erschweren. Dafür können sie eine Mehrfaktor-Authentisierung, ein Virtuelles Privates Netz (VPN) und strenge Passwortvorgaben einsetzen.

Cyberkriminalität im Zusammenhang mit dem Ukrainekrieg

Das BSI identifizierte als weitere große Bedrohung für die Cybersicherheit in Deutschland vielfältige Aktivitäten im Zusammenhang mit dem Ukrainekrieg. Dabei sei es zu einer Vielzahl an verschiedenen Hackerangriffen gekommen.

Zu Beginn des Krieges setzten Hacker gegen die Ukraine sog. „Wiper“ ein. Diese Softwareprogramme sorgen dafür, dass Daten gelöscht werden. So haben Hacker, beispielsweise die Daten von ukrainischen Banken gelöscht. Auch seien Soziale-Medien das Ziel von Hackerangriffen. In Deutschland haben Hacker pro-russische Kommentare verfasst. Besonders aufgefallen sei die pro-russische Hacker-Gruppe „Killnet“. Sie habe sog. „Distributed Denial of Servies-Angriffe“ (DDoS-Angriffe) auf Ziele in Ländern der EU durchgeführt. Unter diesen „DDos“-Angriffen seien „Überlastungsangriffe auf Internetdienste“ zu verstehen.

Zu Hackerangriffen im Zusammenhang mit dem Ukrainekrieg zählte das BSI auch Angriffe des Hacker-Kollektivs „Anonymous“. Es habe Unternehmen außerhalb Russlands angegriffen, die geschäftliche Beziehungen zu Russland pflegten.

Fazit

Laut BSI sei „eine Erhöhung der Resilienz gegenüber Cyber-Angriffen (…)“ die Hauptaufgabe aller betroffenen Stellen aus Staat, Wirtschaft und Gesellschaft.

Für die Vorstellung des Lageberichts war ursprünglich ein früherer Termin vorgesehen. Dieser wurde aber wegen der Freistellung des BSI-Präsidenten Arne Schönbohm verschoben (wir berichteten).

„Wie bekomme ich die Cookies auf meiner Homepage unter Kontrolle?“

Unter diesem Thema veranstaltete das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) eine Themenwoche auf seinem Mastodon-Kanal. Bei dieser Veranstaltung stellte das BayLDA, neben rechtlichen und technischen Informationen, praxisorientierte Empfehlungen rund um das Thema „Cookies“ zu Verfügung. Die Veranstaltung richtete sich an öffentliche Stellen und Interessierte.

Die Einwilligungspflicht

Zunächst informierte das BayLDA darüber, dass Cookies den Regelungen der DSGVO und ebenso dem TTDSG, das seit dem 01. Dezember 2021 in Kraft getretenen ist, unterfallen (wir berichteten). Nach § 25 Abs. 1 TTDSG bedürfe das Setzen von Cookies einer Einwilligung. Zusätzlich sei eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO für die Datenverarbeitung mittels Cookies erforderlich. Regelmäßig komme hierfür ebenso die Einwilligung in Betracht. Nach § 25 Abs. 2 TTDSG existiere eine Ausnahme zur Einwilligungspflicht. Diese liege erstens vor, wenn der Verwender Cookies zweckgebunden für die Übertragung einer Nachricht einsetze. Zweitens liege diese vor, wenn die verwendeten Cookies technisch erforderlich seien.

Es sei jedoch fraglich, wann Cookies technisch erforderlich seien. Das BayLAD führte hierzu aus, dass ein Cookie technisch erforderlich sei, wenn ohne ihn „(…) bestimmte Komponenten oder Funktionen des Telemediendienstes nicht ausgeführt werden könnten.“

Anschließend befasste sich das BayLDA mit der Frage, wie Webseitenbetreiber herausfinden könnten, welche Cookies ihre eigene Webseite setzt. Jeder Verwender könne über den Internet-Browser herausfinden, welche Cookies die aktuell aufgerufene Webseite nutze. Jeder Internet-Browser verwende dafür eine andere Funktion. Im Falle von „Mozilla Firefox“ können die Cookies beispielsweise über die „Entwicklungswerkzeuge“ angezeigt werden. 

Datenschutzrechtliche Vorgaben

Das BayLDA empfahl den Betreibern einer Webseite, darauf zu achten, Cookies möglichst datenschutzfreundlich einzusetzen. Hierbei ging das BayLDA exemplarisch auf die Auswahl von Tools zur Reichweitenmessung ein. Es empfahl solche Tools, die wenige oder keine Cookies verwenden und von einem Anbieter mit Sitz in der EU betrieben werden.

Hinsichtlich der datenschutzrechtlichen Vorgaben sei bei Cookies außerdem zu beachten, dass im Sinne der Art. 13 und 14 DSGO über die durch sie erfolgende Datenverarbeitung zu informieren sei. Der Umfang der erforderlichen Informationen bestimme sich anhand der eingesetzten Cookies. Bei technisch notwendigen Cookies seien regelmäßig weniger Informationen im Vergleich zu technisch nicht notwendigen Cookies zur Verfügung zu stellen. Darüber hinaus solle darauf geachtet werden, zu welchem Zeitpunkt der Nutzer die Einwilligung erteile und dass dabei eine Opt-In-Lösung gewählt werde. Auch sei eine mögliche Datenübermittlung in Drittländer zu überprüfen.

Verbraucherzentrale NRW: Warnt vor „Single-Sign-On“ – Verfahren

21. Oktober 2022

Die Verbraucherzentrale NRW informierte vor Kurzem über die Risiken des sog. „Single-Sign-On“-Verfahrens. Hintergrund dieser Hilfestellung war eine Meldung von Facebook, der zufolge rund 400 Apps über die Anmeldeoption die Daten ihrer Nutzer stehlen konnten.

Einfaches Einloggen

Mittlerweile bieten eine Vielzahl an Apps und Webseite das Single-Sign-On-Verfahren an. Dem Nutzer soll es ermöglicht werden, sich einfach und schnell bei verschiedenen Onlineanwendung anzumelden. Demnach muss er nicht alle seine Anmeldedaten aufwendig eintippen, sondern kann sich beispielsweise über die Option „Login mit Facebook“ oder „Login mit Google“ anmelden. Das bereits erstelle Social-Media-Profil dient folglich zur Anmeldung oder Registrierung. Der Nutzer muss sich auf der verwendeten Webseite oder der verwendeten App kein weiteres Profil anlegen.

Aus Sicht der Verbraucherzentrale, berge dieses vereinfachte Anmeldeverfahren allerdings ein erhebliches Risiko. Wenn die Anmeldedaten des Nutzers in falsche Hände geraten, könne sich der Dritte Zugang zu sämtlichen Plattformen verschaffen. Dabei stelle die Anmeldung mittels „Single-Sign-On“ eine Art Generalschlüssel dar. Außerdem sei es möglich, dass der Webseitenbetreiber, der die Anmeldung über einen Social-Media-Account ermögliche, die Anmeldedaten nicht verschlüssele. Im Falle eines Diebstahls sei der Missbrauch folglich besonders leicht möglich.

Datendiebstahl über Facebook

Zusätzlich legte Facebook vor kurzem einen Datendiebstahl offen. Der Social-Media-Dienst teilte mit, dass sog. Malware-Apps die Daten von rund einer Millionen Facebook– Nutzern entwendet hätten. Dabei konnten Facebook-Nutzer verschiedene Apps für Android oder iOS herunterladen. Anschließend hätten die Apps ein „Login mit Facebook“ angeboten. Eine Anmeldung in der App sei allerdings nicht erfolgt. Stattdessen habe ein Phishing-Formular, die eingegebenen Daten an die hinter den Apps versteckten Hacker gesendet. Daraufhin übernahmen diese die Accounts der betroffenen Facebook-Nutzer.  

Mögliche Vorkehrungen

Aus Sicht der Verbraucherzentrale NRW könne jeder Nutzer Vorkehrungen treffen, um einen möglichen Datendiebstahl zu verhindern. Über die Datenschutzerklärung können die Nutzer sich darüber informieren, welche Daten Social-Media-Plattformen mit Webseiten- und App-Betreibern austauschen. Zusätzliche sollte der Nutzer, bei Verwendung des „Single-Sing-On“-Verfahrens ein starkes Passwort wählen. Dieses könne außerdem durch die Zwei-Faktor-Authentifizierung abgesichert werden. Im Falle eines Sicherheitslecks sei das Passwort sofort zu ändern und auf ungewöhnliche Zahlungsvorgänge auf dem eigenen Konto zu achten.

Innenministerin beruft BSI-Chef Schönbohm ab

Die Bundesinnenministerin Nancy Faser hat den Präsidenten des Bundesamts für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm abberufen. Am 18. Oktober 2022 stellte Faser den Chef des BSI zunächst frei. Die Freistellung erfolgte, nachdem verschiedene Vorwürfe gegen den Präsidenten des BSI aufkamen. Demnach soll Schönbohm einem Verein nahestehen, der (auch nach eigenen Angaben) Kontakte zum russischen Geheimdienst unterhalten soll.

Fragwürdige Kontakte

Ausgelöst wurden die Vorwürfe durch eine am 07. Oktober 2022 ausgestrahlte Folge des ZDF-Magazins „Royale“. In dieser präsentierte der TV-Satiriker Jan Böhmermann die Ergebnisse einer Recherche-Zusammenarbeit der ZDF-Produktion und des Recherchenetzwerks „Policy Network Analytics“.

Diesen Recherchen zufolge soll Schönbohm, bevor er Präsident des BSI wurde, 2012 den „Cyber-Sicherheitsrat e.V.“ (mit-) gegründet haben. Der private Verein berät nach eigenen Angaben Unternehmen und Politik im Bereich Cyber-Sicherheit. Der Name Cyber-Sicherheitsrat Deutschland ist fast identisch mit dem Cyber-Sicherheitsrat des Bundesinnenministerium. In einem Schreiben des für Cybersicherheit zuständigen Ministerialdirigenten des Innenministeriums vom 27. Mai 2015 an die Chefs von 5 Sicherheitsbehörden des Bundes wurde daran erinnert, eine Abgrenzung zu dem Verein sicherzustellen. Jegliche Unterstützung, beispielsweise durch die Unterstützung von Veranstaltungen, habe zu unterbleiben. Mitglied dieses Vereins sei u.a. die in Berlin ansässige „Protelion GmbH“. Protelion selbst stelle Software zum Schutz vor Cyberangriffen her. Die Protelion GmbH sei allerdings erst seit August 2022 unter ihrem jetzigen Firmennamen bekannt. Zuvor trug das Unternehmen den Namen „Infotecs“. Die Infotecs GmbH sei eine Tochtergesellschaft des russischen Cybersicherheits-Unternehmens „O.A.O Infotecs“. Ein ehemaliger Mitarbeiter des sowjetischen Nachrichtendienstes KGB habe den russischen Mutterkonzern gegründet. Darüber hinaus habe Infotecs bereits mit russischen Regierungsstellen zusammengearbeitet. Folglich sollen russische Stellen die Sicherheitssysteme von Infotecs für ihre Zwecke verwendet haben. Diese biete die Firma ebenso auf dem deutschen Markt als Mittel zur Abwehr von Cyberangriffen an.  

Außerdem berichtete das ZDF-Magazin Royal über weitere vermeintliche Verbindungen des Cyber-Sicherheitsrates e.V.“ zu Russland. Gegenstand dieser Verbindungen sei ein jetziges Präsidiums-Mitglied des Cyber-Sicherheitsrates e.V., Hans-Wilhelm Dünn. Diesem wurden in der Vergangenheit fragwürdige Kontakte zu russischen Stellen vorgeworfen.

Aufgrund dieser Verbindungen habe Schönbohm es den Mitarbeitern des BSI untersagt, bei Veranstaltungen des Cyber-Sicherheitsrates e.V. aufzutreten. Er selbst habe allerdings bei dem zehn-jährigen Jubiläum des Vereins eine Rede gehalten. Dem „Spiegel“ zufolge, segnete das Bundesinnenministerium dieses Vorgehen ab.

Fazit

Im Ergebnis steht im Zentrum der Kritik an Schönbohm seine vermeintlich fehlende Distanz zu Russland, obwohl die Bundesrepublik bereits mehrfach das Ziel russischer Cyberangriffe war. Das Innenministerium sagte dazu, dass Schönbohm „das notwendige Vertrauen der Öffentlichkeit in die Neutralität und Unparteilichkeit der Amtsführung (…) nachhaltig beschädigt“ habe.

Derweil bat Schönbohm darum, ein Disziplinarverfahren einzuleiten. Das Innenministerium strenge ein solches bislang allerdings nicht an.

Wir möchten an dieser Stelle darauf hinweisen, dass die Nutzung russischer Systeme aktuell mit einem erheblichen Risiko verbunden ist.

EuGH kippt anlasslose Vorratsdatenspeicherung

12. Oktober 2022

Der Europäische Gerichtshof (EuGH) hält die anlasslose Vorratsdatenspeicherung in Deutschland für rechtswidrig – und für einen Verstoß gegen die Grundrechte. So ist das allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 GG iVm. Art. 1 Abs. 1 GG betroffen, und darüber die informationelle Selbstbestimmung.

Dies entschied der EuGH in seiner Entscheidung vom 20. September 2022. Sie stellt eine äußerst bedeutende Entscheidung für den zukünftigen Kurs der Bundesregierung dar. Somit wird im Kontext der digitalen Strafverfolgung, anhand spezifischer Kommunikationsdaten verdächtigter Bürger, wohl ein anderes Vorgehen unvermeidlich sein.

Bundesjustizminister stellt sogenanntes „Quick-Freeze-Verfahren“ vor

Mit diesem Verfahren soll eine anlasslose Speicherung von Kontaktdaten durch Unternehmen vermieden- und stattdessen ein sinnbildliches Einfrieren von Verkehrsdaten ermöglicht werden. Es handelt sich dabei um einen Zugriff auf noch im Unternehmen vorhandene Daten.
Klärend muss an dieser Stelle erläutert werden, dass es sich bei den nun einzufrierenden Telekommunikationsdaten („Verkehrsdaten“) nicht um anlasslos gespeicherte Daten handelt. Die betroffenen Daten liegen aufgrund unternehmenseigener Agenden schlichtweg noch vor.

Das „Quick-Freeze-Verfahren“ in zwei Schritten

Im ersten Schritt soll Ermittlungsbehörden, bei Verdacht auf eine Straftrat mit erheblicher Bedeutung hin, ein agiles Einfrieren möglicher relevanter Verkehrsdaten beim Unternehmen möglich gemacht werden. Provider dürften sodann vorhandene korrelierende- sowie neu anfallende Daten nicht mehr löschen.
Im zweiten Schritt erst würde eine Übermittlung der Daten an die Ermittler erfolgen. Auch hierfür wäre wieder ein Gerichtsbeschluss unter der Voraussetzung, dass die eingefrorenen Daten auch wirklich ermittlungsrelevant wären, notwendig.

Fazit

Mit der Entscheidung des EuGH geht der Kurs der Bundesregierung unweigerlich in eine Richtung die zugunsten der Grundrechte ausfällt. Ein stetiges Gefühl von Überwachung hat in einer demokratischen Gesellschaft schlichtweg keinen Platz. Auch die Ermittlungsbehörden haben durch diese Entscheidung keine Nachteile. Das „Quick-Freeze-Verfahren“ könnte sich möglicherweise als ein agiles Instrument zur zuverlässigen Bekämpfung von Kriminalität erweisen.

405 Millionen Euro Strafe für Instagram

21. September 2022

Aufgrund der Veröffentlichung von personenbezogener Daten Minderjähriger muss das soziale Netzwerk Instagram in Irland ein Bußgeld in Höhe von 405 Millionen Euro zahlen. Dies verkündete der irische Data Protection Commissioner in seiner Presseerklärung vom 15. September.

Laut der irischen Behörde habe die Tochter des Internetriesen Meta Platforms Jugendlichen erlaubt, sogenannte „Business-Accounts“ zu betreiben. Damit verbunden war die Veröffentlichung von Telefonnummern und E-Mail-Adressen der Minderjährigen. Zusätzlichen waren die Profile der Jugendlichen in Teilen standardmäßig auf „öffentlich“ geschaltet, wodurch die Social-Media-Inhalte der Nutzenden öffentlich einsehbar waren.

Das Rekordbußgeld reiht sich in die strikte Handhabung der irischen Datenschutzbehörde in Bezug auf Meta Platforms und die verbundenen Tochterunternehmen ein. Bereits in den letzten 12 Monaten verhängte der DPC Bußgelder in Höhe von 225 Millionen Euro gegen Whatsapp und 17 Millionen Euro gegen Meta.

Meta kündigte in einer nicht öffentlichen Stellungnahme an, die Entscheidung des Data Protection Commissioner anzufechten und betonte, dass es sich bei den kritisierten Optionen um veraltete Einstellungen handele.

Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Phishing mit Energiepauschale

9. September 2022

Das BSI warnt momentan auf seinem Twitter-Account vor Phishing-Mails, die dem Empfänger die Auszahlung der Energiepauschale versprechen. Diese Mails sollen Betreffe wie: „Jetzt Energiepauschale sichern!/ Wir überweisen die Energiepauschale /Bereit für Ihren Energiebonus?“ enthalten. In dem vom BSI veröffentlichten Beispiel sieht die Phishing-Mail aus, als wäre ihr Absender die Sparkasse. In dem Schreiben wird über die Auszahlung der Energiepauschale informiert. Dort steht u.a. folgendes geschrieben: „Um ihre Identät sowie den Anspruch auf eine Auszahlung feststellen zu können, benötigen wir eine Bestätigung Ihrer bereits angegebenen Daten […]. Gebe Sie noch heute Ihre aktuellen Daten auf unser Homepage an und erhalten Sie innerhalb der nächsten vier Wochen ihre Auszahlung der Energiepauschale[…]“.

Das BSI weist ausdrücklich darauf hin, dass unter keinen Umständen hier Daten angegeben werden sollen. Phishing-Mails sind E-Mails die vorgeben, von einem vertrauenswürdigen Absender zu stammen. Tatsächlich stecken hinter Phishing-E-Mails Kriminelle, die die Empfänger solcher E-Mails zur Weitergabe ihrer Daten, meist ihrer Zahlungsdaten verleiten wollen.

Um die immer professioneller werdenden Phishing-Mails von echten unterscheiden zu können, verweist das BSI auf seine Website. Dort wird erklärt, woran man Phishing-Mails gut erkennen kann. Es lohnt sich häufig auch, die E-Mails besonders sorgfältig zu lesen. So können u.a. Rechtschreibfehler wie in dieser Mail („Identät“) eine Phishing-Mail entlarven.

1 2 3 4 83