Clearview: Unbefugter erlangte Zugriff auf Kundenliste

27. Februar 2020

Das US-Unternehmen Clearview machte zuletzt Schlagzeilen, weil es die bisher größte bekannte Gesichtsdatenbank aufgebaut hatte. Die Datenbank verkaufte Clearview insbesondere an Strafverfolgungsbehörden, wie Recherchen der New York Times aufdeckten. Wir berichteten darüber ausführlich in einem früheren Blogbeitrag.

Nun sind Clearview offenbar sensible Kundendaten abhanden gekommen. Das geht aus einem Bericht des US-Magazins The Daily Beast hervor. Das Unternehmen soll seine Kunden gewarnt haben, dass ein Unberechtigter Zugang zur Kundenliste, zur Anzahl der Benutzerkonten einzelner Kunden und der jeweiligen Suchvorgänge verschafft habe. Ein Rechtsanwalt des Unternehmens erklärte, es habe kein Zugriff auf Server Clearviews stattgefunden. Der Unberechtigte habe keinen Zugriff auf die Suchverläufe der Kundenkonten bekommen und die Schwachstelle sei mittlerweile geschlossen. Die genauen Umstände der Datenpanne sind unklar, jedenfalls spricht Clearview in der Meldung nicht von einem Hack.

Clearview geriet in die Öffentlichkeit, weil es mehrere Milliarden Fotos von Nutzern aus sozialen Netzwerken wie Facebook, YouTube und Instagram sammelte. Die Datenbank enthält darüber hinaus Namen von Personen und weitere persönliche Daten über den Wohnort, die Aktivitäten sowie Freunde und Bekannte. Clearview verkaufte die Datenbank in Form einer App an bisher mehr als 600 Behörden. Auch private Sicherheitsunternehmen sollen zu den Kunden von Clearview gehören.

Social-Media-Plafttformen wie Google wehrten sich zuletzt gegen das Vorgehen. So mahnte Google Clearview ab, weil es auf Videomaterial von YouTube zugriff. Twitter forderte Clearview auf, den Abruf von Fotos einzustellen und vorhandenes Material zu löschen.

Lernsieg-App wieder online

25. Februar 2020

Die kritisierte Lernsieg-App, in der Schüler Lehrer und Schulen in Deutschland und Österreich bewerten können, darf mit gleichbleibenden Funktionen wieder online gehen. Datenschützer sehen es als zulässig an, dass Lehrer und Schulen mit bis zu fünf Sternen anonym von den Schülern bewertet werden dürfen. Den Entwicklern der App gehe es um Transparenz und den Leistungsgedanken. Es soll gemeinsam an einem besseren Schulsystem gearbeitet werden.

Im November war die App nach nur wenigen Tagen offline gegangen aufgrund Kritik der österreichischen Lehrer-Gewerkschaft und zahlreicher Hass-Mails.

Die österreichische Datenschutzbehörde hat ihr Verfahren gegen „Lernsieg“ eingestellt. Aus ihrer Sicht stehe die Verarbeitung der Lehrerdaten im Einklang mit den Grundsätzen der DSGVO und die berechtigten Interessen der Allgemeinheit beziehungsweise der Schüler überwiege die Beeinträchtigung des Grundrechts auf Datenschutz der Lehrer. Es bestehe ein legitimes Informationsinteresse der Öffentlichkeit an der Bewertung.

„Lernsieg“ erinnert an die Webseite spickmich.de, die vor rund 10 Jahren die Gerichte in Deutschland beschäftigte, weil Lehrer immer wieder erfolglos versuchten, sich auf dem rechtlichen Weg gegen die teils diffamierenden Kommentare auf der Seite zur Wehr zu setzen. Diese Seite wurde inzwischen eingestellt.

Kategorien: Allgemein · DSGVO
Schlagwörter: ,

Verbände kritisieren Entwurf für „Digitale Gesundheitsanwendungen-Verordnung“ (DiGAV)

19. Februar 2020

Das Bundesministerium für Gesundheit (BMG) hatte im Januar 2020 einen Entwurf für eine „Digitale Gesundheitsanwendungen-Verordnung“ (DiGAV) vorgelegt. Durch diese Verordnung soll für gesetzlich Versicherte nicht nur ein Anspruch auf Versorgung mit digitalen Gesundheitsanwendungen begründet, sondern auch Anforderungen an Funktionstauglichkeit, Sicherheit, Qualität, Nachweis positiver Versorgungseffekte sowie Datenschutz und Datensicherheit dieser digitalen Gesundheitsanwendungen gestellt werden – so das BMG. Digitale Gesundheitsanwendungen sind dabei laut DVG (Digitale-Versorgung-Gesetz) solche Medizinprodukte, deren Hauptfunktionen wesentlich auf digitalen Technologien beruhen.

Verschiedene Verbände haben nun zu der geplanten Verordnung Stellung genommen und sich dabei auch zu den Fragen Datenschutz und Datensicherheit geäußert.

Der AOK-Bundesverband kritisiert in diesem Zusammenhang insbesondere, dass das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) keine eigene Prüfung vornehmen solle, ob die datenschutzrechtlichen Anforderungen durch die Hersteller der Produkte tatsächlich eingehalten werden. Verließe sich das BfArM lediglich auf die Angaben der Hersteller, verkämen die datenschutzrechtlichen Vorgaben zu einem „zahnlosen Tiger“. Zudem sei eine Verschärfung des Grundsatzes der Datenminimierung erforderlich: Hersteller und Anbieter müssten beispielsweise nicht zwingend Kenntnis von der Identität des Nutzers haben.

Die fehlende Überprüfung der Einhaltung des Datenschutzes durch das BfArM wird auch seitens des Deutschen Caritasverbandes kritisiert. Zudem wird bemängelt, dass Datenschutzverstöße keine Sanktionen nach sich ziehen würden.

Ähnliche Kritik äußert auch die Deutsche Gesellschaft für Psychologie e.V. (DGPs). Neben fachspezifischen Anmerkungen weist die DGPs darauf hin, dass die datenschutzrechtlichen Rahmenbedingungen insbesondere in Bezug auf den internationalen Austausch von Nutzerdaten sowie hinsichtlich der wissenschaftlich fundierten Weiterentwicklungsmöglichkeiten der digitalen Gesundheitsanwendungen verschärft werden müssten.

Als zu streng betrachtet die geplanten datenschutzrechtlichen Anforderungen hingegen der Spitzenverband Digitale Gesundheitsversorgung (SVDGV). Dieser kritisiert vor allem, dass die Verarbeitung von Patientendaten nur auf der Grundlage einer ausdrücklichen Einwilligung möglich sei. Auch sollten die Patientendaten zu weiteren als den im Entwurf genannten Zwecke verarbeitet werden dürfen, etwa zur Weiterentwicklung der Gesundheitsanwendungen, aber auch um den Patienten weitere relevante Versorgungsangebote anbieten zu können.

Es bleibt abzuwarten, welche der beteiligten Interessenvertretungen sich mit ihren Anliegen schließlich durchsetzen wird, oder ob überhaupt noch Änderungen an dem Referentenentwurf vorgenommen werden. Eine Fachanhörung im Ministerium war für den heutigen Mittwoch (19.02.2020) geplant.

BfD der evangelischen Kirche zur Nutzung von Microsoft Cloud-Diensten

18. Februar 2020

Der Beauftragte für den Datenschutz (BfD) der Evangelischen Kirche Deutschland hat ein Rundschreiben an alle Landeskirchen und diakonischen Landesverbände verschickt, das Hinweise und Empfehlungen zur datenschutzkonformen Nutzung von Microsoft Cloud-Diensten gibt.

Die Konferenz der Beauftragten für den Datenschutz in der Evangelischen Kirche hatte bereits 2019 die Rahmenbedingungen für einen datenschutzkonformen Einsatz von Microsoft Cloud-Diensten aufgezeigt.

Danach bedarf es folgender Voraussetzungen:

  • Verschlüsselung der Daten
  • Unterbindung von Telemetriedaten mit Bezug auf personenbezogene Daten
  • Abschluss eines Auftragsverarbeitungsvertrags mit Microsoft
  • Abschluss einer Zusatzvereinbarung, mit der sich Microsoft der kirchlichen Datenschutzaufsicht unterstellt

Die Zusatzvereinbarung stellt sicher, dass im Falle einer unrechtmäßigen Datenverarbeitung die kirchliche Aufsichtsbehörde zu informieren ist. Sie ist von Microsoft bereits in mehreren Fällen unterzeichnet worden und dem Rundschreiben des BfD als Anlage ebenfalls beigefügt.

Leichter Zugriff auf Millionen von Patientendaten

Wie bereits berichtet, war erst vor ein paar Tagen ein Datenleck beim Deutschen Roten Kreuz bekannt geworden. Dieses hatte Hackern den Zugriff auf ca. 100.000 Gesundheitsdaten ermöglicht.

Zusätzlich hat das C‘t Computermagazin herausgefunden, dass Millionen von Patientendaten nicht ausreichend gesichert sind und eine erhöhte Gefahr für Hackerangriffe besteht. Grund dafür ist erneut die Verwendung von zu schwachen Passwörtern.

Die von den Medizinern beauftragten IT-Dienstleiter raten den Praxen zu einfachen Passwörtern (wie z.B. „praxis123“), um den Mitarbeitern die Arbeit mit der Software zu erleichtern. Diese Kennwörter sind jedoch aufgrund der fehlenden Komplexität für Hacker leicht zu knacken. Nach Berechnungen des NDR sind dadurch ca. 8,5 Millionen Patienten-Datensätze akut bedroht.

Laut Ronald Eikenberg von der Computerzeitschrift C’t wird bereits eine Patientenakte auf dem Schwarzmarkt mit bis zu 2000 € gehandelt. Nach dem Erwerb der Patientendaten werden die Personen mitunter mit der Veröffentlichung der Krankheitsinformationen erpresst. Oft ermöglichen die Informationen auch einen Rückschluss auf weitere, weniger sensible Zugangsdaten. In vielen Fällen erfahren die Patienten erst Jahre später von dem Datendiebstahl.

Ärzte und Therapeuten kennen sich selten mit dem Thema Datensicherheit aus und müssen sich „blind“ auf die beauftragten IT-Dienstleister verlassen. Eine Hilfestellung dazu, welches EDV- Unternehmen einen geeigneten Schutz für die sensiblen Daten bietet, gibt es nicht. Daher fordert die Vereinigung der niedersächsischen Kassenärzte, dass der Gesetzgeber ein Gütesiegel oder Zertifikat einführt, dass vertrauenswürdige EDV- Unternehmen auszeichnet.

Kennzeichenfahndung der brandenburgischen Landespolizei weiter unter Kritik von Datenschützern

14. Februar 2020

Die brandenburgische Landesbeauftragte für den Datenschutz bemängelt die Kennzeichenfahndungspraxis der Landespolizei. Diese nutzt seit mehreren Jahren festinstallierte Kfz-Kennzeichnen-Scanner, die schon länger Anlass zur Kritik von Datenschützern sind. Anfang Februar erklärte der Polizeipräsident, das Verfahren zugunsten des Datenschutzes nachgebessert zu haben. Für die Landesdatenschutzbeauftragte weist die Fahndungspraxis jedoch weiterhin erhebliche Mängel auf.

Zunächst bestehen Zweifel, ob man das System mit dem Namen „KESY“ mit einer ausreichenden Rechtsgrundlage einsetze. Zudem habe man nach erneuten Kontrollen festgestellt, das auch das Löschkonzept den Datenschutzstandards nicht entspreche. So wurden nach Angaben der Ermittler nur Daten gelöscht die vor dem 19. Juni 2019 erhoben wurden. Noch problematischer sei jedoch, dass der komplette, bis zum Stichtag gespeicherte Datenbestand auf andere Datenträger übertragen wurde. So sollen eventuelle Anfragen der Staatsanwaltschaft noch bearbeitet werden können. Eine tatsächliche Löschung sei also gar nicht erfolgt.

Ein weiterer Kritikpunkt ist das Fehlen eines Konzepts zum Umgang mit Auskunftsrechten von erfassten Personen. Bis heute besteht ein derartiges Konzept nicht. Die Behörden weisen lediglich auf ein anhängiges Beschwerdeverfahren am Landesverfassungsgericht hin.

Außerdem kommentiert die Datenschutzbeauftragte den Plan der Behörden technisch organisatorische Maßnahmen zum Schutz der Daten von Betroffenen einzusetzen. Die Polizeibehörde habe diese zwar angekündigt, es jedoch unterlassen genauere Angaben zu machen, wann und wie diese implementiert werden sollen.

Sensible Patientendaten beim Deutschen Roten Kreuz gehackt

13. Februar 2020

Laut Berichten der Süddeutschen Zeitung, des BR und des RBB hat ein 18-jähriger Hacker problemlos auf zehntausende Patientenakten von Kreisverbänden des Deutschen Roten Kreuzes zugreifen können. Betroffen waren dabei nicht nur Stammdaten, sondern auch sensible Patienten- und Krankeninformationen.

Der Hacker hatte die Webseite eines Kreisverbandes in Brandenburg bereits im November letzten Jahres gehackt und einen der Verbände über die Sicherheitslücken informiert. Um aufzuzeigen wie einfach er dabei vorgehen konnte, fertigte er ein drei minütiges Beweisvideo an. Darauf greift er auf das DRK-Fahrdienst-System in Frankfurt (Oder) zu. Neben der Einsicht der Patientendaten wäre es für den Hacker an dieser Stelle leicht gewesen Fahrten zu löschen.

Das DRK sperrte daraufhin die betroffene Seite. Eine Meldung bei den zuständigen Behörden blieb jedoch aus. Der Hacker griff darauf Mitte Januar erneut auf die Daten zu und informierte Journalisten über die Sicherheitslücken.

Laut DRK-Generalsekretariat und der Landesverband Brandenburg sind die Vorfälle regional begrenzt. Außerdem bestehe keine einheitliche IT-Struktur. Die Vorfälle werden aber zum Anlass genommen alle Webseiten der Landesverbände und der Schwesternschaften der DRK auf ihre Datensicherheit zu überprüfen.

Die Betreiber der Seite hatten zu schwache Passwörter genutzt. Zudem handelte es sich um eine für diesen Typ von Datenbaken bereits bekannte Sicherheitslücke.

Start von Facebook Dating in Europa verspätet sich aus Datenschutzgründen

Eigentlich sollte Facebooks Datingdienst am 13. Februar und damit pünktlich einen Tag vor Valentinstag in Europa verfügbar sein. Daraus wird aber nichts, wie die irische Datenschutzkommission (DPC) am 12. Februar bekanntgab. Erst 10 Tage vor dem geplanten Start, am 3. Februar, wurde die DPC von Facebooks EU-Headquarter in Irland über den geplanten Start von Facebook Dating informiert. Die DPC monierte, dass ihr keine Informationen und Dokumentationen über die Datenschutz-Folgenabschätzung (DPIA) oder den bei Facebook Irland abgelaufenen Entscheidungsfindungsprozessen vorgelegt wurden. Um die Beschaffung der erforderlichen Unterlagen zu beschleunigen hat die DPC am vergangenen Montag eine Inspektion in den Büros von Facebook Irland durchgeführt und Dokumente gesammelt. Am daraufolgenden Tag teilte Facebook der Datensschutzbehörde mit, dass die Einführung des Features verschoben wurde.

In den USA wurde das Dating-Feature bereits im September gelauncht. EU-Bürger müssen bis auf Weiteres auf anderen Plattformen auf Partnersuche gehen. Aber auch die stehen im Fokus von Untersuchunngen: So legten norwegische Verbraucherschützer gegen die Dating-App Grindr Beschwerde ein, auch Lovoo stand bereits in der Kritik und aktuell ermittelt die irische Datenschutzkommission, ob der Umgang mit personenbezogenen Daten der Dating-App Tinder im Einklang mit dem Datenschutzrecht steht.

Datenschützer zu Twitter: „Die Gnadenfrist läuft schon“

11. Februar 2020

Der Landesbeauftragter für den Datenschutz des Landes Baden-Württemberg, Stefan Brink, löschte am 31. Januar 2020 seinen Twitter-Account mit rund 5400 Followern. Diesen Schritt begründete er damit, dass die Benutzung des datenschutzrechtlich problematischen Dienstes nicht mit seiner Tätigkeit vereinbar sei. Er wolle nun prüfen, „ob die anderen drinbleiben dürfen.“ Die Landesregierung Baden-Württembergs und die Landespolizei meldeten kurz danach an, nicht auf den Kurznachrichtenndienst verzichten zu wollen. Der „Twexit“ des Landesbeauftragten könnte nun aber Folgen für Behörden und Unternehmen haben. Kürzlich veröffentlichte die Aufsichtsbehörde Anforderungen an die behördliche Nutzung „Sozialer Netzwerke„. Im Wesentlichen werden 5 Anforderungen aufgestellt: Behörden müssten eine datenschutzrechtliche Rechtsgrundlage für die Benutzung vorweisen und Transparenzgebote einhalten. Sie sollen mit dem Sozialen Netzwerk einen Vertrag zur gemeinsamen Verantwortung schließen. Zudem müssten Behörden alternative Informations- und Kommunikationswege anbieten und technisch und organisatorische Sicherungsmaßnahme einhalten. Besonders die Forderung nach einem Vertrag über die gemeinsame Verantwortung hat es in sich: Denn Twitter weigert sich aktuell solche Verträge mit seinen Nutzern zu schließen. Stefan Brink sieht aber Verträge für die gemeinsame Verantwortlichkeit als zwingende Voraussetzung für eine rechtskonforme Benutzung des Dienstes an. Diese Anforderung schließt die Aufsichtsbehörde aus den neuerlichen Urteilen des EuGH und des BVerwG zu Facebook-Fanpages, die auf Twitter übertragbar seien.

In einem Interview mit JUVE Rechtsmarkt erläuterte Stefan Brink nun seine Strategie: Zunächst will er mit Behörden den Dialog suchen. Wenn das nicht funktioniere könnten Anordnungen erlassen werden, um „die Behörden [zu] zwingen, mit dem Twittern aufzuhören.“ Er erkennt zwar die große Rolle die Social-Media-Kanäle spielen, möchte sich aber trotzdem „in der zweiten Jahreshälfte […] Unternehmen ansehen.“ Er ist sich sicher durch „Druck auf die Unternehmen“ zu erreichen, dass „die Unternehmen ihrerseits Druck auf die Plattformbetreiber ausüben“ und so an „den formal nötigen Vertrag“ kommen werden.

Öffentliches Konsultationsverfahren des BfDI

10. Februar 2020

Am 10.02.2020 eröffnete der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zum ersten Mal ein öffentliches Konsultationsverfahren, bei dem Akteure aus Politik, Wirtschaft, Gesellschaft und Verwaltung, Stellung zu einem ausgewählten datenschutzrechtlichen Thema nehmen können.

Im Fokus des ersten Konsultationsverfahrens soll die Anonymisierung von Daten unter der DSGVO unter besonderer Berücksichtigung der Telekommunikationsbranche sein. Zu diesem umstrittenen Thema hat der BfDI ein Positionspapier veröffentlicht. Ziel ist es, Verantwortlichen „eine Orientierung zum rechtssicheren und datenschutzfreundlichen Umgang mit der Anonymisierung von Daten“ zu geben.

Der BfDI Ulrich Kelber betonte hierbei: Das Konsultationsverfahren ist ein weiterer Schritt zu noch mehr Transparenz in meiner Behörde. Der Datenschutz lebt von einer breiten gesellschaftlichen Diskussion. Daher werde ich zukünftig vermehrt auf dieses Mittel der Öffentlichkeitsbeteiligung zurückgreifen. Wir wollen alle Stimmen hören, um gemeinsam konstruktive Vorschläge zu erarbeiten. Ich fordere die Expertinnen und Experten auf, diese Möglichkeit intensiv zu nutzen.

1 2 3 4 5 207