6. August 2019
Eine Liste mit den Datensätzen von 2025 registrierten Journalisten, Analysten, Influencern, Korrespondenten und Produzenten war auf der E3-Website mindestens einige Tage lang abrufbar.
Als Erste machte die Journalistin Sophia Narwitz in einem Youtube-Video auf die Datenpanne aufmerksam, nachdem sie selbst über eine anonyme E-Mail davon Kenntnis erlangt hat.
Inzwischen ist die Liste zwar nicht mehr im Google-Cache, offenbar wurde sie jedoch von Unbekannten kopiert und ist nun andernorts im Internet zu finden.
Der eigentliche Zweck solcher Listen ist, dass Aussteller die Teilnehmer der Messe nach deren Einwilligung kontaktieren können. Laut dem Veranstalter war das Dokument zunächst nur per Passwort erreichbar, erschien dann aber als Download auf einer E3-Unterseite. Ungeklärt bleibt noch, wie es zu diesem Vorfall kam.
5. August 2019
Bei einer der
größten Datenpannen in der nordamerikanischen Finanzbranche erhielt eine
Hackerin Zugriff auf Konten und Kreditkartenanwendungen von US-Bank-Kunden. Die
US-Bank, die ihren Sitz in Virginia hat, berichtete, dass Daten von mehr als
100 Millionen US-Bürgern und 6 Millionen Kanadiern gestohlen wurden.
Nach Angaben
der Bank seien persönliche Daten von Kreditkartenanträgen und existierenden
Kreditkarten betroffen, etwa Namen, Adressen, Telefonnummern,
E-Mail-Adresse, Geburtsdaten und angegebenes Einkommen sowie Informationen zur
Kreditwürdigkeit und Verfügungslimits. Jedoch seien keine
Kreditkartenkontonummern oder Anmeldeinformationen betroffen, stellte die
US-Bank fest.
Die Hackerin hatte zuvor als Software-Entwicklerin bei Amazon Web Services gearbeitet, dem Cloud-Anbieter der US-Bank. Wie die US-Bank betont, habe die entdeckte Schwachstelle nicht speziell an der Cloud-Umgebung gelegen. Laut Bloomberg handelte es sich um eine falsch konfigurierte Firewall, die den Datendiebstahl ermöglicht habe.
Die Hackerin soll bereits Informationen über den Hack in Sozialen Medien veröffentlicht haben. Die US-Bank bemerkte den Datendiebstahl erst nach einer entsprechenden E-Mail von einem Nutzer, der vor einem potenziellen Datenleck warnte, das mit dem mutmaßlichen Angreifer in Verbindung steht. Laut US-Bank „ist es unwahrscheinlich, dass die Hackerin die erbeuteten Daten weiterverbreitet oder betrügerisch eingesetzt habe.“
Der Skandal
schlägt inzwischen auch Wellen bis nach Europa. Eine italienische Bank wird mit
einem Datendiebstahl bei der US-Bank in Zusammenhang gebracht.
1. August 2019
Bei Untersuchungen im Auftrag des niederländischen Justizministeriums wurden letztes Jahr massive Datenschutzverstöße bei Microsoft festgestellt. Das Ergebnis einer Nachuntersuchung zeigt, dass trotz vieler Nachbesserungen Office Online, die mobilen Apps und Windows 10 Enterprise immer noch nicht datenschutzkonform sind.
Als Nachbesserungsmaßnahmen wurden z.B. neue Datenschutzbestimmungen für die Nutzung von Enterprise-Versionen von Office und Windows 10-Software für die rund 300.000 digitalen Arbeitsplätze in den Ministerien und anderen Behörden vereinbart. Die acht vorher identifizierten Mängel bei Office 365 ProPlus wurden ebenfalls behoben.
Diese Nachbesserungen wurden aber noch nicht für Office Online und den mobilen Office-Apps umgesetzt. So kann man den Datenverkehr in Office nicht minimieren und bei den iOS App (Word, Excel und PowerPoint) werden Daten an eine US-amerikansiches Marketing-Unternehmen weitergeleitet, das sich auf Profiling spezialisiert hat. Die Nutzer werden nicht über den Zweck dieser Verarbeitung informiert und können sie auch nicht abstellen.
Der Bundesbeauftragte für Datenschutz und Informationsfreiheit, Herr Prof. Ulrich Kelber möchte künftig die Sprachassistenten “Alexa” und “Siri” überprüfen. Zumindest geht dies aus Medienberichten sowie einer Mitteilung des Bundestages hervor. Er betonte, dass sich mit den in Rede stehenden Sprachassistenten beschäftigt und deren datenschutzrechtliche Konformität auf Grundlage der Datenschutzgrundverordnung geprüft werden müsse.
Darüber hinaus hat der Hessische Landesdatenschutzbeauftragte, Herr Prof. Ronellenfitsch die Nutzung von Microsoft Office 365 an Schulen verboten. Dies sind nur zwei Beispiele dafür, dass die Aufsichtsbehörden mittlerweile langsam die Überforderung des ersten Jahres nach Inkrafttreten der DSGVO überwinden und zum täglichen Geschäft übergehen.
Ob dies tatsächlich der Fall ist und wie die Meinung der Aufsichtsbehörden bezüglich der Umsetzung der DSGVO im Allgemeinen aussieht, können Sie beim datenschutzticker.live, am 30.10.2019 in der Wolkenburg in Köln erfahren. Im Rahmen des datenschutzticker.live werden unter anderem sowohl Herr Prof. Kelber als auch Herr Prof. Ronellenfitsch und der Landesdatenschutzbeauftragte für Sachsen-Anhalt, Herr Dr. von Bose über aktuelle Themen referieren.
Hierfür müssen Sie sich lediglich verbindlich anmelden. Die Veranstaltung ist kostenlos.
31. Juli 2019
Der baden-württembergische Landesdatenschutzbeauftragte warnt in seiner gestrigen Pressemeldung eindringlich vor Datenpannen in Arztpraxen. Ganz besonders Verschlüsselungstrojaner sind die Quelle vieler Datenschutzverletzungen. Auch die Übermittlung von Patientenberichte oder Röntgenbilder an falsche Empfänger stellen ein großes Problem dar.
Es ist zwingend notwendig, dass eine Datensicherung, Verschlüsselung sowie die Schulung und Sensibilisierung der Mitarbeiter stattfindet. Hierzu erklärt der Landesbeauftragte, Dr. Stefan Brink: „Gerade im medizinischen Bereich werden extrem sensible und schützenswerte personenbezogene Daten verarbeitet. Daher ist es hier besonders wichtig, dass mit diesen Daten sorgfältig und korrekt umgegangen wird.”
Bislang hat die Bußgeldstelle des LfDI Bußgelder in Höhe von 207.140 Euro verhängt. Seit dem Wirksamwerden der neuen EU-Datenschutzverordnung im Mai 2018 hat sich die Zahl der Datenpannen demzufolge verzehnfacht.
Die am häufigsten gemeldeten Datenschutzverletzungen: Postfehlversand, Hackingangriffe/Malware/Trojaner, E-Mail-Fehlversand, Diebstahl eines Datenträgers, Versendung einer E-Mail mit offenem Adressverteiler, Verlust eines Datenträgers und Fax-Fehlversand.
30. Juli 2019
Der EuGH hat vergangenen Montag in einem Urteil verkündet, dass Webseiten mit integrierten Facebook “Gefällt mir”-Button eine Mitverantwortung für die Erhebung und Übermittlung von personenbezogenen Daten an Facebook tragen (C-40/17).
Die Betreiber der Webseiten müssen in diesem Falle über die Erhebung der Daten informieren und eine entsprechende Einwilligung einholen. Für die weitere Verarbeitung nach Übermittlung der Daten ist Facebook alleinverantwortlich.
In dem konkreten Fall ging es darum, dass der Webseitenbetreiber Fashion ID den “Gefällt mir”-Button eingesetzt hat um sein Onlinesortiment zu bewerten. Die personenbezogenen Daten wurden jedoch bereits bei Aufsuchen der Webseite an Facebook übermittelt, vollkommen unabhängig, ob der Webseiten-Nutzer einen “Gefällt mir”-Button genutzt hat oder überhaupt ein Facebook-Account betreibt. Die Klage ging von der Verbraucherzentrale NRW aus, die eine Datenübermittlung ohne Einwilligung stark kritisierte.
Das Verfahren begann beim Landgericht Düsseldorf und führte über das Oberlandesgericht Düsseldorf zum Europäischen Gerichtshof.
Die Entscheidung des EuGH wurde mit dem Prinzip der “Gemeinsamen Verantwortung” gemäß Art. 26 DSGVO untermauert, wodurch Fashion ID selbst auf seiner Webseite über die Erhebung, Nutzung und Übermittlung der personenbezogenen Daten informieren und die Einwilligung der Nutzer einholen muss.
Der Digitalverband Bitkom kritisierte die Entscheidung des EuGH, da sich diese auf alle Social-Media-Plugins auswirken wird und Cookie-Banner sowie Datenschutzerklärungen bereits viel Platz auf den Webseiten einnehmen ohne vom Nutzer genügend Beachtung zu erhalten.
29. Juli 2019
Im Internet sind Daten von mehr als 2000 Thailand-Reisenden ungeschwärzt einsehbar gewesen, darunter auch Gesundheitsdaten. Unter den Betroffenen sind auch ca. 130 deutsche Touristen.
Bei den betroffenen Daten handelt es sich um Passkopien, Handynummern und private E-Mail-Adressen. Darüber hinaus wurden auch Informationen über Krebs-Erkrankungen, Herzleiden und psychiatrischen Klinik-Aufenthalten sowie Arzneimittelverschreibungen der Touristen öffentlich.
Die thailändische Botschaft teilte auf Anfrage mit, sie werde die Angelegenheit prüfen. Der Grund für das Speichern der Daten sind dem Bericht zufolge thailändische Vorschriften, die für die Einfuhr verschreibungspflichtiger Arzneimittel eine Bescheinigung des behandelnden Arztes voraussetzen.
24. Juli 2019
Eine EU-Cloud soll dafür sorgen, dass wir besser vor Zugriffen von US-amerikanischen Behörden geschützt werden. Die Bundesregierung möchte der Dominanz von US-amerikanischen Firmen wie Google, Amazon und Microsoft, die derzeit den weltweiten Markt für Cloud-Anbieter dominieren, durch den Aufbau einer europäischen Cloud-Lösung entgegenwirken.
Einem Bericht des Handelsblatts zufolge stellen insbesondere IT-bezogene Sicherheitsbedenken den Hauptgrund für Skepsis gegenüber den US-Konzernen dar.
Innenminister Horst Seehofer (CSU) sagt dazu: “Wir können nur mit solchen Anbietern zusammenarbeiten, die unsere Sicherheitsvorgaben einhalten und damit unsere digitale Souveränität gewährleisten.”
Dies sei über die US-amerikanischen Cloud-Marktführern allerdings nicht der Fall. “Bei der Nutzung von US-basierten Cloud-Diensten gilt der Cloud-Act, der den US-Behörden weitreichende Zugriffe auf die Daten von US-Cloud-Providern geben kann, auch wenn sie nicht in den USA gespeichert sind”, berichtet das Innenminsterium. “Um Zugriffe einzuschränken, bedarf es einer zwischenstaatlichen Vereinbarung”.
Problematisch ist, dass der Cloud-Act der DSGVO widerspricht. Laut der DSGVO dürfen Nicht-EU-Staaten nur dann auf Daten aus der EU zugreifen, wenn es ein entsprechendes Abkommen zwischen der EU und dem jeweiligen Land gibt, das auf die Daten zugreifen will. Zwischen den USA und der EU gibt es ein entsprechendes Abkommen allerdings nicht.
Deshalb fordert auch Wirtschaftsminister Peter Altmaier (CDU) “dringend verlässliche Datensouveränität und breite Datenverfügbarkeit”, welche mit einer Alternativlösung zu den verbreiteten US-Clouddiensten vorangetrieben werden soll.
Wann allerdings eine solche EU-Cloud tatsächlich umgesetzt werden kann, ist nicht ersichtlich. Das Konzept befindet sich derzeit in der Prüfphase.
18. Juli 2019
Ist man derzeit im Internet und dort insbesondere auf den unterschiedlichsten Social-Media-Netzwerken unterwegs, stolpert man seit einigen Tagen vermehrt auf Portraitbilder, die die Abgebildeten älter erscheinen lassen als sie tatsächlich sind. Möglich macht dies ein Filter der App “Face App”, die sowohl auf iOS als auch auf Android erhältlich ist und sich momentan großer Beliebtheit erfreut – auch weil oben erwähnter Gesichtsfilter kostenlos und beliebig oft auf bereits vorhandene Fotos sowie auf Liveaufnahmen angewendet werden kann.
Wie so oft bei der Nutzung von neuen Apps bleibt dabei jedoch die datenschutzrechtliche Komponente von der großen Maße der Nutzer unbeachtet. Auch gerade deshalb werden die öffentlichen Stimmen und Kritiken gegen die App des russischen Unternehmens Wireless Lab lauter, um vor datenschutzrechtlichen Risiken zu warnen.
So warnt nun auch der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) bei SWR aktuell wegen “Befürchtungen, dass wichtige persönliche Daten in die falschen Hände geraten könnte” vor der Nutzung der App. Die Nutzungsbedingungen und die Datenschutzerklärung seien schwammig, insbesondere im Hinblick auf die Informationen wie die im Rahmen der App verarbeiteten und erhobenen personenbezogenen Daten genutzt und weitergegeben werden.
Die Entwickler betonen dagegen, dass keine Daten an Dritte weitergegeben oder verkauft würden.
Der hessische Beauftragte für Datenschutz hat am 24. Juni 2019 seinen 47. Tätigkeitsbericht veröffentlicht. Dabei hat er Stellung zur umstrittenen Frage bezüglich des Umfangs des Auskunftsanspruchs nach Art. 15 DSGVO genommen.
Gemäß Art. 15 DSGVO erhalten die Betroffenen das Recht, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu erhalten. Art. 15 Abs. 3 DSGVO regelt zudem, dass die verantwortliche Stelle dem Betroffenen „eine Kopie“ der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen müsse.
Zum Teil wird vertreten, dass es sich bei Art. 15 Abs. 3 DSGVO um einen eigenständigen Anspruch des Betroffenen handelt, der dazu berechtigt, von dem Verantwortlichen alle Daten in der Form heraus zu verlangen, wie sie dem Verantwortlichen vorliegen. Diese weite Auffassung des „Kopie“-Begriffs führt zu einem allgemeinen Informations- bzw. Akteneinsichtsrecht. Der Hessische Datenschutzbeauftragte legt demgegenüber den „Kopie“-Begriff aus Art. 15 Abs. 3 DSGVO einschränkend aus. Insofern müssen den Betroffenen nicht sämtliche sie betreffende Dokumente in Kopie zur Verfügung gestellt werden. Vielmehr reicht es aus, wenn diesen eine „sinnvolle strukturierte Zusammenfassung“ bereitgestellt wird, die den Betroffenen im Kontext kenntlich macht, welche Daten zu ihrer Person verarbeitet werden.
Diese Auslegung würde vor allem dem Sinn und Zweck der DSGVO entsprechen. Bei einer weiten Auslegung bestünde die Gefahr, dass ein faktisch entstehendes Informations- und Akteneinsichtsrecht für Ziele missbraucht werde, die mit dem bezweckten Schutz von natürlichen Personen in keinem Zusammenhang stünden. Lediglich in einzelnen Fällen kann aus Art. 15 DSGVO die Pflicht zur Übersendung einer Kopie eines bestimmten Dokuments entstehen, wenn zum Beispiel die Übersendung zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung zwingend notwendig ist.
Pages: 1 2 ... 80 81 82 83 84 ... 275 276 
