Schlagwort: Datenpanne

Datenpanne bei Samsung

27. Februar 2020

Am 20. Februar erhielten zahlreiche Nutzer auf der ganzen Welt eine unbekannte Nachricht mit dem Inhalt „1 1“ durch „Find My Mobile“ von Samsung. Nun wurde bekannt, dass es sich dabei um einen Datenpanne bei Samsung handelte.

Aufgeschreckt durch die Find My Mobile-Push Mitteilung wollten die Nutzer sich in ihr Samsung-Konto einloggen, um dort das Passwort zu ändern und bekamen dabei Einsicht in fremde Konten. So konnten Nutzer des Samsung-Dienstes „Find My Mobile“ die eigentlich geschützten Daten fremder Nutzer einsehen. Telefonnummern, E-Mails, Lieferadressen, letzte Bestellungen und sogar die letzten 4 Ziffern der Kreditkarten waren sichtbar.

Laut Samsung handelte es sich dabei um Server-Probleme und die Mitteilung wurde versehentlich an eine begrenzte Anzahl von Galaxy Nutzern gesendet. Eine Sprecherin des Unternehmens erklärte: „Ein technischer Fehler führte dazu, dass eine kleine Anzahl von Benutzern auf die Details eines anderen Benutzers zugreifen konnte. Sobald wir von dem Vorfall erfuhren, wurde die Möglichkeit, sich auf der Website anzumelden, entfernt, bis das Problem behoben wurde.“ Sie fügte hinzu: „Wir werden die von dem Problem betroffenen Personen mit weiteren Einzelheiten kontaktieren.“

Wie groß die Anzahl der „kleinen Anzahl von Benutzern“ war, ist noch unklar. Interessant ist, dass Nutzer, welche den Dienst deaktiviert hatten, die Nachricht ebenfalls erhielten.

Kategorien: Allgemein · DSGVO
Schlagwörter: ,

Datenpanne bei der Lufthansa Miles and More GmbH

16. Dezember 2019

Am Montag, den 9.12.19, hat sich bei der Miles & More GmbH, der 100- prozentigen Tochtergesellschaft der Lufthansa, eine Datenpanne ereignet. 40 Minuten lang konnten die Kunden die personenbezogenen Daten der anderen Miles & More-Nutzer einsehen, die zu diesem Zeitpunkt gleichzeitig auf der Website eingeloggt waren.

Laut Stellungnahme der Lufthansa sind maximal 9.885 Miles & More-Kunden von dem Vorfall betroffen, die am 9.12.19 zwischen 16:00 und 16:40 Uhr eingeloggt waren. Zu dem Zeitpunkt waren 4100 User aktiv, denen die fremden Daten unfreiwillig angezeigt worden sind. Hinzu kamen die 5785 Nutzer, die dauerhaft angemeldet waren.

Einsehbar waren: Name, Adresse, E-Mail, Telefonnummer, Geburtsdatum, Benutzername, Servicekartennummer, Meilenstand, Transaktionsdaten, Reisepräferenzen, Einwilligungen zur werblichen Ansprache sowie die bevorzugte Spracheinstellung. Zusätzlich konnten die Kunden sogar die Flugmeilen der anderen User einlösen.
Die Ursache war wohl kein Hackerangriff, sondern ein technisches Problem.

Die Lufthansa hatte E-Mails an ihre Kunden versandt, in denen sie versicherte, dass die Bonusmeilen, die widerrechtlich eingelöst worden sind selbstverständlich wieder gutgeschrieben werden.

Nach Aussage der Pressesprecherin hat die Lufthansa die Aufsichtsbehörde bereits informiert, sodass eine datenschutzrechtliche Bewertung noch aussteht.

Kategorien: DSGVO
Schlagwörter: , , ,

Vermehrte Datenpannen mit sensiblen Daten

3. Dezember 2019

Bei einer Abfrage des NDR bei den Datenschutzbehörden der Länder stellte sich heraus, dass sensible Daten von Patientinnen und Patienten in großer Zahl an falsche Adressen verschickt werden. Es wurden 850 Datenpannen durch Fehlversendungen von Patiententendaten gemeldet, wobei sechs Bundesländer keine Angaben machten.

Die Pannen kommen laut dem Bericht des NDR in allen Gesundheitsbereichen vor, sei es Kliniken oder Abrechnungsstellen. Ursächlich ist in der Regel menschliches Versagen durch falsche Adressierung, Kuvertierung, Verwechslung von Patienten und Ärzten oder Tippfehler.

Eine besonders auffällige Häufung der Datenpannen zeigte sich in einem Krankenhaus in Hamburg. So hatte die Asklepios Klinik Altona seit 2013 insgesamt elf Briefe mit vertraulichen Patientendaten fälschlich an eine Hamburger Psychotherapeutin verschickt, die mit den Patienten nichts zu tun hatte. Es drohen hohe Bußgelder für solche Datenpannen.

Datenleck bei OnePlus

25. November 2019

Der chinesische Smartphone-Hersteller OnePlus räumt zum zweiten Mal innerhalb von zwei Jahren eine Datenpanne ein. Das Sicherheitsteam des Unternehmens hat im OnePlus-Forum veröffentlicht, dass Unbefugte über einen unbekannten Zeitraum auf Kundendaten zugreifen konnten. Auch Käufer aus Deutschland sollen betroffen sein.

OnePlus teilt mit, dass der Name, die Kontaktnummer, die E-Mail-Adresse und die Lieferadresse bestimmter Benutzer möglicherweise offengelegt wurden. Das Unternehmen versichert jedoch, dass Zahlungsinformationen, Passwörter und Accounts sicher seien. Die Betroffenen seien per E-Mail über den Vorfall informiert worden. OnePlus schreibt im Online-Forum, dass als Folge dieses Sicherheitsvorfalls Betroffene möglicherweise Spam- und Phishing-E-Mails erhalten. Es bleibt noch unbekannt, wie viele Kunden betroffen sind und wie lange Unbefugte die Daten abgreifen konnten.

In seiner Bekanntmachung bittet das Unternehmen um Entschuldigung und verspricht, dass OnePlus weitere Maßnahmen ergreifen will, um den Schutz der Kundendaten zu verbessern. Dabei wird das Unternehmen im nächsten Monat mit einer Sicherheitsplattform zusammenarbeiten, um die Datensicherheit zu verbessern.

Kategorien: Allgemein · Hackerangriffe
Schlagwörter: ,

Hochsensible medizinische Daten frei verfügbar im Netz

17. September 2019

Patienten aus Deutschland und den USA betroffen.

Datensätze von weltweit mehreren Millionen Patienten sind im Netz für jedermann frei zugänglich. Auf dieses Datenleck stießen Reporter vom Bayrischen Rundfunk und von ProPublica, einer amerikanischen Plattform für investigativen Journalismus, während einer gemeinsamen Recherche.

Teil der betroffenen Datensätze sind auch Bilder aus medizinischen Untersuchungen, welche unter anderem Brustkrebsscreenings, Wirbelsäulenbilder und Röntgenaufnahmen eines Brustkorbs zeigen. Der Großteil der Datensätze weist einen Personenbezug auf: Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst. Diese sensiblen und damit besonders schützenswerten Daten lagen auf ungeschützten Servern.

Betroffen sind in Deutschland rund 13.000 Datensätze, wovon der größte Teil von Patienten aus dem Raum Ingolstadt (Bayern) und aus Kempen (Nordrhein-Westfalen) stammt. Doch auch weltweit sind nach Auswertungen von ProPublica Patientendaten betroffen. In den USA sei das Ausmaß besonders hoch.

Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, zeigte gegenüber dem BR auf, welche Konsequenzen ein solches Datenleck haben kann: „Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt und ihnen keinen Vertrag oder keinen Kredit gibt.“

Laut Informationen des Bayrischen Rundfunks wurde der Fall Ingolstadt bei dem Bayerischen Landesamt für Datenschutzaufsicht, der zuständigen Behörde, angezeigt. Welche aufsichtsbehördlichen Maßnahmen die Behörde treffen wird, bleibt abzuwarten.

Bußgeld bei Meldung einer Datenpanne?

5. September 2019

Eine häufige Frage aus der Praxis:

Nach Art. 33 DSGVO müssen für die Datenverarbeitung Verantwortliche bei einer sogenannten Datenpanne, die ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, eine Meldung an die zuständige Aufsichtsbehörde vornehmen. Diese Meldung muss unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, erfolgen.

Exkurs: Eine Datenpanne ist nach Art. 4 Nr. 12 DSGVO eine Verletzung des Schutzes personenbezogener Daten, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden .

Viele der Verantwortlichen fragen sich, ob die Meldung einer Datenschutzverletzung zu einem Bußgeldverfahren führen kann, sie also quasi verpflichtet sind, sich selbst zu belasten.

Die Antwort auf diese Frage findet sich in der Vorschrift des § 43 Abs. 4 Bundesdatenschutzgesetz (BDSG).  Danach darf die Meldung einer Datenpanne in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder Benachrichtigenden nur mit deren Zustimmung verwendet werden.

Ein Bußgeldverfahren wird auf Grundlage der Meldung also nicht gegen den Verantwortlichen eingeleitet werden. § 43 Abs. 4 BDSG gilt allerdings nicht, wenn (auch) Dritte die Datenpanne gemeldet haben. Darüber hinaus ist zu beachten, dass § 43 Abs. 4 BDSG nicht unumstritten ist. Nach Ansicht einiger Datenschützer steht diese Bestimmung nicht im Einklang mit den Vorgaben der DSGVO und ist daher nicht anwendbar. Diese Rechtsauffassung wurde allerdings noch nicht gerichtlich bestätigt.

ACHTUNG: Erfolgt keine oder eine verspätete Meldung, kann dies mit einem Bußgeld geahndet werden. Daher empfiehlt der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit in einer Pressemitteilung, Datenpannen stets rechtzeitig zu melden. Sollte keine Meldung vorgenommen werden, weil kein Risiko für die Rechte und Freiheiten natürlicher Personen bestand, hat eine entsprechende ausführliche Dokumentation zu erfolgen.

Datenpanne bei Twitter

8. August 2019

Die Daten von rund 300 Millionen Twitter-Nutzern könnten in ungefugte Hände gelangt sein.

Twitter teilte kürzlich mit, dass Daten über ein Jahr mit Werbekunden geteilt wurden, ohne dass die Nutzer dem zugestimmt hätten.

Laut eigener Aussage wurden die von den Nutzern vorgenommen Einstellungen hinsichtlich des Teilens der gesammelten Daten für Werbung mit externen Werbeanbietern nicht berücksichtigt. Das führte dazu, dass trotz des Verbots Daten an Externe weitergegeben wurden.

Zu den Daten gehört Ländercode sowie ob und gegebenenfalls wie lange die Anzeige angesehen und mit ihr interagiert wurde. Hinzu kommt, dass den Nutzern durch diesen Fehler auch personalisierte Werbung angezeigt wurde, die auf Daten beruht, die nicht hätten gesammelt werden dürfen. Darüber hinaus seien, laut Aussage von Twitter, keine Informationen zu E-mailkonten oder Passwörtern betroffen gewesen.

Der Fehler wurde am 05.August behoben. Zurzeit laufen noch Ermittlungen bezüglich der Anzahl der Betroffenen. Zudem werden Vorkehrungen getroffen, damit ein solcher Fehler zuünftig nicht mehr auftritt.

Spielemesse E3: Daten von mehr als 2000 Fachbesuchern online

6. August 2019

Eine Liste mit den Datensätzen von 2025 registrierten Journalisten, Analysten, Influencern, Korrespondenten und Produzenten war auf der E3-Website mindestens einige Tage lang abrufbar.

Als Erste machte die Journalistin Sophia Narwitz in einem Youtube-Video auf die Datenpanne aufmerksam, nachdem sie selbst über eine anonyme E-Mail davon Kenntnis erlangt hat.

Inzwischen ist die Liste zwar nicht mehr im Google-Cache, offenbar wurde sie jedoch von Unbekannten kopiert und ist nun andernorts im Internet zu finden.

Der eigentliche Zweck solcher Listen ist, dass Aussteller die Teilnehmer der Messe nach deren Einwilligung kontaktieren können. Laut dem Veranstalter war das Dokument zunächst nur per Passwort erreichbar, erschien dann aber als Download auf einer E3-Unterseite. Ungeklärt bleibt noch, wie es zu diesem Vorfall kam.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter: ,

Datendiebstahl: 106 Millionen Bankkunden betroffen

5. August 2019

Bei einer der größten Datenpannen in der nordamerikanischen Finanzbranche erhielt eine Hackerin Zugriff auf Konten und Kreditkartenanwendungen von US-Bank-Kunden. Die US-Bank, die ihren Sitz in Virginia hat, berichtete, dass Daten von mehr als 100 Millionen US-Bürgern und 6 Millionen Kanadiern gestohlen wurden.

Nach Angaben der Bank seien persönliche Daten von Kreditkartenanträgen und existierenden Kreditkarten betroffen, etwa Namen, Adressen, Telefonnummern, E-Mail-Adresse, Geburtsdaten und angegebenes Einkommen sowie Informationen zur Kreditwürdigkeit und Verfügungslimits. Jedoch seien keine Kreditkartenkontonummern oder Anmeldeinformationen betroffen, stellte die US-Bank fest.

Die Hackerin hatte zuvor als Software-Entwicklerin bei Amazon Web Services gearbeitet, dem Cloud-Anbieter der US-Bank. Wie die US-Bank betont, habe die entdeckte Schwachstelle nicht speziell an der Cloud-Umgebung gelegen. Laut Bloomberg handelte es sich um eine falsch konfigurierte Firewall, die den Datendiebstahl ermöglicht habe.

Die Hackerin soll bereits Informationen über den Hack in Sozialen Medien veröffentlicht haben. Die US-Bank bemerkte den Datendiebstahl erst nach einer entsprechenden E-Mail von einem Nutzer, der vor einem potenziellen Datenleck warnte, das mit dem mutmaßlichen Angreifer in Verbindung steht. Laut US-Bank „ist es unwahrscheinlich, dass die Hackerin die erbeuteten Daten weiterverbreitet oder betrügerisch eingesetzt habe.“

Der Skandal schlägt inzwischen auch Wellen bis nach Europa. Eine italienische Bank wird mit einem Datendiebstahl bei der US-Bank in Zusammenhang gebracht.

Kategorien: Allgemein · Internationaler Datenschutz
Schlagwörter:

Immer mehr Datenpannen in Arztpraxen

31. Juli 2019

Der baden-württembergische Landesdatenschutzbeauftragte warnt in seiner gestrigen Pressemeldung eindringlich vor Datenpannen in Arztpraxen. Ganz besonders Verschlüsselungstrojaner sind die Quelle vieler Datenschutzverletzungen. Auch die Übermittlung von Patientenberichte oder Röntgenbilder an falsche Empfänger stellen ein großes Problem dar.

Es ist zwingend notwendig, dass eine Datensicherung, Verschlüsselung sowie die Schulung und Sensibilisierung der Mitarbeiter stattfindet. Hierzu erklärt der Landesbeauftragte, Dr. Stefan Brink: „Gerade im medizinischen Bereich werden extrem sensible und schützenswerte personenbezogene Daten verarbeitet. Daher ist es hier besonders wichtig, dass mit diesen Daten sorgfältig und korrekt umgegangen wird.“

Bislang hat die Bußgeldstelle des LfDI Bußgelder in Höhe von 207.140 Euro verhängt. Seit dem Wirksamwerden der neuen EU-Datenschutzverordnung im Mai 2018 hat sich die Zahl der Datenpannen demzufolge verzehnfacht.

Die am häufigsten gemeldeten Datenschutzverletzungen:  Postfehlversand,  Hackingangriffe/Malware/Trojaner, E-Mail-Fehlversand, Diebstahl eines Datenträgers, Versendung einer E-Mail mit offenem Adressverteiler, Verlust eines Datenträgers und Fax-Fehlversand.

1 2 3 4