Zum Inhalt springen

Job

Mal eben kurz das Social Net­work scannen

Der Hes­si­sche Daten­schutz- und Infor­ma­ti­ons­frei­heits­be­auf­trag­te (HBDI) hat in sei­nem 51. Tätig­keits­be­richt für das Jahr 2022 ein inter­es­san­tes und auch bei unse­ren Kun­den wie­der­keh­ren­des The­ma auf­ge­grif­fen. Unter der etwas sper­ri­gen Über­schrift “Acti­ve Sourcing zur Gewin­nung von Bewer­be­rin­nen und Bewer­bern” befasst sich der HBDI auf den Sei­ten 156 bis 161 recht aus­führ­lich mit der Fra­ge­stel­lung, ob und inwie­weit Sozia­le Netz­wer­ke wie Lin­ke­dIn oder XING, aber auch das Inter­net an sich zur akti­ven Gewin­nung neu­er Mit­ar­bei­ter durch die Per­so­nal­ab­tei­lung oder Per­so­nal­dienst­leis­ter genutzt wer­den dürfen.

Der Stein des Anstoßes

Eine Beschwer­de­füh­re­rin wand­te sich an den HBDI, da sie ein Schrei­ben eines Per­so­nal­dienst­leis­ters erhielt, in dem sie gemäß Art. 14 DSGVO über die Auf­nah­me ihrer per­so­nen­be­zo­ge­nen Daten in eine Recrui­ting-Daten­bank infor­miert wur­de. Der Dienst­leis­ter stieß über eine Such­ma­schi­ne anhand von Qua­li­fi­ka­ti­ons­kri­te­ri­en und Tätig­keits­an­ga­ben auf die im beruf­li­chen Kon­text betrie­be­ne Web­sei­te der Beschwer­de­füh­re­rin und ent­nahm die­ser die Kon­takt­da­ten (per­so­nen­be­zo­ge­ne Daten). Über die­se Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten infor­mier­te der Dienst­leis­ter mit sei­nem Schrei­ben die Betrof­fe­ne u.a. zu Auf­nah­me ihrer per­so­nen­be­zo­ge­nen Daten zum Zwe­cke der Per­so­nal­ver­mitt­lung in die Daten­bank des Dienst­leis­ters,  die Kon­takt­da­ten des Ver­ant­wort­li­chen sowie des Daten­schutz­be­auf­trag­ten und der Hin­weis auf das mög­li­che Wider­spruchs­recht. Der HBDI prüf­te im Fol­gen­den die Recht­mä­ßig­keit der Ver­ar­bei­tung (Rechts­grund­la­ge) sowie die trans­pa­ren­te und voll­stän­di­ge Ertei­lung der Infor­ma­ti­ons­pflich­ten nach Art. 14 DSGVO.

Um es kurz zu machen: Alles roger! In die­sem kon­kre­ten Fall

Als Rechts­grund­la­ge sieht der HBDI Art. 6. Abs. 1 Buch­sta­be f DSGVO, das sog. “berech­tig­te Inter­es­se” des Per­so­nal­dienst­leis­ters. Bei Gel­tend­ma­chung des berech­tig­ten Inter­es­ses gilt es, durch den Ver­ant­wort­li­chen zu prü­fen, ob nicht die Inter­es­sen des Betrof­fe­nen an einer Nicht-Ver­ar­bei­tung höher wie­gen als die eige­nen Inter­es­sen (sog. Inter­es­sens­ab­wä­gung, die auch zu doku­men­tie­ren ist). Das wirt­schaft­li­che Inter­es­se des Dienst­leis­ters wird in die­sem kon­kre­ten Fall sei­tens des HBDI als höher­wer­tig ange­se­hen. Dies ist jedoch an die Vor­aus­set­zun­gen geknüpft, dass die per­so­nen­be­zo­ge­nen Daten in berufs­be­zo­ge­nen Netz­wer­ken oder auf im beruf­li­chen Kon­text betrie­be­nen Web­sei­ten all­ge­mein zugäng­lich sind, d.h. es kei­ner­lei Zugriffs­be­schrän­kun­gen gibt. Dabei wäre nach unse­rem Dafür­hal­ten auch zu berück­sich­ti­gen, ob bei den Kon­takt­da­ten kei­ne ent­ge­gen­ste­hen­de Aus­sa­gen getrof­fen wer­den wie “Hier­mit wider­spre­che ich der Auf­nah­me mei­ner Kon­takt­da­ten in Recrui­ting-Daten­ban­ken” (oder sinn­ge­mäß ähnlich).

Als Beson­der­heit führt der HBDI den mög­li­chen Fall der Ein­schrän­kung von Nut­zer­pro­fi­len in Netz­wer­ken an. Hier­bei sind die Kon­takt­da­ten des Nut­zers erst nach einer sog. “Ver­net­zung” bzw. Kon­takt­an­fra­ge für den Anfra­gen­den sicht­bar. Der HBDI stellt klar, dass die rei­ne Akzep­tanz einer sol­chen Ver­net­zungs­an­fra­ge noch kei­ne Ein­wil­li­gung in die Auf­nah­me in eine Daten­bank durch den betrof­fe­nen Nut­zer dar­stellt. Viel­mehr muss der Anfra­gen­de in sei­ner Ver­net­zungs­an­fra­ge kon­kret auf den ange­dach­ten Zweck, näm­lich der Kon­takt­auf­nah­me zwecks Erfas­sung der Daten für die Recrui­ting-Daten­bank hin­wei­sen. Eigent­lich logisch, aber sehr gut, dass die­ser Sach­ver­halt noch­mals betont wird.

Infor­ma­ti­ons­pflich­ten nach Art. 14 DSGVO nicht vergessen

Sind auf die­sem Wege per­so­nen­be­zo­ge­ne Daten für die eige­ne Recrui­ting-Daten­bank gewon­nen, gilt es nun, die Infor­ma­ti­ons­pflich­ten nach Art. 14 DSGVO umfäng­lich gegen­über dem Betrof­fe­nen zu ertei­len. Dabei darf das Wider­spruchs­recht nach Art. 14 Abs. 2 Buch­sta­be c DSGVO nicht ver­ges­sen wer­den. Denn nur dann gilt in Ver­bin­dung mit der zuvor genann­ten Vor­ge­hens­wei­se lt. HDBI, “dass Acti­ve Sourcing in Über­ein­stim­mung mit den Bestim­mun­gen des Daten­schut­zes erfol­gen kann.”

Hap­py recruiting!

Infor­ma­ti­ons­si­cher­heit — IT-Sicher­heits­lü­cken und Daten­pan­nen 2019 und 2020 — Teil 2

Nach­fol­gend die Fort­set­zung des Bei­trags vom 18.04.2020 zu Cyber-Angrif­fen und Pan­nen in der Infor­ma­ti­ons­si­cher­heit /​ im Daten­schutz der letz­ten 12 Monate. 

Ober­lan­des­ge­richt Ber­lin wird gehackt - Infor­ma­ti­ons­si­cher­heit frag­lich 

Wer im Begriff war, ein Anlie­gen vor dem Ober­lan­des­ge­richt von Ber­lin (=Kam­mer­ge­richt Ber­lin) ver­han­deln zu las­sen, hat hof­fent­lich recht­zei­tig davon Abstand neh­men kön­nen. Denn damit konn­te er ver­hin­dern, dass sen­si­bels­te per­so­nen­be­zo­ge­ne und juris­ti­sche Infor­ma­tio­nen bei die­ser his­to­ri­schen Daten­pan­ne kom­pro­mit­tiert wur­den. Hier­mit wird nicht gesagt, dass es in ande­ren Berei­chen der Ber­li­ner Ver­wal­tung  bes­ser um die Infor­ma­ti­ons­si­cher­heit bestellt ist. Gene­rell ist in man­gel­haft gesi­cher­ten Berei­chen meis­tens nur die Stär­ke des Ver­mark­tungs- /​ Sabo­tag­einter­es­ses poten­zi­el­ler Hacker das maß­geb­li­che Kri­te­ri­um der tat­säch­li­chen Informationssicherheit. 

Im Sep­tem­ber 2019 wur­de fest­ge­stellt, dass von Sys­te­men des Kam­mer­ge­richts mit Ser­vern ver­bun­den war, die für die Fern­steue­rung schäd­li­cher Soft­ware typisch sind. 7 Tage spä­ter erfolg­te eine Vor­ort­prü­fung durch den IT-Dienst­leis­ter T‑Systems, der Emo­tet-Infek­tio­nen in diver­sen Sys­tem­be­rei­chen fest­stell­te und wei­te­re 14 Tage spä­ter wur­de der mut­maß­li­che Erst­in­fek­ti­ons-PC unter­sucht. Ursprung des Angriffs, wie vie­le Daten abge­flos­sen sind und seit wann, konn­te nicht fest­ge­stellt wer­den. Lücken in der Ermitt­lung wur­den mit Zeit- und finan­zi­el­len Aspek­ten begrün­det. Die Schad­soft­ware könn­te über einen USB-Stick auf die Sys­te­me gelangt sein. Die Sicher­heits­rou­ti­nen des Kam­mer­ge­richts erkann­ten die Emo­tet-Infil­trie­rung nicht. Eine Seg­men­tie­rung des Netz­werks hat­te man nicht vor­ge­nom­men, sodass sich die Schad­soft­ware unge­hin­dert aus­brei­ten und über eine Fern­steue­rung Daten expor­tie­ren konn­te. Fer­ner hat­te man die Datei­grö­ße des Event­logs der­ge­stalt limi­tiert, dass die rele­van­ten Pha­sen der Ereig­nis­do­ku­men­ta­ti­on bereits über­schrie­ben waren, als mit den Unter­su­chun­gen begon­nen wur­de. Wie­der­holt wur­de auf die beson­de­re Raf­fi­nes­se des Hackings hin­ge­wie­sen und „Sicher­heits­krei­se“ ver­mu­ten hin­ter dem Angriff orga­ni­sier­te Kri­mi­na­li­tät unter Feder­füh­rung des Nach­rich­ten­diens­tes der rus­si­schen Regie­rung. Wenn James Bond das wüsste … 

Der Bericht über den Vor­fall und die Unter­su­chun­gen vom Sep­tem­ber 2019 wur­de auf den 23.12.2019 datiert und Ende Janu­ar 2020 der Ber­li­ner Daten­schutz­be­auf­trag­ten zeit­gleich mit der Ver­öf­fent­li­chung vor­ge­legt. Die­se war hier­über „not amu­sed“ und for­der­te, dass „aus­schließ­lich mit dienst­li­chen Gerä­ten über eine zen­tral zur Ver­fü­gung gestell­te und aus­rei­chend abge­si­cher­te Infra­struk­tur“ Daten­ver­ar­bei­tun­gen zu erfol­gen haben. 

Es ist abzu­war­ten, ob Kon­se­quen­zen aus dem Vor­fall gezo­gen und die Stan­dards der Infor­ma­ti­ons­si­cher­heit in den Ver­wal­tungs­ein­rich­tun­gen der Haupt­stadt einer pro­fes­sio­nel­len Prü­fung unter­zo­gen wer­den oder ob wei­ter­hin Sicher­heits­vor­fäl­le fest­ge­stellt /​ öffent­lich gemacht werden. 

Bereits 2017/​2018 waren Sys­te­me des Bun­des­tags gehackt wor­den, wodurch die per­sön­li­chen Twit­ter­da­ten hun­der­ter Poli­ti­ker, Schau­spie­ler und Fern­seh­mo­de­ra­to­ren erbeu­tet wurden. 

2019-11 — Sicher­heits­lü­cke bei chi­ne­si­schem Smart­phone-Her­stel­ler 

Bereits zum zwei­ten Mal inner­halb von 2 Jah­ren kam es zu einer Daten­pan­ne bei dem chi­ne­si­schen Smart­phone-Her­stel­ler One­Plus. Über einen nicht bekann­ten Zeit­raum hin­weg war der Zugriff auf Kun­den­da­ten für Unbe­fug­te mög­lich. Betrof­fen sei­en Stamm- und Kon­takt­da­ten der Käu­fer gewe­sen. Eine Benach­rich­ti­gung der betrof­fe­nen Per­so­nen sei erfolgt. 

2019-12 — Daten­pan­ne bei der Luft­hansa

Für Kun­den der Miles & More GmbH, Toch­ter der Luft­han­sa, war es auf Grund eines mut­maß­li­chen tech­ni­schen Pro­blems für 40 Minu­ten mög­lich, auf per­so­nen­be­zo­ge­nen Daten ande­rer ein­ge­logg­ter Nut­zer der Online-Platt­form zuzu­grei­fen. Laut Luft­han­sa sei­en höchs­tens die Daten von 9.885 Miles & More-Kun­den betrof­fen. Betrof­fe­ne Daten waren: Stamm‑, Kon­takt- Kun­den- und Transaktionsdaten. 

2020-02 — Vor­fall in der Infor­ma­ti­ons­si­cher­heit bei Sam­sung 

Über den Dienst „Find My Mobi­le“, womit Smart­phones über eine Platt­form des Her­stel­lers geor­tet wer­den, ver­sand­te Sam­sung an „einen klei­nen Kreis“ von Nut­zern eine unver­ständ­li­che Nach­richt. Als sich die Betrof­fe­nen in ihrem Online-Kon­to bei Sam­sung ein­logg­ten, um Ihre Log­in-Daten zu ändern, erhiel­ten sie auf Grund eines Ser­ver­pro­blems Zugriff auf Daten ande­rer Nut­zer. Dies umfass­te Stamm- und Kon­takt­da­ten sowie die letz­ten 4 Zif­fern der Kre­dit­kar­ten waren sicht­bar. Bei Fest­stel­lung des Pro­blems wur­de der Log­in vor­über­ge­hend gesperrt. 

Fra­gen wirft aller­dings der Umstand auf, dass die Nach­richt auch von Nut­zern emp­fan­gen wur­de, die das Ortungs-Fea­ture deak­ti­viert hatten. 

Die­sen Monat wur­de fer­ner bekannt, dass eine Kon­takt­ver­fol­gungs-Funk­tio­na­li­tät bereits Mit­te Mai als ver­bind­li­ches Update von iPho­nes, iPads ab iOS 13 und Android-Gerä­ten ab Ver­si­on 6 instal­liert wird. Im Fall von Apple vor­aus­sicht­lich als gän­gi­ges Firm­ware-Update, bei Android vor­aus­sicht­lich als Update der Goog­le Play Services. 

Mit Instal­la­ti­on die­ser Funk­ti­on und Erlaub­nis von Apple /​ Goog­le wird es Behör­den künf­tig mög­lich sein, Daten aus den Kon­takt­pro­fi­len der Tablet- und Han­dy­nut­zer auszuwerten. 

2020-03 — Mas­si­ve Pan­ne in der Infor­ma­ti­ons­si­cher­heit bei der Inves­ti­ti­ons­bank Ber­lin 

Durch Mit­tei­lung der Ber­li­ner Daten­schutz­be­auf­trag­ten wur­de Ende März 2020 eine gra­vie­ren­de Daten­pan­ne der IBB bekannt. Bei der Ver­ar­bei­tung der 150.000 ein­ge­gan­ge­nen Anträ­ge auf Coro­na-Unter­stüt­zung trat ein Pro­gram­mier­feh­ler auf, durch den Antrag­stel­lern per­so­nen­be­zo­ge­ne /​ Ergeb­nis­da­ten ande­rer Antrag­stel­ler ange­zeigt wur­den. Betrof­fen waren Ausweis‑, Bank‑, Steu­er- und Unternehmensdaten. 

Bei Fest­stel­lung der Daten­pan­ne wur­de das Antrags­ver­fah­ren bis zur Besei­ti­gung des Pro­gram­mier­feh­lers pausiert. 

14. Euro­päi­scher Daten­schutz­tag 2020

Am 28.01.2020 fand in Ber­lin der dies­jäh­ri­ge, 14. Euro­päi­sche Daten­schutz­tag der Daten­schutz­kon­fe­renz statt. Auf Initia­ti­ve des Euro­pa­rats jährt sich der Daten­schutz­tag seit 2007 um den 28. Janu­ar und wird in Deutsch­land als Ver­an­stal­tung der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der ausgerichtet.

In die­sem Jahr lag das Augen­merk ins­be­son­de­re auf Daten­schutz im Kon­text des Ent­wick­lungs­fort­schritts der KI. Unter dem Mot­to “Künst­li­che Intel­li­genz — Zwi­schen Bän­di­gung und För­de­rung” wur­den Frei­hei­ten, Grund­rech­te und Schutz­be­dürf­nis­se bei der Schaf­fung von Rah­men­be­din­gun­gen und der Ent­fal­tung dies­be­züg­li­cher Akti­vi­tä­ten the­ma­ti­siert von Refe­ren­ten aus Poli­tik, Wis­sen­schaft, Recht und den Teilnehmern.

Die Vor­trä­ge beschäf­tig­ten sich unter ande­rem mit den Themen:

  • Aspek­te des Uni­ons­rechts im Hin­blick auf Digi­ta­li­sie­rung und Daten­schutz
  • Der Hand­lungs­rah­men für KI-Anwen­dun­gen: Wirt­schaft, Tech­nik, Ethik und (Daten­schutz-) Recht in Deutsch­land, Euro­pa und der Welt” und
  • Was ver­ste­hen Nut­zer unter Algo­rith­men?

“Per­sön­lich” wur­de es — in fach­li­cher Hin­sicht — im Rah­men der Podi­ums­dis­kus­si­on zum “Nut­zen und Scha­den von KI für den Ein­zel­nen — Was geht mich KI an?”. Die KI und ihr Daten­schutz sind ein span­nen­des und leben­di­ges The­ma, das jeden All­tag in naher Zukunft in greif­ba­rer Wei­se bestim­men wird. Wei­te­re Infor­ma­tio­nen zu dem The­men­be­reich erhal­ten Sie unter nach­fol­gen­den Links.

Was mei­nen Sie zu dem The­ma, lie­be Leser? Freu­en Sie sich auf Ihr ers­tes Robo­ter­au­to oder ist Ihnen das alles spoo­ky? Sie kön­nen es uns im Kom­men­tar­feld wis­sen las­sen. Wir sind gespannt, Ihr Team von a.s.k. Datenschutz

BSI IT-Sicher­heits­kon­gress — KI         BSI — KI im Auto         Fraun­ho­fer Insti­tut — KI

Aus­hilfs­kraft (m/​w) zur Unter­stüt­zung im Back­of­fice gesucht

a.s.k. Daten­schutz braucht Ver­stär­kung oder anders aus­ge­drückt — WIR SUCHEN DICH! 🙂

Aus­hilfs­kraft (m/​w) mit tech­ni­schem Hin­ter­grund für befris­te­te Unter­stüt­zung bei eini­gen Kun­den­pro­jek­ten gesucht. Kennt­nis­se im Bereich Cloud, Daten­schutz und Infor­ma­ti­ons­si­cher­heit von Vor­teil. Tätig­keit kann von jedem inter­net­fä­hi­gen (nicht öffent­li­chen!) PC aus­ge­führt werden.

Kein Kun­den­kon­takt, kei­ne Akqui­se, rei­ne Unter­stüt­zung im Backoffice.

Befris­te­te Anstel­lung als Aus­hil­fe, ger­ne auch Tätig­keit als frei­er Mit­ar­bei­ter — wie Sie es wünschen.

Kurz­be­wer­bun­gen mit tech­ni­schem Hin­ter­grund bit­te per Post an a.s.k. Daten­schutz, Sascha Kuhr­au, Schul­stras­se 16a, 91245 Sim­mels­dorf oder per Mail an aushilfe201704@​ask-​datenschutz.​de. Bit­te bei Email-Bewer­bun­gen beach­ten: Ihre Daten wer­den unver­schlüs­selt über­tra­gen, solan­ge Sie nicht unser S/MI­ME-Zer­ti­fi­kat für die Ver­schlüs­se­lung ein­set­zen. Ger­ne sen­den wir Ihnen dies vor­ab per Mail zu.

 

Die mobile Version verlassen