Datenskandal

Guten Rutsch ins Jahr 2014 wünscht a.s.k. Datenschutz

von Sascha Kuhrau
31. Dezember 201319. Mai 2022
2 Kommentare

Das Jahr 2013 geht zu Ende. Ein Jahr, in dem es für das Thema Datenschutz und die laut Bundesdatenschutzgesetz als “Betroffene” bezeichneten Verbraucher turbulent zugegangen ist.

PRISM, NSA und der damit verbundene Whistleblower Edward Snowden sorgten für eine teilweise geänderte Sichtweise auf den Umgang personenbezogener Daten, nicht nur durch Geheimdienste. Bei vielen Betroffenen machte sich eine gewisse Resignation breit, wie wir zum Beispiel auf Tagungen und Schulungsveranstaltungen erfahren durften. Doch zahlreiche Unternehmen stellten sich der Herausforderung mit uns gemeinsam, personenbezogene Daten noch sicherer zu machen oder zumindest unzulässige Zugriffsmöglichkeiten auf höchstem Niveau zu erschweren.

Die Abhöraffäre um alle Bürger der Bundesrepublik Deutschland wurde seitens hochrangiger Interessensvertreter der Politik mit wenigen Worten als erledigt ad acta gelegt. Erst als der unberechtigte Zugriff auf das Mobiltelefon der Kanzlerin bekannt wurde (Merkel-Gate), sah man sich zur Kurskorrektur gezwungen. Ob sich daraus Änderungen im zukünftigen Umgang mit “Freunden” und “Partnern” ergeben, nicht nur im Hinblick auf Datenaustausch (z.B. Swift), bleibt mit berechtigter Skepsis abzuwarten.

Der oftmals unbequeme Bundesdatenschutzbeauftragte Peter Schaar musste nach zwei Tätigkeitsperioden im Dezember sein Amt abgeben. Wurde er gerne als zahnloser Papiertiger verunglimpft, war er doch mindestens genauso oft der unbequeme Stachel im Fleisch derjeniger, die meinten, den Schutz personenbezogener Daten — und damit den Schutz der Bürger — aushöhlen zu wollen. Jüngstes Beispiel: der geplante Zugriff auf die Maut-Daten zur Strafverfolgung durch den mittlerweile nicht mehr amtierenden Bundesinnenminister Friedrich.

Seine Nachfolgerin, Frau Andrea Voßhoff löschte publikumswirksam ihre Profile in sozialen Netzwerken. Böse Zungen behaupten, das sei auch die bisher einzige Aktivität gewesen, mit der die Juristin sich mit dem Thema Datenschutz auseinandergesetzt habe. Aufgefallen war sie zuvor bisher nur als glühende Verfechterin der Vorratsdatenspeicherung sowie des Acta-Abkommens. Nach eigener Aussage sieht sie sich jedoch durch ihre Parlamentstätigkeit für die neue Aufgabe bestens gerüstet. Es bleiben Zweifel, die es durch Einsatz auszuräumen gilt.

Edward Snowden beklagt in einer Weihnachtsansprache auf Channel4 das Fehlen eines Bewußtseins für Privatsphäre, gerade bei jüngeren Menschen. Er stellt die — nicht unberechtigte — These auf, nachfolgende Generationen würden mit diesem Begriff nichts mehr anfangen können. Ein düsteres Szenario.

Wir selbst haben bei unseren Bestandskunden, bei Neukunden, zahlreichen Anfragen zu Sachthemen sowie bei persönlichen Gesprächen im Rahmen von Vorträgen und Schulungen die Erfahrung gemacht, Datenschutz ist mehr in das Bewußtsein der Menschen gerückt. Für Unternehmen und Behörden gilt es, diesen Anspruch aufzugreifen und weiter umzusetzen. Datenschutz wird immer mehr ein Qualitätsmerkmal und auch Kundenbindungsinstrument. Die Ablösung von einer reinen rechtlichen Vorschrift setzt sich weiter fort. Doch auch Verbraucher (die “Betroffenen”) werden sich mehr mit den Mißbrauchsmöglichkeiten der durch sie genutzten Techniken (Smartphones, soziale Netzwerke, intelligente Stromzähler und viele mehr) auseinandersetzen müssen.

Link zum Video auf Youtube (ab hier dann nicht mehr unser Ding 🙂 )

In diesem Sinne wünschen wir allen Kunden, Lesern und Interessierten einen guten Rutsch in das neue Jahr 2014

Première oder nicht? Datenpanne bei SKY

von Sascha Kuhrau
9. November 2013
1 Kommentar

Während sich die Webseite des Pay TV Anbieters dazu (noch) ausschweigt, melden bekannte Online Medien seit Mitte der Woche ein Datenleck bei SKY.

Stand 09.11.2013: auf der Startseite von SKY ist nach wie vor keine Meldung zu finden. Ebenso wenig unter Unternehmen, Presse oder Meldungen.

Auslöser war ein Gewinnspiel-Anruf bei einem SKY Kunden. Der Anrufer wußte Name, Anschrift und Bankverbindung des Angerufenen. Als Quelle der Daten wurde SKY Deutschland durch den Anrufer benannt.

Auf Nachfrage äußerte sich SKY, “dass möglicherweise in vereinzelten Fällen Sky-Kundendaten unbefugterweise in die Hände Dritter gelangt sind.” Die betroffenen Kunden sowie die zuständige Landesdatenschutzbehörde seien informiert. Über Ursache und Umfang schwieg man sich bisher aus.

Der glückliche “Gewinner” wandte sich persönlich an SKY. “Er sei nicht der Einzige”, so wurde er beschieden. Ob dies ein angemessenes Krisenmanagement darstellt?

Speicherprobleme: NSA liest 700000 Adreßbücher am Tag aus

von Sascha Kuhrau
22. Oktober 2013
1 Kommentar

Nach einer Meldung des Focus liest die NSA im Jahr durchschnittlich 250 Millionen elektronische Adressbücher von Nutzern sozialer Netzwerke wie Facebook und von Email-Diensten wie Gmail, Hotmail und Yahoo aus. Das sind am Tag fast 700.000 gescannte und in den Tiefen der NSA IT gespeicherte Adressbücher mit allen Angaben zu Name, Anschrift, Rufnummer, Email-Adressen, Geburtstagen und was der Nutzer sonst noch an Informationen zu dem jeweiligen Kontakt abgespeichert hat. Online abgespeicherte Kontaktlisten wie Adreßbücher sind ergiebigere Datenquellen als Telefonaufzeichnungen.

Grund zum Mitleid?

Laut der “Washington Post” sei die Sammlung an Kontakten so umfangreich, dass ab und zu sogar eine Überlastung der Speicherkapazitäten gedroht habe. Spam-Emails seien dabei ein großes Problem, da diese zusätzlich die Speicher mit wertlosen Informationen verstopfen.

Tricky

Da die NSA zu einer solchen Datensammlung weder vom amerikanischen Kongreß noch durch das bereits aus den Enthüllungen von Edward Snowden mehrfach zitierte Geheimgericht ermächtigt ist, greift man zu einem Trick. Nach Aussage eines Geheimdienstmitarbeiters werden die Daten einfach von NSA Standorten außerhalb der USA abgegriffen.

Kurios

Die Sammlung ist auf Vereinbarungen mit ausländischen Telefongesellschaften oder befreundeten Geheimdiensten angewiesen.

Mögliche Folgen

Was aus pauschalen Überwachungen und Datensammlungen sowie deren Auswertung resultieren kann, durfte ein Mitarbeiter der Humboldt-Universität in Berlin am eigenen Leib erfahren. Gegen ihn lief ein Ermittlungsverfahren wegen Verdachts der Mitgliedschaft in einer terroristischen Vereinigung, weil er zwei Suchbegriffe in einer Webrecherche für seine wissenschaftliche Arbeit verwendete, die einen Terrorverdacht “begründeten”. In einer Nacht- und Nebelaktion wurde der Mitarbeiter samt seiner Familie durch bewaffnete Terrorbekämpfer aus dem Schlaf gerissen und verhaftet. Erst nach Jahren wurde das Verfahren gegen ihn eingestellt. Lesen Sie mehr auf Wikipedia.

Weitere Informationen

Beitrag auf unserem Partnerblog datenschutzbeauftragter-info.de
Focus Beitrag
Wikipedia

Mal sehen, was der Kollege so verdient — Datenpanne bei der Telekom

von Sascha Kuhrau
29. August 2013

Vergebliche Mühe

Seit Jahren bemüht sich die Deutsche Telekom um Verbesserungen im Umgang mit personenbezogenen Daten, nicht nur aufgrund zahlreicher Skandale. Wie zahlreiche Medien wie n‑tv nun berichten, hat es beim Beschäftigendatenschutz nicht ganz gereicht.

120.000 Mitarbeiter betroffen

Eine interne Datenbank mit Angaben zu fast allen Mitarbeitern des Unternehmens samt Name, Anschrift und Gehalt stand einem größeren Mitarbeiterkreis zur Einsicht zur Verfügung, als eigentlich zulässig gewesen wäre. Die ursprünglich vorgesehene Anonymisierung war nicht erfolgt.

Seit 2002 soll die Datenbank in dieser Form verfügbar gewesen sein. Mittlerweile wurde sie vom Netz genommen. Ein externer Wirtschaftsprüfer soll die Ursachen und Folgen nun ermitteln. Der Betriebsrat läßt die Untersuchung durch einen eigenen Anwalt begleiten.

Nach Unternehmensangaben hat man von einem Mißbrauch der Daten bisher keine Kenntnis.

Apothekenrechenzentrum verkauft Patientendaten an Marktforschungsunternehmen mit unzureichender Verschlüsselung

von Sascha Kuhrau
18. August 2013

Warum in die Ferne schweifen, wo die Datenpanne liegt so nah …

Wer braucht schon einen NSA Abhörskandal aus den USA, wenn vor der eigenen Haustür laut Thilo Weichert, Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), “einer der größten Datenskandale der Nachkriegszeit” stattfindet.

Was ist passiert?

Das betroffene Apothekenrechenzentrum verkauf seine Daten u.a. an das US Unternehmen IMS Health.Dieser Konzern verfolgt nach Angaben von Spiegel Online die Krankheiten weltweit von mehr als 300 Millionen Patienten und von circa 42 Millionen gesetzlich Krankenversicherten aus Deutschland. Einge der sogenannten “Patientenkarrieren” sind bis 1992 zurück verfolgbar.

Ist das überhaupt zulässig?

Generell ist die Weitergabe von Rezeptdaten in ausreichend verschlüsselter Form (also ohne Rückführbarkeit auf den betroffenen Patienten) zulässig. Für ankaufende Pharmaunternehmen sind diese Informationen auch in anonymisierter Form noch aussagekräftig genug.

Die Betonung liegt auf “ausreichend verschlüsselt”

Im konkreten Fall ist dieser Schlüssel lediglich 64-stellig und läßt sich, wie Spiegel Online berichtet, nach vorliegenden Dokumenten relativ einfach auf die ursprüngliche Versichertennummer zurückrechnen. Zusätzlich werden noch Alter und Geschlecht übertragen. Die unzureichende Verschlüsselung birgt das Risiko einer Zurückverfolgung bis hin zu der Information, welche Arztpraxis welchem Patienten welches Medikament verordnet hat. Das Vertriebscontrolling von Pharmaunternehmen würde dies freuen. Ließe sich doch so sehr konkret nachvollziehen, ob die stetigen Außendienstbesuche den behandelnden Arzt auch zum häufigeren Verschreiben der angepriesenen, eigenen Produkte verleiten.

Thilo Weichert hofft nun, daß die Apotheken Ihren Dienstleister auch ohne Gerichtsverfahren zur ausreichenden Vertraulichkeit motivieren.

Wie geben Sie im Unternehmen eigentlich Ihre Daten weiter? Ihr Datenschutzbeauftragter prüft die rechtliche Zulässigkeit und empfiehlt die passende Lösung. Sie haben noch keinen Datenschutzbeauftragten? Dann sprechen Sie uns an. Möglicherweise unterliegen Sie sogar der gesetzlichen Bestellpflicht.

Notariat in Ostfildern (Baden-Württemberg) entsorgt Unterlagen im normalen Altpapierbehälter

von Sascha Kuhrau
8. August 2013

Einem Notar sollten die Themen Schweigepflicht und Datenschutz nicht unbekannt sein. Doch nicht nur aufgrund zahlreicher gesetzlicher Vorschriften, sondern auch aufgrund des gesunden Menschenverstands sollte klar sein, das notarielle Akten und Unterlagen nichts im normalen Papierabfall zu suchen haben.

In Ostfildern im Kreis Esslingen, unweit von Stuttgart, sah man dies wohl anders. Anwohner eines Büro- und Wohnhauskomplexes staunten nicht schlecht über ihren Fund. Stapelweise Dokumente eines vor Ort ansässigen staatlichen Notariats lagen in einem öffentlich zugänglichen Papiermüllbehälter, so meldet es der Schwarzwälder Bote in seiner Online-Ausgabe am 07.08.2013. Nachlassunterlagen, Testamente, Grundbuchauszüge und Erbverträge in Kopie oder als Ausdruck für jedermann zugreifbar. Als Höhepunkt befand sich darunter eine beglaubigte Abschrift einer Nachlassangelegenheit mit offiziellem Siegel.

Das Notariat schiebt den schwarzen Peter auf die Stadt. Diese sei schließlich für die datenschutzkonforme Entsorgung zuständig. Das weist deren Sprecherin entschieden zurück. Man stelle zwar die Räumlichkeiten, wie es das Landesgesetz vorsähe, sei aber definitiv nicht für die Vernichtung von Akten des Notariats zuständig.

Unabhängig davon, was nun davon stimmt, bleibt die Vorgehensweise des Notariats zu hinterfragen, die Akten an einem frei zugänglichen öffentlichen Ort zu “lagern”. Verlierer im Kompetenzgerangel sind ~~mal wieder~~ Datenschutz und die Betroffenen, trotz einschlägiger Vorschriften.

Übrigens: Ihr Datenschutzbeauftragter kann Sie bei der Planung und Umsetzung rechtskonformer Entsorgungs- und Löschverfahren unterstützen. Sie haben noch keinen Datenschutzbeauftragten? Wir informieren Sie gerne.

NSA verstößt mit PRISM Logo gegen Urheberrecht

von Sascha Kuhrau
14. Juni 2013

golem.de, die IT News für Profis, berichtet online von einem vorliegenden Verstoß der NSA gegen das Urheberrecht. Das auf den nun bekannt gewordenen Unterlagen und Präsentationen der NSA zu PRISM genutzte Logo basiert auf dem Foto des Autors und Fotografen Adam Hart-Davis. Dieser hat sein Werk zwar zur freien Verfügung gestellt, jedoch unter der Auflage der Verlinkung und / oder namentlichen Nennung. Beides hat die NSA bisher nach seinen Angaben und seiner Einschätzung nach versäumt. Es wird wohl auch niemand intern bei NSA daran gedacht haben, die Unterlagen könnten jemals publik werden. Falsch gedacht, wie wir seit einigen Tagen wissen.

Hart-Davis überlegt nun, ob er die NSA zumindest zu einer Spende an eine gemeinnützige Einrichtung auffordern soll. Weiterhin sei er sich nicht richtig sicher, ob er wirklich im Zusammenhang mit NSA und PRISM als Urheber erwähnt werden möchte. Über weitere Konsequenzen einer solchen Forderung denkt Hart-Davis durchaus nach, wie golem.de zitiert:

“Andererseits, vielleicht würden alle meine Webseiten und sonstigen Aktivitäten eine Zeitlang einer — ähm — besonderen Überprüfung unterliegen”

Das PRISM Logo können Sie hier betrachten, und an dieser Stelle das besagte Original.

Sony wehrt sich gegen Geldstrafe wegen Hackerangriffs auf sein Playstation Network

von Sascha Kuhrau
28. Januar 2013

2011 ging das Ereignis als bisher größte Datenpanne der Geschichte durch die Medien (wir berichteten). Hackern gelang es, über 75 Millionen Kundendaten aus dem Sony Netzwerk zu entwenden, darunter Namen, Anmeldedaten und Zahlungsangaben. In weiteren nachfolgenden Hacker-Attacken wurden weitere Millionen Datensätze entwendet mit teilweise noch ausführlicheren Nutzerangaben.

Das Krisenmanagement des Konzern war durchaus als suboptimal einzustufen — siehe Bericht. Aufgrund des Firmensitzes in Japan wog man sich jedoch in Sicherheit vor der Verfolgung durch die Schutzbehörden. Doch damit ist nun Schluss. Was nicht nur zahlreiche Politiker und Datenschützer, sondern auch gerade Kunden von Sony gefordert haben, hat die britische Datenschutzbehörde nun in die Tat umgesetzt. Sie verhängte eine Geldstrafe in Höhe von 300.000 Euro, gegen das Unternehmen. Begründung: Wer für so viele sensiblen Daten mit Mißbrauchspotential verantwortlich ist, muss dem Schutz dieser Daten oberste Priorität einräumen.

Sony hat Widerstand gegen die Strafe angekündigt, schließlich sei man “Opfer” einer kriminellen Attacke geworden. Das Unternehmen blendet dabei aus, dass es selbst erst durch Mängel in der IT Infrastruktur (schwache Passwörter, fehlende Sicherheitspatches) die Möglichkeit für diese mehrfachen Angriffe geschaffen hat. Thema verfehlt, Sechs, setzen!

Fragen Sie doch Ihren Datenschutzbeauftragten

Ihr Datenschutzbeauftragter muss kein IT Profi sein. Er wird jedoch ausreichend Fachwissen mitbringen, um unter anderem auch auf Sicherheitslücken durch schwache Passwörter oder nicht zeitnahe / fehlende Sicherheitspatches konsequent hinzuweisen. Lösungen lassen sich meist unkompliziert durch technische und / oder organisatorische Maßnahmen herbeiführen und das Schutzniveau weiter erhöhen. Seien Sie schlauer und sprechen Sie mit Ihrem Datenschutzbeauftragten. Vermeiden Sie Datenpannen und die damit verbundenen Bußgeldrisiken. Sie haben keinen Datenschutzbeauftragten? Wir helfen gerne weiter.

Sensible Patientendaten in Klinik verschwunden — Datenpanne

von Sascha Kuhrau
12. Oktober 2012

DIE WELT berichtet heute nachmittag online von einer Datenpanne in zwei Kliniken in Baden-Württemberg:

Sicherungsbänder bei Zigarettenpause verbummelt

Der zuständige IT-Mitarbeiter ist wie jeden Tag mit den Sicherungsbändern auf dem Weg vom Serverraum zum Tresor. Unterwegs hält er an einer Rampe für eine kurze Rauchpause an, legt die Bänder auf einem Tisch ab. Nach der Pause ging er wieder an seine Arbeit, jedoch ohne die Sicherungsbänder. Als er seinen Fehler nach einiger Zeit bemerkte und an den Pausen-Ort zurückkehrte, waren die Sicherungsbänder verschwunden. Erschwerend kommt hinzu, dass der Mitarbeiter den Vorfall erst eine Woche später meldete und auch das interne Sicherungskontrollsystem das Verschwinden der Bänder nicht aufgedeckt hat.

Sensible Patientendaten betroffen

300.000 Datensätze sollen die Bänder umfasst haben. Darunter vollständige Patientenakten, Labordaten, Befunde, Arztbriefe und Schriftverkehr bis zurück ins Jahr 1996.

Datenschutzbehörde spricht von gravierendem Vorfall

Die Klinikleitung beteuert, lediglich die Arztbriefe können ausgelesen werden. Für alle weiteren Daten sei spezielle Hard- und Software notwendig. Weitere Ausführungen über eine zusätzliche Verschlüsselung wurden nicht getätigt. Aufgrund der Sensibilität der Daten und der erschreckend hohen Menge spricht der Landesdatenschutzbeauftragte von Baden-Württemberg, Jörg Klingbeil von einem gravierenden Vorfall.

§ 42a BDSG Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten

Lt. Klingbeil hat die Klinik nicht gegen § 42a BDSG verstoßen. Die Datenpanne, wurde wenn auch verspätet, korrekt gemeldet und durch Anzeigen in überregionalen Zeitungen bekannt gemacht. Dies geschah zwar mit Verzögerung, jedoch auf Bitten der Staatsanwaltschaft, um die Ermittlungen zu diesem Zeitpunkt nicht zu gefährden. Alles weitere müsse jetzt geklärt werden.

Hoffentlich nicht Allianz versichert — Datenpanne bei Versicherer mit Versichertendaten

von Sascha Kuhrau
21. August 2012
2 Kommentare

2013 soll bei der Allianz-Versicherung das Jahr des elektronischen Versicherungsordners werden. In diesem sollen auch hochsensible Versicherteninformationen abgelegt werden. Für den Konzern noch ein weiter Weg und durch die aktuell bekannt gewordene Datenpanne nun noch steiniger.

Der Financial Times Deutschland liegen vertrauliche Unterlagen über Kunden der Allianz Versicherung vor. Diese enthalten unter anderem Strafanzeigen, Ermittlungsakten, Schreiben von Banken und Vorgänge über Versicherungsfälle. Die Allianz weist die Schuld einem Privatermittler zu, dessen Vertrag 2011 beendet wurde. Die Nutzung solcher Detekteien ist in der Branche durchaus üblich.

Der Landesdatenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert, hält eine solche Weitergabe nur in Ausnahmefällen für zulässig. Hier müsse dann schon ein sehr konkreter Verdacht auf Versicherungsbetrug vorliegen.

Für den Konzern heißt es nun Hausaufgaben machen. Man plane die Reduktion der Detekteien, mit denen man zusammenarbeite, verlautet ein Sprecher der Allianz. Qualitäts- und Zuverlässigkeitsprüfungen würde man heute bereits durchführen.