Herold 01/2021

Moin an Sie alle,

seit der letzten Ausgabe des Herold im November 2020 ist nun mehr als ein halbes Jahr vergangen. Seitdem ist viel passiert, über das wir Sie gerne informieren möchten. Vor allem, da es sich hierbei um Paradebeispiele dafür handelt, wie wichtig Datenschutz nicht nur auf Papier, sondern auch in der Praxis ist. Wir versenden diesen Herold dementsprechend mit der Bitte an Sie, den Datenschutz im Alltag nicht nur anzuwenden, sondern auch wirklich allzeit an ihn zu denken. Denn zu leicht, zu schnell kann etwas schiefgehen – nicht selten mit unangenehmen Folgen für alle beteiligten bzw. betroffene Personen, Verantwortliche, KollegInnen oder auch Sie.

Lesen Sie in dieser Ausgabe:

  • CDUconnect: Sicherheitslücke ermöglichte Abgreifen von sensiblen personenbezogenen Daten
  • Impfstatusabfrage: Erlaubt oder nicht?
  • Datenlecks und ihre Folgen
  • Bußgelder
  • Korrektur unserer Einschätzung zum sicheren Faxversand

Gerne möchte ich es an dieser Stelle anmerken: Wir stehen für Ihre Anfragen gerne mit Rat und Tat zur Seite. Telefonische Beratung ist bei uns kostenlos und als Teil des Teams innerhalb Ihres Unternehmens haben Sie jederzeit Anspruch darauf. Die Bearbeitung Ihrer Fragen und Anliegen ist nur eine Nummer weit entfernt: 04941 983 90 71

Gerne bespreche ich oder einer unserer Datenschutz Consultants Ihr Anliegen mit Ihnen.

Mit freundlichen Grüßen
Jörg Stockmann, eDSB

CDUconnect: Sicherheitslücke ermöglichte Abgreifen von sensiblen personenbezogenen Daten

Die IT-Sicherheitsforscherin Lilith Wittmann hat in einer WahlApp Sicherheitslücken aufgedeckt. Hunderttausende Datensätze über Informationskombinationen, die eine Identifizierung von einzelnen Personen erlauben, waren über Jahre öffentlich zugänglich.

Nachdem sie über twitter auf die App aufmerksam wurde, hat Frau Wittmann am 11. Mai d.J. „supereinfach“ Daten einsehen können, die sich auf Alter, Geschlecht, politische Einstellung, Straße der Besuchten und Besuchende sowie genauen Zeitpunkt im Rahmen der Wahlkämpfe seit 2017 beziehen. Ihr wurden Gesprächsinhalte angezeigt, persönliche Daten von 18.500 WahlkampfhelferInnen und personenbezogene Daten von 1350 UnterstützerInnen.

Nach einer ersten eher unbefriedigenden Reaktion der Parteizentrale, informierte sie zeitnah das Notfallteam der Bundesverwaltung (CERT-Bund) und die Berliner Datenschutzbeauftragte Maja Smoltczyk. Im Anschluss wurde der Server durch connect zunächst vom Netz genommen und Updates eingespielt. Frau Wittmann erhielt wegen dieses Vorfalls seitens der verursachenden Partei Anfang August eine persönliche Anzeige. Sie hofft auf eine Gesetzesnovelle, die Menschen wie ihr „Sicherheitsforschung“ erlauben und sie nicht verhindert.

Fazit: IT-Sicherheitsforscher sind nicht einfach nur Hacker, sondern schaffen Transparenz für den Datenschutz und helfen VerbraucherInnen.

Quellen:

 

Impfstatusabfrage: Erlaubt oder nicht?

Das Impfen der deutschen Bevölkerung geht weiter voran. Jeder Arbeitgeber beschäftigt sich mit der Frage, inwiefern wieder eine Rückkehr in den „normalen“ Arbeitsalltag vor Ort im Unternehmen möglich ist. Um dies zu entscheiden, wäre eine einfache Frage an die Mitarbeitenden denkbar: „Sind sie geimpft?“

 

ABER: Vorsicht, Datenschutz!

Impfstatusabfrage: Erlaubt oder nicht?

Ja, der Arbeitgeber möchte seiner Fürsorgepflicht aus dem Arbeitsschutzgesetz nachgehen und durch die Frage „Sind Sie geimpft?“ die Mitarbeitenden vor möglichen Infektionen schützen. Und dann gibt es ja den § 23a IfSG, der das doch erlaubt. Oder doch nicht? Nein, dieser bezieht sich lediglich auf medizinische Einrichtungen.

Stand heute (02.09.2021) ist eine Frage nach dem Impfstatus der Mitarbeitenden nicht rechtens.

Im Folgenden erklären wir Ihnen, warum nicht und wann es möglich werden könnte.

Jede Verarbeitung personenbezogener Daten (pbDaten) benötigt eine Rechtsgrundlage. Nun wäre eine Einwilligung der Mitarbeitenden eine Möglichkeit, die Verarbeitung zu legitimieren. Bei der Frage nach dem Impfstatus ist dies jedoch unzulässig. Durch den sozialen und beruflichen Druck, der bei einer Unterschrift dieser Einwilligung entstehen würde, wäre keine Freiwilligkeit des Mitarbeitenden gegeben. Schließlich möchte sich nicht jede/r impfen lassen und es ist ihr/sein gutes Recht, darüber selbst zu entscheiden.

Kommen wir zurück zur Fürsorgepflicht. Gibt der Datenschutz einem keinen Ausweg?

Art. 9 Abs. 2 lit. b DSGVO, § 26 Abs. 3 BDSG würde eine Verarbeitung des Impfstatus legitimieren, wenn dies arbeits- oder sozialrechtlich vorgesehen wäre.

Die aktuellen Corona-Verordnungen des Bundes und der Länder sehen keine Impfstatusabfrage vor. Hier steckt jedoch der Ausweg. Sollten die Corona-Verordnungen die Impfstatusabfrage vorsehen, dann kann der Arbeitgeber diese datenschutzkonform durchführen.

Bitte beachten Sie, dass die Mitarbeitenden über diese Verarbeitung datenschutzkonform informiert werden. Hierbei unterstützt die Avallon Sie gerne.

Datenlecks und ihre Folgen

In unseren Datenschutzschulungen hören Sie immer wieder von uns, dass es wichtig ist, sichere Passwörter und für unterschiedliche Anwendungen eigene Passwörter zu nutzen. An den folgenden Beispielen möchten wir Ihnen aufzeigen, warum das wirklich so wichtig ist. Denn neben der „Abschöpung“ von persönlichen und Bankdaten, sind Hacker ganz besonders an Ihren Passwörtern interessiert. Einmal „ergaunert“, wird über automatische Routinen ein Einloggen auf allen möglichen Plattformen mit Ihren Benutzerdaten versucht. Dabei werden in wenigen Minuten mehrere 10.000 Seiten angesteuert und in einer Datenbank festgehalten, ob ein Einloggen erfolgreich war – danach kann der Hacker sich auf diesen Seiten manuell einloggen und erforschen, welchen Schaden er Ihnen bereiten kann.

Spreadshirt wurde gehackt

Die Leipziger Onlineplattform für Wunsch-T-Shirts wurde gehackt. Unbekannte haben Kundendaten mitsamt Adressen erbeutet, zum Teil auch Bankverbindungen sowie kryptografisch gesicherte Passwörter. Spreadshirt betreibt eine Onlineplattform, auf der man T-Shirts mit Wunschmotiven und -schriftzügen selbst gestalten und bestellen kann. Darüber hinaus kann man eigene Kreationen über einen Marktplatz verkaufen.

Außerdem sind von dem Hackerangriff laut Spreadshirt die Kontoinformationen jener Kundinnen und Kunden betroffen, »die per Banküberweisung gezahlt oder hierüber eine Erstattung erhalten haben«. Auch PayPal-Adressen hätten die Täter erbeutet.

Das Unternehmen empfiehlt allen Nutzerinnen und Nutzern, »vorsichtshalber« ihr Passwort zu ändern. Man arbeite eng mit externen Spezialisten zusammen, »um sicherzustellen, dass sich ein solcher Vorfall nicht wiederholen kann«. Die Ermittlungsbehörden seien ebenfalls eingeschaltet.

Zahlungsdienstleister Klarna: Fremde Konten sichtbar

Für kurze Zeit zeigte die Klarna-App bei Nutzung die Daten anderer Personen an. Klarna hat die App sofort offline genommen und spricht von einem menschlichen Fehler.

Beim schwedischen Bezahldienstleister Klarna ist es aufgrund „technischer Probleme“ zu einem schweren Datenleck gekommen. Nutzerinnen und Nutzer der App berichten, dass sie die Daten und Transaktionen verschiedener anderer Personen einsehen konnten. Klarna hat das bestätigt und die App nach eigenen Angaben sofort offline genommen.

Zahlreichen Hinweisen auf Twitter und von Lesern zufolge hat die Klarna-App verschiedene Konten angezeigt, nur nicht das eigene. LeserInnen berichten, dass sie bei einem Reload immer andere Konten von Dritten einsehen konnten. Dabei seien Bankverbindungen, Bestellungen, offene Rechnungsbeträge, Namen, Adressen und Telefonnummern sichtbar gewesen.

LinkedIn-Datenleck – 700 Mio. Nutzerdaten gehackt

Das soziale Netzwerk Linkedin hat ein weiteres Datenleck. In einem Hackerforum sind nach Angaben des IT-Blogs „RestorePrivacy“ Daten von 700 Millionen, der insgesamt 756 Millionen Linkedin-Nutzer zum Verkauf angeboten worden. Die Cyber-Kriminellen haben zudem Informationen zu einer Million Accounts veröffentlicht. Das Blog „RestorePrivacy“ hat diese Daten stichprobenweise gesichtet und als authentisch befunden. Im April dieses Jahres wurden schon einmal Daten von Linkedin-Accounts zum Verkauf angeboten und veröffentlicht.

Die nun veröffentlichten Datensätze beinhalten Mailadressen, Namen, Telefonnummern, Anschriften und weitere persönliche Informationen der NutzerInnen. Hochsensible Daten, wie etwa Kreditkarten-Angaben sollen sich allerdings nicht darunter befinden.

Unbekannt ist, wie die Hacker an die Daten gelangt sein können. So könnte es sich bei dem illegalen Verkaufsangebot auch um Betrug handeln. Denn im Jahr 2016 wurden NutzerInnen des sozialen Netzwerkes schon einmal Opfer eines Cyber-Angriffs. Damals wurden Informationen zu 100 Millionen Linkedin-Accounts abgegriffen. Die nun veröffentlichten Informationen könnten auch noch auch aus diesem Leck stammen.

Empfehlung: Nutzen Sie unsere kostenlose Passwortkarte, die Ihnen das Definieren von sicheren Passwörtern vereinfacht und jederzeit die Eingabe beim Einloggen erleichtert. Unsere Passwortkarte steht unseren KundInnen kostenlos zur Verfügung; falls im Unternehmen keine mehr vorliegen, fordern Sie gerne neue bei uns aninfo@avallon.de

Quellen:

 

Bußgelder

Die Datenschutz Aufsichtsbehörden verhängten im Jahr 2020 und 2021 teilweise signifikante Bußgelder. In diesem Artikel möchten wir Ihnen einige durch uns ausgewählte Fälle kurz vorstellen.

Bußgeld veraltete Shop Software

Die Datenschutzbeauftragte des Landes Niedersachsen verhängte ein Bußgeld in Höhe von 65.000 € wegen der Verwendung einer veralteten Onlineshop Software.
Im konkreten Fall war die Version seit spätestens 2014 veraltet und die Passwörter für den Onlineshop waren nicht nach aktuellem Stand der Technik abgesichert. Diese Absicherung hätte durch den Einsatz aktueller Software und der zusätzlichen Implementierung einer Salt-Funktion sowie eines aktuellen, auf Passwörter ausgelegten Hash-Algorithmus in einem verhältnismäßigen Aufwand durch das Unternehmen umgesetzt werden können.

Das reduzierte Bußgeld wurde durch das Unternehmen akzeptiert. Die Datenschutzbehörde berücksichtigte bei der Bemessung des Bußgeldes, dass das Unternehmen bereits vor dem Bußgeldverfahren die betroffenen Personen darüber informiert hatte, dass ein Wechsel des Passwortes notwendig sei.

Fazit: Die regelmäßige dokumentierte Aktualisierung der eingesetzten Softwareprodukte, wie auch die regelmäßige Überprüfung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 DSGVO sind ein wichtiger Bestandteil des Umgangs mit personenbezogenen Daten für alle Verantwortlichen.

Bußgeld wegen rechtswidriger Weitergabe von Gesundheitsdaten

Ein italienisches Gesundheitsunternehmen meldete entsprechend des Art. 33 DSGVO eine Datenpanne bei der italienischen Datenschutzbehörde. Im gemeldeten Sachverhalt wurden versehentlich in 48 Fällen Gesundheitsdaten, entgegen des ausdrücklichen Willens der Patienten an deren Hausärzte übermittelt. Aufgrund eines Softwaredefekts wurde diese Eingabe jedoch nicht im System gespeichert, sodass es entgegen der PatientInnenangaben zu Weiterleitungen an die jeweiligen Hausärzte kam. Dies betraf unter anderem die Daten von Minderjährigen und Frauen, die Schwangerschaftsabbrüche hatten durchführen lassen.

Die italienische Datenschutzbehörde bemängelte, dass die vom Unternehmen entwickelte Software nicht ausreichend getestet wurde, was dazu führte, dass es zu der rechtswidrigen Weiterleitung der Gesundheitsdaten kam.

Die Behörde verhängte im Rahmen einer Unterlassungsanordnung gegen das Unternehmen ein Bußgeld in Höhe von 120.000 €.

Fazit: Kleine Softwarefehler können schwerwiegende Folgen für betroffene Personen haben. Dies ist insbesondere bei der Verarbeitung sensibler personenbezogener Daten gemäß Artikel 9 DSGVO (wie z.B. Gesundheitsdaten) zu beachten. Durch entsprechende Tests und intensive Prüfungen der Software vor einem produktiven Einsatz hätte der Rechtsverstoß verhindert werden können.
Wir empfehlen Ihnen die Durchführung von Risikoanalysen bei Verarbeitungstätigkeiten, die sensible personenbezogene Daten betreffen. Bei besonders sensiblen Daten oder großen Datenmengen in diesem Bereich ist es oftmals auch notwendig, eine Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO durchzuführen.

 

Bußgeld gegen Amazon Amazon Europe Core S.à r.l.

Die Luxemburgische Datenschutzbehörde CNPD hat am 16.07.2021 ein Bußgeld in Höhe von 746 Millionen Euro verhängt. Dies wurde durch Amazon im Quartalsbericht (Form 10-Q) bekannt gegeben. Amazon wird gegen den Beschluss rechtlich vorgehen.
Die luxemburgische Datenschutzbehörde darf sich aufgrund einer gesetzlichen Verpflichtung zur Verschwiegenheit nicht vor Ablauf der Frist des Rechtsbehelfs öffentlich äußern.

Die Aktivist:innen von La Quadrature erklären, dass sie eine Massenbeschwerde bei der luxemburgischen Datenschutzbehörde gegen Amazons Werbe-Targeting direkt nach Wirksamwerden der DSGVO im Mai 2018 eingereicht haben.

Fazit: Da Vieles zum Verlauf der Beschwerde und mögliche Auswirkungen für betroffene Personen unklar ist, betrachten Sie diesen Teil des Artikels bitte als erste Informationen. Wir informieren Sie fortlaufend, sobald uns entsprechende Informationen zur Verfügung stehen.

Quellen:

 

Korrektur unserer Einschätzung zum sicheren Faxversand

Bisher hatten wir den Versand von personenbezogenen Daten mittels eines Faxgerätes als sicher eingestuft. Diese Einschätzung möchte ich korrigieren!

 

Unsere bisherige Einschätzung ging von einer Versendung von Faxgerät zu Faxgerät aus, die auch heute noch sicher ist. Jedoch werden zunehmend Faxgeräte von Computern ersetzt und dann fast immer über IP-Telefonie oder Protokolle übertragen. Diese wandeln die empfangenen Daten in PDFs um, die dem Empfänger dann über Emailsysteme zugestellt werden. Genau bei diesen Systemen können Sie beim Versand nicht die erforderliche Datensicherheit voraussetzen.

WICHTIG: Sollten Sie personenbezogene Daten per Fax verschicken und zukünftig verschicken wollen – sprechen Sie mit uns, damit wir für Sie die erforderliche Datensicherheit prüfen können und Ihnen bei Sicherheitslücken eine Lösung empfehlen können.

Ist das Fax noch datenschutzkonform?

Die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Bremen (LfDI) hat auf ihren Webseiten der datenschutzkonformen Nutzung von Telefax eine Absage erteilt. Die entsprechende Veröffentlichung datiert auf den 13. März 2020, scheint jedoch erst in diesem Monat veröffentlicht worden zu sein.

Hintergrund der Bewertung durch die LfDI sind einerseits die technischen Änderungen innerhalb der Telefonnetze. Waren Faxe früher noch Ende-zu-Ende-Telefonleitungen vorbehalten, werden sie mittlerweile verstärkt über das Internet verschickt. Andererseits spielt der Umgang mit eingehenden Faxen bei der empfangenden Stelle eine große Rolle. Dort gibt es mittlerweile kaum noch reale Faxgeräte. Vielmehr werden eingehende Nachrichten bspw. von einem Fax-Server in E-Mails umgewandelt und an die entsprechenden Adressaten verschickt.

„Aufgrund dieser Unwägbarkeiten hat ein Fax hinsichtlich des Schutzziels Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, die zu Recht als digitales Pendant zur offen einsehbaren Postkarte angesehen wird. Mehr nicht. Fax-Dienste enthalten in der Regel keinerlei Sicherungsmaßnahmen, um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten [und definitiv nicht für die Übertragung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten)] geeignet.“

Fazit:

Die Aussage der LfDI Bremen wird von uns nicht generell kritisiert, sollte aber differenziert betrachtet werden. Elementar ist die Transportverschlüsselung der Datenpakete mittels SIP-TLS. Dies betrifft aber nicht nur das Faxen over IP sondern auch das Telefonieren. Im Ergebnis sollte sämtliche Kommunikation über das Internet auf den Prüfstand gestellt werden. Sich nur auf FoIP zu konzentrieren und VoIP auszuklammern, geht an der Wirklichkeit vorbei, da technisch gesehen, keine Differenzierung besteht.

Gerade im Gesundheitswesen ist das Fax insbesondere in Notsituationen, in denen jede Sekunde relevant sein kann, (noch) nicht wegzudenken und kann, wie oben dargestellt, durchaus datenschutzkonform ausgestaltet werden.

Quellen:


Ihr Datenschutzbeauftragter
Jörg Stockmann

Aurich, 02. September 2021