October 18, 2024

Fokus auf angemessene TOM - Datenschutz News KW 42/2024

15 minutes

Was ist in der KW 42 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

Datenbroker National Public Data beantrag nach Datenleck Insolvenzschutz

Bußgeld wegen Werbung ohne Einwilligung und Kauf von personenbezogenen Daten von Datenbroker

Russischer Hackerangriff auf Internet-Archiv

Verletzung Schutzpflichten Cyberangriff

Gesetzentwurf: Einführung einer Sicherungsanordnung für Verkehrsdaten in der Strafprozessordnung

Empfehlungen & Lesetipps:

Aufzeichnungen der Privacy Conference 2024

Sitzung des Digitalausschusses

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/fokus-auf-angemessene-tom-datenschutz-news-kw-42-2024/

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge:

Drück mal auf den Knopf.

Knopf ist gedrückt.

Push the button, Gregor push the button. Man merkt, es ist Freitag.

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.

Heute ist Freitag, der 18. Oktober und unser Redaktionsschluss war heute wie immer um 10 Uhr.

Mein Name ist Gregor Wortberg und bei mir ist Lothar Simanowski.

Hallo Lothar. Ein bisschen was ist passiert diese Woche. Wir haben für euch

wieder die Nachrichten der Woche zusammengestellt.

Lothar, welche Themen hast du denn mitgebracht?

Welche Themen habe ich mitgebracht? Also es ist, wie du schon gesagt hast,

wir hatten nach der Folge in der

letzten Woche, wo wir sehr viel über die EuGH-Urteile gesprochen haben,

haben wir ja eigentlich den Fokus, den roten Faden bei den TOM,

technische und organisatorische Maßnahmen.

Und zwar habe ich zum einen mitgebracht einen Konkurs eines Datenhändlers nach

einem Data League, einen Angriff

auf das Internet Archive und einen Gesetzesentwurf zu Verkehrsdaten.

Ich bewege mich in dieser Woche im Bereich der Bußgelder, aber eins davon auch

aufgrund von mangelnden TOM.

Einmal ein Bußgeld aus England nach Werbung ohne Einwilligung und ein Bußgeld

aus Singapur, als Exot haben wir auch mal mitgebracht diese Woche,

gegen ein Telekommunikationsunternehmen.

Und darüber hinaus haben wir noch ein, zwei Veranstaltungen und Veröffentlichungen,

auf die wir hinweisen wollen. Lass uns loslegen, oder?

Ja, dann können wir direkt durchstarten. Und zwar das erste Thema geht um die

Insolvenz eines Datenbrokers nach einem Datenleck.

Heise berichtet, dass der Datenbroker National Public Data aktuell nach einem

großen Datenleck sich einigen zahlreichen und großen Sammelklagen gegenüber sieht.

National Public Data ist ein Datenhändler aus Florida und hat Insolvenzschutz

nach Chapter 11 des US-Insolvenzrechts beantragt.

Zum Hintergrund nach einem Datenleck, bei dem einige hunderte Millionen Sozialversicherungsnummern

und andere personenbezogenen Daten entwendet wurden, sieht sich.

Dass auf Hintergrundüberprüfung spezialisierte Unternehmen mit einer Welle von

Rechtsstreitigkeiten konfrontiert.

Im Dezember letzten Jahres konnten Cyberkriminelle die Systeme von National

Public Data komprimentieren,

sind eingedrungen und die Daten wurden letztendlich im Darknet zum Kauf für

3,5 Millionen US-Dollar angeboten.

Zur Datenqualität, was war alles da drin? Unter anderem Namen,

E-Mail-Adressen, Telefonnummern,

aber auch Sozialversicherungsnummern und Postadressen waren enthalten und nach

Schätzungen von Experten wurden 272 Millionen Sozialversicherungsnummern von

US-Bürgern sowie 600 Millionen Telefonnummern angewendet.

Also schon eine ordentliche Anzahl. In der Regel ist es so, dass Chapter 11

für Unternehmen zur Verfügung steht, um eine, wie es so schön heißt,

gerichtlich überwachte Umstrukturierung der Finanzen zu erreichen.

Allerdings geht aus den Gerichtsunterlagen hervor, dass Jericho Pictures,

das ist die Muttergesellschaft der Datenfirma, nicht über die nötigen Mittel

verfügt, um zumindest die Anwaltskosten und mögliche Strafen zu bezahlen.

Das Unternehmen sei also nicht in der Lage, ausreichende Einnahmen zu erzielen,

um dem Stand zu halten und am Ende des Tages hat aufgrund dessen die Versicherung

des Schuldners, die Cyberversicherung, aus diesem Grunde ihre Zahlungen eingestellt

und ist aus dem Versicherungsschutz ausgestiegen.

Also da hat man auch keine Deckung im Hintergrund. Ja, es sieht so aus,

als ob die Insolvenz dem Unternehmen helfen soll, die Flut von Klagen zu bewältigen.

Schreiben Magazine dazu und das erste Sammelklage gegen Jericho Pictures vor

Gericht vorübergehend ausgesetzt wurden. Ja, als Fazit, was kann man hierzu festhalten?

Wir haben zwar eine massive Datenpanne, die nicht alltäglich ist mit der gehörigen

Anzahl von verlustig gegangenen Sozialversicherungsnummern, aber nichtsdestotrotz,

obwohl es kein alltäglicher Vorgang ist, sollte man sich da auch immer wieder bewusst machen,

dass solche Dinge letztendlich in eine Risikobetrachtung gehören.

Ob das jetzt eine singuläre Datenschutzrisikobetrachtung ist oder sogar ins

Unternehmensrisikoregister gehört.

Ich glaube, das ist eine gute Idee, solche Dinge mit aufzunehmen,

um dann am Ende des Tages diese Sicht auch der Unternehmensleitung zur Verfügung zu stellen,

weil es kann jetzt nicht nur Bußgelder drohen, sondern auch Sammelklagen und

damit verbundene Schadenersatzbedingungen.

Und ähnliche Forderungen.

Ähnliche Fragen sollte man sich auch stellen, wenn man Werbung ohne Einwilligung verschickt.

Also was kann so passieren? Welcher Schaden kann mir drohen?

Um das mal direkt aufzugreifen.

Das Schicksal ist jetzt einem englischen Unternehmen, nämlich Widerfahren.

Quick Tax Claims Limited, ein Unternehmen, welches für die Beantragung von Steuererstattung

wirbt, ist nämlich, oder gegen das Unternehmen ist nämlich ein Bußgeld verhängt worden.

Und das, was die gemacht haben, muss man auch erstmal schaffen.

Also auf die Idee muss man erstmal kommen.

Im vorliegenden Fall hat nämlich das Unternehmen Werbe-SMS versandt,

die unter anderem einen Link zur Unternehmenswebseite enthielten,

um halt natürlich Tax Returns, also Steuererstattung, dann beantragen zu können.

Über 90 Prozent dieser SMS-Nachrichten enthielten keine Opt-out-Möglichkeit.

Und ganz besonders interessant wird jetzt mit den Zahlen. Das Unternehmen hat

insgesamt 7,8 Millionen SMS-Versand, 4,9 Millionen davon auch erfolgreich.

Und die Daten hatte das Unternehmen von Adresshändlern und Datenhändlern bezogen

und dann einfach mal schlank ohne Rechtsgrundlage genutzt.

Kann man mal so machen. In der Folge der Nachrichten erhielten die zuständigen

Stellen, also Behörden und so weiter, über 66.500 Beschwerden.

Das im Einzelfall als Unternehmen kann man auch mal machen.

Also das ist schon ein sehr großer Umfang da auch. Das Bußgeld beläuft sich

dann auf vergleichsweise geringe 143.000 Euro umgerechnet,

ist aber wohl auch darauf zurückzuführen, dass das Unternehmen umfassend mit

der Aufsichtsbehörde kooperiert hat, weil das wurde da wohl auch berücksichtigt.

Was nehmen wir daraus mit?

Also auch wenn in der UK natürlich andere Gesetzesgrundlagen gelten,

auch da gilt der Grundsatz keine Werbung ohne Einwilligung.

Und da sollten wir uns als Unternehmen natürlich dann auch mit beschäftigen.

Wenn wir Daten nutzen und dann insbesondere nochmal zur Werbung nutzen,

dass man da natürlich auch schauen muss, okay, wo habe ich die erhoben?

Durfte ich sie erheben und darf ich sie dann auch überhaupt für die Zwecke nutzen, die ich plane?

Genau, richtig. Keine Werbung ohne Einwilligung. Das gilt sowohl im Consumer-Geschäft

als auch im geschäftlichen Umfang.

Man hat zwar die Ausnahmen, wenn es um ähnlich gelagerte Produkte oder Dienstleistungen

geht, da hat man noch die Möglichkeit über andere Rechtsgrundlagen die Werbung

zu schalten. Allerdings, das geht nur um Kunden.

Also da kann ich jetzt keine Neukundenakquise oder Interessentenbewerbung auf

dieser Grundlage durchführen.

Keine Werbung ohne Einwilligung.

Sehr richtig. Und 66.000 Beschwerden.

Das muss man schaffen. Respekt.

Wie die Stimmung wohl in der Marketingabteilung war. Bei 66.000.

Beschwerden.

Meine Güte. Zu unserer nächsten Meldung. Ich glaube, es vergeht kein Tag,

wo unser Bundesamt für Sicherheit in der Informationstechnologie,

kurz BSI, davor warnt vor politisch motivierten Hackerangriffen.

Wir haben keine geringe Zahl von kommerziell getriebenen Hackern.

Dazu kommt durch die weltweiten Krisen, die wir leider Gottes im Moment haben,

auch noch eine gehörige Anzahl von politisch motivierten Angriffen.

Dazu passt die Meldung, dass eine russische Hackergruppe auf das Internetarchiv

Wayback Machine gestoßen ist. Die Internetbibliothek hat sich zur Aufgabe gemacht,

flüchtige Dokumente zu sichern, wie Webseiten, Bücher, Artikel und so weiter.

Und ja, die waren seit vergangener Woche nur sehr, sehr eingeschränkt nutzbar,

weil sie Opfer geworden sind von zahlreichen DDoS-Attacken und auch Defacement-Attacken.

Mittlerweile hat die gemeinnützige Organisation einen riesigen Datenschatz angehäuft,

der sich zum einen auf die Dokumente, zum anderen aber auch auf die Nutzer umfasst.

Von daher waren sie ein sehr, sehr gutes Angriffsszenario, aber auch nicht alleine.

Im vergangenen Jahr wurde die British Library angegriffen und wurde lahmgelegt.

Ich glaube, das unterstreicht ganz deutlich die Bedeutung von Cybersicherheit

auch im öffentlichen Sektor und auch der Stellenwert in den jeweiligen Organisationen.

Die British Library hat beispielsweise auch dazu in ihrem Jahresbericht geschrieben,

dass die Kosten für Investitionen in die Prävention das Risiko letztendlich

deutlich eindämmt und die Kosten übersteigen, auch wenn keine Präventionen betrieben werden.

Also es wird deutlich teurer, wenn man nichts macht, als wenn man vorher investiert.

Es gibt weltweite Bedrohungslagen im Moment, die nicht nur im öffentlichen und

ganz besonders aber auch im privatwirtschaftlichen Sektor beachtet werden müssen.

Es gibt nicht nur Unternehmen im kritischen Infrastrukturbereich,

sondern auch jedes Unternehmen kann ein Ziel sein von Cyberangriffen.

Von daher, es lohnt sich und es ist eine gute Idee, auf die aktuellen technischen

und organisatorischen Maßnahmen zu achten.

Ja, wir sensibilisieren, glaube ich, heute sehr viel und ich sensibilisiere

auch mal direkt weiter, weil die nächste Nachricht, die ich mitgebracht habe,

ich hatte es schon angekündigt, kommt aus Singapur.

Und wenn auch da nicht die DSGVO so direkt gilt, beziehungsweise der Anwendungsbereich,

der räumliche da zumindest nicht gegeben ist, hat der Fall doch Beispielcharakter.

Denn aktuell wird es wohl auch viele Unternehmen geben, die sich damit beschäftigen,

ihre Datenhaltung zu ändern, also von Servern ihre Daten in Cloud-Systeme zu migrieren.

Und das ist sich empfiehlt, umfassende Migrationspläne und Konzepte zu erstellen,

die die verschiedensten Aspekte einer solchen Vorhabensregeln zeigt nämlich auch dieser Fall.

Insbesondere sollte vielleicht auch darüber gesprochen werden oder bedacht werden,

was mit den Altsystemen denn passiert. Da ist es nämlich einem Telekommunikationsunternehmen

passiert, dass die Daten in ein Cloud-System migriert haben und dann aber vergessen

haben, das Alt-System zu prüfen.

Im Rahmen dieser Migration hat es nämlich einen kleinen technischen Fehler gegeben

und alle Daten sind auf dem alten Server gespeichert geblieben.

Darüber hinaus wurde das Berechtigungskonzept und Löschkonzept auch nicht so

ganz beachtet, denn es gab noch einen Account von einem ehemaligen Beschäftigten

und der war noch aktiv und wie der Zufall es so will,

wurde der dann nämlich auch gehackt und somit konnten dann Daten von fast 23.000 Personen betroffen,

Angestellte, ehemalige Angestellte und auch Aktionäre extrahiert werden und

diese wurden dann im Darknet zum Verkauf angeboten.

Das Bußgeld beläuft sich auf umgerechnet 110.000 Euro, also auch nicht sonderlich viel.

Allerdings, wie eigentlich schon eingeleitet, so viele Ebenen zu beachten und

dann schon ungünstig die alte Datenbank zu vergessen, da sollte natürlich dann

auch ein Auge drauf geworfen werden, wenn sowas geplant wird.

Teure Migration, ne?

Und man muss ein paar Extrakosten.

Ungeplante.

Ungeplante Extrakosten.

Ich komme zu meiner letzten Meldung und zwar geht es um den Referentenentwurf,

um den Gesetzesentwurf zur Einführung von Sicherheitsanordnung für Verkehrsdaten

in der Strafprozessordnung.

Dazu gibt es auch einen sehr interessanten Bericht auf Heise.

Aus diesem Bericht geht hervor, dass es wiederum um das Thema der anlasslosen

Speicherung von IP-Adressen geht, beziehungsweise um die Diskussion darum.

Das ist ja ein Thema, was uns schon seit Wochen und Monaten,

wenn nicht sogar Jahren begleitet, die anlasslose Speicherung.

Dazu hat der Bundesjustizminister Buschmann einen Entwurf zur Sicherungsanforderung

für Verkehrsdaten, so der offizielle Titel, zur Abstimmung gestellt.

Er will damit IP-Adressen nicht anlasslos speichern, sondern sieht die Einfügung

eines neuen Absatzes in § 100g der Strafprozessordnung vor.

Danach sollen Verkehrsdaten zur Verfolgung erheblicher Straftaten anlassbezogen

gespeichert werden dürfen, soweit sie für die Erforschung des Sachverhalts oder

die Ermittlung des Aufenthaltsortes eines Beschuldigten erheblich sein können.

Die Maßnahme soll grundsätzlich nur auf richterliche Anordnung zulässig sein

und hierbei soll der Umfang der zu speichenden Daten auf das erforderliche Maß

beschränkt werden, so jedenfalls das Bundesministerium für die Justiz.

Denn nur Verkehrsdaten, die bei den Anbietern von Telekommunikationsdiensten

für betriebliche Zwecke ohnehin vorhanden sind und künftig anfallen,

dürfen eingefroren werden.

Messenger-Dienste sollen nicht

in die Speicherung von Verbindungs- und Standortladen verpflichtet werden.

Das Konzept greift ein, wenn bestimmte Tatsachen den Verdacht begründen,

dass jemand als Täter, Täterin, einer Straftat auch im Einzelfall erheblicher

Bedeutung begangen hat.

Da gibt es einen entsprechenden Katalog dazu und die eingefrorenen Daten stehen

dem Entwurf nach den Strafverfolgungsbehörden nur für eine begrenzte Zeit für

die späte Erhebung und Auswertung zur Verfügung, die einer erneuten richterlichen Anordnung bedarf.

Hier spricht man von dem Auftauen der Daten. Die Ermittler sollen dafür zunächst

einen Monat Zeit haben und diese Frist kann zweimal um jeweils höchstens einen

Monat verlängert werden.

Im Telekommunikationsgesetz sollen Übermittlungsbefugnisse und Vorgaben für

technische und organisatorische Schutzmaßnahmen nach dem Stand der Technik verankert

werden und offen sind im Entwurf noch die Kosten für Wirtschaft und Behörden.

Ja, hiernach haben wir einen weiteren Schritt in der Diskussion um die anlasslose Speicherung.

Das Innenministerium, Frau Faeser, drängt auf die Speicherung von IP-Adressen auf Vorrat.

Das Bundesministerium für Justiz möchte aber den Grundsatz gewahrt wissen,

dass keine genauen Schlüsse auf das Privatleben der Betroffenen gezogen werden können.

Also es geht in die nächste Runde. Es bleibt spannend, lieber Gregor.

Ja, da sind wir mal gespannt, was dann am Ende des Tages da wirklich auf Papier

gebracht wird und verabschiedet wird.

Ich bin schon am Ende meiner Nachrichten angekommen und habe noch einen Veranstaltungshinweis

oder vielmehr eine Veröffentlichung mitgebracht. Denn am 9. und 10.

Oktober hat in Berlin die Bitkom Privacy Konferenz stattgefunden,

in welcher sich Datenschutzexpertinnen und Experten aus den Datenschutzbehörden,

internationalen Unternehmen und auch aus Startups zusammengefunden haben,

um die neuesten Themen des Datenschutzes, insbesondere internationale Datentransfers

und die Zusammenarbeit der Datenökonomie zu diskutieren.

Und die Videos der Veranstaltung sind nun auf dem YouTube-Kanal des Bitkom abrufbar.

Die Links dazu sind wie immer in den Shownotes zu finden und es ist wirklich

sehr zu empfehlen, mal reinzuschauen.

Es sind wirklich alle Vorträge der verschiedenen Referenten in voller Länge angezeigt.

Sehr schön. Interessant. Auch in unseren Shownotes zu finden ist der Hinweis auf die 73.

Sitzung des Digitalausschusses. Und zwar ist am vergangenen Mittwoch am 16.

Es zu einer teilweise öffentlichen Sitzung zusammengekommen und hierbei wurde

um den Paragrafen 26 Absatz 2 des T3DG gesprochen und bezüglich der Änderung

der besonderen Gebührenordnung.

Auch da gibt es den Link, wie gesagt, zu den Unterlagen, unter anderem aber

auch zur Videoaufzeichnung der Sitzung.

Wird sich bestimmt lohnen, da mal reinzuschauen am Wochenende.

Super. Lothar, dann haben wir die Nachrichten der Woche wieder erfolgreich zusammengefasst.

Ich danke dir, es hat wie immer sehr viel Spaß gemacht.

Es hat auch sehr, sehr, sehr viel Spaß gemacht. Es zeigt aber auch,

wie facettenreich unser Job ist.

In der letzten Woche hatten wir, ich glaube, ausschließlich Urteile.

Natalia und Heiko haben darüber sehr gut berichtet. Heute war es eine Mischung

aus Bußgelder und technische und organisatorische Maßnahmen.

Mit sehr viel Drittstaatenbezug.

Sehr viel Drittstaatenbezug. Bis nach Singapur ging es heute.

Bis nach Singapur. Haben wir auch nicht alle Tage. Aber was wir jede Woche machen,

ist entweder euch, liebe Zuhörerinnen und Zuhörer, ein schönes Wochenende zu

wünschen, wenn ihr uns am Freitag hört.

Oder einen schönen Wochenstart, wenn heute für euch schon Montag sein sollte.

Auf jeden Fall freuen wir uns, wenn wir uns quasi in der nächsten Woche wieder

hören, in der nächsten Ausgabe unseres Podcasts. und in diesem Sinne bis bald.

Bis bald, macht’s gut.

Der Beitrag Fokus auf angemessene TOM – Datenschutz News KW 42/2024 erschien zuerst auf migosens.

...more

View all episodes

By migosens - Datenschutz und Informationssicherheit mit Praxisnähe, Transparenz und Kompetenz