Tag Archives: Risiko

Härteres Vorgehen der Datenschutzbehörden bei Wettbewerbsverstößen angekündigt

Von | 22. April 2015

Gerade per­so­na­li­sierte Wer­bung ist nach wie vor ein bewähr­tes Mit­tel, um Kun­den zu gewin­nen. In den let­zten Jahre wur­den die Aufla­gen  immer stren­ger. Zumeist als Reak­tion auf aus­ufernde Miß­ach­tung beste­hen­der gesetz­li­cher Rege­lun­gen durch die Werbetreibenden.

Mit dem Gesetz gegen den unlau­te­ren Wet­tbe­werb (UWG) und den Bes­tim­mungen aus dem Bun­des­daten­schutzge­setz (BDSG) gilt es eini­ges zu beach­ten. Nicht nur, um sich nicht den Unmut der poten­tiellen Käu­fer zuzu­zie­hen, weil deren Rechte nicht beach­tet wur­den. Die Auf­merk­sam­keit der Lan­des­da­ten­schutz­be­hör­den sollte man eben­falls zukünf­tig nicht erre­gen. Von dro­hen­den Abmah­n­risiken mal ganz zu schweigen.

Da ist es auch wenig tröst­lich, dass dies nur auf einige schwarze Schafe unter den Wer­be­treiben­den zurück­zuführen ist. Lei­den müs­sen dar­un­ter alle, die auf Wer­bung ange­wie­sen sind.

Zu allem Über­fluss haben die Daten­schutzbe­hör­den das Thema nun auch für sich entdeckt!

Es bleibt nicht unbemerkt

Recht­li­che Ver­stöße blei­ben nicht unbe­merkt. Denn selbst wenn sich der Betrof­fene nicht direkt bei dem Wer­be­trei­ben­den mel­det, so bleibt immer noch der Weg zur zustän­di­gen Lan­des­da­ten­schutz­be­hörde offen. Und die­ser Weg wird auch beschritten.

In einer Pressemit­teilung vom 25.11.2014 des Bay­erischen Lan­desamt für Daten­schutza­uf­sicht heisst es:

“Im Jahr 2013 gin­gen beim BayLDA zum Thema unzuläs­sige Wer­bung 162 und im Jahr 2014 bis­her 149 Ein­ga­ben Weiterlesen

Wo warst Du heute nacht? Fahrdienst Uber analysiert mögliche One Night Stands seiner Nutzer

Von | 8. Januar 2015

Daten­schüt­zern wird oft eine gewisse Para­noia vor­ge­wor­fen. Big Data gilt als einer DER Trends der nahen Zukunft. Was man mit gro­ßen Men­gen an Daten so alles anfan­gen kann, hat der Fahr­dienst Uber ein­drucks­voll bewie­sen, wie bekannte Medien berichten.

Durch gezielte Fil­te­rung und Ana­lyse der Nut­zungs­da­ten über Uhr­zeit, Wochen­tage, Start, Ziel und Radius hat der Fahr­dienst mög­li­che One Night Stands sei­ner Nut­zer iden­ti­fi­ziert. Dies geht aus einem mitt­ler­weile gelösch­ten Blog­bei­trag auf der Unter­neh­mens­web­seite hervor.

Deutsch­lands Uber-Chef ver­tei­digt die Daten­samm­lung und Aus­wer­tung wie folgt: “Man kann aus sämt­li­chen Aus­wer­tun­gen Rück­schlüsse zie­hen, die hel­fen kön­nen, das Ange­bot zu ver­bes­sern. Das ist Teil der Akti­vi­tät, die Uber machen muss und wird.” Immer­hin räumt er ein, dass es sinn­vol­lere Aus­wer­tun­gen des Daten­ma­te­ri­als geben kann.

Unse­rer Mei­nung nach durch­aus ein Kan­di­dat für den dies­jäh­ri­gen Big Bro­ther Award.

Quel­len:

Mel­dung Spie­gel Online
Mel­dung heise online

Knackpunkt Geburtstagsliste

Von | 11. Dezember 2014

Wer kennt das nicht? Im Unter­neh­men hängt direkt über der Kaf­fee­ma­schine eine Geburts­ta­g­liste mit den Daten aller Mit­ar­bei­ter. Oder in Out­look ist der Kalen­der “Geburts­tage der Mit­ar­bei­ter” öffent­lich für alle ver­füg­bar. Beide Ein­rich­tun­gen selbst­ver­ständ­lich top aktu­ell und zen­tral gepflegt durch die Per­so­nal­ab­tei­lung. Ein­ge­stellt, ein­ge­tra­gen, aus­ge­han­gen :-) Nett gemeint, doch nicht ganz ohne.

Der thü­rin­gi­sche Lan­des­da­ten­schutz­be­auf­tragte hält diese Vor­ge­hens­weise ohne gül­tige Ein­wil­li­gung für nicht rechts­kon­form. Dies äußert er in sei­nem Jah­res­be­richt (Zeit­raum 12/11–12/13) für den nicht-öffentlichen Bereich (also Unter­neh­men und Ver­eine) auf Seite 81.

Geburts­tags­da­ten von Mit­ar­bei­tern sind Arbeit­neh­mer­da­ten. Daher ist sei­ner Mei­nung nach § 32 BDSG Daten­er­he­bung, –ver­ar­bei­tung und –nut­zung für Zwe­cke des Beschäf­ti­gungs­ver­hält­nis­ses anzu­wen­den. Die darin genann­ten Nut­zungs­zwe­cke Begrün­dung, Durch­füh­rung und Been­di­gung des Arbeits­ver­hält­nis­ses geben eine Legi­ti­ma­tion der Daten­nut­zung für eine öffent­li­che Geburts­tags­liste nicht her. Von daher ist nach sei­nem Dafür­hal­ten die aus­drück­li­che Ein­wil­li­gung jedes ein­zel­nen Mit­ar­bei­ters erfor­der­lich. Dabei ist es uner­heb­lich, ob die Angabe mit oder ohne Geburts­jahr erfolgt.

Für die kor­rekte For­mu­lie­rung einer Ein­wil­li­gung fra­gen Sie doch ein­fach Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Spre­chen Sie uns an.

Warum ist Datenschutz für Unternehmen und Behörden wichtig?

Von | 3. Dezember 2014

Haben Sie sich auch schon diese Frage gestellt? Sascha Kuhrau, Inha­ber des bun­des­weit täti­gen Bera­tungs­un­ter­neh­mens a.s.k. Daten­schutz gibt Antworten.

Herr Kuhrau, ist Daten­schutz ein Modethema?

Mit­nich­ten! Schauen Sie ein­fach auf die His­to­rie des Daten­schutz­rechts in Deutsch­land und der EU. 1977 hat­ten wir das erste Bun­des­da­ten­schutz­ge­setz (BDSG) in Deutsch­land, seit 1995 gibt es auf EU Ebene ver­bind­li­che Regeln für alle Mitgliedsstaaten.

Wen betrifft die­ses Bundesdatenschutzgesetz?

Das ist ganz ein­fach. Jedes Unter­neh­men, jeden Gewer­be­trei­ben­den, jeden Frei­be­ruf­ler, jede Behörde und auch jeden Ver­ein, sofern dort per­so­nen­be­zo­gene Daten vor­lie­gen und ver­ar­bei­tet werden.

Man sollte auch nicht dem Irr­tum unter­lie­gen, ein eige­nes Stan­des­recht würde das Daten­schutz­ge­setz erset­zen. Obwohl die Aus­sage der Gesetze hier klar ist, muss­ten mitt­ler­weile Gerichte bestä­ti­gen, dass sol­ches Recht nicht pau­schal erset­zend wirkt. Diese Fehl­ein­schät­zung kann gerade bei Ärz­ten, Steu­er­be­ra­tern oder auch Anwäl­ten schnell zu Kon­flik­ten führen.

Wirk­lich jeden? Es gibt doch bestimmt Ausnahmen?

Da muss ich Sie ent­täu­schen. § 1 BDSG ist hier ein­deu­tig. Es wer­den keine Unter­schiede nach Bran­che, Mit­ar­bei­ter­zahl oder Umsatz gemacht. Die­sen Irr­glau­ben trifft man öfter in Gesprä­chen mit Geschäfts­füh­rern, Inha­bern oder auch Behördenleitern.

Eine Aus­nahme gibt es jedoch bei der Bestell­pflicht des soge­nann­ten Daten­schutz­be­auf­trag­ten.

Wel­che Auf­ga­ben hat ein sol­cher Datenschutzbeauftragter?

Salopp gesagt, küm­mert Weiterlesen

Waisenkind bittet um Unterstützung

Von | 10. September 2014

Wer hat noch nicht, wer will noch mal? :-)

Re: Von Rose Kouame,
Ich bin Rose Kouame von Abid­jan Cote D’Ivoire (Elfen­bein­küste) .I bin 22 Jahre altes Mäd­chen ein Wai­sen­kind, Meine Eltern sind gestor­ben, aber ich habe in einer Bank hier über € 5.200.000.00 (Fünf Mil­lio­nen zwei­hun­dert Tau­sende Euro), die ich geerbt von mei­nem Vater geliebt spä­ten Michel Kouame.
Ich möchte den Fonds in Ihrem Land mit Ihrer Zustim­mung, Zusam­men­ar­beit, Unter­stüt­zung, Bera­tung und Hilfe zu inves­tie­ren. Zwei­tens auf volle Akzep­tanz mit mir arbei­ten zu die­sem Zweck, freund­lich zei­gen Ihr Inter­esse durch die Ant­wort zurück zu mir, so dass ich Sie lie­fern mit den not­wen­di­gen Infor­ma­tio­nen und die Details, wie wei­ter zu ver­fah­ren ist. Ich bin bereit, 25% Gesamt­geld­be­trag, um Sie über die end­gül­tige Über­tra­gung der Geld auf Ihr Bank­konto anbie­ten.
Meine bes­ten Grüße an Sie und Ihre ganze Fami­lie.
Ich brau­che Ihre Bera­tung.
danke,
Rose Kouame

Sollte sich von selbst ver­ste­hen, auf sol­che Emails nicht zu rea­gie­ren. Aber nicht alle Ver­su­che, sind so offen­sicht­lich wie die­ser. Sind Ihre Mit­ar­bei­ter hier­für aus­rei­chend sen­si­bi­li­siert und vor­be­rei­tet? Email und Instant Mes­sa­ging Sys­teme lie­gen laut dem Sta­tis­tik­por­tal Sta­tista mit 34,6% deut­lich vor allen ande­ren Quel­len für sol­che Angriffe.

Die Schu­lun­gen und Sen­si­bi­li­sie­rungs­ver­an­stal­tun­gen von a.s.k. … Weiterlesen

Hackerangriffe nehmen weiter zu — 4,5 Millionen Patientendaten entwendet

Von | 19. August 2014

Com­mu­nity Health Sys­tems, ame­ri­ka­ni­scher Betrei­ber von 206 Kran­ken­häu­sern in 29 Bun­des­staa­ten, outete sich diese Woche. Man sei Opfer einer erfolg­rei­chen Hacker-Attacke gewor­den.
Gegen­über der US Auf­sichts­be­hörde SEC gab der Betrei­ber an, zwi­schen April und Juni von einer wahr­schein­lich aus China ope­rie­ren­den Gruppe erfolg­reich gehackt wor­den zu sein. Bei den ent­wen­de­ten Daten soll es sich um nicht-sensible Infor­ma­tio­nen gehan­delt haben. Betrof­fen sind Pati­en­ten von Ärz­ten, mit denen der Betrei­ber in den letz­ten fünf Jah­ren zusam­men­ge­ar­bei­tet habe. Man ver­mu­tet einen Zusam­men­hang mit frü­he­ren Atta­cken, bei denen min­des­tens 140 Unter­neh­men in den USA, Kanada und Groß­bri­tan­nien Angriffs­ziel waren.

Sind Daten in Ihrem Unter­neh­men sicher? Ana­ly­sen der letz­ten Monate zei­gen, nicht nur große Kon­zerne und Unter­neh­men ste­hen im Fokus sol­cher Angriffe. Voll­au­to­ma­ti­siert wer­den von außen über das Inter­net Schwach­stel­len in Unter­neh­mens­net­zen abge­scannt und ziel­ge­rich­tet pene­triert. Oft mit Erfolg und meist ohne Kennt­nis der betrof­fe­nen Unter­neh­men. Gerne unter­stüt­zen wir Sie bei der Über­prü­fung und Absi­che­rung Ihres Fir­men­netz­wer­kes zusam­men mit unse­ren Part­nern für IT-Sicherheit.

Quelle: Bei­trag auf recode.net

Neuer (trauriger) Rekord: 1,2 Milliarden Datensätze gehackt

Von | 6. August 2014

Ame­ri­ka­ni­sche und nun auch deut­sche Medien berich­ten vom wohl größ­ten Daten­klau in der Geschichte des Inter­nets. Zumin­dest vom größ­ten bekann­ten Daten­klau kann man wohl getrost ausgehen.

Einer rus­si­schen Hacker­gruppe soll es gelun­gen sein, über 1,2 Mil­li­ar­den Daten­sätze zu hacken. Betrof­fen seien Benut­zer­na­men, Pass­wör­ter und auch Email-Adressen. Das deut­sche Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik, kurz BSI warnt vor der opti­mis­ti­schen Ein­schät­zung, deut­sche Nut­zer könn­ten even­tu­ell nicht betrof­fen sein. Sobald man wei­tere Infor­ma­tio­nen aus den USA vor­lie­gen habe, werde man sich um Hil­fe­stel­lun­gen für deut­sche Inter­net­nut­zer bemü­hen und diese ver­öf­fent­li­chen. Ursprüng­lich seien wohl sogar mehr als 4 Mil­li­ar­den Daten­sätze betrof­fen gewe­sen, doch durch Aus­schluß von Dopp­lun­gen sei es zu einer Reduk­tion auf 1,2 Mrd. gekommen.

Nun heißt es also wie­der mal, breit­flä­chig Pass­wör­ter ändern. Das diese gewiße Sicher­heits­an­for­de­run­gen genü­gen müs­sen, sollte sich mitt­ler­weile rum­ge­spro­chen haben. Auch die Nut­zung von einem Pass­wort für meh­rere Dienste ist geeig­net, es Hackern und Die­ben leich­ter zu machen — von daher keine gute Idee. Da man sich diese nicht alle mer­ken kann, bie­tet sich die Nut­zung eines Passwort-Tresors wie Kee­pass an. Cloud basierte Pass­wort­ma­na­ger ohne Ver­schlüs­se­lugn oder gar von ame­ri­ka­ni­schen Anbie­tern soll­ten sich von selbst verbieten.

Wohl dem, der in sei­nen Online Pro­fi­len nicht alle Komfort-Merkmale … Weiterlesen

BadUSB: Manipulierte USB Sticks (erneut) zum Albtraum mutiert

Von | 2. August 2014

USB Sticks sind seit je her ein Sicher­heits­ri­siko. Schnell sind Daten kopiert und abge­grif­fen. Oder man kommt zurück von einem Außen­ein­satz und hat sich dort einen Virus gefan­gen, der beim Anste­cken an das Gast-System im inter­nen IT Netz nun nur dar­auf war­tet, sich zu übertragen.

Weit­aus per­fi­der kommt jetzt eine neue Vari­ante daher. Ganz ohne Ein­griffe mit Löt­kol­ben & Co mutie­ren USB Sticks zu einem zur Zeit noch nicht wir­kungs­voll bekämpf­ba­ren Sicher­heits­ri­siko. Nur mit­tels ein­fa­cher SCSI Befehle umpro­gram­miert, gibt sich ein Stan­dard USB Stick aus dem Ramsch­re­gal als USB Tas­ta­tur zu erken­nen und führt dahin­ter seine Schad­rou­tine aus. Das gemeine daran: USB Ein­ga­be­ge­räte sind von gene­rel­len Sper­run­gen der USB Ports meist aus Prak­ti­ka­bi­li­täts­grün­den aus­ge­nom­men. Doch weder das Gast-System noch Anti-Viren-Software ist in der Lage, das Risiko hin­ter der ver­meint­li­chen Tas­ta­tur zu erken­nen. Der Stick greift daher nun nicht nur alle Tas­ta­tur­ein­ga­ben ab, son­dern kann sei­nen Schad­code direkt aus der Firm­ware auf das Gast-System und wei­tere ange­schlos­sene USB Sticks verbreiten.

Im wahrs­ten Sinne des Wor­tes eine Virus-Infektion!

Da die Her­stel­ler von USB Sticks haupt­säch­lich auf drei Controller(-hersteller) samt Firm­ware set­zen, die alle­samt aus­ge­le­sen und angreif­bar sind, wird das Sicher­heits­ri­siko schwer ein­zu­fan­gen sein, sobald diese Lücke aus­ge­nutzt wird. Noch wurde die Methode … Weiterlesen

Neues Paypal Phishing dank SEPA

Von | 9. Juli 2014

Es ist erneut eine gut gemachte Phis­hing Email im Umlauf. Die­ses mal trifft es den Anbie­ter Pay­Pal. Als Zug­pferd wird das SEPA Ver­fah­ren her­an­ge­zo­gen. Man möge doch so nett sein, sich über den Link hin­ter dem But­ton “Jetzt auf SEPA umstel­len” ein­zu­log­gen und seine Bank­da­ten zu veri­fi­zie­ren. Man darf sicher sein, zumin­dest die Zugangs­da­ten zu Pay­pal wer­den danach nicht mehr sicher sein. Der Link führt näm­lich mit­nich­ten zu Pay­pal, son­dern über einen URL Shor­te­ner Dienst ganz woan­ders hin. Pro­bie­ren Sie es bes­ser nicht aus! Es reicht, wenn Sie sich den hin­ter­leg­ten Link anzei­gen las­sen, in dem Sie mit der Maus über den fah­ren. Der Link wird dann angezeigt.

Gut, wer in Pay­Pal zusätz­li­che Sicher­heits­fea­tures akti­viert hat, wie den SMS Login (Pay­pal Sicher­heits­schlüs­sel). Nach dem Login wird eine SMS an die regis­trierte Mobil­te­le­fon­num­mer ver­sandt. Erst nach der Ein­gabe des Codes aus die­ser SMS erfolgt der Zugriff auf das Pay­pal Konto.

Soll­ten Sie eine Email erhal­ten, die aus­sieht, wie folgt — ein­fach löschen. :-)

Paypal Phishing Email
Pay­pal gibt auf der Unter­neh­mens­web­seite wei­tere Tipps, wie der Nut­zer Phi­sing Mails erken­nen und sich davor schüt­zen kann.

Webseitenbetreiber aufgepasst: Google ändert Links zu eigenen Datenschutzerklärungen

Von | 14. April 2014

Ende März 2014 hat Google seine eige­nen Daten­schutz­er­klä­run­gen aktua­li­siert. Bei die­ser Gele­gen­heit wur­den die Links zu den rele­van­ten daten­schutz­recht­li­chen Anga­ben für die Tools Google Ana­lytics und den Google+ But­ton geändert.

Als logi­sche Kon­se­quenz lan­den nun alle Links in Daten­schutz­er­klä­run­gen im Nir­wana. Google hat es lei­der nicht für nötig erach­tet, eine Umlei­tung (Redi­rect) zu set­zen und somit sind diese vor­ge­schrie­be­nen Infor­ma­tio­nen nicht mehr direkt zugäng­lich. Folg­lich ist die Daten­schutz­er­klä­rung auf den eige­nen Web­sei­ten fehlerhaft.

Daher soll­ten Sie — sofern Sie Google Ana­lytics und / oder den Google+ But­ton auf den Web­sei­ten ein­set­zen — nun schnell rea­gie­ren und diese Links aktua­li­sie­ren. Diese lau­ten wie folgt:

Daten­schutz­recht­li­che Infor­ma­tio­nen zu Google Ana­lytics (exter­ner Link)
http://www.google.com/intl/de/analytics/learn/privacy.html

Daten­schutz­recht­li­che Infor­ma­tio­nen bezüg­lich des Google+ But­tons (exter­ner Link)
https://www.google.com/policies/privacy/partners/?hl=de

Nicht ver­ges­sen: die fol­gen­den bei­den Links soll­ten eben­falls Bestand­teil Ihrer Daten­schutz­er­klä­rung sein. Beide sind von der aktu­el­len Adres­s­än­de­rung jedoch nicht betroffen:

Neu­es­ter Stand “All­ge­meine Daten­schutz­hin­weise von Google”
http://www.google.de/intl/de/policies/privacy/

Browser-Add-on gaop­tout zur Deak­ti­vie­rung von Google Ana­lytics zum Down­load
https://tools.google.com/dlpage/gaoptout?hl=de

Ergän­zen­der Tipp: Daten­schutz bei Nut­zung von social Plugins (exter­ner Bei­trag unse­res Partner-Blogs)