Tag Archives: Warnung

Datenpanne: Offener Newsletter-Verteiler führt zu Bußgeld – Augen auf beim Direktmarketing

By | 21. August 2017

Schon jedem Mal passiert – Newsletter oder Email an viele Empfänger verschickt

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email oder News­let­ter ver­teilt wer­den. Mail- oder News­let­ter-Pro­gramm geöffnet, Text geschrie­ben, aus dem Adress­buch schnell die Empfänger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Empfängers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, akku­rat mit Vor-, Nach­na­me und Email-Adres­se. Üblicherweise macht man den Absen­der freund­lich auf sein Miss­ge­schick auf­merk­sam und läßt es dar­auf beru­hen.

Offene Newsletter-Verteiler kommen nicht immer gut an

Die Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9!) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Empfängern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zuständige baye­ri­sche Landesdatenschutzbehörde wei­ter­ge­lei­tet.

Landesdatenschutzbehörde prüft offene Newsletter-Verteiler und verhängt Bußgeld

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach über die eige­ne Web­sei­te und auf Ver­an­stal­tun­gen vor und mit Unter­neh­men auf die daten­schutz­recht­li­che … Weiterlesen

Personalausweis einfach kopieren – einfach rechtswidrig

By | 18. August 2017

Personalausweis als Pfand, Personalausweis-Kopie als Beleg – üblich, aber verboten

Usus, Rechts­ver­stoß inklu­si­ve. Der Per­so­nal­aus­weis wird als Pfand hin­ter­legt, eine Kopie zur Iden­ti­fi­ka­ti­on im Ver­trags­ord­ner abge­legt oder als Scan ins Doku­men­ten-Manage­ment-Sys­tem gespei­chert. Bran­chen­über­grei­fend üblich, vom Fit­ness-Stu­dio bis zur Auto­ver­mie­tung.

Der neue Personalausweis

Seit dem 01. Novem­ber 2010 wird nur noch der neue Per­so­nal­aus­weis her­aus­ge­ge­ben, ger­ne auch als „ePer­so“ bezeich­net. Im Zuge der Umstel­lung hat das Per­so­nal­aus­weis­ge­setz (PAuswG) eini­ge Ände­run­gen erfah­ren. Zahl­rei­che Kom­men­tie­run­gen und Begrün­dun­gen beglei­ten den neu­en Aus­weis.

Kein ausdrückliches Kopierverbot, aber …

Neben der bis­her übli­chen Aus­weis­funk­ti­on beinhal­tet der „ePer­so“ nun auch die Mög­lich­keit zu Signa­tur und zur Authen­ti­sie­rung. Zum Schutz die­ser Funk­tio­nen schreibt unse­re Regie­rung in ihrer Begrün­dung zur Neu­re­ge­lung: “Die Erhe­bung und Ver­wen­dung per­so­nen­be­zo­ge­ner Daten aus oder mit­hil­fe des Aus­wei­ses darf künf­tig nur über die dafür vor­ge­se­he­nen Wege erfol­gen. (.) Wei­te­re Ver­fah­ren z.B. über die opto­elek­tro­ni­sche Erfas­sung (“scan­nen”) von Aus­weis­da­ten oder dem maschi­nen­les­ba­ren Bereich sol­len aus­drück­lich aus­ge­schlos­sen wer­den.” In den Aus­le­gun­gen hier­zu wird deut­lich davon gespro­chen, weder Kopi­en des Per­so­nal­aus­wei­ses zuzu­las­sen, noch die­sen aus der Hand zu geben.

Warum den Personalausweis nicht kopieren?

Da der neue Per­so­nal­aus­weis auf­grund des­sen Gestal­tung noch eine sog. Berech­ti­gungs­num­mer trägt, weist das Bun­des­in­nen­mi­nis­te­ri­um auf einen zusätz­li­chen Sach­ver­halt hin. Die Berech­ti­gungs­num­mer soll
Weiterlesen

Der Hype um das (private) Whatsapp-Abmahnrisiko

By | 28. Juni 2017

Kaum hat das Amts­ge­richt Bad Hers­feld sein Urteil gefällt und die Begrün­dung ver­öf­fent­licht, gras­siert ein media­ler Hype um ein angeb­li­ches Abmahn­ri­si­ko für pri­va­te Whats­app-Nut­zer durch das Netz. Doch was steckt dahin­ter?

Etwas Auf­klä­rung zur pri­va­ten Nut­zung von Whats­app

Das Amts­ge­richt Bad Hers­feld, wohl­ge­merkt ein Amts­ge­richt, sieht auf Basis des § 823 BGB sowie des § 1004 BGB das Risi­ko eines pri­va­ten Whats­app-Nut­zers, auf­grund der nicht ein­ge­wil­lig­ten Daten­über­mitt­lung der Kon­tak­te in des­sen Adress­buch durch den auto­ma­ti­sier­ten Abgleich mit den Whats­app-Ser­vern durch die Kon­tak­te selbst auf Unter­las­sung in Anspruch genom­men zu wer­den. Selbst eine kos­ten­pflich­ti­ge Abmah­nung wird nicht aus­ge­schlos­sen. Kaum war die ers­te Nach­richt hier­zu im Web lan­ciert, ging der Copy & Pas­te – Mecha­nis­mus des Bou­le­vard­jour­na­lis­mus inklu­si­ve der sozia­len Netz­wer­ke los. Angst und Panik für Quo­te und Klicks lau­tet die Devi­se.

Was davon zu hal­ten ist, kön­nen Sie unter ande­rem im Blog des Anwalts Dr. Cars­ten Ulb­richt nach­le­sen, der zu die­sem The­ma kein Unbe­kann­ter ist.

Whats­app und geschäft­li­che oder dienst­li­che Nut­zung?

Nutzt ein Unter­neh­men oder eine Behör­de nun Whats­app sieht die Rechts­la­ge etwas unbe­que­mer aus. Das Bun­des­da­ten­schutz­ge­setz schreibt für die betrieb­li­che Nut­zung per­so­nen­be­zo­ge­ner Daten die Aus­wahl geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Schutz­maß­nah­men vor. Bedient man sich bei der Umset­zung eines Drit­ten (in … Weiterlesen

Datenpanne bei DuMont: Benutzernamen und Passwörter frei einsehbar

By | 11. April 2016

Am gest­ri­gen Sonn­tag wur­de gemel­det, Nut­zer­kon­ten samt Daten von regis­trier­ten Nut­zern der Web­sei­te des DuMont-Ver­lags stan­den stun­den­lang unge­schützt im Netz. Wäh­rend der Ver­lag von einem Hacker­an­griff spricht, scheint eini­ges für inter­ne Schlam­pe­rei zu spre­chen (spiegel.de)

Der Ver­lag nahm die betrof­fe­nen Web­sei­ten eini­ge Stun­den nach Mel­dung der Daten­pan­ne off­line. Sie sol­len im Lau­fe des heu­ti­gen Tages wie­der ans Netz gehen. Fatal: Neben den Benut­zer­na­men waren die Pass­wör­ter im Klar­text abge­spei­chert. Nach eige­nen Anga­ben des Ver­lags wur­den die Pass­wör­ter der betrof­fe­nen Accounts zurück­ge­setzt.… Weiterlesen

Patientendaten gehackt – Gesundheitskarte nach wie vor unsicher

By | 14. März 2016

Die RP Online mel­det letz­te Woche, dass es nach eige­nen Tests nach wie vor gro­ße Sicher­heits­lü­cken bei der Gesund­heits­kar­te gibt. Pati­en­ten­da­ten sind nach wie vor nicht sicher, hat deren Über­prü­fung erge­ben. Die Redak­ti­on konn­te mit weni­gen Maus­klicks und eini­gen Anru­fen bei der für den Test aus­ge­wähl­ten Bar­mer GEK ohne Pro­ble­me, Infor­ma­tio­nen über Arzt­be­su­che und Medi­ka­men­ta­tio­nen abfra­gen.

Wie RP Online berich­tet, ist dies bereits der fünf­te Fall in den letz­ten 20 Mona­ten, in dem es durch das ein­fach struk­tu­rier­te Anmel­de-Ver­fah­ren zu den Online-Ser­vices der Kran­ken­kas­sen (dar­un­ter neben der Bar­mer GEK auch die AOK) zum voll­stän­di­gen Zugriff auf das Ver­si­cher­ten-Pro­fil kom­men kann. Was dazu nötig ist? Es rei­chen Name, Geburts­da­tum, Ver­si­cher­ten­num­mer, eine neu auf den Namen des Ver­si­cher­ten aus­ge­stell­te Email-Adres­se bei einem belie­bi­gen Anbie­ter sowie ein Tele­fo­nat mit der Ver­si­che­rung.

Doch das ist nicht neu. Bereits 2014 wur­de die­se Vor­ge­hens­wei­se als Schwach­stel­le auf­ge­deckt, die Kran­ken­kas­sen infor­miert. 2015 war der Vor­gang immer noch nach­voll­zieh­bar (sie­he ZDF Videobei­trag). Getan hat sich seit­her wenig bis nichts. Daher ist auch die Bun­des­da­ten­schutz­be­auf­trag­te, Andrea Voß­hoff “not amu­sed”.

 … Weiterlesen

Locky immer erfolgreicher

By | 9. März 2016

Zusam­men­fas­sung

Ver­wun­der­lich, wie wenig in den Nach­rich­ten zu dem The­ma in den letz­ten Tagen zu hören ist. Nach Tes­lacrypt treibt ein wei­te­rer Kryp­to-Tro­ja­ner sein Unwe­sen. Und das sogar ziem­lich erfolg­reich. Vor eini­gen Tagen gab es noch 5.000 Infek­tio­nen pro Stun­de in Deutsch­land. Heu­te sind es über den Tag immer­hin noch 17.000 (auch wie­der nur allei­ne in Deutsch­land).

Kryp­to-Tro­ja­ner gehö­ren zu der soge­nann­ten Ran­som­ware. Ein­mal auf dem Com­pu­ter ange­kom­men und akti­viert, begin­nen sie umge­hend mit ihrer Auf­ga­be. Und die­se lau­tet “Ver­schlüs­se­le alles, was Dir in die Fin­ger kommt”. Die Fol­gen ver­hee­rend. Unter­neh­men wer­den lahm­ge­legt, Behör­den sind arbeits­un­fä­hig. Im pri­va­ten Bereich sind im Zwei­fel über die Jah­re müh­se­lig gepfleg­te Bil­der- und Musik­da­ten­ban­ken futsch.

Ent­schlüs­selt wird nur gegen Zah­lung von Löse­geld in Form von Bit­coins. Und das Geschäft boomt.

Ein Klick genügt – Locky legt los

Vor eini­gen Tagen sprach ich mit dem IT-Lei­ter einer gro­ßen Stadt in Bay­ern. Zu Locky (dem zur Zeit bekann­tes­ten gras­sie­ren­den Kryp­to-Tro­ja­ner) befragt, mein­te er lapi­dar “Wir sind auf DEFCON 1”. Damit wird die höchs­te mili­tä­ri­sche Ver­tei­di­gungs­stu­fe in den USA bezeich­net.

Wie es zu einer sol­chen Aus­sa­ge kommt, wird schnell klar, wenn man einen Blick auf die Ent­wick­lung in den letz­ten Wochen wirft. Bereits im Dezem­ber sahen sich … Weiterlesen

Bußgeld wegen fehlerhafter Auftragsdatenverarbeitung verhängt

By | 29. August 2015

Lang­jäh­ri­ge Kun­den und Emp­fän­ger unse­rer Daten­schutz-Infor­ma­ti­on wer­den sich an das wie­der­keh­ren­de The­ma die­ses Bei­tra­ges sicher erin­nern und haben die Infor­ma­ti­on am Tag der Ver­öf­fent­li­chung der Pres­se-Infor­ma­ti­on des BayL­DA bereits als Son­der-News­let­ter erhal­ten. Auf­grund der Trag­wei­te des Vor­gangs infor­mie­ren wir hier noch mal auf unse­rem Daten­schutz-Fach­blog.

Es geht um das The­ma Out­sour­cing an exter­ne Dienst­leis­ter im Hin­blick auf mög­li­cher­wei­se betrof­fe­ne per­so­nen­be­zo­ge­ne Daten. Das Daten­schutz­recht spricht hier von einer Auf­trags­da­ten­ver­ar­bei­tung. Nicht weil hier ein Auf­trag ver­ge­ben wird, son­dern weil im Auf­trag der ver­ant­wort­li­chen Stel­le jemand Drit­tes mit den per­so­nen­be­zo­ge­nen Daten zu tun hat oder in Kon­takt kommt  / kom­men kann. Die baye­ri­sche Lan­des­da­ten­schutz­be­hör­de hat jetzt wegen feh­ler­haf­ter Umset­zung der gesetz­lich vor­ge­schrie­be­nen Ver­fah­rens­wei­se und Inhal­te ein Buß­geld ver­hängt.

Feh­ler­haf­te Auf­trags­da­ten­ver­ar­bei­tung führt zu Buß­geld

Das ist so klar und deut­lich in § 43 Absatz 1 Satz 2b BDSG gere­gelt.

(1) Ord­nungs­wid­rig han­delt, wer vor­sätz­lich oder fahr­läs­sig 

2b.
ent­ge­gen § 11 Absatz 2 Satz 2 einen Auf­trag nicht rich­tig, nicht voll­stän­dig oder nicht in der vor­ge­schrie­be­nen Wei­se erteilt oder ent­ge­gen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Daten­ver­ar­bei­tung von der Ein­hal­tung der beim Auf­trag­neh­mer getrof­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men über­zeugt,”

Mit Datum vom 20. August 2015 gibt das Baye­ri­sche Lan­des­amt … Weiterlesen

Warum ist Datenschutz für Unternehmen und Behörden wichtig?

By | 3. Dezember 2014

Haben Sie sich auch schon die­se Fra­ge gestellt? Sascha Kuhrau, Inha­ber des bun­des­weit täti­gen Bera­tungs­un­ter­neh­mens a.s.k. Daten­schutz gibt Ant­wor­ten.

Herr Kuhrau, ist Daten­schutz ein Mode­the­ma?

Mit­nich­ten! Schau­en Sie ein­fach auf die His­to­rie des Daten­schutz­rechts in Deutsch­land und der EU. 1977 hat­ten wir das ers­te Bun­des­da­ten­schutz­ge­setz (BDSG) in Deutsch­land, seit 1995 gibt es auf EU Ebe­ne ver­bind­li­che Regeln für alle Mit­glieds­staa­ten.

Wen betrifft die­ses Bun­des­da­ten­schutz­ge­setz?

Das ist ganz ein­fach. Jedes Unter­neh­men, jeden Gewer­be­trei­ben­den, jeden Frei­be­ruf­ler, jede Behör­de und auch jeden Ver­ein, sofern dort per­so­nen­be­zo­ge­ne Daten vor­lie­gen und ver­ar­bei­tet wer­den.

Man soll­te auch nicht dem Irr­tum unter­lie­gen, ein eige­nes Stan­des­recht wür­de das Daten­schutz­ge­setz erset­zen. Obwohl die Aus­sa­ge der Geset­ze hier klar ist, muss­ten mitt­ler­wei­le Gerich­te bestä­ti­gen, dass sol­ches Recht nicht pau­schal erset­zend wirkt. Die­se Fehl­ein­schät­zung kann gera­de bei Ärz­ten, Steu­er­be­ra­tern oder auch Anwäl­ten schnell zu Kon­flik­ten füh­ren.

Wirk­lich jeden? Es gibt doch bestimmt Aus­nah­men?

Da muss ich Sie ent­täu­schen. § 1 BDSG ist hier ein­deu­tig. Es wer­den kei­ne Unter­schie­de nach Bran­che, Mit­ar­bei­ter­zahl oder Umsatz gemacht. Die­sen Irr­glau­ben trifft man öfter in Gesprä­chen mit Geschäfts­füh­rern, Inha­bern oder auch Behör­den­lei­tern.

Eine Aus­nah­me gibt es jedoch bei der Bestell­pflicht des soge­nann­ten Daten­schutz­be­auf­trag­ten.

Wel­che Auf­ga­ben hat ein sol­cher Daten­schutz­be­auf­trag­ter?

Salopp gesagt, küm­mert sich die­ser um Weiterlesen

Neuer (trauriger) Rekord: 1,2 Milliarden Datensätze gehackt

By | 6. August 2014

Ame­ri­ka­ni­sche und nun auch deut­sche Medi­en berich­ten vom wohl größ­ten Daten­klau in der Geschich­te des Inter­nets. Zumin­dest vom größ­ten bekann­ten Daten­klau kann man wohl getrost aus­ge­hen.

Einer rus­si­schen Hacker­grup­pe soll es gelun­gen sein, über 1,2 Mil­li­ar­den Daten­sät­ze zu hacken. Betrof­fen sei­en Benut­zer­na­men, Pass­wör­ter und auch Email-Adres­sen. Das deut­sche Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik, kurz BSI warnt vor der opti­mis­ti­schen Ein­schät­zung, deut­sche Nut­zer könn­ten even­tu­ell nicht betrof­fen sein. Sobald man wei­te­re Infor­ma­tio­nen aus den USA vor­lie­gen habe, wer­de man sich um Hil­fe­stel­lun­gen für deut­sche Inter­net­nut­zer bemü­hen und die­se ver­öf­fent­li­chen. Ursprüng­lich sei­en wohl sogar mehr als 4 Mil­li­ar­den Daten­sät­ze betrof­fen gewe­sen, doch durch Aus­schluß von Dopp­lun­gen sei es zu einer Reduk­ti­on auf 1,2 Mrd. gekom­men.

Nun heißt es also wie­der mal, breit­flä­chig Pass­wör­ter ändern. Das die­se gewi­ße Sicher­heits­an­for­de­run­gen genü­gen müs­sen, soll­te sich mitt­ler­wei­le rum­ge­spro­chen haben. Auch die Nut­zung von einem Pass­wort für meh­re­re Diens­te ist geeig­net, es Hackern und Die­ben leich­ter zu machen – von daher kei­ne gute Idee. Da man sich die­se nicht alle mer­ken kann, bie­tet sich die Nut­zung eines Pass­wort-Tre­sors wie Kee­pass an. Cloud basier­te Pass­wort­ma­na­ger ohne Ver­schlüs­se­lugn oder gar von ame­ri­ka­ni­schen Anbie­tern soll­ten sich von selbst ver­bie­ten.

Wohl dem, der in sei­nen Online Pro­fi­len nicht alle Kom­fort-Merk­ma­le … Weiterlesen

Offener Email-Verteiler führt zu Bußgeld gegen Unternehmen

By | 5. August 2014

Datenpanne (c) Sascha KuhrauSchon jedem Mal pas­siert

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email ver­teilt wer­den. Mail­pro­gramm geöff­net, Text geschrie­ben, aus dem Adreß­buch schnell die Emp­fän­ger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Emp­fän­gers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Emp­fän­ger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, aku­rat mit Vor-, Nach­na­me und Email-Adres­se. Übli­cher­wei­se macht man den Absen­der freund­lich auf sein Miß­ge­schick auf­merk­sam und läßt es dar­auf beru­hen.

Ihr ist das auch pas­siert

Eine Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Emp­fän­gern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zustän­di­ge baye­ri­sche Lan­des­da­ten­schutz­be­hör­de wei­ter­ge­lei­tet.

Fotolia_37944046_XS_roundedDer ewi­ger Mah­ner

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach auf die daten­schutz­recht­li­che Unzu­läs­sig­keit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email-Adres­se sind per­so­nen­be­zo­ge­ne Daten im Sin­ne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Über­mitt­lung (nichts ande­res stellt eine Email dar) ist daher nur zuläs­sig, wenn der Weiterlesen