Schlagwortarchiv für: DS-GVO

20.000 Euro Bußgeld nach DS-GVO-Verstoß für Knuddels.de

In Sachen Datenschutz gab es erneut ein hohes Bußgeld. Nachdem Nutzerdaten nicht ausreichend geschützt waren, ist Knuddels.de ein fünfstelliges Bußgeld auferlegt worden. Die zuständige Datenschutzaufsichtsbehörde lobte die Chat-Plattform trotzdem.

Das soziale Netzwerk Knuddels.de hat nach eigenen Angaben mehr als zwei Millionen registrierte Mitglieder und muss nun ein Bußgeld in Höhe von 20.000 Euro zahlen, weil es Passwörter von Nutzern unverschlüsselt gespeichert hatte. Damit habe das hinter Knuddels.de stehende Unternehmen gegen die Pflicht verstoßen, die Sicherheit von personenbezogenen Daten zu gewährleisten, teilte der baden-württembergische Datenschutzbeauftragte am Donnerstag mit.

Zugutegehalten wurde dem Unternehmen jedoch, dass es sich nach einem Hackerangriff an die Datenschutzaufsichtsbehörde gewandt habe und die Nutzer sofort und umfangreich über den Angriff informierte. Bei dem Angriff waren nach Angaben von Knuddels.de rund 808.000 E-Mail-Adressen sowie 1.872.000 Pseudonyme und Passwörter erbeutet und im Internet veröffentlicht worden.

Von manchen Nutzern sind so neben dem Chatnamen auch Passwort, Mailadresse sowie Angaben zum tatsächlichen Vornamen oder zum Wohnort öffentlich geworden.

Der baden-württembergische Datenschutzbeauftragte führte jedoch aus, das Unternehmen habe in vorbildlicher Weise mit seiner Behörde zusammengearbeitet und die IT-Sicherheit im Nachhinein erheblich verbessert. Es sei sogar gestärkt aus dem Angriff hervorgegangen, da es dazugelernt habe.

Nach Angaben der Knuddels GmbH & Co. KG selbst, war der Hackerangriff eine echte Belastungsprobe für das Unternehmen. Zudem sei ihm unmittelbar im Anschluss an den Angriff klar gewesen, dass das Vertrauen der Nutzer nur mit einer transparenten Kommunikation und einer sofort spürbaren Verbesserung der IT-Sicherheit zurückgewonnen werden kann.

/von

Portugiesische Datenschutzaufsichtsbehörde verhängt eine Geldbuße von 400.000 Euro gegen ein Krankenhaus

In Sachen Datenschutz gab es nun einen der ersten „Schüsse“ durch eine Aufsichtsbehörde und sogleich einen „Treffer“.

In Portugal ist die erste Geldbuße wegen eines Verstoßes gegen die Datenschutz-Grundverordnung (DS-GVO) verhängt worden. Wie die portugiesische Datenschutzaufsichtsbehörde CNPD (Comissão Nacional de Protecção de Dados) vor kurzem bekannt gab, muss das Krankenhaus Barreiro Montijo eine Geldbuße von 400.000 Euro für Datenschutzverstöße zahlen. Im Wesentlichen wird das Krankenhaus dafür bestraft, dass zu viele Personen Zugriff auf Patientendaten hatten. Gegen die Entscheidung der Behörde wird das Krankenhaus nun jedoch gerichtlich vorgehen.

Das Krankenhaus Barreiro Montijo hatte über sein System mindestens neun Personen, die keine medizinischen Fachkräfte sind, Zugang zu den klinischen Daten der Patienten gewährt. Darüber hinaus stellte die CNPD fest, dass 985 Benutzer mit einer Zugangsrolle für Ärzte registriert waren, während im Krankenhaus nur 296 Ärzte tätig waren. Zudem wurden die Patientendaten im Krankenhaus Barreiro Montijo nicht ordnungsgemäß von den Archivdaten eines anderen Krankenhauses getrennt und die jeweiligen Mechanismen für die Zugriffsauthentifizierung waren vollkommen unzureichend.

Das Bußgeld wurde nach einer Inspektion der Aufsichtsbehörde im Krankenhaus verhängt, nachdem diese von der Ärztekammer auf die Missstände aufmerksam gemacht worden war. Die CNPS vertrat hierbei die Auffassung, dass die Grundsätze der Integrität und Vertraulichkeit, der Datenminimierung betreffend die Beschränkung des Zugangs zu klinischen Daten der Patienten und die Unfähigkeit des für die Verarbeitung Verantwortlichen, die Vertraulichkeit und Integrität der Daten im System (Datensicherheit) zu gewährleisten, verletzt wurden. Die ersten beiden Verstöße wurden mit jeweils 150.000 Euro geahndet, während der Dritte zu einer Erhöhung um 100.000 Euro führte.

Im Weiteren ist nun die etwaige Entscheidung des zuständigen Gerichts in dieser Sache abzuwarten.

/von

Keine Änderung der Benennungspflicht für Datenschutzbeauftragte

Vor kurzem war noch in mehreren Medien von einer Änderung der Benennungspflicht für Datenschutzbeauftragte durch nichtöffentliche Stellen zu lesen. Die Bundesratsausschüsse für Inneres und Wirtschaft hatten in ihrer Empfehlung zum Regierungsentwurf des 2. EU-Datenschutz-Anpassungs- und Umsetzungsgesetzes (2. DSAnpUGEU) zusätzliche Änderungen im Bundesdatenschutzgesetz (BDSG nF) gefordert. Nach den Wünschen der Ausschüsse sollte sich der Bundesrat verstärkt für eine Änderung der Benennungspflicht für den Datenschutzbeauftragten einsetzen.

Beide Ausschüsse forderten den Wegfall der deutschen Sonderregelungen in § 38 BDSG nF. Nach diesen sind in Deutschland Datenschutzbeauftragte durch nichtöffentliche Stellen neben den Regelungen in Art. 37 DS-GVO dann zu benennen, wenn

1. mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
2. eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung besteht oder
3. die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Insgesamt standen mehrere Forderungen der Ausschüsse im Raum: Zunächst wurde eine Benennungspflicht nur für den Fall gefordert, dass personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. Sollte diese Forderung keine Zustimmung im Bundesrat finden, gab es zwei Alternativen. Die erste Alternative sah vor, dass zwar die Personengrenze von 10 bestehen bleibt, aber nur, wenn die Verarbeitung gewerblichen Zwecken dient. Die andere Alternative sah eine Benennungspflicht nicht ab 10 Personen sondern erst ab 50 Personen vor.

In seiner 971. Sitzung am 19. Oktober 2018 hat sich der Bundesrat nun auf eine Stellungnahme zum 2. EU-Datenschutz-Anpassungs- und Umsetzungsgesetz verständigt, die keinerlei Änderungen an § 38 BDSG nF vorsieht. Auch der ursprüngliches Gesetzesentwurf der Bundesregierung lässt keinerlei Änderungen in diesem Punkt erkennen.

/von

PRIVACY CONFERENCE BERLIN 2018

Hochkarätige Rechtsvorträge, lebhafte Diskussionen, über 300 internationale Datenschutzexperten aus Wirtschaft, Wissenschaft und Politik: Die vierte Bitkom-Datenschutzkonferenz am 27. September 2018 in Berlin hat auch den teilnehmenden Experten der ANMATHO wieder einmal bestätigt, dass die DS-GVO auch noch vier Monate nach dem 25. Mai 2018 im Zentrum vieler Debatten steht.

Die Ergebnisse einer aktuellen repräsentativen Umfrage – die Bitkom im Vorfeld der Konferenz vorstellte – ergaben, dass nur ein Viertel (24 Prozent) aller deutschen Unternehmen die DS-GVO bereits vollständig umgesetzt haben, 5 Prozent haben dagegen gerade erst mit einer Umsetzung begonnen.

Diese Erkenntnisse entsprechen nicht nur den Einschätzungen der Datenschutzexperten der ANMATHO, sondern spiegelten sich auch bei der Privacy Conference 2018 wider: Emily Sharpe von Facebook bestätigte, dass sich die Umsetzung der DS-GVO auch für große Unternehmen als schwierig erwiesen habe. „Um die DS-GVO umzusetzen, haben wir das größte interdisziplinäre Team in der Facebook-Geschichte gegründet”, erklärte sie in einer Podiumsdiskussion zum Thema „E-Privacy & DS-GVO”.

Auch die Deutsche Telekom bietet enorme Ressourcen auf, um die Umsetzung der DS-GVO voranzutreiben: „Wir haben bereits 2016 damit begonnen, das Thema in Angriff zu nehmen und die Einhaltung der DS-GVO in insgesamt drei Phasen umgesetzt”, sagte Dr. Claus D. Ulmer, Datenschutzbeauftragter der Telekom. Auch wenn die Umsetzung der DS-GVO bisher ein Erfolg war, steht er der Datenschutzverordnung skeptisch gegenüber: „Wir haben die DS-GVO sehr stark unterstützt, können aber durchaus mit einer weniger starken Regulierung durch den Datenschutz leben. Wenn wir alle betroffenen Geschäftsmodelle zu sehr mit dem Thema Datenschutz strapazieren, könnten wir langsamer werden, was unsere technische Entwicklung in Europa betrifft.“

Mehrere Redner auf der Datenschutzkonferenz, wie auch die ANMATHO selbst in Diskussionen mit anderen Teilnehmern, wiesen zudem darauf hin, dass gerade kleine Unternehmen mehr als andere mit der DS-GVO zu kämpfen haben. Googles Global Privacy Counsel Peter Fleischer kündigte aus diesem Grund an, dass sein Unternehmen kleinen und mittleren Unternehmen helfen möchte, eine hinreichende Compliance zu erreichen.

Auch der bevorstehende Brexit war ein zentrales Thema bei den Podiumsdiskussionen zur DS-GVO und den unter ihr stattfindenden internationalen Datentransfers. „Die oberste Priorität besteht darin, den kontinuierlichen Fluss internationaler Daten auch nach dem Austritt sicherzustellen”, erklärte Claire Bradshaw vom britischen Ministerium für Medien, Kultur und Sport, „es gibt jedoch hierzu noch keinen konkreten Plan“. Dr. Axel Kessler von Siemens bat hingegen die Politik, Bürokratie abzubauen: „Wir verschwenden zu viel Zeit mit Verträgen. Ich bitte die Politiker dafür pragmatische Lösungen zu finden!”

Selbst das Internet der Dinge nahm bei der Konferenz eine zentrale Position ein, denn mit einer Stärkung des Datenschutzes in diesem Bereich, wird jede einzelne Branche betroffen sein. So wies etwa am Ende der Veranstaltung Gerd Billen vom Bundesministerium für Justiz und Verbraucherschutz darauf hin, dass Datenschutz nicht nur für die IT-Branche wichtig sei. „Mit dem Internet der Dinge werden Milliarden und Milliarden von Produkten verbunden sein, das bedeutet, dass immer mehr Produkte High-Tech-Produkte sein werden. Der Datenschutz betrifft daher jede einzelne Branche.“

Nach einem Tag voller Diskussionen, schlossen die Teilnehmer den Konferenztag mit einem entspannten Treffen bei Bier und Brezeln ab.

Rückblick vom Veranstalter

/von

Grundlage DSMS

Die Datenschutz-Grundverordnung (DSGVO) hält zahlreiche Veränderungen zum bisherigen Datenschutzgesetz. Unternehmen kommen damit, um ein geordnetes System zur Sicherstellung des Datenschutzes nicht herum. Die ANMATHO AG hat hierzu einen Beitrag in der aktuellen Ausgabe der kes geschrieben.

Mehr…

/von

Warum sind IP-Adressen personenbezogene Daten?

Seit dem 25.05.2016 steht fest – IP-Adressen sind, genauso wie der Name, eine Adresse oder das Geburtsdatum, personenbezogene Daten. Aber welchen Personenbezug kann eine IP-Adresse eigentlich haben?

Kleiner Exkurs

Zu Beginn der Digitalisierung hingen nur Personal Computer (PC) im Netz und benötigten zur Kommunikation im Internet eine sogenannte IP-Adresse. Heute sind immer mehr Devices an das Internet angebunden, um uns den Alltag zu erleichtern – die Armbanduhr, das Mobiltelefon, der Kühlschrank, die Lampen in der Wohnung unser Smart TV und vieles mehr. Jedes dieser Geräte benötigt eine IP-Adresse, um Datenpakte im Internet versenden und empfangen zu können. Mit IPv4 ist die Anzahl an verfügbaren IP-Adressen allerdings begrenzt. Eine IPv4-Adresse besteht aus 32 Bit. Insgesamt sind so 4.294.967.296 Adressen darstellbar. Die Weltbevölkerung liegt aktuell bei 7,5 Milliarden Menschen, hiervon besitzen etwa 50% einen Zugang zum Internet. Hierbei ist zu berücksichtigen, dass die meisten Menschen nicht nur ein internetfähiges Gerät, sondern mehrere davon besitzen. Diese Zahlen zeigen, dass IPv4 in Zukunft nicht mehr ausreichen wird, um alle Geräte an das Internet anzubinden. Deshalb wird der Adressraum gerade durch die Umstellung auf IPv6 erweitert. IP-Adressen der Version 6 besitzen 128 Bit, somit bestehen 25616 verschiedene Kombinationsmöglichkeiten. Mit dieser Anzahl an möglichen Adressen können für jeden Quadratmillimeter der Erdoberfläche 665.570.793.348.866.944 IP-Adressen bereitgestellt werden.

IP-Adressen der Version 4 können statisch oder dynamisch sein. Wenn man von statischen IP-Adressen spricht, wird immer genau eine Adresse einem Gerät zugeordnet, welche es für immer behält. Dynamische IP-Adressen werden bei jedem Login geändert. Bei IPv6-Adressen handelt es sich immer um eine statische Vergabe der Adressen.

Warum sind IP-Adressen personenbezogene Daten?

Kommen wir nach dem kleinen Exkurs zurück zu der Frage, warum IP-Adressen personenbezogene Daten sind. Beispielsweise erhält der Betreiber einer Webseite mit der IP-Adresse des Absenders alle relevanten Informationen, um alle erforderlichen Daten an den Nutzer übertragen zu können und die Webseite entsprechend aufbauen zu können. Hierbei wird die IP-Adresse bei den meisten Webseiten-Betreibern gespeichert. Wenn die Geräte dynamische IP-Adressen verwenden, besteht kaum eine Möglichkeit für den Anbieter Profiling zu betreiben. Ist die verwendete IP-Adresse allerdings statisch, können durchaus Rückschlüsse auf das Surfverhalten getroffen werden.

IP-Adressen sind also personenbezogen, weil durch diese Information Nutzer-Profile erstellt werden können, anhand derer beispielsweise Rückschlüsse auf das Surf- und Kaufverhalten, den Gesundheitszustand oder den Familienstand gezogen werden können. Um die Betroffenen vor Schäden auf Grund von Missbrauch dieser Daten zu schützen, gibt es entsprechende Datenschutzregelungen in der neuen DS-GVO, dem BDSG (neu) sowie in weiteren speziellen Gesetzen. Dieses Fazit wird durch das Urteil des BGH vom 16.05.2017 manifestiert, in dem auch dynamische IP-Adressen zu personenbezogenen Daten erklärt werden (Urt. V. 16.05.2017, Az. VI ZR 135/13).

Quellen:
https://techterms.com/definition/ipv4
https://www.itwissen.info/IPv6-Adresse-IPv6-address.html
https://www.welt.de/print/welt_kompakt/webwelt/article168773209/Milliarden-Menschen-weltweit-ohne-Internet.html
https://www.umrechnung.org/weltbevoelkerung-aktuelle-momentane/weltbevoelkerungs-zaehler.htm
https://praxistipps.chip.de/dynamische-und-statische-ip-adressen-das-sind-die-unterschiede_13536
https://www.lto.de/recht/hintergruende/h/bgh-urteil-vizr13513-dynamische-ip-adressen-personenbezogene-daten-speicherung-internetseiten-bundesrepublik/
/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen