NRW: Hackergruppe „Akira“ legt mehr als 70 Kommunen lahm

Eine Hackergruppe namens „Akira“ hat einen Angriff auf die Südwestfalen-IT durchgeführt. Seit Tagen sind Dienstleistungen von mehr als 70 Kommunen in NRW lahm gelegt. Es sind nur begrenzte Arbeitsmöglichkeiten vorhanden. Die Gruppe fordert, laut WDR, ein hohes Lösegeld um die verschlüsselten Daten wieder freizugeben. Allerdings sind die Kommunen nicht bereit dieses zu zahlen und versuchen stattdessen eine Lösung zu entwickeln und die Server zu reparieren.

Durch diesen Hackerangriff, blieb nichts anderes übrig, als sämtliche Systeme sofort abzuschalten. Viele Kommunen können Anfragen nur noch mit Block und Stift bearbeiten. Die Internetseiten der Verwaltungen sind nicht mehr zu erreichen.

Akira greift stets Ziele an, deren Serversysteme ohne eine Zwei-Faktor-Authentifizierung funktionieren. Diese Schwachstelle wird dazu verwendet, die gespeicherten Daten zu verschlüsseln. Die seit März aktive Gruppe ist, laut den Ermittlern, die viertgefährlichste Hackergruppe der Welt.

Eine schnelle Rückkehr zur Normalität ist eher unwahrscheinlich. Es besteht jedoch die Hoffnung, dass einige Dienste wieder teilweise verfügbar sein werden.

Weitere Informationen finden Sie hier:
https://www.tagesschau.de/inland/regional/nordrheinwestfalen/wdr-hackergruppe-akira-steckt-hinter-angriff-auf-suedwestfalen-it-100.html

Risiken bei der Verwendung von KI-Modellen und Lösungsansätze

Zahlreiche Aufgaben in der heutigen Organisation, wie etwa die Suche nach Informationen, lassen sich mithilfe von eigenen KI-Systemen gut oder sehr gut lösen . Bei zahlreichen Anbietern, wie etwa ChatGPT, bestehen jedoch durchaus Risiken in gleich mehreren Rechtsgebieten. Diese können von Datenschutz, über das Geschäftsgeheimnisgesetz, bis hin zum Urheberrecht und bei einigen Berufsfeldern ( z. B. Arzt, Apotheken und Anwälten) sogar bis hin zum Strafrecht reichen .

Rechtliche und organisatorische Risiken

Organisationen sehen sich hier einem Risiko ausgesetzt, wenn sie Daten in ein KI-System eingeben, das Dritte betreiben und somit nicht die volle Kontrolle über die eigenen Daten bietet.

Wie jedem mittlerweile klar sein sollte, werden die über ChatGPT verarbeiteten Daten von Microsoft für eigenen Zwecke genutzt und abgespeichert. Dies kann über den Gebrauch der gewonnenen Daten für das Training der KI, bis hin zur Auswertung der Daten für Werbezwecke reichen.

Zurzeit ist zwar je nach Umständen ein rechtssicherer Datentransfer an Server oder Unternehmen mit USA-Bezug wieder einfacher und rechtssicherer möglich.

Das neue Datenschutzabkommen zwischen Europa und den USA wird jedoch zukünftig mit an Sicherheit grenzender Wahrscheinlichkeit angegriffen werden.

Allein dieser Punkt sollte für viele Organisationen ausreichen, um zu überlegen, ob eine dauerhafte geplante Einbindung von z. B. ChatGPT nicht für eigene Daten zielführend ist und das Risiko rechtfertigt.

Vor allem da Daten eines Unternehmens auch ohne Personenbezug aus dem oben genannten Gründen auch schützenswert sein können.

Für personenbezogene Daten sind weiterhin bekanntlich die Vorgaben der Datenschutz-Grundverordnung (DSGVO) zwingend einzuhalten.

Die Verarbeitung personenbezogener Daten ist daher nur aufgrund einer Rechtsgrundlage zulässig und geht mit verschiedenen Verpflichtungen einher.

Aus den eben genannten Gründen sind sensible Daten auf einem Server in den USA oder in der Obhut eines amerikanischen Anbieters generell nicht als sicher anzusehen. Dies lässt sich aus ähnlichen Gründen auch für andere Staaten, wie China oder Russland annehmen. Somit ist ChatGPT kein besonderer geeigneter Platz für Mitarbeiterdaten, Vertragsdokumente, Software-Quelltexte , Patentschriften und dergleichen.

Sollte ein Verzicht auf KI-Modelle jedoch nicht in Betracht kommen, gibt es hier mehrere Lösungsansätze.

Eine Möglichkeit wäre es eine entsprechende Richtlinie in der Organisation zur Nutzung von KI-Modellen zu erlassen.

Darin sollten zumindest folgende Punkte für die Mitarbeiter verständlich abgehandelt werden:

  1. Zweck und Verantwortlichkeiten
  2. Zulässiger Anwendungsbereich
  3. Vertraulichkeit und Datenschutz
    1. Personenbezogene Daten gem. Art 4 Nr.1 DSGVO
    2. Umgang mit Geschäftsgeheimnissen
  4. Der Gesetzlichen Auskunftsanspruch
  5. Verantwortungsbewusste Entscheidungsfindung
  6. Feedback und Verbesserung
  7. Sicherheit
  8. Schulung und Bewusstsein
  9. 8.Umgang mit dem Account
  10. Datenschutzverletzungen

Eine andere Lösung dieses Problems wäre die Einführung eines autarken KI-Systems, die ein Unternehmen selbst betreibt .

Autarke KI-Systeme sind eigenständige Anwendungen, die auf einer eigenen (oder gemieteten) Hardware laufen. Diese Anwendungen lassen sich auch ohne eine Internetverbindung betreiben.

Daraus wird bereits der Vorteil ersichtlich. Der Datenfluss verbleit vollständig kontrollierbar und in der Hand der Organisation ohne einem Dritten einen Einblick gewähren zu müssen.

Die Pflichten aus der DSGVO, wie etwa die Informationspflicht Art 13 DSGVO oder nachkommen eventueller Betroffenenrechte nach Art 15 ff DSGVO, dürften damit für die verantwortliche Organisation leichter nachkommen zu sein, als bei einer Inanspruchnahme einer extern betriebenen KI.

Hierzu gibt es bereits einige erschwingliche Grundlagenmodelle verschiedener Anbieter.

Diese müssten natürlich dann noch entsprechend „trainiert“ und auf die Bedürfnisse der Organisation angepasst werden.

Whistleblower Richtlinie und HinSchG- was ist das? Und brauche ich das?

Seit Juli diesen Jahres ist das deutsche Hinweisgeberschutzgesetz in Kraft getreten. Es handelt sich dabei um die landeseigene Umsetzung der europäischen Whistleblower-Richtlinie, welche bereits im Dezember 2021 verabschiedet wurde.

Der Gesetzgeber hat damit nun für Unternehmen verbindliche Vorgaben geschaffen mit dem Ziel, hinweisgebende Personen, welche im Rahmen ihrer beruflichen Tätigkeit Informationen über Verstöße erlangt haben, vor jeglichen Repressalien wegen der Meldung an interne oder externe Meldestellen zu schützen.

Seit dem 02. Juli 2023 gilt das Gesetz bereits verbindlich für Unternehmen ab 250 Mitarbeitenden. Ab dem 17. Dezember 2023 fallen auch Unternehmen mit 50 Beschäftigten darunter und sind nun dazu verpflichtet, den Schutz zu gewährleisten und sichere Meldekanäle einzuführen. Damit läuft die Übergangsfrist zu diesem Stichtag ab.

Stellen Sie demnach sicher, ob Sie der Umsetzungspflicht bereits nachgekommen sind, oder ob dies bis zum Stichtag noch nachgeholt werden muss. Aufgrund unserer Erfahrung beim Einrichten, Betreiben und der Abwicklung eines Hinweisgebersystems, können Sie sich bei Fragen gerne an uns wenden.

In den Anwendungsbereich des Gesetzes fallen das EU-Recht und das nationale Recht, soweit es sich dabei um Straftaten und Vergehen sowie (bußgeldbewehrte) Ordnungswidrigkeiten handelt.

Meldende Personen können Arbeitnehmer, Beamte, Selbstständige, Gesellschafter, Praktikanten, Freiwillige, Mitarbeitende von Lieferanten sowie Personen sein, deren Arbeitsverhältnis bereits beendet ist oder noch nicht begonnen hat und sich in einem vorvertraglichen Stadium befindet.

Arbeitgeber sind dabei – trotz Wahlrecht der hinweisgebenden Person – angehalten, eine interne Meldestelle einzurichten. Das Gesetz sieht vor, dass Meldestellen innerhalb der Organisation vorrangig genutzt werden sollen. Dabei müssen die Kanäle auch in einem Umfang kommuniziert werden, der eine Kenntnisnahme der hinweisgebenden Personengruppen ermöglicht.

Klage gegen LinkedIn weitgehend stattgegeben

Der Klage des Verbraucherzentrale Bundesverband (vzbv) gegen LinkedIn wurde vom Landgericht Berlin größtenteils zugestimmt (Urteil vom 24.08.2023, Aktenzeichen: 16 O 420/19 – nicht rechtskräftig).

Durch die Einstellung „Do not Track“ in Ihrem Browser, können Sie verhindern, dass Ihr Suchverhalten verfolgt wird („Tracking“). LinkedIn hat auf seiner Webseite klar erklärt, dass es nicht auf DNT-Signale reagiert. Dies ist jedoch problematisch, denn es können somit auch gegen den Willen der Nutzer:innen personenbezogene Daten verarbeitet werden. Laut dem vzbv müssen Webseitenbetreiber dieses Signal respektieren. Somit darf LinkedIn die Nichtreaktion nicht mehr mitteilen.

LinkedIn darf außerdem die Funktion „Sichtbarkeit des Profils“ bei der erstmaligen Anmeldung nicht mehr aktivieren. Durch diese Standardeinstellung  konnte ein persönliches Profil ohne Einwilligung außerhalb von LinkedIn, z.B. in Suchmaschinen, eingesehen werden.

Bereits im vergangenen Jahr wurde einem Teil der Klage stattgegeben. Hier wurde LinkedIn der unerwünschte Versand von E-Mail-Einladungen an Nicht-Mitglieder untersagt, die der Nutzung ihrer E-Mail-Adresse nicht zugestimmt haben.

Weitere Informationen finden Sie hier:
https://www.vzbv.de/urteile/gericht-untersagt-datenschutzverstoesse-von-linkedin

Frankreich: Datenweitergabe durch Android-Apps ohne Erlaubnis

Bei der französischen Datenschutzbehörde (CNIL) gingen Beschwerden gegen drei Android-Apps ein.

Eine Beschwerde gegen die Immobilien-App SeLoger, welche in Frankreich sehr beliebt ist. Eine weitere Beschwerde gegen eine App der französischen Elektronik-Handelskette Fnac. Die letzte Beschwerde bezieht sich auf die Fitness-App MyFitnessPal, welche auch in Deutschland sehr verbreitet ist. Die Beschwerden wurden durch die Datenschutzorganisation NOYB eingereicht, nachdem sie Datenschutzverstöße bei allen drei Apps feststellten.

Laut NOYB sammeln alle drei Apps unmittelbar nach dem Öffnen personenbezogene Daten. Bloß eine App hat bei der Nutzung darauf hingewiesen. Allerdings erfolgt hier bereits die Datensammlung vor dem Hinweis. Bei den Daten handelt es sich um die lokale IP-Adresse, die Google-Werbe-ID und das Gerätemodell. Möglichweise werden die Daten unrechtmäßig gespeichert und an Dritte weitergegeben. Es besteht bei keiner der drei Apps die Möglichkeit, vor Beginn der Datensammlung, dieser zu widersprechen.

Es wird gefordert, dass alle gespeicherten Daten unwiderruflich gelöscht werden. Darüber hinaus schlägt NOBY vor, dass die Behörde aufgrund der zahlreichen betroffenen Personen eine Geldstrafe für die Betreiber verhängen sollte.

Es scheint, dass die drei Apps keine Ausnahmen sind. Laut einer Studie von Konrad Kolling und Reuben Binns der University of Oxford, ermöglichen  nur 3,5 Prozent der Android-Apps Nutzenden die Ablehnung des Datentransfers an Dritte. NOBY hat daher angekündigt weitere Untersuchungen durchzuführen.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2023/android-apps-noyb-geht-gegen-datenweitergabe-vor/

Händler erhält Bußgeldstrafe wegen ignoriertem Auskunftsverlangen

Einem Online-Shop-Händler wurden 500 Euro Bußgeld verhängt, da dieser einem Auskunftsverlangen nicht nachkam. Ein ehemaliger Kunde des Online-Shops wollte sein Recht geltend machen, eine Kopie aller Informationen zu erhalten, die das Unternehmen über ihn verarbeitet. Außerdem forderte er eine Kopie der Informationen über andere Unternehmen, an die der Shop diese Daten weitergegeben hat. Das Unternehmen kam der Aufforderung nicht nach und musste den Schadensersatz in Höhe von 500 Euro an den Betroffenen zahlen.

Das Unternehmen rechtfertigte sich mit der Begründung, dass eine Authentifizierung des Betroffenen nicht vorlag. Das Gericht ließ sich davon jedoch nicht überzeugen. Es ist nämlich nur möglich, einen Auskunftsanspruch zu verschieben, solange nicht feststeht, wer der Antragssteller ist. In diesem Fall war es aber möglich, die Anfrage des Kunden zuzuordnen. Das Unternehmen hätte somit die gewünschten Informationen bereitstellen müssen.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/aktuelle-urteile/139023-500-euro-dsgvo-auskunft

GROUPE CANAL+ erhält 600.000 Euro Bußgeld durch französische Datenschutzbehörde

Die französische Datenschutzbehörde (CNIL) hatte mehrere Beschwerden gegen das Unternehmen GROUPE CANAL+, welches Bezahlfernsehen anbietet, erhalten. Nach einer Untersuchung wurde dem Unternehmen ein Bußgeld in Höhe von 600.000 Euro verhängt.

Folgende Faktoren führten zu dem hohen Bußgeldbetrag:

Die CNIL stellte fest, dass GROUPE CANAL+ digitale Werbung versendet ohne eine gültige Einwilligung der Empfänger zu haben. Des Weiteren wurden die Kunden bei der Erstellung eines MyCanal-Kontos nicht vollständig über den Datenschutz informiert. Ein externes Unternehmen, welches die Telefonakquise durchführte, hatte ebenfalls dieses Problem.

Auf Beschwerden und Auskunftsanfragen zur Einwilligung reagierte GROUPE CANAL+ verspätet oder gar nicht.

Zudem hat der Vertrag zur Auftragsverarbeitung mit einem weiteren externen Unternehmen, nicht alle erforderlichen Datenschutzinformationen.

Weitere Kritikpunkte waren, dass eine Verletzung des Datenschutzes nicht der Behörde gemeldet wurde und unzureichende Sicherheit der Passwörter unter den Angestellten festgestellt wurde.

Weitere Informationen finden Sie hier:
https://www.cnil.fr/fr/prospection-commerciale-et-droits-des-personnes-sanction-de-600-000-euros-lencontre-du-groupe-canal
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000048222771

Facebook Pixel: Meta muss sich Klage wegen Gesundheitsdatensammlung stellen

Meta muss sich einer Sammelklage aufgrund der von Facebook Pixel gesammelten Gesundheitsdaten stellen. Einen Klageabweisungsantrag von Seiten Metas wurde bereits von einem US-Richter abgelehnt.
Die Klage wirft vor, dass Facebook Pixel zahlreiche Gesundheitsdaten von Patienten auf den Patientenportalen von Gesundheitsdienstleistern gesammelt hat. Dies würde unabhängig von geltenden Datenschutzgesetzen auch gegen die Datenschutzrichtlinien von Meta selbst verstoßen.

 

Weitere Informationen finden Sie hier:
https://www.heise.de/news/Facebook-Pixel-US-Sammelklage-wegen-Gesundheitsdaten-kommt-voran-9301187.html

Achtung bei der Datenweitergabe an die Schufa!

Ein kürzlich gefälltes Urteil des Landgerichts München hat erneut den Fall der Datenweitergabe an die Schufa behandelt.

Ein großer internationaler Mobilfunkanbieter wurde verurteilt, weil dieser Kundendaten ohne deren Zustimmung an die Schufa weitergegeben hat. Diese Entscheidung könnte nun zu weiteren Entscheidungen der gleichen Art führen, eine mögliche Klagewelle ist nicht ausgeschlossen.

Denn es haben sich bereits zwei Kanzleien starkgemacht, für die Verbraucher:innen Schadensersatzklagen erheben zu wollen. Mehr als 100.000 Betroffene sollen sich bereits gemeldet haben, wie es heißt.

Bisherige Entscheidungen aus anderen vergleichbaren Fällen haben Schadensersatz in Höhe bis zu 5.000 € zugesprochen.

Entgegen der gerichtlichen Entscheidung und der Rechtsprechung hält der Mobilfunk Branchenverband die Datenübermittlung an die Schufa für zulässig. Begründet wird dies mit einer möglichen Betrugsprävention. Verbraucherverbände kritisieren die Weitergabe schon länger. Die Daten würden zulasten der Kunden gewertet und das Vorgehen sei intransparent. Diese Ansicht teilt insbesondere die Verbraucherzentrale Bundesverband.

Das die Schufa datenschutzrechtlich mit Vorsicht zu genießen ist, ist nicht unbekannt. Seit 2021 ist gegen diese beim EuGH ein Verfahren anhängig. In diesem Verfahren geht es um die Frage, ob der festgestellte Schufa Score über das Zustandekommen eines Vertrages entscheiden darf oder nicht.

Die weitere Entwicklung bleibt also nun abzuwarten.

Bundesdatenschutzgesetz soll geändert werden

Das Bundesministerium des Inneren und für Heimat hat einen Vorschlag geliefert, aufgrund dessen das deutsche Bundesdatenschutzgesetz geändert werden könnte. Das Bundesministerium reagiert dabei auf die Evaluierung der aktuellen Rechtslage und ist bestrebt, Vereinbarungen aus dem Koalitionsvertrag umzusetzen.

Die DSK (Datenschutzkonferenz) soll dabei eine gesetzliche Grundlage finden – das ohne zusätzliches Personal oder gesonderte Finanzierung. Eine rechtliche Verbindlichkeit der Beschlüsse der DSK kann dabei nicht festgehalten werden, ohne eine Grundgesetzänderung (aufgrund des Verbots der Mischverwaltung) vornehmen zu müssen.

Darüber hinaus wird es nach der Gesetzesänderung eine Einschränkung des Auskunftsanspruches geben. Betriebe sind jetzt nicht länger in der Pflicht, einem Betroffenen gegenüber zu sagen, ob personenbezogene Daten verarbeitet wurden, wenn dadurch Betriebs- oder Firmengeheimnisse offengelegt würden.
Es bestehen Sorgen, dass auf dieser Basis vor allem große Digitalunternehmen zukünftig regelmäßig Auskünfte auf dieser Basis verweigern werden.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/gesetze/138783-bundesdatenschutzgesetz-soll-geaendert-werden?utm_source=newsletter&utm_medium=email&utm_campaign=ohn