Sicherheitslücke bei Twitter

Der Kurznachrichtendienst warnt seine über 330 Millionen Nutzer vor einer Sicherheitslücke. Die Nutzer werden dazu aufgerufen ihre Passwörter umgehend zu ändern. Ein Fehler in der Software hat dazu geführt, dass Passwörter unverschlüsselt in ein internes Verzeichnis gespeichert wurden. Einen konkreten Hinweis auf Missbrauch der Daten gebe es zur Zeit nicht, daher gilt der Aufruf an die Nutzer als Vorsichtsmaßnahme. Laut des Onlinekurzmitteilungsdienst ist der interne Fehler bereits behoben worden. 

Mehr zum Thema finden Sie hier: https://www.zeit.de/digital/datenschutz/2018-05/sicherheitsluecke-twitter-nutzer-passwoerter-datenschutz

Unternehmen kämpfen gegen Cyberattacken

Laut einer aktuellen Sicherheitsberichtes aus den USA sind 67 Prozent der deutschen Unternehmen innerhalb der letzten 24 Monate bereits Opfer eines „erfolgreichen“ Cyberangriffes geworden. 82 Prozent der Firmen, die an der Befragung teilgenommen haben, setzen zum Schutz ihrer IT-Infrastruktur verstärkt auf Firewalls, um sich vor Industriespionage, Erpressung oder Sabotage zu schützen. Doch nur 40 Prozent der Unternehmen setzen spezielle Abwehrlösungen gegen Distributed-Denial-of-Service-Attacken (DDoS) ein. Diese Art der Angriffe erfolgte insgesamt 142.800 mal auf deutsche Unternehmen. Hinzu kommt, dass durch den Zusammenschluss mehrerer Geräte zu sogenannten Bot-Netzen Kriminelle ihre Angriffskraft noch verstärken können. Die Kosten, die die Angriffe verursachen, belaufen sich nach Studienteilnehmer-Angaben auf 400 bis 800 Euro pro Minute der Ausfallzeit.

Mehr zum Thema finden Sie hier:
https://www.it-business.de/jedes-dritte-unternehmen-kaempft-mit-erpressungs-trojanern-a-735214/

Schwere Datenpanne beim Web-Hoster Domainfactory

Der Webhoster Domainfactory musste eine schwere Datenpanne melden. Dabei sind nicht nur brisante und umfangreiche Kundendaten wie Name, Firmenname, Anschrift, Telefonnummer, Telefon-Passwort, Geburtsdatum, Bankname und Kontonummer (z.B. IBAN oder BIC) sowie Schufa-Score verloren gegangen, der Angreifer konnte sich ebenso Zugriff auf mehrere Systeme im Firmennetz verschaffen. Mit diesen Daten ist es ein leichtes Spiel für jeden Angreifer die Identität der Betroffenen zu missbrauchen. Die Preisgabe der Kundendaten erfolgte offensichtlich über einen fehlerhaften XML-Feed, der eigentlich nur Fehleingaben der Kunden sammeln sollte.  Ausgerechnet in der Zustimmung zur neuen DSGVO war der schwerwiegende Fehler auszumachen. Wie viele Daten tatsächlich gestohlen werden konnten, steht bis heute nicht sicher fest.

Kunden von Domainfactory sind aufgefordert, umgehend ihre Passwörter für alle Domainfactory-Konten zu ändern.

Mehr zum Thema finden Sie hier:
https://www.heise.de/newsticker/meldung/Wegen-DSGVO-Panne-Domainfactory-Kundendaten-waren-als-XML-Feed-offen-im-Netz-4107074.html

Daten von mehr als 124.000 Hotelgästen gestohlen

Wieder konnten Hacker ungehindert Daten stehlen. Diesmal traf es einen französischen Hersteller, der weltweit Buchungssoftware für Hotelketten bereitstellt. Offenbar konnten die Täter über eine Schwachstelle in einer auf dem Server gehosteten Anwendung einen Remote-Access-Trojaner (RAT) einschleusen. Dieser konnte Informationen über Hotelgäste mit Namen, E-Mail-Adressen sowie Angaben zur Nationalität und möglicherweise die Postanschrift entwenden. In einem zweiten Angriff haben die Diebe Kreditkartennummern gestohlen, die diese durch Kombination mit den weiteren erbeuteten Daten zuordnen könnten. 

Mehr zum Thema finden Sie hier:
https://www.heise.de/security/meldung/Datenleck-bei-FastBooking-Hacker-klauen-Daten-von-ueber-124-000-Hotelgaesten-4093080.html

EuGH-Urteil: Fanpages auf Facebook

Nach einem Urteil des Europäischen Gerichtshofes sind Betreiber einer Fanpage auf Facebook mitverantwortlich bei Datenschutzverstößen. Dies brachte unter den Betreibern eine große Verunsicherung mit sich, den tatsächlich haben sie keinen Einfluss auf die Datenschutzbestimmungen von Facebook. Vielen blieb nur, die Seiten abzuschalten, um nicht eine Abmahnung zu riskieren.

Seit September gibt es nun eine Erweiterung der Datenschutzbestimmungen um die „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“. Hierin wird die gemeinsame Verantwortung des Fanpage-Betreibers zusammen mit Facebook Ireland proklamiert, wie es bereits durch den EuGH festgestellt wurde.

Die Seiten Insights ist ein durch Facebook bereitgestelltes Tool, um statistische Auswertungen zu erhalten. Für die Seitenbetreiber sind diese Auswertungen zwar anonym, beruhen allerdings auf personenbezogenen Daten, die durch Facebook erhoben werden. Durch den Nutzen, den die Seitenbetreiber durch dieses Tool erlangen, wird abgeleitet, dass auch der Seitenbetreiber die Zwecke der Datenverarbeitung mitfestlegt und damit als gemeinsam Verantwortlicher neben Facebook auftritt. Die Datenverarbeitung ist durch die Seitenbetreiber nicht beeinflussbar und auch nichtabschaltbar.

Folgerichtig hat Facebook in seiner Ergänzung festgestellt, dass Facebook Ireland die primäre Verantwortung gemäß der DSGVO übernimmt und sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten erfüllt. Dem Seitenbetreiber obliegt es nach den Ergänzungen allerdings, die entsprechende Rechtsgrundlage bereit zu halten, dies und den Verantwortlichen zu nennen und jedwede sonstigen rechtlichen Pflichten zu erfüllen.

Die Verunsicherung konnte damit zwar nicht gänzlich ausgeräumt werden, da weiterhin einige Fragen offen geblieben sind. Sofern man allerdings die neuen Vorgaben beachtet, kann die Fanseite problemlos weiterbetrieben werden.

Stolperfalle Kontaktformulare – das muss unbedingt beachtet werden

Wie sieht die Rechtslage aus?

Kontaktformulare werden beinahe auf jeder Webseite eingesetzt, um dem Besucher eine möglichst unkomplizierte Form der Kontaktaufnahme zu ermöglichen. Über das Kontaktfomular werden Daten verarbeitet und übermittelt. Der Webseiten-Betreiber ist gem. §13 TMG kurz gesagt verpflichtet, den Nutzer des Kontaktformulars darüber zu informieren, dass und wie seinen Daten verarbeitet werden. Immer mehr Gerichte gehen dazu über Datenschutzverstöße auf Webseiten als abmahnfähig zu beurteilen. Den Auftakt für das Kontaktformular gab das OLG Köln Anfang des Jahres. (Urteil vom 11.03.2016 –Az.: 6 U 121/15).
Das BDSG sieht zudem in §3a vor, dass der Grundsatz der Datenvermeidung und -sparsamkeit zu beachten ist, was dazu führt, dass Sie Pflichtfelder kennzeichnen und auf das Notwendigste beschränken sollten.
Hinzu kommt, dass bereits im vergangenen Jahr die bayrische Datenschutzaufsichtsbehörde dazu übergegangen ist, Webseiten-Betreibern Bußgelder aufzuerlegen, die bei der Verwendung von Kontaktformularen keine Verschlüsselung der Daten bereitstellten.

Was ist zu tun?

Was müssen Sie also beachten, wenn Sie auf Ihrer Webseite ein Kontaktformular anbieten?

  1. Informieren Sie die Besucher über die Verwendung der Daten, z.B. durch nachfolgende Mustererklärung.
  2. Minimieren und kennzeichnen Sie Pflichtfelder, z. B. mit dem üblichen Sternchenhinweis.
  3. Verschlüsseln Sie die Datenübertragung, z.B. durch TLS.

Mustertext für das Kontaktformular

Fügen Sie eine Belehrung unterhalb des Kontaktformulars, aber oberhalb des „Absenden-Buttons“ ein. Verwenden Sie gern unter Bezugnahme auf unsere Webseite den nachfolgenden Mustertext wie folgt und prüfen Sie bzw. stellen sicher, dass der Inhalt tatsächlich mit der Datenverarbeitung übereinstimmt:

Wenn Sie die im Kontaktformular eingegebenen Daten durch Klick auf den nachfolgenden Button übersenden, erklären Sie sich damit einverstanden, dass wir Ihre Angaben für die Beantwortung Ihrer Anfrage bzw. Kontaktaufnahme verwenden. Eine Weitergabe an Dritte findet grundsätzlich nicht statt, es sei denn geltende Datenschutzvorschriften rechtfertigen eine Übertragung oder wir dazu gesetzlich verpflichtet sind. Sie können Ihre erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Im Falle des Widerrufs werden Ihre Daten umgehend gelöscht. Ihre Daten werden ansonsten gelöscht, wenn wir Ihre Anfrage bearbeitet haben oder der Zweck der Speicherung entfallen ist. Sie können sich jederzeit über die zu Ihrer Person gespeicherten Daten informieren. Weitere Informationen zum Datenschutz finden Sie auch in der Datenschutzerklärung dieser Webseite.

Sicherheitsforscher finden 1,5 Milliarden sensible Daten

Forscher des IT-Sicherheitsanbieters Digital Shadows haben eigenen Angaben zufolge weltweit rund 1,5 Milliarden Datensätze in falsch konfigurierten und daher frei zugänglichen Online-Speichern gefunden. Darunter befinden sich sensible Informationen wie medizinische Daten, Gehaltsabrechnungen oder Patente. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hält das Vorgehen der Forscher und die Funde für plausibel. Deutschland belegt innerhalb Europas dabei leider den ersten Platz. Hier fanden die Forscher über 122 Millionen Dateien, die für jeden frei zugänglich waren oder noch sind.

Mehr zum Thema finden Sie hier:
https://www.computerbase.de/2018-04/datensicherheit-milliarden-dateien-schutz/

Ziele und Neuerungen der Datenschutz-Grundverordnung

Die Verordnung (EU) 2016/679 (EU-Datenschutz-Grundverordnung) löst die Europäische Datenschutzrichtlinie aus dem Jahr 1995 (RL 95/46/EG) mit dem Ziel der Harmonisierung und Modernisierung des europäischen Datenschutzrechts ab. Sie fördert den Schutz der Betroffenen bei der Verarbeitung personenbezogener Daten und den freien Verkehr solcher Daten (Artikel 1 Absatz 1 Datenschutz-Grundverordnung).

Die bis zum 25. Mai 2018 geltende Datenschutzrichtlinie hatten die Mitgliedstaaten sehr unterschiedlich umgesetzt. Ein Flickenteppich mitgliedstaatlicher Regelungen hinderte den grenzüberschreitenden Datenverkehr in der Europäischen Union. Die Datenschutz-Grundverordnung schafft einen einheitlichen und unmittelbar geltenden Rechtsrahmen, der den freien Verkehr personenbezogener Daten in der Europäischen Union gewährleistet. Dies ist eine wichtige Voraussetzung für die Vollendung des digitalen Binnenmarkts und für gleiche Wettbewerbsbedingungen in der Europäischen Union. Zu einer einheitlichen Rechtsanwendung trägt der Europäische Datenschutzausschuss, der Zusammenschluss der Aufsichtsbehörden aller Mitgliedstaaten auf der Ebene der Europäischen Union, bei. Dieser entscheidet künftig verbindlich über zentrale Fragen der Datenschutz-Grundverordnung. Mit der federführenden Aufsichtsbehörde am Ort der Hauptniederlassung steht Unternehmen mit grenzüberschreitenden Datenverarbeitungstätigkeiten künftig ein zentraler Ansprechpartner zur Verfügung (sog. One Stop Shop-Prinzip).

Gleichzeitig wird das europäische Datenschutzrecht modernisiert und das Grundrecht auf Schutz der personenbezogenen Daten aus Artikel 8 der Europäischen Grundrechtecharta gestärkt. Die Betroffenen erhalten mehr Kontrolle und Transparenz bei der Datenverarbeitung, auch und gerade im digitalen Zeitalter. Durch die Datenschutz-Grundverordnung werden die Anforderungen an eine rechtswirksame Einwilligung der betroffenen Personen erhöht und deren Rechte, insbesondere auf Information und Auskunft, erweitert. Die Datenschutzbehörden erhalten weit reichende Abhilfebefugnisse; bei Verstößen gegen die Datenschutz-Grundverordnung können sie Geldbußen bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängen. Auch Unternehmen außerhalb der Europäischen Union unterliegen der Datenschutz-Grundverordnung, wenn sie Waren oder Dienstleistungen in der Europäischen Union anbieten oder das Verhalten von Personen in der Europäischen Union beobachten (sog. Marktortprinzip).

Eine ausführliche Übersicht zum Thema finden Sie hier:
https://www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2018/04/faqs-datenschutz-grundverordnung.html

Quelle: Bundesministerium des Innern, für Bau und Heimat

Ein kleiner Fehler mit großer Wirkung

Abmahnungen bringen Online-Shops in große Schwierigkeiten und Rechtsanwälte sowie Abmahnvereine machen ein gutes Geschäft. Es genügt bei einer gewöhnlichen Beschreibung ein falsches Wort einzufügen – schon könnte ein Abmahnung drohen. Im Auftrag von vermeintlichen Mitbewerbern suchen Rechtsanwälte oder Abmahnvereine nach kleinen Formfehlern, um Händler mit Abmahnungen zu überziehen um dadurch ordentlich kassieren zu können. Dies bringt insbesondere kleinere Händler in Existenznöte. Denn so eine Abmahnung kann schnell zwischen 500 bis 1000 Euro kosten. Die Masche ist zwar nicht neu, doch stiegen die Abmahnungen im Jahr 2017 auf immerhin 28 Prozent. Im Jahr 2015 lag die Zahl noch bei 20 Prozent.

Einen ausführlichen Beitrag finden Sie hier:
http://www.sueddeutsche.de/wirtschaft/online-handel-systematische-abmahnungen-bringen-internet-shops-in-existenznoete-1.3929492

Kontrolle von privaten E-Mails am Arbeitsplatz

Wer als Arbeitnehmer die Erlaubnis erhalten hat, am Arbeitsplatz private E-Mail zu empfangen, kann nicht damit rechnen, dass das Telekommunikationsgesetz vom Arbeitgeber eingehalten werden muss. Das Arbeitsgericht Weiden entschied, dass bei arbeitsvertragswidrigem Verhalten der Arbeitgeber zur Kontrolle privater E-Mails berechtigt ist, wenn ein konkreter Verdachtsmoment zu Grunde liegt.

Hierzu ein Auszug zum § 32 Abs. 1 BDSG „… wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“

(Arbeitsgericht Weiden, Aktenzeichen 3 Ga6/17)