Newsletter März 2024
Thema: Leitlinien zur Europa-Wahl
Die EU-Kommission hat Leitlinien zu Maßnahmen für sehr große Online-Plattformen und Suchmaschinen (Tiktok, Youtube oder Instagram, ...) veröffentlicht, um systemische Risiken im Internet, die sich auf die Integrität der Wahlen auswirken könnten, zu mindern, sowie spezifische Leitlinien für die bevorstehenden Wahlen zum Europäischen Parlament im Juni.
- Durchführung wahlspezifischer Risikominderungsmaßnahmen, die auf den jeweiligen Wahlzeitraum und den lokalen Kontext zugeschnitten sind
- Förderung offizieller Informationen über Wahlprozesse
- Politische Werbung soll im Vorgriff auf die neue Verordnung über die Transparenz und das Targeting politischer Werbung eindeutig als solche gekennzeichnet werden.
- Einführung spezifischer Risikominderungsmaßnahmen im Zusammenhang mit generativer KI z. B. durch eine klare Kennzeichnung von durch KI generierten Inhalten (wie Deepfakes),
- Zusammenarbeit mit EU- und nationalen Behörden, unabhängigen Sachverständigen und Organisationen der Zivilgesellschaft
- unter anderem in den Bereichen Manipulation und Einflussnahme aus dem Ausland (FIMI), Desinformation und Cybersicherheit.
- unter anderem in den Bereichen Manipulation und Einflussnahme aus dem Ausland (FIMI), Desinformation und Cybersicherheit.
- Verstärkung der internen Prozesse
- Die Betreiber der Suchmaschinen sollen mehr Leute einstellen, die die schon vorhandene Überwachung durchsetzen. Z.B. Fakten-Überprüfer
Wir waren überrascht, welcher Aufwand getrieben wird, um die korrekte Durchführung der Wahlen sicherzustellen. Nicht, dass die Stimmzettel richtig gezählt werden, sondern, dass die Wähler sich im Vorfeld frei informieren können.
Die Befürchtungen vor Manipulationen sind demnach sehr groß.
Autor: UBI
Quellen:
Europäisches Parlament, Minderung systemischer Risiken bei Wahlen, abgerufen am 31.03.24
https://ec.europa.eu/commission/presscorner/detail/de/ip_24_1707
Europäisches Parlament, abgerufen am 31.03.24
https://digital-strategy.ec.europa.eu/en/library/guidelines-providers-vlops-and-vloses-mitigation-systemic-risks-electoral-processes
Thema: Datenschutzpannen
Urban Sports Club
Urban Sports Club vermittelt seinen Mitgliedern in Deutschland und fünf weiteren europäischen Ländern Sportangebote bei Partnerfirmen (klassisches Fitnessstudio, Wellnessangebote bis zu Trendsportarten wie Trampolinspringen oder Bouldern)
Was ist passiert?
Falls man sich dort anmeldet, muss man natürlich persönliche Daten angeben: (Name, Rechnungsadresse, E-Mail, Kopie des Personalausweises …). Diese Daten werden in Dateien gespeichert und wie sich jetzt herausgestellt hat, in einer Cloud abgelegt, die leider öffentlich zugänglich war. Betroffen sind ca. 50.000 Mitglieder.
Wie geht die Firma damit um?
Die Firma hat nach Anfrage von Heise Security, die auch die Aufsichtsbehörde informiert hat, das Leck geschlossen.
Urban Sports meldet (28.03.24), dass alle Mitglieder und die Aufsichtsbehörde informiert wurden.
App Stay Informed
Viele Kitas, Horte, Schulen und Pflegeeinrichtungen im deutschsprachigen Raum nutzen die App "Stay Informed" um mit Eltern oder Angehörigen zu kommunizieren. Über die App stellen die Einrichtungen zum Beispiel Infos und Termine bereit. Eltern können ihre Kinder krankmelden oder bestätigen, dass ihr Sprössling an der anstehenden Klassenfahrt teilnehmen darf.
Dazu werden viele Daten gespeichert: Namen, Geburtsdaten und Anschriften, teilweise Herkunftsländer, Informationen über Impfungen, Konfessionen, Erziehungsberechtigte, Notfallkontakte, Klassenlehrer, ...
Was ist pasiert?
1500 CSV-Dateien wurden auf einem Server abgelegt, der leider nicht gesichert und öffentlich zugänglich war.
Wie geht die Firma damit um?
Nach Meldung des Lecks ließ Stay Informed die Konfiguration des Web Servers sofort ändern und schloss damit das Leck. Sie haben es auch der zuständigen baden-württembergischen Landesdatenschutzbehörde gemeldet.
Aber:
Das Unternehmen schließt mit seinen Kunden (Kitas, Einrichtungen, Träger) Auftragsverarbeitungsverträge ab, demzufolge es seinen Service als "Software-as-a-Service" bereitstellt. Verantwortlich im Sinne der DSGVO sind damit die über 11.000 Einrichtungen, die jetzt jeweils einen individuellen Datenschutzvorfall im Haus haben, den sie in vielen Fällen der zuständigen Landesdatenschutzbehörde und eventuell sogar den betroffenen Eltern melden müssen.
Da kommt was auf die Datenschutzämter zu!
Autor: UBI
Quellen:
Heise online, Datenleck bei Urban ..., Christopher Kunz, abgerufen am 30.03.24
https://www.heise.de/news/Datenleck-bei-Urban-Sports-Club-Daten-Tausender-Mitglieder-waren-oeffentlich-9668240.html
Heise online, Datenleck bei KiTa ..., Holger Bleich, Ronald Eikenberg, abgerufen am 30.03.24
https://www.heise.de/news/Datenleck-bei-beliebter-KiTa-App-Stay-Informed-9662578.html
Thema: Tätigkeitsbericht des LDA Bayern 2023
Das bayrische Landesamt für Datenschutz LDA hat seinen Tätigkeitsbericht 2023 veröffentlicht:
https://www.lda.bayern.de/media/baylda_report_13.pdf
Darin enthalten sind einige interessante Gerichtsurteile:
- Österreichische Post (Informationen über die Empfänger personenbezogener Daten)
- Jeder hat das Recht zu erfahren, an wen seine personenbezogenen Daten weitergegeben wurden.
- Der für die Datenverarbeitung Verantwortliche kann sich jedoch darauf beschränken, nur die Empfängerkategorien mitzuteilen, wenn es nicht möglich ist, die Empfänger zu identifizieren, oder wenn der Antrag offenkundig unbegründet oder exzessiv ist.
Rechtsache C-683/21
Gemeinsame Verantwortlichkeit (Art. 26 DSGVO) kann auch bei Fehlen einer Vereinbarung oder einer gemeinsamen Entscheidung zwischen den Verantwortlichen vorliegen.
Rechtsache C-807/21
Deutsche Wohnen
Für die Verhängung von Bußgeldern wegen Verstößen gegen die DSGVO ist der Nachweis vorsätzlichen oder fahrlässigen Handelns erforderlich. Gehört der Adressat der Geldbuße zu einem Konzern, bemisst sich die Geldbuße nach dem Jahresumsatz des Konzerns.
Rechtsache C-634/21
SCHUFA Holding
Die automatisierte Erstellung eines Wahrscheinlichkeitswerts über die Fähigkeit einer Person, einen Kredit zu bedienen, ist ein Profiling im Sinne der DSGVO.
Rechtsache C-340/21
Bulgarische Nationale Agentur für Einnahmen (NAP)
Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.
Autor: UBI
Quellen:
Tätiigkeitsbericht LDA , abgerufen am 29.03.24
https://www.lda.bayern.de/media/baylda_report_13.pdf
» Zurück zur Newsletter-Übersicht