Monat: Juni 2023

Am 23. Juni trafen sich europäische und asiatische Organisationen und Datenschutzbehörden sowie Vertreter diverser Technologieunternehmen zum Thema „Künstliche Intelligenz und Datenschutz: Bewältigung neu entstehender Herausforderungen“ in Seoul. Die Konferenz wurde von der PIPC (Personal Information Protection Commission) aus Korea veranstaltet.

Der deutsche Datenschutzbeauftragte Ulrich Kelber sprach sich auf der Konferenz insbesondere für Transparenz von KI-Systemen sowie die Einräumung der Möglichkeit zur Verteidigung gegen Diskriminierung durch KI-Systeme aus.

Weitere Informationen finden Sie hier:
https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2023/16_Konferenz-Seoul.html?nn=251928

Die französische Firma CRITEO trackt und sammelt Daten über die Surfgewohnheiten von Nutzern, um so mittels „Behavioral Retargeting“ zielgerichtete Werbung von Werbetreibenden vermitteln zu können.
Nun muss das Unternehmen 40.000.000 Euro Bußgeld zahlen. Die französische Datenschutzbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) wurde nach Beschwerden von den Verbänden Privacy International und None of Your Business aktiv uns stellte mehrere Mängel bei der Datenverarbeitung fest.

CRITEO sammelt die Daten von Internetnutzern mittels eines Cookies, der bei dem Besuch von CRITEO-Partner-Webseiten gesetzt werden. EU-weit hat das Unternehmen damit bereits Nutzerdaten von rund 370 Millionen Personen gesammelt – der Cookie, der diese Daten sammelt, wird jedoch ohne Einwilligung platziert. Eine Prüfung, ob Nutzer den Cookie zulassen oder ob die Partner-Seiten eine solche Einwilligung einholen, fand offenbar nicht statt.
Darüber hinaus sind die Datenschutzrichtlinien des Unternehmens zu vage und geben keine ausreichende Auskunft über die Zwecke der Datenverarbeitung.
Der Auskunftspflicht ist CRITEO ebenfalls nicht nachgekommen, denn sie haben diverse gespeicherte Daten beim Auskunftsersuch zurückgehalten. Als Resultat eines Widerrufs der Einwilligung wurde lediglich das Anzeigen von personalisierter Werbung unterbunden, nicht jedoch gespeicherte Daten gelöscht.

Weitere Informationen finden Sie hier:
https://www.dsgvo-portal.de/bussgelder/dsgvo-bussgeld-gegen-criteo-2023-06-22-FR-2986.php

SIM-Swapping ist eine Methode, bei denen sich Betrüger eine neue SIM-Karte für einen bereits bestehenden Mobilfunkvertrag ausstellen lassen. Diese wird dann natürlich an die Adresse des Betrügers gesendet. Falls es sich um eine eSIM handelt, muss gar keine Post verschickt werden.

Der Zugriff, den Täter auf diesem Wege zum Handy haben, eröffnet dann weitere Zugänge zu Onlinekonten (etwa Banking-Konten), welche zur Authentifizierung SMS verschicken oder Bestätigungen über eine App senden.

Es ist dafür wichtig, dass Anbieter von Telekommunikationsdiensten, ob in Callcentern, Online-Accounts oder Handy-Shops angemessene Schutzmechanismen zur Authentifizierung einrichten, um nachzuvollziehen, ob es sich bei Änderungen auch tatsächlich um die betroffene Person handelt.

Weitere Informationen finden Sie hier:
https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2023/14_Authentifizierung.html?nn=251928
https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Telefon-Internet/Positionen/Authentifizierung.html?nn=251928

Eine offen einsehbare Besucherliste mit Kontaktdaten sowie gesundheitsbezogenen Angaben kostet ein saarländisches Pflegeheim 9.500 Euro. Auf die Beschwerde einer Privatperson folgte das Urteil durch das Unabhängige Datenschutzzentrum Saarlands.

Das reine Erheben der Gesundheitsdaten wurde aufgrund der Corona-Pandemie als angemessen beurteilt. Jedoch hätten Maßnahmen ergriffen werden müssen, um Unberechtigten den Zugriff zu verwehren.

Weitere Informationen finden Sie hier:
https://www.dsgvo-portal.de/bussgelder/dsgvo-bussgeld-gegen-pflegeheim-2023-06-21-DE-2983.php

Im Zeitraum vom 19. bis 21. Juni haben sich die Datenschutzbeauftragten und Privacy-Behörden der G7-Staaten zum dritten G7-Roundtable für Gespräche bezüglich der internationalen Datenschutzstandards getroffen. Das Treffen fand dieses Jahr unter dem Vorsitz der japanischen PPC (Personal Information Protection Commission) statt.

Die Diskussionen um den Angleich der Datenschutzstandards auf internationaler Ebene, welche im vergangenen Jahr begann, wurde fortgesetzt. Als Nächstes sollen konkrete Vorschläge für die Einrichtung eines DFFT (Data Free Flow with Trust – ein freier und vertrauensvoller Datenaustausch) durch die G7 vorgebracht werden.

Des Weiteren wurde zum sehr aktuellen Thema generativer KI betont, dass hier das bestehende Datenschutzrecht vollumfänglich gilt.

Weitere Informationen finden Sie hier:
https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2023/13_G7-Japan.html?nn=251928

Nach zwei Jahren Beratschlagung wurde über die weltweit erste KI-Regulierung, den „AI-Act“, durch das Europäische Parlament abgestimmt. Bis zum Ende des Jahres wollen das Europäische Parlament, die Europäische Kommission und die Mitgliedstaaten über den Text zu einer Einkunft kommen, bevor der Beschluss in Kraft treten kann. Unternehmen bleiben nach dem Inkrafttreten zwei Jahre Zeit, um ihre Software an die neuen Rahmenbedingungen anzupassen.

Durch das Gesetz sollen alle als KI eingestuften Anwendungen in Risikoklassen kategorisiert und teilweise verboten werden. Biometrische Gesichtserkennung im öffentlichen Raum soll beispielsweise nur nachträglich unter Richtervorbehalt zur Aufklärung schwerer Verbrechen gestattet werden.

Der Digitalverband Bitkom begrüßt den Beschluss, warnt jedoch auch vor einer Überregulierung, bei der die Definition von KI nicht eindeutig genug sein könnte und die Regulierung „alle statistischen Systeme oder sogar nahezu jegliche Software regulatorisch erfasst“, so Achim Berg, Verbandschef der Bitkom.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/gesetze/138307-europaeisches-parlament-beschliesst-ki-verordnung?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

58 Millionen Schwedischen Kronen (was etwa 5 Millionen Euro entspricht), muss Spotify nun für die mangelhafte Umsetzung des Auskunftsrechtes zahlen.

Mehrere Beschwerden über unvollständig beantwortete Auskunftsersuche wurden laut dem österreichischen Unternehmen Noyb, welche sich der Umsetzung des Datenschutzes verschrieben haben, erstmals 2019 vorgebracht. Daraufhin folgte eine Beschwerde an die schwedische Datenschutzbehörde IMY, da der Firmensitz von Spotify in Schweden liegt. Über die Beschwerde wurde jedoch vier Jahre lang nicht entschieden, woraufhin die Firma Noyb 2022 mit einer Klage wegen Untätigkeit gegen IMY vorging. Im Anschluss kam das Bußgeld für Spotify.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-commerce-trends/internationales/138291-spotify-dsgvo-strafe-millionenhoehe-zahlen?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Der Schaden durch Cyberangriffe auf Unternehmen in Deutschland belief sich laut Bitkom im letzten Jahr auf 203 Milliarden Euro. Im folgenden möchten wir uns den beliebten APT-Angriffen (Advanced Persistent Threats) widmen. Probleme dieser Angriffe sowie Gegenmaßnahmen wurden ursprünglich von der Kaspersky ICS CERT zusammengestellt.

• Fehlende Isolierung des OT-Netzwerks:
  Oftmals sind OT-Netzwerke (Operational Technology) nicht ausreichend getrennt und geschützt. Maschinen wie Workstations sind weiterhin mit sowohl dem regulären IT-Netzwerk als auch dem OT-Netzwerk verbunden. Angreifer können dies ausnutzen, indem sie Netzwerke als Proxy-Server verwenden, um den Malware-Verkehr zu kontrollieren und in vermeintlich isolierte Netzwerke einzudringen.
• Menschliches Fehlverhalten:
  Oftmals werden bei Mitarbeitern oder Auftragnehmern Zugriff auf OT-Netzwerke gewährt, ohne angemessene Sicherheitsvorkehrungen zu treffen. Fernverwaltungsprogramme wie TeamViewer oder Anydesk werden eingerichtet, bleiben aber unbemerkt aktiv und können von Angreifern ausgenutzt werden. Zero Trust, ein Sicherheitskonzept, das die Berechtigung automatisch überprüft, kann solche Szenarien abwehren.
• Unzureichender Schutz von OT-Ressourcen:
  Veraltete Datenbanken von Sicherheitslösungen, fehlende Lizenzschlüssel, deaktivierte Sicherheitskomponenten und zu viele Ausschlüsse von Scan- und Schutzfunktionen tragen zur Verbreitung von Malware bei. Aktuelle Datenbanken und automatische Aktualisierungen sind entscheidend, um fortschrittliche Bedrohungen einzudämmen.
• Unzureichende Konfigurationen von Sicherheitslösungen:
  Korrekte Konfigurationen von Sicherheitslösungen sind wichtig, um Deaktivierung oder Missbrauch zu verhindern. APT-Akteure können Netzwerkinformationen stehlen, um in andere Teile des Systems einzudringen. Sie widmen sich zunehmend Verwaltungsservern von Sicherheitslösungen, um Malware zu verbreiten.
• Fehlender Cybersicherheitsschutz in OT-Netzwerken:
  In einigen OT-Netzwerken fehlen Cybersicherheitslösungen. Selbst wenn das OT-Netzwerk vollständig von anderen Netzwerken getrennt und nicht mit dem Internet verbunden ist, können Angreifer über Wechsellaufwerke wie USB-Sticks Zugang erhalten.
• Herausforderungen bei Sicherheitsupdates für Workstations und Server:
  Industrielle Kontrollsysteme erfordern sorgfältig getestete Sicherheitsupdates, die aber oft nur während geplanter Wartungsarbeiten installiert werden können. Dies führt zu sporadischen Aktualisierungen und ermöglicht Angriffe auf bekannte Schwachstellen.

Weitere Informationen finden Sie hier:
https://www.secupedia.de/news/warum-apt-angriffe-auf-unternehmen-so-erfolgreich-sind/

In Belgien gab eine Privatperson eine Webseite in Auftrag. Im Rahmen der Planung der Webseite fanden mehrere Telefonate statt, die vom Geschäftspartner (und im Folgenden dem Beklagten) aufgezeichnet wurden.

Als der Kläger dies erfuhr, verlangte er Einsicht in die Aufzeichnungen, welche ihm der Beklagte verweigerte. Es folgte eine Beschwerde bei der Datenschutzbehörde, welche die mangelnde Einsicht mit einem Bußgeld in Höhe von 40.000 Euro quittierte.

Weitere Informationen finden Sie hier:
https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n-57-2023.pdf

Eine in Berlin ansässige Bank muss Bußgeld an die Datenschutzbehörde zahlen. Besagte Bank verwendet zur Vergabe von Kreditkarten einen Algorithmus, der u.a. aus einem auszufüllenden Online-Formular (welche Daten wie Beruf, Einkommen und Personalien einfordert) und weiteren Quellen festlegt.

Nachdem der Antrag auf eine Kreditkarte trotz guter Schufa-Auskunft und Einkommen abgelehnt wurde, wollte der Betroffene die Gründe für die Ablehnung erfahren. Auf die Nachfrage soll das Kreditinstitut nur pauschal und unspezifisch geantwortet haben.

Eine Bank ist jedoch verpflichtet, Informationen über die wesentlichen Ablehnungsgründe zu nennen, weshalb ein Bußgeld von immerhin 300.000 Euro für fehlende Transparenz verhängt wurde.

Weitere Informationen finden Sie hier:
https://www.datenschutz-berlin.de/pressemitteilung/computer-sagt-nein