Zusammenfassung Datenschutz-News KW 29/2018

Mit den wöchentlichen Zusammenfassungen der Datenschutz-News möchte ich einen schnellen Überblick über die vergangene Woche möglich machen. Natürlich kann ich dabei keine vollständige Übersicht bieten. Wer interessante Quellen hat, kann sie mir gerne zuschicken.

Ausland: Japan wird zu einem sicheren Drittland.

Gratulationen zu Jubilaren: Einige Medien hatten die Geburtstagsglückwünsche aufgrund der DSGVO eingestellt. Auch wenn ich mich über die Entrüstung gewundert habe, die dies bei einigen Menschen hervorgerufen hat: Wie so einiges, was die DSGVO angeblich verhindert, sind auch diese Glückwünsche sind natürlich weiterhin möglich.
Ob das sinnvoll ist, ist meiner Meinung nach eine andere Frage. Das Geburtsdatum wird oft missbräuchlich verwendet: Als Passwort, bei 4-8 stelligen PINs, in sog. Sicherheitsfragen oder zur telefonischen Authentifizierung (z.B. Telekom, manche Versicherungen oder Internet-Tipps).
Meiner Meinung nach ist ein Geburtsdatum also eigentlich nichts, was man öffentlich machen sollte.

Betrugsmaschen:

Abmahn-Umfragen: Der „Bundesverband Digitale Wirtschaft“ hat Umfrage-Ergebnisse veröffentlicht. Demnach gab es unter 278 Befragten aufgerundet 14 Abmahnungen. Ich persönlich hätte mich über eine solche News gefreut – wurden doch Abmahnwellen apokalyptischen Ausmaßes angekündigt (nicht eingetreten, hurra!). Andere Medien übernahmen dann die Prozent-Angabe (5%), wodurch die News-Überschrift gleich viel bedrohlicher klang.
Da ist die jährlich durchgeführte Händlerbund Abmahnstudie 2018 (für das Jahr 2017) aussagekräftiger: 524 Befragte und 28 % Abmahnungen – also fast jeder dritte Online Händler wurde 2017 abgemahnt, Tendenz steigend. Ich bin gespannt auf die nächste Auswertung.

Aufsichtsbehörden:

  • Die LDI NRW hat sich zu den Betroffenenrechten mit Praxisempfehlungen, zur Datenverarbeitung in der Steuerberatung und dem Stand der Technik bei Emails geäußert. Insbesondere der letzte Artikel ist für alle wichtig, die E-Mails mit Gesundheitsdaten (oder anderen sensiblen Daten nach Art. 9) versenden, denn dafür wird eindeutig zusätzlich zur Transport-Verschlüsselung die Inhaltsverschlüsselung gefordert. Ebenso wird eine vorherige Durchführung einer Einzelfall-Entscheidung für eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO abhängig vom Inhalt angeraten. Soviel zu dem „einfachen“ Medium E-Mail.
  • Die Homepage der Datenschutzkonferenz ist online, dort sind u.a. die Kurzpapiere, Beschlüsse und Leitlinien zu finden.

(Daten)Pannen und Pech:

  • Bereits durch frühere Einbrüche bekannte gewordene Logins (sog. credential stuffing) wurden bei einem anderen Dienst ausprobiert, mit einer erschreckend hohen Trefferquote. Das ist der Grund, warum man niemals die gleichen Zugangsdaten bei unterschiedlichen Webseiten benutzen sollte. Wer sich jetzt fragt, wie man gefühlt 1-Millionen verschiedene Passworte im Kopf behalten soll: Bitte einen Passwort-Manager mit einem sicheren Master-Passwort verwenden.
  • Auch diese Woche werden wieder neue Informationen zum Domainfactory-Hack bekannt. Solche Pannen sind der Grund, warum die „privacy by design„-Vorschriften (Zweckbindung, Datenminimierung, Speicherbegrenzung) der DSGVO sehr sinnvoll sind und keineswegs als DSGVO-Wahnsinn oder Datenschutz-Wahnsinn verstanden werden sollten.
  • In Singapur wurden Gesundheitsdaten von 1,5 Millionen Personen gestohlen – ähnliches wird uns auch in Deutschland bevorstehen, wenn Gesundheitsminister Spahn weiter darauf drängt, eine zentrale Sammlung mit Smartphone-Zugriff unserer Gesundheitsdaten einzurichten.
  • 47.000 vertrauliche Dokumente von großen Autobauern und personenbezogene Daten (z.B. eingescannte Führerscheine und Pässe) waren vorübergehend im Internet abrufbar.

Datenschutz in der Praxis:

Video-Überwachung:

Studie zum Stand der IT-Sicherheit in Deutschland: Befragt wurden 230 Organisationen mit mehr als 20 Mitarbeitern.

Und sonst so?

Indien: Verschiedene Medien hatten schon vor einigen Wochen aufgrund einer dpa-Meldung kurz darüber berichtet, dass es aufgrund von Gerüchten zu Selbstjustiz kam. Diese Gerüchte über z.B. Kindesentführungen verbreiteten sich über WhatsApp und waren Falschmeldungen. Heise.de hat nun ebenfalls einen Artikel veröffentlicht. Traurig ist, dass selbst Aufklärung nicht zu helfen scheint (siehe Artikel). Fake News sind aber kein rein indisches Problem, sondern ein globales Problem der Medienkompetenz.

USA: Walmart erhält Patent auf Lauschangriff auf Mitarbeiter und Kunden – ein Grund mehr, warum wir in Deutschland und der EU einheitliche und starke Datenschutzgesetze und Aufsichtsbehörden brauchen. Und weniger Stimmen, die „nichts zu verbergen“ für eine moderne Bürgerpflicht halten.

Kalifornien: Wenn man mit einer Wärmebildkamera die Tastatur bei einer Passwort-Eingabe aufnimmt, kann man „einfach“ an das Passwort kommen. Wenn man eine solche Kamera hat. Nun ja. Ob das so neu ist oder nur eine Abwandlung von „Videoüberwachung nimmt Passwort-Eingabe auf“ oder „lassen Sie sich nicht über die Schulter blicken, wenn Sie ein Passwort eingeben“ ist, überlasse ich ganz Ihrer Bewertung.

Humor: Zum Abschluss eine Twitter-Unterhaltung.

Ich wünsche Ihnen einen guten Start in die neue Woche.