25.02.2024
In einem Fall wurde ein Arzt bestraft, der Rezepte für Patienten vor seiner Ordination in einer offenen Box gesammelt zur Entnahme bereitstellte. Wer immer in die Box griff, erlangte dadurch auch Wissen über andere Patienten und deren Gesundheitszustand.
Der zweite Fall betrifft eine Klinik für ästhetische Chirurgie. Dort wurde im Warteraum eine bestimmte Operationstechnik in einem Video am Beispiel eines Patienten erklärt, der für die Zuschauer erkennbar abgebildet war, ohne um seine Zustimmung gefragt worden zu sein.
Mehr Sicherheit gibt es in einem anderen Fall: Für Unternehmen, die für ihren Mailverkehr (oft undurchsichige) Cloud-Lösungen verwenden, wurde eine verbindliche Richtlinie veröffentlicht, welche Schutzmaßnahmen in den Grundeinstellungen notwendig sind. Dabei geht es u.a. um die Aufbewahrungsdauer der Metadaten (z.B. wer hat wann an wen mit welchem Betreff ein Mail verschickt). Manche Systeme lassen nämlich nicht zu, dass die automatische Sammlung von Metadaten beschränkt wird.
Rezepte schutzlos zugänglich
https://garanteprivacy.it/home/docweb/-/docweb-display/docweb/9983384
(14.2.2024)
Medizinisches Erklärungs-Video: Patient erkennbar
https://garanteprivacy.it/home/docweb/-/docweb-display/docweb/9983384
(14.2.2024)
Besserer Schutz für E-Mails notwendig, wenn der Arbeitgeber Cloud-Lösungen verwendet
https://www.gpdp.it/home/docweb/-/docweb-display/docweb/9980144
(6.2.2024)
Vergrößert die KI (Künstliche Intelligenz) tatsächlich die Gefahr, Opfer eines Internetbetruges zu werden? Oliver D. Reithmaier, Psychologe, wissenschaftlicher Mitarbeiter und Doktorand an der Leibnitz-Universität in Hannover läßt in seinem Vortrag beim Chaos Communication Congress 2023 in Hamburg Zweifel aufkommen. Zu umfangreich und zu kompliziert wären die Vorbereitungen für einen solchen Angriff, sodass er sich bloß dann lohnen würde, wenn die Verbrecher Aussicht auf einen sehr hohen Gewinn hätten. Der gesamte Vortrag zum Thema "Social Engineering" wurde als Video veröffentlicht und ist nicht nur informativ und leicht verständlich, sondern auch unterhaltend. Er erklärt anschaulich, wie die Mechanismen wirken, mit denen die Nutzer übertölpelt werden sollen und dürfte auch für jüngere Zuseher sehr gut geeignet sein.
Social Engineering
https://www.youtube.com/watch?v=r8bQeZe844g&pp=ygUSc29jaWFsIGVuZ2luZWVyaW5n
(19.2.2024)
KI-Stimmen unterstützen Enkeltrick
https://www.derstandard.at/story/3000000208353/enkeltrick
(22.2.2024)
KI-Bilder unterstützen Betrug
https://www.derstandard.at/story/3000000205284/fake-news-mit-promi-bildern-sollen-anleger-in-abzockfalle-locken
(31.1.2024)
Schon in unserer Klienteninformation vom Oktober 2023 haben wir uns wieder ein Mal mit dem Thema "TikTok" beschäftigt, weil die chinesischen Betreiber von der irischen Datenschutzbehörde eine Strafe von 345 Millionen Euro "ausfassten". Die Behörde bezog sich damals auf den mangelnden Jugendschutz und die in der Praxis nicht vorhandene (aber rechtlich vorgeschriebene) Altersprüfung der Nutzer. Nun hat auch die EU-Kommission ein Verfahren gegen Bytedance (so heißt der chinesische Betreiber von TikTok) eingeleitet. Neben der Frage, ob die Plattform genug für den Jugendschutz tut, geht es der Kommission auch darum, festzustellen, ob die Vorschriften zur Transparenz von Werbeeinschaltungen und zur Verhinderung der Verbreitung illegaler Inhalte ausreichend respektiert werden. Zumindest beim Jugendschutz könnte es schon aus formalen Gründen für TikTok eng werden. Die vorgeschriebene Altersprüfung (nicht jünger als 13 Jahre, in Österreich 14 Jahre) ist de facto nicht existent und kann von jedem Nutzer durch einfache Falschangabe problemlos ausgehebelt werden.
TikTok und Jugendschutz
https://www.derstandard.at/story/3000000208098/eu-kommission-startet-verfahren-gegen-tiktok
(19.2.2024)
Eine besonders wichtige Frage hat der Europäische Gerichtshof (EuGH) kürzlich entschieden: Er hat das Recht auf Schadenersatz auch für immaterielle Schäden bejaht, wenn sich Daten im Besitz einer öffentlichen Agentur (Gemeinde, Gebietskörperschaft etc.) befanden und von dort entwendet wurden. Der Entscheidung liegt die Anfrage eines bulgarischen Gerichtes zu Grunde.
Der Fall hat Parallelen zu jenem der österreichische GIS (vorm. Einrichtung des ORF zum Inkasso der Rundfunkgebühren), der die Daten nahezu aller 9 Millionen (!) Personen, die in Österreich ein Rundfunkgerät angemeldet hatten, gestohlen wurden. Zur Erinnerung: Im Jahr 2020 wurden die Daten von der GIS aufgrund unzweckmäßigen Handlings entwendet und von Kriminellen im Internet zum Kauf angeboten. Einige Anwälte sind bereits mit Schadenersatzklagen für ihre Mandanten vor Gericht gezogen. Breite Aufregung verursachte der Mega-Skandal allerdings außerhalb der juristischen Fachwelt nicht. Nichteinmal die "üblichen Verdächtigen", die sonst jede Gelegenheit wahrnehmen, um gegen die Rundfunkgebühren politisch zu wettern, haben das Thema propagandistisch ausgenützt.
Substanzielle rechtliche Ähnlichkeiten zu dem schon länger zurückliegenden Fall der österreichischen Post, die jahrelang ohne Rechtsgrundlage den Menschen die Nähe zu verschiedenen Parteien "andichtete", gibt es hingegen nicht. In diesem Fall wurden nämlich keine Daten gestohlen, sondern Informationen gezielt (unrechtmäßig) ermittelt und verkauft. Daher hat damals der EuGH entschieden, dass die bloße Rechtsverletzung allein nicht ausreicht, um Schadenersatzansprüche zu generieren. Im übrigen können aber die Betroffenen des Post-Skandals Schadenersatzansprüche aus anderen Gründen, als dem der Datenschutzverletzung geltend machen.
Was den Fall der Uni Innsbruck anlangt, der kurz vor Weihnachten 2023 die Stammdaten von ca. 23.000 Studenten gestohlen wurden, so ist die Berichterstattung von orf.at "mutig", wenn dort behauptet wird, es bestehe für die Betroffenen "kein Handlungsbedarf". Im Licht der Schadenersatz-Entscheidung des EuGH zur Anfrage aus Bulgarien könnte ein Gericht zu völlig anderen Schlüssen kommen und den Betroffenen Schadenersatz zuerkennen, soferne sie solchen fordern. Das hätte man in der Schilderung der Ereignisse berücksichtigen sollen.
EuGH: Schadenersatz nach Datenklau bei Behörde (Rechtssache C-340/21)
https://www.derstandard.at/story/3000000200445/betroffenen-von-datenlecks-steht-schadenersatz-zu
https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-12/cp230191de.pdf
(20.12.2023)
EuGH: Schadenersatz nur unter bestimmten Umständen (Rechtssache C-300/21)
https://curia.europa.eu/juris/document/document.jsf?text=&docid=273284&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1
(4.5.2023)
Uni Innsbruck wurde am 21.12.2023 Opfer von Datendiebstahl
https://tirol.orf.at/stories/3238064/
(26.12.2023)