Da kann die Benachrichtigungspflicht bei Datenpannen nach Art. 33 DS-GVO und Art. 34 DS-GVO für den Betroffenen glatt zum Verhängnis werden
Dieser Artikel wurde erstmals veröffentlicht bei ITK SECURITY.
Letzte Aktualisierung vor 1 Jahr durch Patrick RuppeltLesedauer: 3 Minuten
Wie die Welt1) heute berichtet, hat der größte Anbieter von Live-Porno-Streams „Cam4“ allerhand sensible Daten von Nutzern ungeschützt ins Netz gestellt.
Insgesamt 10,8 Milliarden Datensätze mit Angaben über E-Mail-Adressen, Kreditkarteninformationen von rund 15 Millionen Nutzern sowie gesamter Chatverläufe und Angaben über sexuelle Vorlieben. Ein Kinderspiel, das mit Facebook, Instagram, Xing und LinkedIn abzugleichen.
Der Firmensitz der Firma Granity Entertainment DAC, die „Cam4“ betreibt, befindet sich interessanterweise im Irishen Dublin. Insofern wird es interessant werden, wie sich Granity der Vorschriften der DS-GVO entziehen will. Da gibt es eigentlich keine Begründung, nicht nach den europäischen Vorschriften zu handeln und umgehend alle Betroffenen über den Vorfall zu informieren.
Vielleicht wählt man den Weg, in jedem betroffenen Land eine 1/1 Seite in einer Tageszeitung mit genügend großer Reichweite zu buchen und es dort publik zu machen. In Deutschland wäre das (meines Wissens) derzeit wohl nur die FAZ, die für solch eine besondere „Ersatzmeldung“ infrage kommt. Und ob das dann wirklich vertretbar ist – schließlicht hat Granity durchaus alle Kontaktdaten und kann völlig problemlos alle Betroffenen informieren – das wäre dann auch noch zu klären. Mal schauen, ob damit morgen eine ganze Seite in der FAZ gepflastert ist, dann wissen wir mehr.
Ansonsten bleibt nur der Weg, jeden Nutzer einzeln über die Datenpanne zu informieren.
Ob das den Nutzern aber so genehm ist? Vor allem, wenn die Ehefrau auch mal in die Mailbox schaut und sieht, auf was für junge Hüpfer und was für Sexphantasien der treue Ehegatte so alles steht, das ist eine ganz andere Frage.
∞
Update 8.8.2020: Der Anbieter Cam4 hat uns auf seine Gegendarstellung hingewiesen. Diese finden Sie hier2).
In der Gegendarstellung heisst es:
Entwickler und Sicherheitsspezialisten wurden sofort zur weiteren Untersuchung eingesetzt, und das Team kam zweifelsfrei zu dem Schluss, dass absolut keine persönlich identifizierbaren Informationen, einschließlich Namen, Adressen, E-Mails, IP-Adressen oder Finanzdaten, von irgendjemandem außerhalb der Firma SafetyDetectives und der Ermittler des Unternehmens CAM4 unrechtmäßig zugänglich waren.
Das ist marketingtechnisch schön verpackt, vermittelt es doch den Eindruck, dass alles nicht so schlimm war. Das ist aber nur die halbe Wahrheit.
Denn bloß weil die Sicherheitsforscher von SafetyDetectives so vertrauensvoll mit dem Fund umgegangen sind und eben nur exemplarisch einige Datensätze extrahiert haben, ist größerer Schaden abgewendet worden. Die Daten waren aber sehr wohl zugänglich und alle Schutzmechanismen des Unternehmens haben versagt. Das Datenleck bestand genau so, wie wir es beschrieben haben.
Genau so gut hätte auch ein „gemeiner Hacker“ die Datensätze finden und illegal herunterladen können. Bloß weil das aufgrund glücklicher Zufälle nicht passiert ist heisst das noch lange nicht, dass alles in Ordnung war.