<

Datenpanne

2021.03.19 Videokonferenz Sicherheitslücke Warnung und Tipp


EDUDIP hat am 23.3.2021 8Uhr nachgebessert!!! Ein Update wurde veröffentlicht.
Meine Meldung
der Lücke hat zu einem Update bei EDUDIP geführt
Danke an die GDD Geschäftsstelle für die Unterstützung.

########################################### Alt ##################

Tipp:
Eine Webadresse die in einer Videokonferenz (EDUDIP) im Chat gepostete wurde NICHT unmitelbar anklicken!
Stattdessen:
Kopieren Sie die Webadresse aus dem Chat in den Browser.
Rufen Sie aus dem Browser die Webadresse auf!

Warum?
Mit gelang es mehrfach für jeweils eine Sekunde an einer EDUDIP Videokonferenz teilzunehmen, für die ich KEINE Berechtigung hatte!
Update 22.3.2021: Mir ist es gelungen an der Videokonferenz von EDUDIP teilzunehmen, vermutlich weil die Person (welche den Link im Chat angeklickt hatte) die Videokonferenz verlassen hat.

Was ist passiert?
In der Videokonferenz BEISPIEL https://room.edudip.com/webinar/12345/12345678 wurde im Chat meine Webadresse (www.Dtnschtz.de) geschrieben.
Ein Konferenzteilnehmer klickte auf die Webadresse im Chat, es wurde die Webadresse www.Dtnschtz.de aufgerufen.

Ich schaute mir zufällig gerade die Logfiles meiner Internetadresse (DtnSchtz.de) an die generell von meinem Provider angelegt werden.
In jeder ‚ordentlichen‘ Datenschutzerklärung findet sich ein Hinweis dazu
„Die Provider dieser Seiten erheben und speichern automatisch Informationen in sogenannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt.
Dies sind u.a. Referrer URL (von welcher Webseite kommt der Webseitenbesucher)
in diesem Falle also BEISPIEL https://room.edudip.com/webinar/12345/12345678?auth_key=DaTeNSCHuTZ2021

Ich gab diese Referrer URL Webadresse in meinem Browser ein und konnte den Inhalt der noch laufenden EDUDIP Videokonferenz sehen, inklusive Chat un der dort eingegebenen Webadresse (www.Dtnschtz.de).
Nach einer Sekunde kam jedoch der Hinweis
„Medienwiedergabe starten?“ , „Bitte bestätigen Sie den Empfang von Audio/Video“ „Wiedergabe starten“
-> Wiedergabe starten brachte mich nicht weiter. Also erneut die Adresse
https://room.edudip.com/webinar/12345/12345678?auth_key=DaTeNSCHuTZ2021 eingegeben und wieder für eine Sekunde den Inhalt der Konferenz gesehen.

Nicht schlimm?
Naja, ich konnte Motto, Klarnamen der Teilnehmer, den Chatinhalt sehen und unter Umständen die Präsentation.
Mit gelang es den Verantwortlichen für die Videokonferenz zu ermitteln und habe Ihn fairerweise unmittelbar auf den Umstand aufmerksam gemacht.

Datenpanne?
Es kommt sicherlich auf den zu prüfenden Einzelfall an, ob diese Verletzung des Schutzes personenbezogener Daten (Datenpanne) gemäß Artikel 33 DSGVO seitens des Verantwortlichen (Videokonferenz-Initiator) an die Aufsichtsbehörde gemeldet werden muss.
Eine Meldung setzt eine Kenntnisnahme voraus. Gibt es bei EDUDIP Log-Files die geprüft werden können?

Zoom:
Hier hat mein bescheidener Test ergeben, dass bei Aufrufe aus dem Zoom Chat der Chat-Raum NICHT nachvollziehbar ist, da dieser als „Direkter Zugriff“ gewertet wird. Trotzdem ist Vorsicht geboten!

Fazit und Handlungsempfehlung:
Weisen Sie die Teilnehmer von Videokonferenzen,
insbesonderen von EDIDUP Videokonferenzen, darauf hin mögliche
Webadressen NICHT direkt aus dem Chat aufzurufen.
Passen Sie Ihre Richtlinien / Vorgaben / Teilnahmebedingungen entsprechend an.
So vermeiden Sie, dass unberechtigte die nicht öffentliche Videokonferenzadresse erlangen.
So vermeiden Sie, dass unberechtigte die nicht öffentlichen Videokonferenzinhalte erlangen.

Update 22.03.2021:
EDUDIP ist über diese Lücke informiert und dabei diese zu schließen.

Mit positiven Absichten schreibt Ihnen Ihr persönlicher Risikooptimierer
Lorenz Macke (Hannover) externer Datenschutzbeauftragter

Stichworte: , , , , , , ,

2021.01.18 Rechnung von der Aufsichtsbehörde

Artikel 33 DSGVO beschreibt die „Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde“. 

Beispiele: Fehlversand eine E-Mail, unverschlüsselter Speicher verloren, Hackerangriff, Unterlagen verloren, unberechtigte nehmen Daten zur Kenntnis – jeweils auf personenbezogen Daten (z.B. Adressdaten) bezogen.

Ein Unternehmen in Niedersachsen meldete im Dezember 2020 eine solche Verletzung (umgangssprachlich „Datenpanne“) an die Aufsichtsbehörde.
Nach einem Monat die Antwort von der Aufsichtsbehörde lfd.niedersachsen.de

„Nachfolgendes beende ich das Verfahren“
Die Kosten des Verfahrens haben Sie zu tragen

Die Meldung einer solchen Datenpanne wurde nun von der Aufsichtsbehörde in Niedersachsen dem Unternehmen in Rechnung gestellt.

1,5 Stunden   67€ / Std = 105€      Nr.AIIGO 1.11
„Einleitung aufsichtsbehördliches Prüfverfahren, rechtliche Würdigung der Eingegangen Meldung nach Art. 33 DS-GVO. Mitteilung über Verfahrenseinstellung und Kostenfestsetzungsbescheid.

Kostenentscheidung Aufsichtsbehörde
Rechnung von der Aufsichtsbehörde
Kostentarif AIIGO 1.11

Stand 18.01.2021
Nach bisherigen Reaktionen, stellt diese Rechnungsstellung eine Merkwürdigkeit und Seltenheit dar.

Update folgt 19.01.2021:
Die Regelung ist von Bundesland zu Bundesland unterschiedlich. So die Aussage „Und zwar Dr. Jens Ambrock, der als Referatsleiter für den Bereich Wirtschaft bei der Hamburger Datenschutzaufsichtsbehörde tätig ist.“

Wenn der Datenschutzbeauftrage die Datenpanne meldet UND es erfolgt eine Nachfrage seitens der Aufsichtsbehörde, dann erfolgt auf jeden Fall eine Berechnung der Kosten (u.a. in Hamburg).

Wenn der Verantwortliche (das Unternehmen selber die Datenpanne meldet UND es erfolgt eine Nachfrage seitens der Aufsichtsbehörde, dann KANN eine Berechnung der Kosten (u.a. in Hamburg) erfolgen.

Quelle: Podcast vom Datenschutz-Guru 2021.01.19

Es schreibt Ihnen Ihr persönlicher externer Datenschutzbeauftragter Lorenz Macke (Hannover)

2020.12.17 Video Weihnachten und Datenschutz

Zum Video / Impulsvortrag und der Arbeitsweise von Lorenz Macke
Der Weihnachtsmann und der Datenschutz

Es schreibt Ihnen Ihr persönlicher externer Datenschutzbeauftragter Lorenz Macke (Hannover)