kundendaten
-
: Vorwurf gegen Telekomanbieter A1 in Österreich wegen Sammelwut bei Kundendaten
Bei jedem Anruf, jeder SMS und jedem Webseiten-Aufruf fallen Verkehrsdaten an. : Vorwurf gegen Telekomanbieter A1 in Österreich wegen Sammelwut bei Kundendaten Das österreichische Telekommunikationsunternehmen A1 soll über Jahre hinweg Telefon- und Internetdaten von Kunden illegal gespeichert haben. Das berichtet die Tageszeitung Kurier unter Berufung auf den Anwalt Ewald Scheucher. Dieser hat den Fall bei der österreichischen Datenschutzbehörde angezeigt. Von der Speicherung könnten Tausende Privatpersonen und Unternehmen betroffen sein.
A1 speicherte demnach Verbindungsdaten, besuchte Internetseiten und Standortdaten von Kunden, die sich über die Höhe ihrer Rechnungen, zu schnell verbrauchtes Datenvolumen oder zu langsame Verbindungen beschwerten, schreibt der Kurier:
Der Kurier konnte in eine Datei mit insgesamt 14.328 Bearbeitungsfällen einsehen. Besonders pikant ist dabei, dass offenbar auch der Senderstandort des Handykunden abgefragt wird. Auch die Internetadressen der Kunden werden gespeichert, sprich alle Homepages, die der betroffene Kunde angesurft hat und wie lange er dort verweilte. Im Bearbeitungsfall einer namhaften Druckerei (aus dem Jahr 2013) ist zum Beispiel ersichtlich, dass jemand Internet-Pornoseiten aufgesucht hat.
Zwar sieht das Telekommunikationsgesetz in Österreich eine längere Speicherung im Falle von Rechnungsanfechtungen vor, diese muss aber auf das Nötigste begrenzt werden, heißt es in dem Bericht. Beschwerden über die Rechnungshöhe oder das Datenvolumen seien zudem kein ausreichender Grund für solch eine Vorratsdatenspeicherung, sagte Anwalt Scheuer dem Kurier.
-
: Gravierende Sicherheitslücke: Monatelang Kundendaten von Putzvermittler Helpling abrufbar
Nicht sauber programmiert: Eine Sicherheitslücke öffnete Zugriff auf die Rechnungen der Kunden des Putzvermittlers. Foto: <a href="https://creativecommons.org/licenses/by/2.0/">CC-BY 2.0</a> <a href="https://www.flickr.com/photos/aquamech-utah/24978817211/sizes/l">aqua.mech</a> : Gravierende Sicherheitslücke: Monatelang Kundendaten von Putzvermittler Helpling abrufbar Datenschutz-Skandal bei Vermittlungsplattform für Reinigungskräfte: Adressen von Kunden, die Stockwerke ihrer Wohnungen, Steuernummern von Putzkräften – dies alles war auf dem Portal wegen einer Sicherheitslücke für Monate offen verfügbar.
-
: Neue AGB bei Spielzeug-Firma VTech: Keine Haftung bei Hacks
VTech: Aus dem massiven Hack nichts gelernt? | <a href="https://creativecommons.org/licenses/by-nc/2.0/" >CC BY-NC 2.0</a> by <a href="https://www.flickr.com/photos/28691409@N05/6344341330/" >Nicole</a> : Neue AGB bei Spielzeug-Firma VTech: Keine Haftung bei Hacks Am vergangenen Freitag gingen nach zwei Monaten Pause der App-Store und das Lernportal des Lernspielzeugherstellers VTech wieder online. Grund für die Pause war ein im November bekannt gewordener Hack, bei dem Daten von 4,8 Millionen Eltern sowie 6,4 Millionen Kindern entwendet worden waren. Man habe „den Datenschutz weiter verstärkt“, heißt es in einer Mail des Geschäftsführers King Pang an Kund_innen, die Motherboard vorliegt. Während sich VTech „dem Schutz der Informationen [seiner Kund_innen] verpflichte[t]“, hat es jedoch auch ein neuer Absatz in die allgemeinen Geschäftsbedingungen geschafft. Unter „Einschränkung der Haftung“ heißt es dort neuerdings IN GROßBUCHSTABEN:
Sie erkennen an und stimmen zu, dass Sie die volle Verantwortung für die Nutzung der Seite und jedweder Software und Firmware, die Sie dort herunterladen, übernehmen. Sie erkennen an und stimmen zu, dass jedwede Information, die Sie während der Nutzung der Seite senden oder erhalten, nicht sicher sein, abgefangen, oder später von Unbefugten erfasst werden könnte.
Eine Sprecherin von VTech sagte dazu, man habe hart daran gearbeitet, die Sicherheit zu optimieren, aber „kein Unternehmen, das online operiere, kann eine 100%-ige Garantie dafür bieten, nicht gehackt zu werden“. Die Einschränkungen in der Haftung seien daher „allgemein üblich“.
Sicherheitsexperten wie Troy Hunt, Rik Ferguson und Ken Munro nennen dieses Verhalten „unglaublich arrogant“ und rufen zum Boykott von VTech-Produkten auf. Anstatt aus seinen Fehlern zu lernen, die Sicherheitsmaßnahmen zu erhöhen und sich bei den betroffenen Kund_innen zu entschuldigen, versuche das Unternehmen stattdessen, sich im Umgang mit Nutzerdaten von jeder Haftung zu befreien. Die einzig mögliche Motivation für die neue Klausel sei der Versuch, Vorteile aus der Unkenntnis des Gesetzes der Kund_innen zu schlagen und im Falle eines erneuten Hacks Klagen zu verhindern.
Wie effektiv die neue Klausel tatsächlich ist, wird von Jurist_innen bezweifelt. So bewerten etwa der niederländische Datenschutzrechtler Ot Van Daalen und die US-amerikanische Jura-Professorin Angela Campbell den Haftungsausschluss als kaum stichhaltig für die EU und USA. Die Verpflichtung zum Schutz von Kundendaten könne nicht so einfach vom Unternehmen auf die Nutzer_innen abgeschoben werden.
-
: AccessNow-Petition gegen Vodafone – Keep our Data safe
: AccessNow-Petition gegen Vodafone – Keep our Data safe Über ein Jahr ist vergangen, seit Edward Snowden mit seinen Leaks an die Öffentlichkeit gegangen ist. Seither sind bekanntlich immer noch keine politischen Konsequenzen gezogen worden. Die NGO AccessNow.org nimmt nun mit einer Petition Vodafone ins Visier, um Druck auf den größten Mobilfunkanbieter der Welt aufzubauen. Sie wollen auf der Hauptversammlung des Unternehmens folgende Fragen stellen und sammeln dafür Unterstützung:
1. Will Vodafone support reforming Britain’s Regulation of Investigatory Powers Act (RIPA), ending secret warrants and bulk surveillance?
2. How does Vodafone plan to stop unfettered government access to telecom networks?
3. What steps is Vodafone taking to protect customers from surveillance-driven bulk data retention laws?Eine umfassende Reform von RIPA, dem Gesetz, dass die Überwachung von Telekommunikation in Großbritannien regelt, wird seit längerem gefordert. Da sich von alleine nichts bewegt, will AccessNow insbesondere die über 400 Mio. Kunden des Konzerns ansprechen und so Vodafone Beine machen.
-
: Massive Datenschutzklage gegen Videoverleiher Netflix
: Massive Datenschutzklage gegen Videoverleiher Netflix In den USA ist am Donnerstag eine Klage gegen den Online-Videoverleiher Netflix eingereicht worden. Die Kläger fordern 2.500 Dollar Schadensersatz für jeden der 2 Millionen Kunden des Unternehmens, berichtet Wired: Threat Level.
Anlass ist ein Wettbewerb, den Netflix ausgeschrieben hatte, um seinen Empfehlungsalgorithmus zu verbessern. Der DVD-Verleiher stellte mehr als 50.000 Teilnehmern zwei Datensätze zur Verfügung. Der erste enthielt 100 Millionen Film-Bewertungen, zusammen mit dem Zeitpunkt der Bewertung, einer eindeutigen ID-Nummer für den Kunden und Informationen über den Film. Auf der Basis dieser Daten von 480.000 Kunden sollten die Wettbewerbsteilnehmer einen Empfehlungsalgorithmus erstellen, der 10% besser als Netflix eigener vorhersagen würde, wie diese Kunden andere Filme bewerten würden.
Die Daten waren derart schlecht anonymisiert, dass bereits nach wenigen Wochen zwei Wissenschaftler der University of Texas diverse Netflix-Kunden identifizierten. Sie verglichen dafür deren „anonyme“ Reviews in dem Datenset von Netflix mit solchen, die in der Internet Movie Database veröffentlicht wurden. Dadurch ließen sich Aufschlüsse u.a. über die sexuelle Orientierung und politische Einstellung der Betroffenen gewinnen. Threat Value schreibt dazu:
The complaint calls that the Brokeback Mountain factor, arguing that marketers will suck up the data, combine it with other data sets and start pigeon-holing people into marketing categories, based on assumptions about the movies they rated.
-
: Sippenhaftung bei Amazon
: Sippenhaftung bei Amazon Die Frankfurter Rundschau berichtet über zwei neue Fälle von Datenmissbrauch in Deutschland.
Bei Amazon kommt es demnach zu einer Form von Sippenhaftung. Das Kundenkonto eines Mannes soll gesperrt worden sein, weil seine Tochter im gleichen Haus lebt wie ein Mann, der Schulden bei Amazon hat. In einer Mitteilung von Amazon heißt es:
Wir mussten Ihr Kundenkonto (…) deaktivieren, da es aufgrund von Übereinstimmungen bei den angegebenen Daten in Verbindung zu einem anderen Kundenkonto steht, bei dem es Unstimmigkeiten gegeben hat.
Aus diesem Grund wurde das Konto des Mannes sowie aller Hausbewohner gesperrt. Auch nach Beschwerden des Betroffenen habe das Unternehmen nicht reagiert, heißt es bei der FR.
Die Zeitung berichtet auch von einem Berufsschullehrer, der sich unter falschem Namen, aber mit echter Adresse beim Internetportal der Versicherung Hannoversche Leben anmeldete, um ein Angebot als Beispiel für den Unterricht zu erhalten.
Die fiktive Person erhielt allerdings nicht nur Unterlagen von der Versicherung – sondern später auch Post von der GEZ. „Sie verdienen bereits eigenes Geld und (…) halten Rundfunkgeräte zum Empfang bereit?“, fragt die Gebühreneinzugszentrale die nicht existierende Person.
Bei der GEZ heißt es, man habe die konkrete Adresse „für den Versand von Informationsschreiben an die Zielgruppe ‚Junge Erwachsene’ angemietet“. Die Hannoversche Leben, aus deren Bestand die Daten offensichtlich an den Gütersloher Adresshändler AZ Direkt gelangten, prüft den Vorgang nach eigenen Angaben bereits seit Wochen.
-
: Britische T‑Mobile-Mitarbeiter verkauften Kundendaten
: Britische T‑Mobile-Mitarbeiter verkauften Kundendaten In Großbritannien haben Mitarbeiter von T‑Mobile Vertragsdaten von tausenden Kunden an Adresshändler weitergegeben, berichtet die BBC. Die Zwischenhändler verkauften die Datensätze an Konkurrenzunternehmen, welche die betroffenen Kunden dann vor Ablauf ihrer Verträge mit T‑Mobile anriefen, um sie zu einem Anbieterwechsel zu überreden.
T‑Mobile gibt an, von dem Kundendaten-Handel zuerst nichts mitbekommen, sich aber nach der Entdeckung an den obersten Datenschützer des Vereinigten Königreichs, Christopher Graham, gewandt zu haben. Der nennt den Datenschutz-GAU den „größten seiner Art“. Er fordert als Konsequenz des Falls härtere Strafen für Datenschutzvergehen:
The existing paltry fines… are simply not enough to deter people from engaging in this lucrative criminal activity. The threat of jail, not fines, will prove a stronger deterrent.
Anfänglich hatte Graham im Übrigen mit T‑Mobile vereinbart, den Namen des Unternehmens nicht zu nennen. Erst, als nach einem BBC-Bericht über den Fall nacheinander alle großen Konkurrenten des Mobilfunk-Anbieters verneinten, etwas damit zu tun zu haben, gestand T‑Mobile den Schaden öffentlich ein. Es erstaunt, dass sich der oberste Datenschützer des Landes auf eine derartige Geheimhaltung einlässt – man sollte erwarten dürfen, dass Graham in seiner Position zuerst an die betroffenen Kunden denkt. Und die sollten erfahren, dass ihre Kundendaten verkauft wurden.
(via)
-
: Alice-Kunde bekam sensible Kundendaten zugeschickt
: Alice-Kunde bekam sensible Kundendaten zugeschickt Ein Kunde der Hansenet-Marke Alice hat sich die eMail-Adresse „alice@alice.de“ registriert. Das Problem: An diese Adresse werden sämtliche Daten von Neukunden des Anbieters geschickt, die über Vertriebspartner Verträge abschließen und dabei keine eMail-Adresse angeben. „alice@alice.com“ wurde in diesem Fall als Platzhalter für das Anmeldeformular verwendet. Trotzdem ließ sich die Adresse ohne Hindernisse registrieren.
„Ich hatte auf einmal 172 Mails im Ordner und wusste gar nicht, wo die auf einmal hergekommen sein könnten – bis ich dann feststellte, dass das Daten für Alice sind“, erklärte der Betroffene gegenüber dem NDR. Die eMails hätten unter anderem jeweils die komplette Bankverbindung mit Kontonummer und die genaue Adresse der Neukunden enthalten.
Hansenet hat eigenen Angaben zufolge mittlerweile reagiert und die eMail-Adresse gesperrt. Derweil will der Bundesdatenschutzbeauftragte Peter Schaar den Fall prüfen.
(via)
-
: Quelle-Insolvenz: Stehen die Kundendaten vor dem Verkauf?
: Quelle-Insolvenz: Stehen die Kundendaten vor dem Verkauf? Sueddeutsche.de berichtet, dass im Zuge der Geschäftsauflösung von Quelle auch die Kundendatenbank des Versandhändlers unter den Hammer kommen könnte:
[E]in Sprecher von Insolvenzverwalter Karl Hubert Görg bestätigte sueddeutsche.de, die Daten könnten verkauft werden – sofern kein Widerrufsvermerk in der Kundendatei vermerkt sei.
Dabei soll das sogenannte Listenprivileg zur Anwendung kommen. Diese Sonderregelung ermöglicht die Weitergabe von Kundendaten zu Werbezwecken auch ohne Zustimmung der Betroffenen. Der Verbraucherzentrale Bundesverband (VZBV) sieht einen Verkauf nach dem Listenprivileg allerdings im Konkursfall nicht durch das Bundesdatenschutzgesetz gedeckt. Wo Unternehmensteile aufgelöst würden, seien die vorhandenen Kundendaten zu löschen:
-
: Die Postbank erlaubt freien Beratern detaillierten Einblick in Kontobewegungen
: Die Postbank erlaubt freien Beratern detaillierten Einblick in Kontobewegungen Laut einem Bericht des Magazins Finanztest können tausende freie Mitarbeiter auf die Girokontodaten von Postbank-Kunden zugreifen. Dazu müssen die Berater lediglich Name und Geburtsdatum der betreffenden Person eingeben. Finanztest schreibt:
Die Daten sollen laut interner Postbankanweisung freien Mitarbeitern der 2006 gegründeten Postbank Finanzberatung AG bei ihrer Arbeit helfen. Das Vertriebsunternehmen mit etwa 4 000 freien Handelsvertretern verkauft Produkte der Postbank und der BHW Bausparkasse. Sobald ein höherer Geldbetrag auf einem Konto eingeht, können die Berater den Kunden anrufen, um Geldanlagen zu verkaufen.
Dabei werden auch Daten von Personen offengelegt, die einer Weitergabe ihrer Daten widersprochen haben. Finanztest mutmaßt, der Postbank sei bewusst, dass sie mit der Weitergabe von Kontodaten an freie Berater gegen Datenschutzbestimmungen verstößt. Laut der nordrhein-westfälischen Datenschutzbehörde wäre der umfassende Einblick selbst dann unzulässig, wenn Kunden einer Weitergabe ihrer Daten zugestimmt hätten. Die Einwilligungserklärung umfasse nicht den Blick auf sämtliche Kontobewegungen. Finanztest berichtet zudem von Anweisungen, die Datenschutzvergehen geheimzuhalten: