News + Aktuelles

aus dem Eventrecht
Festivalbesucher: Angeblich fast 1 Mio Daten im Darknet

Festivalbesucher: Angeblich fast 1 Mio Daten im Darknet

Von Thomas Waetke 7. März 2017

Ein Hacker soll Berichten zufolge Daten von ca. 950.000 Nutzerkonten der Webseite des US-Festivals Coachella im Darknet anbieten. Er behauptet, er habe u.a. Mailadressen, Nutzernamen und verschlüsselte Passwörter, 360.000 direkt aus der Webseite, und 590.000 Daten aus dem Forum.

IT-Sicherheitsfirmen weisen darauf hin, dass Besucher nun verstärkt mit Pishing-Attacken rechnen müssten, zudem sei denkbar, dass Tickets durch Unbekannte sogar storniert und ersetzt werden könnten.

Das Festival findet im April statt und zählt zu den größten der Welt, dieses Jahr treten dort u.a. Radiohead, Lady Gaga und Kendrick Lamar auf.

Nach deutschem Recht muss bei einer Daten-„Panne“ die verantwortliche Stelle aktiv werden:

Drohen durch das Datenleck schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen,und handelt es sich bei den Daten um …

  • besondere Arten personenbezogener Daten, also Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, oder
  • personenbezogene Daten zu Bank- oder Kreditkartenkonten, oder aber auch
  • beim Telediensteanbieter (z.B. Webseitenbetreiber) gespeicherte Bestands- oder Nutzungsdaten (§ 15a Telemediengesetz, siehe dazu unten),

… muss dies der Verantwortliche unverzüglich der für ihn zuständigen Aufsichtsbehörde und den Betroffenen mitteilen.

Die Benachrichtigung an die Betroffenen muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird.Soweit die Betroffenen nicht einzeln benachrichtigt werden können, muss zumindest eine Information über die Öffentlichkeit erfolgen, und zwar durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen, oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme (§ 42a BDSG. Hinweis: Seit 25.05.2018 gilt die DSGVO).

Gilt auch für Webseitenbetreiber!

Für einen Webseitenbetreiber gilt auch das Telemediengesetz (TMG). Hiernach muss der Diensteanbieter ebenfalls Aufsichtsbehörde und Betroffene gemäß § 42a BDSG informieren, soweit bei ihm gespeicherte

unrechtmäßig übermittelt worden oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des betroffenen Nutzers drohen (§ 15a Telemediengesetz).

Schutzmaßnahmen

Wer als Webseitenbetreiber, Veranstalter, App-Anbieter usw. fremde Daten erhebt, speichert und verarbeitet, muss besondere organisatorische und auch technische Maßnahmen treffen, die ein Hacken bzw. eine rechtswidrige Kenntniserlangung verhindern (vgl. § 13 Absatz 4 TMG).

Hinweis: Mit Blick auf die neue EU-Datenschutz-Grundverordnung (DSGVO) gilt ab Mai 2018 dann Art. 32 DSGVO, der durch das deutsche Anpassungsgesetz (das dann das BDSG ersetzen wird) konkretisiert wird. Die DSGVO wird eine erhebliche Veränderung mit sich bringen: Verstöße gegen notwendige Schutzmaßnahmen werden künftigg mit einem Bußgeld von bis zu 10 Mio Euro bzw. 2% des weltweiten Unternehmensumsatzes geahndet. Ein Grund mehr, sich ggf. doch etwas mehr mit der IT-Sicherheit auseinanderzusetzen…

 

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Anonyme Person im Datennetz: © Bits and Splits - Fotolia.com