Zum Inhalt springen

Alarmierendes Datenleck bei Glücksspielsystem- DS News KW 12/2025

    Der Datenschutz Talk
    Moderation:
    avatar
    David Schmidt
    avatar
    Lothar Symanofsky

    Was ist in der KW 12 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

    Empfehlungen

    Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

    Twitter: https://twitter.com/DS_Talk

    Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

    (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

    Instagram: https://www.instagram.com/datenschutztalk_podcast/

    Folge hier kommentieren: https://migosens.de/alarmierendes-datenleck-bei-glucksspielsystem-ds-news-kw-12-2025/↗

    Transkript zur Folge: Herzlich Willkommen zum Datenschutz Talk, deinem wöchentlichen Update zum Datenschutz. Heute am Mikro sind Lothar Szymanowski und mein lieber Kollege David Schmidt. Grüßt sich Lothar. Hi David. Wir haben Freitag, den 21. März 2025. Unser Redaktionsschluss war wie immer um 10 Uhr. Und wie üblich haben wir auf die Meldung in dieser Woche zurückgeblickt. David, welche Themen hast du dabei? Wir schauen nochmal auf die mit dem Bürokratieentlastungsgesetz geänderten Aufbewahrungsfristen und dann habe ich noch eine Sicherheitslücke mitgebracht, die sich bei einem großen Glücksspielanbieter offenbart hat. Wie sieht es bei dir aus, Lothar? Ich habe auch zwei Themen dabei und zwar zum einen eine Beschwerde der Neub gegen OpenAI und ebenfalls eine Sicherheitslücke in einer Fernwartungssoftware. Dann lass uns loslegen. Seit dem 1. Januar ist das Bürokratieentlastungsgesetz 4 in Kraft getreten. Mit dem Gesetz wurden die gesetzlichen Aufbewahrungsfristen für bestimmte Dokumente, insbesondere für Belege nach 257 Handelsgesetzbuch und 147 Abgabenordnung von 10 auf 8 Jahre verkürzt. Vor diesem Hintergrund hat der hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit daran erinnert, die Löschfristen im Rahmen der Löschroutinen und Löschkonzepte entsprechend anzupassen. Zur Orientierung verweist seine Behörde auf eine Seite der Handelskammer in Hamburg und dem schließen wir uns an und packen den Link in die Shownotes. Auf der Seite ist nicht nur erklärt, wie lange verschiedene Unterlagen aufgehoben werden müssen, sondern auch wie, wo und in welcher Form. Also ein guter erster Aufschlag, um sich mit dem Thema hoffentlich nicht erst zum ersten Mal, sondern jetzt erneut zu befassen. Das hört sich so an, als ob die Löschkonzepte überarbeitet werden müssen, die Fristen für die Verarbeitung angepasst werden müssen. Ja, das hört sich nach Arbeit an. Und das Ganze, wie ich dich richtig verstanden habe, läuft unter dem Stichwort Bürokratie-Entlastungsgesetz. Ich glaube in der vierten Version jetzt, ne? In der vierten Version, ich weiß aber nicht, ob das jetzt die vierte Version ist für dieses Gesetz oder ob es vorher andere Entlastungen gab und die werden einfach durchnummeriert. Vielleicht weiß das jemand von den Zuhörern und kann uns da aufklären. Ja, auch vielleicht mal die Auflösung Teil 1 bis 3 würde uns auch interessieren an der Stelle. Aber tatsächlich, also es geht letztendlich darum, die Fristen für das Löschen von strukturierten, aber auch von unstrukturierten Daten zu löschen. Ein Blick und eine Änderung des Löschkonzeptes würden wir empfehlen und ans Herz legen. Kommen wir zur Beschwerde Neub. Der Titel ist schon sehr reißerisch, aber trifft es eigentlich ganz gut. JetGPT hat fälschlicherweise einen norwegischen Nutzer als Doppelmörder dargestellt. Wie wir bei Heise und bei Neub selber lesen konnten, wurde ein norwegischer Mann fälschlicherweise von JetGPT als Mörder dargestellt. Das hat zu einer Datenschutzbeschwerde des österreichischen Vereins Neub bei der norwegischen Datenschutzbehörde geführt. Reub kritisiert, dass OpenAI sich auf einen Haftungsausschluss beruft, der nicht ausreiche, um die gesetzlichen Verpflichtungen zur Datenrichtigkeit gemäß der DSGVO-Vorgaben zu umgehen. In diesem bemerkenswerten Fall in Norwegen enthielt der Betroffene die Antwort von ChatGPT auf die Frage nach seinem Namen teilweise korrekte Informationen wie Heimatort, Anzahl, Geschlechter und Alter seiner Kinder. Allerdings stellte der Chatbot den Betroffenen fälschlicherweise als Mörder dar, der zwei seiner drei Kinder getötet haben soll und deshalb zu 21 Jahren Haft verurteilt wurde. Warum es zu dieser Falschaussage seitens ChatGPT, dem Sprachmodell, gekommen ist, bleibt völlig unklar. Es hat ja auch schon Fälle gegeben, in denen beispielsweise Journalisten auch als Straftäter beschrieben wurden, nur weil sie diese Taten berichteten und diese Ergebnisse vermischt wurden. Aber wie gesagt, die Halluzinationen in diesem norwegischen Fall sind nicht, zumindest auf den ersten Blick, nachvollziehbar. Im Kern der Beschwerde von Neub geht es darum, dass die DSGVO den Grundsatz zur Datenrichtigkeit enthält, der es ermöglicht, sich gegen Unwahrheiten zu wehren und eine Richtigstellung zu verlangen. OpenAI weist darauf hin, dass Chat-GPT Fehler machen könnte, was durch einen Hinweis kenntlich gemacht wurde. Aber Neub kritisiert jedoch, und das ist auch nachvollziehbar, dass dieser winzige Hinweis nicht ausreiche, um den gesetzlichen Verpflichtungen zur Richtigkeit nachzukommen. Zitat von Neub, die gesetzlichen Verpflichtungen zur Datenrichtigkeit lassen sich nicht mit einem Haftungsausschluss umgehen. Ja, grundsätzlich haben wir hier eine Herausforderung mit, ja grundsätzlich KI-Sprachmodellen zu tun, bei denen Fakten und Fiktionen vermischt werden. Fazit, deshalb zeigt deutlich, dass wir zum jetzigen Zeitpunkt sehr, sehr aufmerksam sein müssen und auch kritisch sein müssen, da wo KI-Systeme Einzug in den privaten und geschäftlichen Bereich einhalten und immer stärker und immer schneller zum Einzug kommen. Klar auch, KI-Systeme werden zwar immer besser und sicherlich wird es auch zukünftig technische Möglichkeiten geben, gegen diese Halluzinationen vorzugehen und diese einzudämmen. Allerdings schützt das auch nicht vor Fehlern und entbindet uns auch nicht von der Verpflichtung der Kontrolle, der kritischen Kontrolle. Ja, alles in allem, ich glaube, diese Aspekte, die gehören auch in eine betriebliche Richtlinie zum Umgang mit KI-Systemen. Um nicht so festzustellen, ja, welche Systeme darf ich verwenden? Sind die freigegeben? Wie trainiere ich die? Sondern wie gehe ich mit den Ergebnissen um? Ich finde es vor allem auch ein super Beispiel für die Wichtigkeit des Grundsatzes der Richtigkeit der Daten. Auf der einen Seite erschütternd, aber eben auch ein super Beispiel, was das für Auswirkungen haben kann, wenn Daten einmal unrichtig im Umlauf kommen. Und gerade im Zusammenhang mit KI sollte man da immer vorsichtig sein und auch überlegen, wie man eine Halluzination, die man nicht direkt nach der Generierung der Daten bemerkt hat, noch zurückverfolgen kann. Also Stichwort Verwässerung von aus KI generierten Daten mit anderswo erhobenen Daten. Bei dem Glücksspielanbieter Merkur wurde durch eine IT-Sicherheitsforscherin ein erhebliches Datenleck aufgedeckt. Die Lücke betrifft die Online-Casinos der Merkur-Gruppe und aufgedeckt wurde diese von der Sicherheitsforscherin Lilith Wittmann. Für die Online-Casinos wurde eine Software namens The Mill Adventures eingesetzt, die von einem maltesischen Dienstleister zur Verfügung gestellt wird. Durch eine ungeschützte GraphQL-Schnittstelle war es möglich, personenbezogene Daten von über einer Million Spielern einzusehen. Unter den Daten befinden sich nicht nur Namen der Spieler, sondern auch sensible Informationen wie Spielhistorien, interne Vermerke zu einzelnen Spielern, Ausweiskopien und Zahlungsinformationen. Ja, in Anbetracht der Quantität und Qualität dieser Lücke sind wir gespannt, welche behördlichen Sanktionen und auch Schadenersatzforderungen durch Betroffene auf die Merkur-Gruppe zukommen. Wow, nicht trivial. Wir sind bei den technisch-organisatorischen Maßnahmen und wie wichtig die sind, kann man sehr, sehr schön an diesem Beispiel sehen. Ja, vor allem in so einem sensiblen Bereich. Sowieso irgendwie so ein bisschen immer in der shady Ecke, wo sich vielleicht auch Behörden und Personen, die nicht so viel damit zu tun haben, gar nicht so für interessieren. Aber es ist hier natürlich ein Riesending. Absolut. Also das Risikobetrachtung, die Auswirkungen für die betroffene Person, nicht nur Identitätsdiebstahl, sondern auch Erpressungsrisiken, ist schon irre. Wir bleiben tatsächlich bei Sicherheitslücken und zwar konnten wir ebenfalls bei Heise lesen über eine kritische Schwachstelle in einer Serverfernwartungssoftware, die Army Megarec. Sicherheitsexperten von Eklipsium haben in der Fernwartungssoftware eine kritische Sicherheitslücke entdeckt. Diese Schwachstelle ist auch bekannt als Redfish Authentication Bypass. Hat auch eine CWE-Nummer, also eine Common Vulnerability and Exposure-Nummer. Ist die 224 54085, verlinken wir auch in den Shownotes, und wurde mit der höchsten Risikostufe bewertet. Sie betrifft die Firmware und ermöglicht potenziell autorisierten Zugriff auf die Server. Diese schwerwiegende Sicherheitslücke in der Fernwartungssoftware könnte es Angreifern ermöglichen, auf vertrauliche Daten zuzugreifen bzw. Systeme zu manipulieren oder sogar Schadsoftware zu installieren. Und natürlich sind Unternehmen als Verantwortliche verpflichtet, personenbezogene Daten durch dem Risiko angemessene und geeignete technische und organisatorische Maßnahmen zu schützen. Und eine solche Schwachstelle stellt ein erhebliches Risiko für die Integrität und Vertraulichkeit dieser Daten dar. Für die technisch interessierten Zuhörer sind die betroffenen Systeme. Die Firmware Army MegaRack wird auf den Baseboard-Management-Controllern von Servern eingesetzt, unter anderem bei den Herstellern wie Asus, SROG Rack. HPE, also im Enterprise-Segment und bei Lenovo. Die Schwachstelle befindet sich in einem Codemodul für die Fernwartung API Redfish, die sich als sicherer Ersatz für das ältere IPMM-Protokoll gilt. Es wurden bereits vom Hersteller Patches bereitgestellt, die jedoch von den jeweiligen Herstellern in ihre Firmware integrieren müssen. Ja, also falls noch nicht passiert, sich mal diese Schwachstelle anschauen, die CWE-Nummer mal nachschlagen und bitte ins Patchmanagement übernehmen. Und ja, auch hinsichtlich der Fernwartung ist auch ein Riesenthema. Auch nochmal ein Auge drauf werfen, stellt man sich zunächst die Frage, welche Aspekte aus dem Datenschutz gelten bei der Fernwartung, was ist dort zu beachten? Ja, das ist ein Datenschutzthema. Es muss zum einen vertraglich geregelt sein, welche Instanzen, welche Hersteller dürfen denn auf die Systeme zugreifen. Habe ich da Protokolle darüber, wenn es unbeaufsichtigt ist oder ist es sogar ein begleiteter oder beaufsichtigter Vorgang? Also da auch nochmal bitte in die Richtlinien schauen zur Fernwartung von Systemen, von Software und die Aufnahme in das Patchmanagement. Zum Abschluss habe ich noch einen kleinen Schmunzler mitgebracht. Der kommt von uns aus Nordrhein-Westfalen. Die Landesbeauftragte für den Datenschutz hier, Bettina Geig, hat eine Verwarnung gegen einen Kleingartenverein ausgesprochen. Und vielleicht betrifft es ja den einen oder anderen jetzt, wo das Wetter wieder besser wird, dass man wieder Zeit in seinem Schrebergarten verbringen möchte. Diese Vereine halten selbstverständlich auch Jahresversammlungen ab und der hier verwarnte Verein ist auf die Idee gekommen, das Protokoll mit allen Mitgliedsnamen von dieser Versammlung in einem zugänglichen Glasschau-Kasten zu veröffentlichen. Da hatten sich Mitglieder gegen beschwert und die Behörde ist daraufhin dann tätig geworden. Was es alles gibt. Ich bin heute Abend tatsächlich in meinem Angelferein unterwegs. Ich werde mir auch mal die Schaukästen anschauen. Mach das mal. Besser du sprichst die Verwarnung aus als die Behörde. Ich bin auf die Gesichter gespannt. Gut, ich glaube wir sind soweit durch, lieber David. Wir sind kurz vor dem Wochenende und blicken tatsächlich zurück auf eine spannende Woche. Ich freue mich auf das Wochenende. Das Wetter scheint ja auch uns in die Karten zu spielen. Wie wirst du das bundesliga-freie Wochenende gestalten? Nicht im Schrebergarten, so viel verrate ich. Das hört sich nach einem Plan an. Ja, vielen Dank, falls ihr das heute am Freitag hört. Wir wünschen euch ein schönes Wochenende, ein sonniges Wochenende. erholt euch gut. Falls ihr es am Montag hört, wünschen wir euch, dass ihr euch am Wochenende gut erholt habt, euch einen guten Wochenstart und würden sagen, bis nächste Woche. Auf bald!

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert