Sicherheitslücke Meta KI – DS News KW 24-2026

Transkript zur Folge:

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosense.
Heute ist Freitag, der 12. Juni 2026 und Redaktionsschluss war heute schon um 9.30 Uhr.
Mein Name ist Gregor Wortberg und bei mir ist Natalia Wosniak.
Hallo.
Hi Natalia. Ja, wir schauen heute wieder gemeinsam, wie in der letzten Woche
auch schon, gemeinsam mit euch, liebe Zuhörerinnen und Zuhörer,
auf die wichtigsten Datenschutzthemen der Woche.
Wir haben ein paar mitgebracht. Welche zwei sind es bei dir?
Frag schon mal so direkt.
Ich habe zwei und einen halben, wenn der Lesehinweis mitzählt, ansonsten zwei.
Ich habe einmal das Landgericht Berlin, also ein Urteil des Landgerichts Berlin.
Dieses hat ein Bußgeld gegen die deutsche Wohnen verhängt und ich habe Neuigkeiten
zur Wahl des neuen BFTE, also des Bundesdatenschutzbeauftragten und wie gesagt ein Lesehinweis.
Meine Liste ist noch größer. Ich habe ein Thema mitgebracht und einen Lesehinweis.
Und zwar das Titelthema. Die Sicherheitslücke im KI-Chatbot von Meta habe ich
dabei. Und dann noch einen Lesehinweis vom ETSA, vom Europäischen Datenschutzausschuss.
Dann legen wir mal los, Natalia.
Ja, machen wir. Also, das Landgericht Berlin 1 hat laut Pressemitteilung vom
9.6., also druckfrisch, ein
Bußgeld in Höhe von 900.000 Euro gegen die Deutsche Wohnen SE verhängt.
Es handelt sich, wenn es bei jemandem klingelt bei dem Namen,
um den Abschluss eines schon etwas älteren Verfahrens, bei dem ursprünglich
im Jahr 2019 ein Bußgeld von 14,5 Millionen Euro von den Berliner Datenschutzbeauftragten
verhängt wurde gegen die Deutsche Wohnen.
Ich glaube, einige Zuhörer werden sich vielleicht noch daran erinnern,
an den großen Aufschrei damals mit den 14,5 Millionen Euro.
Der Verstoß lag unter anderem darin, dass das Unternehmen es versäumt hat,
rechtzeitig, also nach Inkrafttreten der DSGVO,
rechtzeitig geeignete technische und organisatorische Maßnahmen zur wirksamen
Umsetzung der Datenschutzgrundsätze zu treffen.
Konkret ging es um die fristgemäße Löschung von personenbezogenen Daten ehemaliger
Mieterinnen und Mieter des Unternehmens.
Das ist nicht gewährleistet gewesen. Die Verstöße bestanden darin,
dass das Archivsystem der Deutschen Wohnen keine Löschung nicht mehr relevanter
personenbezogener Daten ermöglichte,
was sensible Informationen wie zum Beispiel auch Gehaltsbescheinigungen umfasste.
Das Unternehmen hatte damals dagegen Einspruch eingelegt und ja,
es zog sich ein etwas längeres Verfahren dann bis heute hin oder bis vor wenigen Tagen hin.
Bei diesem wurden unter anderem auch verschiedene offene Fragen dem Europäischen
Gerichtshof vorgelegt und es kam zu einer Grundsatzentscheidung des EuGH im Dezember 2023.
Wir berichten darüber und haben das auch nochmal in den Shownotes verlinkt,
wer das noch nachlesen möchte.
Im Anschluss danach wurde das Verfahren erneut dem Landgericht Berlin 1 zur
Verhandlung der Sache vorgelegt.
Und nun stellt das Gericht aktuell fest, dass es dem Unternehmen zumutbar gewesen
wäre und auch technisch möglich, diese Daten, also neben Gehaltsbescheinigung
und Kontoauszügen auch Personalausweisdokumente der Mieterinnen und Mieter,
besser zu schützen und fristgerecht zu löschen.
Die Beweisaufnahme des Gerichts hat insbesondere ergeben, dass die Deutsche
Wohnen damit gegen die Grundsätze der Datenminimierung aus Artikel 5 Absatz 1 Buchstabe C DSGVO,
und der Speicherbegrenzung aus Artikel 5 Absatz 1 Buchstabe E DSGVO verstoßen habe.
Zudem sei in Einzelfällen betreffend ehemaliger Mieterinnen und Mieter auch
vorsätzlich gegen die Grundsätze für die Verarbeitung personenbezogener Daten
aus Artikel 6 Absatz 1 DSGV verstoßen worden.
Die Entscheidung des Landgerichts ist noch nicht rechtskräftig und kann noch
angefochten werden, wobei ja der Pressemitteilung kann entnommen werden,
dass beide Seiten das Urteil als Teilsieg betrachten.
Insofern hoffentlich ist das jetzt auch ein Abschluss des langen Verfahrens,
ansonsten werden wir doch wahrscheinlich noch was davon hören.
Ja, was lernen wir daraus? Ja, die Löschung ist nicht optional.
Die Sicherstellung der angemessenen technischen organisatorischen Maßnahmen
werden wir nicht müde zu wiederholen, wie wichtig diese ist.
Aber es zeigt sich auch, dass Einspruch einlegen sich manchmal auch lohnen kann,
was sich auf die Bußgeldhöhe bzw. auf die Zahlung am Ende auswirken kann.
Hat sich ja in der Vergangenheit auch schon gezeigt, bei 1&1 zum Beispiel auch,
da wurde es ja auch deutlich reduziert.
Richtig. Und nachher, ja, das war jetzt das Thema.
Wunderbar, da möchte ich in meiner nächsten Meldung gerne einmal zu Meta blicken.
Und zwar hat es dort eine Sicherheitslücke in Metas KI-Chatbot gegeben,
der es Angreifer ermöglichte, Passwörter von über 20.000 Nutzerkonten zurückzusetzen.
In der Zwischenzeit wurde die Sicherheitslücke
auch von Meta bestätigt und glücklicherweise auch beseitigt.
Was ist passiert? Was ist der Hintergrund? Das Ausnutzen der Sicherheitslücke
war sehr, sehr einfach möglich.
Also ohne wirklich großes technisches Know-how. Es ist so gewesen,
wenn man den Nutzernamen von einem Instagram-Konto kannte, also den,
den man auch bei einem privaten Profil dann einfach sehen kann.
Und den ungefähren Standort durch ein VPN-Netzwerk dann auch simulieren konnte,
konnte man über die Passwort-zurücksetzen-Funktion in der Instagram-Kontrolle App,
das Passwort neu vergeben, auch mit einer eigenen E-Mail-Adresse,
die man hinterlegen konnte.
Also da wurden dann mehrere Sicherheitsmechanismen ganz leicht durch diesen
KI-Chatbot dann außer Kraft gesetzt.
Nach Zurücksetzen hatte man dann natürlich folglich auch uneingeschränkten Zugriff
auf alles, was in dem Instagram-Konto abrufbar war und zum Teil auch wohl dann
auf Informationen, die dann in anderen Meta-Konten abrufbar gewesen sind.
Also zum Beispiel Facebook oder ähnliches, das ist ja alles miteinander verbunden.
Sicherheitsforscher hatten laut Heise in den vergangenen Wochen schon mehrfach
auf die Masche hingewiesen.
In Telegram-Gruppen wurden sogar besonders begehrte Nutzerkonten,
also wahrscheinlich von Prominenten oder Ähnlichem, zum Verkauf auch angeboten.
Der Vorfall zeigt vor allem eigentlich eines, dass KI im Kundensupport,
also man kennt es ja alles aus Chatbots, die man auch im Internet verschiedenen
Seiten dann sehen kann, ja nicht isoliert betrachtet werden sollten.
Gerade bei der Einbindung in sicherheitskritische Prozesse, da dann schon gut
getestet werden sollte und auch angemessene technische und organisatorische
Schutzmaßnahmen implementiert werden.
Eine weitere Sache zeigt es aber
auch im Kern und zwar die Wichtigkeit der Multifaktor-Authentifizierung,
weil es waren nämlich gerade die Nutzerkonten betroffen, die halt eben nicht
über eine solche verfügten.
Und da können wir als Unternehmen natürlich auch daraus lernen.
Und da diese Funktion, diesen Sicherheitsmechanismus
für die Beschäftigten natürlich dann auch aktivieren.
Und wir als Privatpersonen natürlich auch.
Richtig. Ich glaube, gerade bei neuen Technologien sollten Penetrationstests
zum Standard dazugehören.
Wirklich Testzyklen überprüfen, alle möglichen Szenarien, was kann wirklich
passieren und was ist ausgeschlossen und welche Lücken könnten wirklich Angreifer ausnutzen.
Und ich glaube auch das Thema mit der Zwei-Faktor-Authentifizierung,
das sollte oder ist eigentlich mittlerweile Stand der Technik und sollte auch,
an allen anderen Stellen, wo es bisher noch nicht umgesetzt ist,
auch sollte man überprüfen, inwiefern das möglich ist und gegebenenfalls auch
umstellen, weil es bringt einfach ein Mehr an Sicherheit.
Der Artikel griff auch nochmal auf, dass gerade Meta ja auch selber mit KI auch
nur programmiert und obwohl die Mitarbeiter dahingehend auch misst,
wie sehr sie dann noch KI beim Programmieren einsetzen und das ist dann vielleicht
auch eine Folge daraus, dass dann ein bisschen zu viel auf die KI-Programmierung
dann blind vertraut wurde und eben nicht getestet wurde.
An der Stelle können wir also nur den Instagram-Nutzern, die bisher noch nicht
die Zwei-Faktor-Authentifizierung eingeschaltet haben, nur dringend ans Herz
legen, das entsprechend umzustellen, um zukünftige Lücken zu vermeiden.
Dann komme ich zu meinem nächsten Thema. Und zwar hat, wie Heise berichtet,
hat die Regierungskoalition den Freiburger Rechtsprofessor Moritz Hennemann
als neuen Bundesbeauftragten für den Datenschutz ausgewählt.
Er soll die Nachfolge der aus dem Amt scheidenden Frau Luisa Specht-Riebenschneider antreten.
Der Jurist gilt als Datenrechtler, der den Kurs der Amtsinhaberin weitestgehend fortsetzen würde.
Er hat sich bislang in seinen Veröffentlichungen mit einer Vielzahl von Datenschutzfragenstellungen
auch jenseits des klassischen Datenschutzrechts beschäftigt.
Dabei bringe Herr Hennemann, so heise weiter, auch eine gewisse Skepsis gegenüber
der DSGVO mit, die er früher noch als Innovationshemmnis nannte.
Zudem sei er auch dafür bekannt, dass bei datenschutzrechtlichen Entscheidungen
auch geopolitische und wirtschaftliche Aspekte berücksichtigt werden sollen,
so seinem Ansicht laut Heise.
Für eine Formel der Nachfolge müsste allerdings ein neuer BFDI noch vom Bundesministerium
des Innern vorgeschlagen werden und bei einer anschließenden Wahl im Bundestag
muss sich eine Mehrheit der Abgeordneten für den Kandidaten aussprechen.
Frau Specht-Riemenschneider hatte zuletzt im März angekündigt,
noch bis zur Regelung der Nachfolge im Amt zu bleiben.
Ja, vielen Dank, Natalia. Und dann kommen wir auch schon zu meinem ersten Lesetipp.
Der Europäische Datenschutzausschuss, der ETSA, hat eine neue Meldevorlage für
Datenschutzverletzungen, die den Anforderungen von Artikel 33 der DSGVO entspricht, verabschiedet.
Diese Vorlage soll insbesondere kleineren Organisationen helfen,
ihre Meldepflichten gegenüber den Datenschutzbehörden effizienter zu erfüllen.
Die Vorlage wird erstmal bis August diesen Jahres öffentlich zur Konsultation
gestellt, bevor die praktische Umsetzung dann entschieden wird.
Ist gerade erstmal in englischer Sprache verfügbar und knappe 20 Seiten lang.
Aber unseres Erachtens doch eine gute Basis, um vielleicht auch eine eigene
Dokumentenvorlage zu erstellen, um künftig bei Datenschutzvorfällen da schon
mal ein Dokument in der Schublade zu haben.
Auf jeden Fall. Mein Lesehinweis bezieht sich auf eine Veröffentlichung der
baden-württembergischen Landesdatensbeauftragten.
Diese stellte am 11. Juni 2026, also gestern, zwei Handreichungen zum Einsatz
von künstlicher Intelligenz vor.
Die Leitfäden erklären die Anwendung des neuen § 3a Landesdatenschutzgesetz,
wonach KI in der Verwaltung zulässig ist, wenn eine bestehende Rechtsgrundlage vorliegt,
und sie geben Empfehlungen, welche Datenverarbeitungen als KI-Betriebsmittel möglich sind.
Der zweite Leitfaden beschreibt, wie KI-gestützte Sprach-zu-Textsysteme bei
Gemeinderatssitzungen unter strengen rechtlichen und technischen Rahmenbedingungen
eingesetzt werden können.
Insofern, ich glaube, zum einen für Unternehmen, die öffentlich-rechtlich organisiert
sind, auf jeden Fall interessant, aber vielleicht auch von den Grundsätzen her
auch für andere Unternehmen in der Privatwirtschaft.
Ein Leserhinweis, ich glaube, wo man reingucken könnte.
Auf jeden Fall. Vielen Dank dafür. Und damit sind wir auch schon am Ende unserer
heutigen Folge angekommen, liebe Natalia.
Ich danke dir immer wieder. Es hat mir Spaß gemacht.
Ich danke dir ebenfalls, Gregor.
Und euch, liebe Zuhörer, wünschen wir an dieser Stelle schon ein schönes Wochenende,
und wenn ihr uns am Montag habt, wie immer einen guten Start in die Woche. Bis bald.
Bis bald.