Leaking von privaten Informationen
stlorenz opened this issue · 11 comments
Hat das schon jemand auf dem Schirm:
https://www.heise.de/news/Digitalisierung-Handelsregister-de-verraet-private-Daten-7202516.html
Ist das wirklich ein Thema im endgültigen Datensatz oder wird dieser keine Dokumente und ggf damit auch keine der hier angesprochenen personenbezogenen Daten enthalten?
Wäre es dann nicht dennoch sinnvoll entsprechend erkennbare sensitive Informationen unkenntlich zu machen?
Mir fallen ad hoc ein paar Szenarien ein wie ich diese Daten dann entsprechend für Cyberangriffe nutzen kann:
-
Die Unterschrift des GF + alle anderen Daten und damit entsprechende Verträge abschließen.
-
Pretexting für CEO Fraud usw.
-
Information der Kunden über eine neue Bankverbindung etc.
Also eigentlich alles was mit Identitätsdiebstahl zu tun hat.
Ausserdem wäre es doch sehr nett wenn ich mir mal eben eine Liste aller Unternehmen ziehen kann die das Wort "Cyberversicherung" im Geschäftsbericht haben.
Dann hab ich ja gleich mal meine Liste fürs Ransomware Business Development. 😬
Ja, müsste man dem Gericht mal schreiben, ob die vielleicht auf Antrag etwas schwärzen würden. Aber die sehen halt § 10a HGB vorrangig, da wird sogar die Aufhebung der DSGVO geregelt. https://dejure.org/gesetze/HGB/10a.html
Mir ist auch unwohl dabei meine Adresse und Geburtstdatum als Gesellschafter da zu lesen und ich bezweifle auch den Mehrwert für die Rechtssicherheit im Geschäftsverkehr. Zumindest ein Teil der Daten wäre doch zu schützen, damit man nicht ganz nackt dar steht.
Es macht ja Sinn gucken zu können, mit wem ich es zu tun habe, aber da reichen mir auch weniger Daten würde ich meinen.
Lässt sich auf jedenfall ne schöne App mit bauen, vielleicht in TypeDB. :D
Naja. Die Veröffentlichung durch das Gericht ist die eine Seite.
Wenn jetzt aber durch diese Initiative die Informationen leicht durchsuchbar zur Verfügung gestellt werden dann geht ja ein Teil der Verantwortung für den Missbrauch auf die Initiative über oder nicht?
Nur weil der Fehler jetzt schon beim Gesetzgeber bzw der fehlenden Standardisierung der eingereichten Daten liegt wird man ja nicht vom verantwortlichen Umgang mit den Daten entbunden.
Das hat jeder Linux 'root' User schon mal gelesen.
Gibt ja X Fälle in denen gerade Adressen wirklich schützenswert sind:
- Stalking
- häusliche Gewalt
- ...
Geht ja schon bei Gesellschafterbeschluss los:
Die Versammlung der Gesellschafter fand bei X in A-Straße etc statt.
Es werden neben den, richtigerweise, für die Transparenz erforderlichen Daten eben auch noch sehr viele weitere Daten leicht verfügbar gemacht.
Hier könnte man auch wieder mit der DSGVO argumentieren da diese eben den Grundsatz der Datenminimierung und der Erforderlichkeit beinhaltet.
Das ganze ist eine Verarbeitung nach Art 6 Abs 1 lit c) DSGVO. Grundlage ist das HGB.
In HGB 10a werden nur die Betroffenenenrechte geregelt nicht das die DSGVO nicht zur Anwendung kommt. (Was im übrigen kaum geht)
Ich bin kein Jurist aber ihr habt sicher entsprechend kundige Personen in eurem Netzwerk. 😉
Um das konstruktiv zu halten:
Die Frage lautet ob es nicht sinnvoll wäre entsprechende technisch organisatorische Maßnahmen zu ergreifen um hier das Missbrauchspotential zu reduzieren?
Happy to help with some code.
Ja, stimme ich voll zu. Die Möglichkeiten der Weiterverarbeitung durch so ein Tool wären abzuwägen.
Mit Aufhebung meine ich nur für den Zweck der Veröffentlichung im HR halt, siehe Abs. 1 S. 1:
Das Auskunftsrecht nach Artikel Absatz 1 und das Recht auf Erhalt einer Kopie nach Artikel 15 Absatz 3 der [Verordnung (EU) 679/2016] des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr
und zur Aufhebung der
Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) wird dadurch erfüllt, dass die betroffene Person Einsicht in das Handelsregister und in die zum Handelsregister eingereichten Dokumente nehmen kann.
Natürlich nicht generell.
Also ich glaube wir müssen da realistisch bleiben:
Wir werden als Zivilgesellschaftliche Initiative nicht Millionen von Dokumenten bereinigen können.
Wir haben da eine politische Entscheidung, dass diese Dokumente öffentlich sein sollen - waren sie defacto schon immer.
Gerade Unternehmer*innen sollte bewusst sein, dass diese Dokumente öffentlich sind. Das die Dokumente öffentlich sind und die DSGVO darauf keine Anwendung findet ist in HGB § 10 geregelt.
All die oben genannten Angriffsvektoren sind auch heute bereits ohne Daten über die Eigentümerstrukturen machbar. Und Handelsregister-Dumps ohne Eigentümerstruktur gibt es massenhaft.
Es ist auch halbwegs nutzlos, wenn wir in einer Kopie bei uns die Dokumente bereinigen, während die Originalen weiterhin abrufbar sind. Das schützt weder vor Stalking noch sonst irgendwas. Weil die Originale mit allen Daten sind einen Klick weit weg.
Worüber wir meiner Meinung nach sprechen könnten: Das Vereinsregister auszusparen. Weil dort absehbar Daten von Mitgliedern erfasst wurden, ohne das diese davon überhaupt wussten.
Und die Intressensabwägung zwischen "Transparenz von Eigentümerstrukturen" zu "Privatsphärebedürfnis von Unternehmer*innen" ist für mich relativ einfach.
Zitat:
Dokumente öffentlich sind und die DSGVO darauf keine Anwendung findet ist in HGB § 10 geregelt.
Das ist schlicht falsch. Natürlich findet die DSGVO Anwendung. Es werden nur die Rechte nach Art 13 spezifiert und der Widerspruch nach Art 21 ausgeschlossen.
Alles andere findet Anwendung, Zweck und Rechtsgrundlage sind ja, zumindest beim offiziellen HR gegeben. Bei der Initiative siehts mit der Rechtsgrundlage der Verarbeitung schon wieder schwer aus. Datenminimierung könnte man ebenfalls verletzt sehen.
Stimmt Unternehmer*innen sind in Deutschland ja per se böse und haben deswegen keine Rechte. /s
Denkt bitte dran das 99% der Unternehmen in Deutschland von Lieschen Müller geführt werden.
Ich wäre zumindest skeptisch ob massenhafte Veröffentlichung von Informationen die nicht durch gesetzliche Erforderlichkeit gedeckt ist nicht doch einen zweiten Blick durch die Aufsichtsbehörde wert ist.
Es geht explizit um die zusätzlichen Dokumente die Informationen enthalten KÖNNTEN die nach dem Gesetz gar nicht erforderlich sind und versehentlich veröffentlicht wurden.
Das Risiko für die/den Betroffenen steigt ja schon allein durch die bessere Durchsuchbarkeit an.
War ja auch nur eine Frage ob das jemand auf dem Schirm hat und welche Maßnahmen dagegen ergriffen werden sollen.
Da das offensichtlich nicht gewünscht ist kann der Issue wohl geschlossen werden.
Es weare doch auch moeglich einen API Token bei Registrierung zu issuen? Dann waeren die Daten nicht direkt zu holen, sondern es muesste zuerst eine Registrierung abgeschlossen werden.
Es geht explizit um die zusätzlichen Dokumente die Informationen enthalten KÖNNTEN die nach dem Gesetz gar nicht erforderlich sind und versehentlich veröffentlicht wurden.
Aber standen nicht all die Daten auch schon lange vorher zur Verfügung (nur halt kostenpflichtig)?
Dann gäbe es da keine zusätzlichen Dokumente, die nicht eh schon öffentlich waren.
Und, dass es so leichter durchsuchbar ist, ist eigentlich egal, da man auch so selber große Datensätze hätte erstellen können, die durchsuchbar sind und das jetzt einfach nur ein Schritt in die Zukunft ist.
@Panzer1119 IMHO handelt der Sachverhalt von der Zugaenglichkeit der Dokumente. Mit einer offenen API koennten Dokumente deutlich einfacher in grossem Volumen maschinell verarbeitet werden koennen.
Und, dass es so leichter durchsuchbar ist, ist eigentlich egal, da man auch so selber große Datensätze hätte erstellen können, die durchsuchbar sind und das jetzt einfach nur ein Schritt in die Zukunft ist.
Egal, haette und koennte ist kein Gegenargument. Nicht boes gemeint. 😃
Ich denke, dass mit einer Registrierung um einen API Key zu erhalten genug getan ist um den Zugang zu erschweren. So kann man sich auch immer noch vorbehalten unsachgemaesser Nutzung Einhalt zu gebieten.