DSGVO-Briefing

Ein Angriff auf sechs Mecklenburger Schulen verursacht Ausfälle, die Ransomware-Gruppe "Rhysida" attackiert Welthungerhilfe, die Zeiterfassungsplattform Asana hat ein Datenleck zwischen Kunden, und das LG Berlin entscheidet: Für eine echte Einwilligung zur Datenverarbeitung ist eine echte Möglichkeit zur Ablehnung nötig.

Nach Angriff auf Schulen in Demmin und Neustrelitz fallen IT und Telefon aus.

Mitte Juni 2025 legte ein Hackerangriff die digitale Infrastruktur von sechs Bildungseinrichtungen in Demmin und Neustrelitz lahm. Betroffen waren das Regionale Berufliche Bildungszentrum (RBB) mit Außenstelle Demmin, die Förderschule Neustrelitz, die Volkshochschule Neustrelitz, das Haus II des Goethe-Gymnasiums Demmin, die Volkshochschule Demmin sowie die Förderschule "Schule an den Tannen".

Ab dem 18. Juni funktionierten weder PCs, Tablets noch Telefone. Der Landkreis bestätigte den IT-Sicherheitsvorfall, dessen Folgen bis mindestens zum folgenden Tag andauerten. Unklar blieb, ob Zeugnisdrucke beeinträchtigt wurden.

Ransomware-Gruppierung "Rhysida" attackiert Welthungerhilfe, bietet Daten zum Verkauf an.

Hacker haben laut einer Mitteilung der Welthungerhilfe vom 28. Mai 2025 die Organisation attackiert. Untersuchungen und Notfallprotokolle wurden umgehend eingeleitet.

Die Ransomware-Gruppe "Rhysida" bekannte sich im Nachgang zu einem Angriff auf die Organisation und bietet zahlreiche gestohlene personenbezogene und organisatorische Informationen für 20 BTC zum Verkauf an. Sollten die Daten bis zum 7. Juli 2025 nicht veräußert werden, droht die Gruppe damit, die Informationen zu veröffentlichen.

Zeitplanungsplattform Asana implementiert LLM, leakt daraufhin Kundendaten an andere User.

Bei der Zeitplanungsplattform Asana kam es zu einem Datenleck zwischen Nutzern. Nach der Inbetriebnahme ihres Model Context Protocols (MCP), in das ein Large Language Model integriert wurde, am 1. Mai 2025 kam es aufgrund eines Software-Bugs zur Offenlegung von Daten einiger User für andere Nutzer des MCPs.

Zwar war es nicht möglich, vollständige Workspaces einzusehen, doch waren dennoch potenziell sensible Daten z.B. in Chatbot-Anfragen abrufbar. Darunter befinden sich Projekt-Metadaten, Team-Details, Kommentare und Diskussionsthreads sowie hochgeladene Dateien. Asana zufolge sind ca. 1.000 Kunden betroffen.

Entscheidung des LG Berlin: Für eine echte Einwilligung zur Datenverarbeitung muss es eine echte Möglichkeit zur Ablehnung geben.

Im Rahmen einer Verbandsklage beanstandete der Verbraucherzentrale Bundesverband (vzbv) die datenschutzrechtliche Ausgestaltung des Registrierungsprozesses für ein Google-Konto. Konkret rügte der Kläger, dass Google im Rahmen der "Express-Personalisierung" keine Möglichkeit zur vollständigen Ablehnung der Datenverarbeitung (z. B. für personalisierte Werbung, Web- & App-Aktivitäten, YouTube-Verlauf) vorgesehen habe. Zudem seien Nutzer über den Umfang, die Zwecke sowie die konkret einbezogenen Google-Dienste unzureichend informiert worden. Auch bei der "Manuellen Personalisierung" fehle es an Transparenz, etwa hinsichtlich der Verwendung des Standorts für allgemeine Werbung.

Darüber hinaus kritisierte der Kläger die voreingestellten Speicherfristen von 18 bzw. 36 Monaten als nicht datensparsam im Sinne von Art. 25 Abs. 2 DSGVO, da eine kürzere, auf drei Monate begrenzte Speicheroption nicht standardmäßig vorgesehen war. Das LG Berlin gab der Klage statt, bejahte sowohl die Klagebefugnis des vzbv als auch einen Verstoß gegen zentrale Grundsätze der DSGVO – insbesondere hinsichtlich Einwilligung, Transparenz und Datenminimierung – und verurteilte Google zur Unterlassung der beanstandeten Praktiken.