DSGVO-Briefing

Ein italienisches Blutproben-Analyse-Unternehmen muss 21 Tsd. EUR wegen Mängel bei ihrer proprietären KI zahlen, die GRCh gewährt den Zugriff auf personenbezogene Akten auch ohne Betroffenheit, die Südwestdeutsche Medienholding verzeichnete über Nacht einen Angriff auf ihre Systeme.

Menarini Silicon Biosystems' Nutzung der eigenen CellFind-KI lief nicht datenschutzkonform ab: 21 Tsd. EUR Bußgeld.

Die italienische Datenschutzbehörde untersuchte Menarini Silicon Biosystems (MSB) im Hinblick auf ihre Datenschutzmaßnahmen. Das Unternehmen analysiert Blutproben von Krebspatienten.

Dafür nutzt MSB CellFind, ein von seinem amerikanischen Tochterunternehmen entwickeltes Deep Learning-Programm, das Bilder von Zellen klassifiziert und kategorisiert. Die Aufnahmen sind dabei eindeutig den Patienten, von denen sie stammen, zugeordnet, werden aber pseudonymisiert.

Für das endgültige Training bezog MSB bis zu 10.000 Bilder von ca. 200 Patienten, die ein Unternehmen aus Bulgarien bereitstellte. Die Betroffenen wurden von Menarini Silicon Biosystems nicht angemessen über die Verarbeitung ihrer Daten informiert. Es gab außerdem nur unklare Angaben zur Speicherbegrenzung und nur eine unzureichende Bewertung des Risikos der erneuten Identifizierung der Patienten, deren Daten genutzt wurden.

Die GRCh der EU gewährt den Zugriff auf personenbezogene Akten, auch wenn keine nachteilige Betroffenheit vorliegt.

Lisa Ballmann klagte vor dem Gericht der EU auf Nichtigerklärung einer Entscheidung des Europäischen Datenschutzausschusses (EDSA), mit der ihr der Zugang zu Akten im Zusammenhang mit einem verbindlichen Beschluss, der Meta/Facebook betrifft, verweigert wurde. Sie beruft sich dabei auf ihr Recht auf Zugang zu Dokumenten nach der EU-Grundrechtecharta. Der EDSA und Meta hielten die Klage für unzulässig. Die Klägerin hatte zuvor bereits teilweise Zugang zu Dokumenten erhalten.

In dem Urteil bestätigt das Gericht die Zulässigkeit der Klage und erklärt die Entscheidung des Europäischen Datenschutzausschusses für nichtig, mit der Ballmann der Zugang zu Akten verweigert wurde. Sie hatte Beschwerde gegen Meta eingereicht, was letztlich zum Erlass des verbindlichen Beschlusses 3/2022 durch den EDSA führte.

Sie begehrte daraufhin Zugang zu den sie betreffenden Akten, unabhängig davon, ob sie von dem Beschluss formell betroffen war. Das Gericht betont, dass dieses Recht eigenständig ist und nicht von einem Anspruch auf rechtliches Gehör abhängt. Entscheidend sei, ob die Akten die Person "betreffen", was hier der Fall ist. Da es keine speziellen Rechtsvorschriften gibt, die dieses Recht einschränken, habe die Klägerin Anspruch auf Zugang. Die Entscheidung des EDSA wurde daher aufgehoben.

Attacke auf Südwestdeutsche Medienholding: Digitale Dienste teils eingeschränkt.

Am Wochenende des 12. und 13. Juli 2025 registrierte die Südwestdeutsche Medienholding (SWMH) in den Nachtstunden ungewöhnliche Netzwerkaktivitäten. Wie der Konzern bestätigte, gelangten Unbefugte in interne Systeme.

Die Herausgeberin der "Stuttgarter Zeitung" und "Stuttgarter Nachrichten" leitete sofort umfangreiche Sicherheitsmaßnahmen ein und stufte den Einbruch als "kritischen IT-Sicherheitsvorfall" ein. Digitale Angebote waren vorübergehend eingeschränkt; die Printausgaben erschienen wie geplant.

Über Datenabflüsse oder Erpressungsversuche ist bislang nicht bekannt. Die SWMH arbeitet eng mit Sicherheitsbehörden zusammen. Wie sich die Angreifer Zugang zum Netzwerk der Holding verschafft haben, ist noch nicht publik.