{"id":295676,"date":"2024-05-30T00:18:00","date_gmt":"2024-05-29T22:18:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=295676"},"modified":"2024-05-29T19:28:17","modified_gmt":"2024-05-29T17:28:17","slug":"nachlese-datenschutzvorfall-mit-cannabis-rezepten-bei-dr-ansay","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/05\/30\/nachlese-datenschutzvorfall-mit-cannabis-rezepten-bei-dr-ansay\/","title":{"rendered":"Nachlese Datenschutzvorfall mit Cannabis-Rezepten bei Dr. Ansay"},"content":{"rendered":"

\"SicherheitBeim \"Internet-Dienstleister\" Dr. Ansay hat es ja einen veritablen Datenschutzvorfall gegeben, bei dem Patientenrezepte f\u00fcr Cannabis per Internet abrufbar waren. Auch wenn das Datenleck schnell geschlossen wurde und die Rezepte nicht mehr abrufbar waren, lie\u00dfen sich entsprechende Daten \u00fcber Suchmaschinen abrufen. Bez\u00fcglich des Vorfalls gab es nicht nur eine bemerkenswerte Reaktion des CEO, Dr. Jur Ansay. Mir liegt auch eine Antwort des Landesdatenschutzbeauftragten vor. Daher kehre ich in einer Nachlese mal den Sachstand (auf dem Hof dieses Blogs) zusammen.<\/p>\n

<\/p>\n

Der DSGVO-Vorfall<\/h2>\n

\"\"Der magere Sachverhalt ist schnell auf den Punkt gebracht. Beim (wohl umstrittenen) Online-Anbieter Dr. Ansay (der Dr. Ansay ist Jurist mit Promotion), der neben Online-Krankschreibungen auch Cannabis-Rezepte von \u00c4rzten (vermutlich aus Malta, wo das als Ltd fungierende Unternehmen seinen Sitz hat) ausstellen l\u00e4sst, gab es ein veritables Datenleck.<\/p>\n

Ein Verzeichnis mit generierten PDF-Dateien zu Canabis-Rezepten war wohl frei per Internet erreichbar und wurde von der Suchmaschine Bing indexiert. Das Datenleck auf dem Server wurde zwar schnell geschlossen, aber die Suchmaschinen (Bing, DuckDuckGo) und Microsoft Copilot erm\u00f6glichten die Metadaten zu den Dokumenten weiter abzurufen. Ich hatte \u00fcber dieses Datenleck im Blog-Beitrag Autsch: Datenleck bei Dr. Ansay, Cannabis-Rezepte in DuckDuckGo sichtbar<\/a> \u00fcber die Details berichtet und auch etwas zur Plattform geschrieben.<\/p>\n

Schuld sind die anderen<\/h2>\n

Gut, ein DSGVO-Vorfall kann immer passieren. Sehr bemerkenswert war aber die Reaktion des CEO, Dr. jur. Ansay, der Bing und DuckDuckGo der illegalen Offenlegung der Daten beschuldigte und folgende Einlassung auf seiner Internetseite von Dr. Ansay publizierte.<\/p>\n

\"Datenleck<\/p>\n

Ich hatte den Sachverhalt und weitere pikante Details (z.B. \u00fcber die Politikerliste von Landtagsabgeordneten der Parteien Gr\u00fcne und SPD) im Beitrag Cannabis-Rezepte Datenleck: CEO Dr. Jur Ansay sucht die Schuld bei anderen<\/a> aufgegriffen.<\/p>\n

Was meint die Datenschutzaufsicht?<\/h2>\n

Normalerweise h\u00e4tte ich \u00fcber den Vorfall einmal berichtet und gut ist. Das Verhalten des Plattformbetreibers hat dann einen zweiten Artikel getriggert und ich habe zum 16. Mai 2024 formal eine DSGVO-Beschwerde bei der Beauftragten f\u00fcr Datenschutz Hamburg eingereicht und auf meine Blog-Beitr\u00e4ge verwiesen. Zum 24. Mai 2024 erreichte mich die Antwort der Beauftragten f\u00fcr Datenschutz Hamburg_<\/p>\n

Sehr geehrter Herr Born,<\/p>\n

wir haben Ihre Nachricht am 16.05.2024 erhalten. Ihr Vorgang wird hier unter dem Aktenzeichen B5\/01.02-1882\/2024 bearbeitet.<\/p>\n

F\u00fcr Ihren Hinweis auf eine Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Webseite dransay.com bedanken wir uns!<\/b><\/p>\n

Wir sind in der vergangenen Woche zu dem Vorfall an die Verantwortliche herangetreten. Zum aktuellen Stand k\u00f6nnen wir Ihnen mitteilen, dass nach Schlie\u00dfen des Datenlecks inzwischen auch \u00fcber die Suchmaschinen DuckDuckGo und Bing keine personenbezogenen Daten im Zusammenhang mit Rezeptbestellungen mehr abrufbar sein sollten.<\/p>\n

Wir bitten um Verst\u00e4ndnis, dass wir Sie \u2013 als nicht von dem Vorfall betroffene Person \u2013 \u00fcber den Fortgang der Sache nicht unterrichten werden.<\/p>\n

Mit freundlichen Gr\u00fc\u00dfen<\/p>\n

…<\/p>\n

Der Hamburgische Beauftragte f\u00fcr Datenschutz und Informationsfreiheit<\/p><\/blockquote>\n

Ich habe es verifiziert, die Metadaten lassen sich mit Bing und DuckDuckGo nicht mehr abrufen – auch CoPilot verweigert die Ausk\u00fcnfte – ich hatte eine entsprechende Patientenadresse zu einem fixen Ort ermittelt. Hier halten die Schutzz\u00e4une, die Microsoft bei CoPilot eingezogen hat.<\/p>\n

Q1\/2024: 3,2 Mio. Datenlecks in Deutschland<\/h2>\n

Im Kontext des obigen Datenlecks habe ich vom Cybersicherheitsunternehmen Surfshark noch interessante Informationen und Daten bekommen, die sich aus einer globalen Studie<\/a> ergeben. Seit 2004 wurden in Deutschland 486,7 Millionen Konten geleakt.<\/p>\n