Datenleck bei ist

Nach den mir vorliegenden Informationen sind Sie für die ista SE mit Sitz in Essen zuständige Behörde im Bereich Datenschutzaufsicht.

Ista wurde im Juli 2022 Teil einer Ransomware-Attacke, bei der Daten abgeflossen sind. Ein Teil dieser Daten ist seit mehreren Wochen leicht auffindbar herunterladbar (http://7ukmkdtyxdkdivtjad57klqnd3kdsmq6…). Diese Daten haben rund 1 Million Datensätze (mit Dopplungen) und beinhalten Namen, Adressen, Telefon, Fax, Umsätze, sowie Daten zu den Abrechnungsstellen.

1. Wurde bei Ihnen eine Art. 33 Meldung eingereicht? Falls ja, wann ist diese bei Ihnen eingegangen?

2. Nach den mir vorliegenden Informationen wurde bisher keine Art. 34 Meldung an die Betroffenen versandt. In anderen Fällen mit vergleichbaren oder weniger sensiblen Daten wurde dies von Aufsichtsbehörden gefordert. Wurde eine nicht-Meldung nach Art. 34 besprochen?

3. Ist bekannt ob weitere personenbezogene Daten "abgegriffen" wurden? Die Täter kündigen ja an noch weitere Daten zu veröffentlichen ("====== ==== FULL LEAK ==== (WILL BE SOON) =======").

Vielen Dank für Ihre Bemühungen.

Anfrage erfolgreich

  • Datum
    28. September 2022
  • Frist
    1. November 2022
  • Ein:e Follower:in
<< Anfragesteller:in >>
Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Sehr geehrte Damen und Herren, bitte senden Sie m…
An Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Details
Von
<< Anfragesteller:in >>
Betreff
Datenleck bei ist [#259795]
Datum
28. September 2022 12:17
An
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem Informationsfreiheitsgesetz NRW, UIG NRW, VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu:
Nach den mir vorliegenden Informationen sind Sie für die ista SE mit Sitz in Essen zuständige Behörde im Bereich Datenschutzaufsicht. Ista wurde im Juli 2022 Teil einer Ransomware-Attacke, bei der Daten abgeflossen sind. Ein Teil dieser Daten ist seit mehreren Wochen leicht auffindbar herunterladbar (http://7ukmkdtyxdkdivtjad57klqnd3kdsmq6tp45rrsxqnu76zzv3jvitlqd.onion/). Diese Daten haben rund 1 Million Datensätze (mit Dopplungen) und beinhalten Namen, Adressen, Telefon, Fax, Umsätze, sowie Daten zu den Abrechnungsstellen. 1. Wurde bei Ihnen eine Art. 33 Meldung eingereicht? Falls ja, wann ist diese bei Ihnen eingegangen? 2. Nach den mir vorliegenden Informationen wurde bisher keine Art. 34 Meldung an die Betroffenen versandt. In anderen Fällen mit vergleichbaren oder weniger sensiblen Daten wurde dies von Aufsichtsbehörden gefordert. Wurde eine nicht-Meldung nach Art. 34 besprochen? 3. Ist bekannt ob weitere personenbezogene Daten "abgegriffen" wurden? Die Täter kündigen ja an noch weitere Daten zu veröffentlichen ("====== ==== FULL LEAK ==== (WILL BE SOON) ======="). Vielen Dank für Ihre Bemühungen.
Dies ist ein Antrag nach dem Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (Informationsfreiheitsgesetz Nordrhein-Westfalen – IFG NRW), dem Umweltinformationsgesetz Nordrhein-Westfalen (soweit Umweltinformationen betroffen sind) und dem Verbraucherinformationsgesetz des Bundes (soweit Verbraucherinformationen betroffen sind). Ausschlussgründe liegen meines Erachtens nicht vor. Aus Gründen der Billigkeit und insbesondere auf Grund des Umstands, dass die Auskunft in gemeinnütziger Art der Öffentlichkeit zur Verfügung gestellt werden wird, bitte ich Sie, nach § 2 VerwGebO IFG NRW von der Erhebung von Gebühren abzusehen. Soweit Umweltinformationen betroffen sind, handelt es sich hierbei um eine einfache Anfrage nach §5 (2) UIG NRW. Sollte die Aktenauskunft Ihres Erachtens gebührenpflichtig sein, bitte ich Sie, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Auslagen dürfen nicht erhoben werden, da es dafür keine gesetzliche Grundlage gibt. Ich verweise auf § 5 Abs. 2 IFG NRW, § 2 UIG NRW und bitte Sie, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, möchte ich Sie bitten, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Nach §5 Abs. 1 Satz 5 IFG NRW bitte ich Sie um eine Antwort in elektronischer Form (E-Mail). Ich möchte Sie um Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 259795 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/259795/ Postanschrift << Antragsteller:in >> << Antragsteller:in >> << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen << Anfragesteller:in >>
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Der Eingang Ihrer E-Mail vom 28.09.2022 wird hiermit bestätigt. Wir werden wegen Ihrer Anfrage unaufgefordert auf…
Von
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Betreff
AW: Datenleck bei ist [#259795]
Datum
28. September 2022 13:17
Status
Warte auf Antwort

Empfangsbestätigung

Diese Nachricht scheint eine Empfangsbestätigung zu sein. Wenn dies zutrifft, müssen Sie nichts weiter machen. Die Behörde muss in der Regel innerhalb eines Monats antworten.

Der Eingang Ihrer E-Mail vom 28.09.2022 wird hiermit bestätigt. Wir werden wegen Ihrer Anfrage unaufgefordert auf Sie zukommen. Rein vorsorglich weisen wir darauf hin, dass wir aufgrund der hohen Zahl an Eingaben und Beratungsersuchen diese leider nicht so schnell werden beantworten können, wie wir es uns selbst gerne wünschen. Wir bitten Sie schon jetzt um Ihr Verständnis. Vielen Dank! Diese Mail ist lediglich eine Eingangsbestätigung und noch keine Antwort auf Ihre Anfrage oder Beschwerde. Um unsere Pflichten aus Art. 13 und 14 Datenschutz-Grundverordnung zu erfüllen, weisen wir Sie auf Folgendes hin: Informationen zur Verarbeitung personenbezogener Daten durch die LDI finden Sie unter https://www.ldi.nrw.de/metanavi_Datenschutzerklaerung/Infopflicht-LDI.pdf.

Ihre Spende für die Plattform

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Ihre Spende macht es uns möglich, die Plattform am Laufen zu halten und weiterzuentwickeln.

Jetzt unterstützen!

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Aktenzeichen: T5.1.3-6910/22 Bearbeiter: Herr Dr. Meis Sehr << Antragsteller:in >>   vielen Dank für…
Von
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Betreff
T5.1.3-6910/22 - Datenleck bei ist [#259795]
Datum
20. Oktober 2022 10:01
Status
Anfrage abgeschlossen
Aktenzeichen: T5.1.3-6910/22 Bearbeiter: Herr Dr. Meis Sehr << Antragsteller:in >>   vielen Dank für Ihren Antrag nach dem Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfahlen (IFG NRW) vom 28. September 2022. Zu den von Ihnen gestellten Fragen, kann ich Ihnen folgende Informationen zur Verfügung stellen. 1. Wurde bei Ihnen eine Art. 33 Meldung eingereicht? Falls ja, wann ist diese bei Ihnen eingegangen? Die ista International GmbH sowie die ista Deutschland GmbH (im Folgenden ista) haben der LDI NRW den Cyberangriff gemäß Art. 33 DS-GVO fristgerecht gemeldet. 2. Nach den mir vorliegenden Informationen wurde bisher keine Art. 34 Meldung an die Betroffenen versandt. In anderen Fällen mit vergleichbaren oder weniger sensiblen Daten wurde dies von Aufsichtsbehörden gefordert. Wurde eine nicht-Meldung nach Art. 34 besprochen? ista ist als Auftragsverarbeiterin für die Heizkostenabrechung im Auftrage von Wohnungsunternehmen und Einzelvermietern tätig. Eine etwaige Pflicht zur Benachrichtigung der betroffenen Bewohner*innen nach Art. 34 DS-GVO liegt bei den Auftraggebern, die für die Verarbeitung der betroffenen personenbezogenen Daten verantwortlich sind. Für die in NRW betroffenen Verantwortlichen, kommt die LDI zu der Einschätzung, dass aufgrund der erfolgten Veröffentlichung kein hohes Risiko für die betroffenen Personen und damit keine Pflicht zur Benachrichtigung besteht. Unabhängig vom Vorliegen eines hohen Risikos empfiehlt die LDI Verantwortlichen in Fällen, in denen personenbezogene Daten unbefugt veröffentlicht wurden, die betroffenen Personen zur Abmilderung möglicher nachteiliger Auswirkungen der Verletzung des Schutzes personenbezogener Daten zu informieren (im Sinne einer Abmilderungsmaßnahme nach Art. 33 Abs. 3 lit. d DS-GVO). Diese Information sollte insbesondere die möglichen Folgen für die betroffenen Personen beschreiben, für diese sensibilisieren und möglichst Empfehlungen für Schutzmaßnahmen, die die betroffenen Personen in ihrer eigenen Sphäre treffen können, umfassen. ista hat ihre betroffenen Beschäftigten gemäß Art. 34 DS-GVO benachrichtigt. 3. Ist bekannt ob weitere personenbezogene Daten "abgegriffen" wurden? Die Täter kündigen ja an noch weitere Daten zu veröffentlichen ("====== ==== FULL LEAK ==== (WILL BE SOON) ======="). Auf der Grundlage der Untersuchungsergebnisse zum Datenabfluss geht ista davon aus, dass die Täter bereits alle exfiltrierten Daten veröffentlicht haben. Mit freundlichen Grüßen