Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 03&04/2022)“
Hier ist der 30. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 03&04/2022)“.
- Aufsichtsbehörden
- EDSA: Guideline 01/2022 zu Art. 15 – in Konsultation
- BayLDA: Überprüfung der Datenerhebung bei Mietinteressenten
- Österreich: Speicherung der Telefonanrufe von Bankkunden
- LDI Niedersachsen: Bußgeld wegen unzulässiger Videoüberwachung
- Gutachten für DSK zu USA-Drittstaatentransfer
- LfD Bayern: Datenschutzrechtliche Grundlage in Satzungen
- LfDI Baden-Württemberg berät Automobilhersteller: Freie Fahrt für freie Daten
- EDPS: Stellungnahme zum Entwurf der Regulierung politscher Werbung
- HBDI Prof. Roßnagel im Interview zum TTDSG
- BSI: Handlungsempfehlungen Smart City
- LfDI, BayLDA, HBDI und TLfDI unterstützen bei Sensibilisierung von Schüler:innen
- EDPS: Bedenken gegen Cybercrime Konvention
- Neuer Chef der BNetzA
- Rechtsprechung
- LG Hamburg: Adblocker und Urheberrecht
- LG Stendal: Wann ist Double-Opt-In-Mail Werbung?
- BayOLG: Strafbarkeit bei unberechtigtem Zugriff eines Behördenbeschäftigten
- AG Hamburg: Datenschutzrechtliche Stellung des Insolvenzverwalters
- LG München: Schadenersatz aufgrund Weitergabe einer IP-Adresse an Google
- BGH zu Klarnamenpflicht in sozialem Netzwerk
- EuGH: Stellungnahme zum Kündigungsschutz des DSB
- Verzinsung von bezahlten Bußgeldern?
- Hess. VGH: Einstweilige Verfügung bzgl. Cookiebot aufgehoben
- Rechtsweg bei datenschutzrechtlichem Schadensersatz gegen Finanzbehörden
- Clearview AI: Rechtsstreit in Kanada
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Schrems II: Zusätzliche Maßnahmen
- Google und data transfer
- Bußgelder auf unsicherer Rechtslage?
- Analyse der Entscheidung der Datenschutzbehörde zu Google Analytics
- Der Zauberlehrling, digitale Version – Diesmal: Verlage und Google
- Datenschutz-Navigator
- Tool-Hilfe zum SDM
- Digitale Kontrolle am Arbeitsplatz
- Europe-Calling – Diskussionsforum zur europäischen (Daten-)Politik
- Veranstaltungen
- Stiftung Datenschutz: „Was bringt das TTDSG?“
- Verbraucherzentrale Bayern: Cryptocafé
- Daten-Dienstag on tour – Gemeinsam für ein besseres Internet – Herausforderungen aus Sicht der Datenschutzaufsicht
- ISICO: Frühstücksworkshop zum TTDSG
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Passt der Schnelltest?
- Mobilsicher: Tipps zur Smartphonenutzung
- Digitale Bildung? Wo beginnt sie laut bitkom?
- Zertifizierung von Bildungstools
- Blinde Kuh und Datenspuren
- Kreativpreis der Initiative „Datenschutz geht zur Schule“
- „Datenschutz – leicht erklärt“: Videoclips von „Datenschutz geht zur Schule“
- Franks Zugabe
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Guideline 01/2022 zu Art. 15 – in Konsultation
Der EDSA hat neue Guidelines zum Auskunftsrecht angekündigt, zu denen eine Konsultation stattfinden wird. Nach der Pressemeldung legen die Leitlinien insbesondere fest, welche Daten vom Auskunftsrecht erfasst sind und dass Betroffenen im Regelfall eine Kopie der Daten und nicht nur eine Zusammenfassung zu übergeben ist. Außerdem müssen die für die Datenverarbeitung Verantwortlichen angemessene Maßnahmen treffen, um Personen hinter Auskunftsersuchen zu identifizieren, damit keine unberechtigten Dritten an die Daten gelangen. Es dürfen aber auf der anderen Seite auch keine höheren Hürden aufgebaut werden, als für die Identifizierung erforderlich. Auch die Motivation hinter einem Auskunftsersuchen ist kein Kriterium für die Erfüllung des Auskunftsanspruchs. Die Leitlinien geben zusätzlich Hinweise und Beispiele, in welchen zeitlichen Abständen Betroffene das Auskunftsrecht gegenüber einem Unternehmen oder einer Behörde erneut geltend machen können, ohne dass ihr Ersuchen als exzessiv gilt.
Einige der Themen liegen ja auch schon beim EuGH im Rahmen aktueller Gerichtsverfahren.
*
Auf 60 Seiten legt der EDSA in seiner Guideline 01/2022 dar, wie Art. 15 DS-GVO aufgebaut ist, geht auf Einzelfragen ein (wie z.B. Anspruch auf eine Kopie) und endet schließlich mit einem Prüfungsablauf eines Anspruches nach Art. 15. Zwischendurch gibt es immer wieder Anwendungsfälle als Beispiele. Zu dieser Guideline gibt es auch eine Konsultation, bis 11. März 2022 kann man Hinweise und Anmerkungen beim EDSA einreichen.
* Franks Anmerkung: Hätte ich die Zeit gehabt, wären es zwei einzelne Blogbeiträge je KW geworden. In Abstimmung mit meinem Ko-Autor wurde es ein Doppel-KW-Beitrag und deswegen ist diese Meldung aus zwei Einzelmeldungen zusammengefügt und im ersten Teil eine Ankündigungsmeldung und im zweiten Teil eine „Vollzugsmeldung“…
1.2 BayLDA: Überprüfung der Datenerhebung bei Mietinteressenten
Das BayLDA hat seine Unterlagen für die Überprüfung von Vermietungseinrichtungen veröffentlicht. Diese umfassen ein Infoblatt, das Anschreiben und den Fragebogen. Rückmeldefrist ist der 15.02.2022.
1.3 Österreich: Speicherung der Telefonanrufe von Bankkunden
Aus dem Newsletter der Österreichischen Datenschutzbehörde geht hervor, dass sie mit einem Fall befasst war, bei dem es um die Aufzeichnung von Telefonaten mit einer Bank ging. Hier sei klar zu trennen für welche Gespräche eine Rechtsgrundlage zur Aufzeichnung z.B. nach dem Wertpapierhandelsgesetz vorliegt und für welche Gespräche nicht.
1.4 LDI Niedersachsen: Bußgeld wegen unzulässiger Videoüberwachung
Das Verfahren war vorher schon bekannt. Wegen eines schwerwiegenden Falles unzulässiger Videoüberwachung in Geschäftsräumen wurde nun ein Bußgeld in Höhe von 10,5 Mio. Euro verhängt. Der Bescheid ist noch nicht rechtskräftig.
1.5 Gutachten für DSK zu USA-Drittstaatentransfer
Die Datenschutzkonferenz hat ein Gutachten zur datenschutzrechtlichen Bewertung der rechtlichen Situation bei einem Datentransfer in die USA beauftragt und das Ergebnis nun veröffentlicht.
1.6 LfD Bayern: Datenschutzrechtliche Grundlage in Satzungen
Was sind die Anforderungen, damit als datenschutzrechtliche Rechtmäßigkeitsanforderung gemäß Art. 6 Abs. 1 lit c DS-GVO eine gesetzliche Verpflichtung ausreicht? Der LfD Bayern befasst sich mit dieser Frage in seinen Kurz-Informationen 41, ob kommunale Satzungen dazu ausreichen und welche Voraussetzungen gegeben sein müssen. Seine Kernaussagen sind, dass das deutsche Verfassungsrecht eine parlamentsgesetzliche Ermächtigung zur Schaffung der für die Verarbeitung personenbezogener Daten erforderlichen Rechtsgrundlage fordere. Eine in einer kommunalen Satzung verankerte Verarbeitungsbefugnis reiche hierfür nicht aus. Eine kommunale Satzung könne allerdings der Aufgabenkonkretisierung dienen.
1.7 LfDI Baden-Württemberg berät Automobilhersteller: Freie Fahrt für freie Daten
Jede(r) weiß es: Die Vernetzung durch (personenbezogene) Daten in modernen Automobilen birgt große Herausforderungen für eine rechtskonforme Umsetzung. Umso erfreulicher, wenn durch die Beratung einer Marke eines großen Automobilkonzerns durch den LfDI BW sichergestellt wird, dass ein Softwareeinsatz in Fahrzeugen künftig evtl. weniger Gerichtsverfahren hervorrufen wird als seit 2015 bestimme Motoren. Die Beratung umfasste laut Pressemeldung des LfDI BW die Umsetzung der Anforderungen des § 25 TTDSG.
1.8 EDPS: Stellungnahme zum Entwurf der Regulierung politscher Werbung
Der Europäische Datenschutzbeauftragte hat seine Stellungnahme zum Entwurf des Digital Service Act veröffentlicht und unterstützt die Einschränkung des Microtargetings hinsichtlich politischer Werbung.
1.9 HBDI Prof. Roßnagel im Interview zum TTDSG
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Roßnagel wird einem Podcast-Interview u.a. zu seiner Einschätzung hinsichtlich des TTDSG befragt.
1.10 BSI: Handlungsempfehlungen Smart City
Das BSI veröffentlichte seine Hinweise zu den Anforderungen zu Smart Cities, die Vorgaben zu Informationssicherheit für IoT-Infrastrukturen umfassen.
1.11 LfDI BW, BayLDA, HBDI und TLfDI unterstützen bei Sensibilisierung von Schüler:innen
Die Initiative „Datenschutz geht zur Schule“ hat ihr Angebot erweitert. Der LfDI BW, das BayLDA, der HBDI und der TLfDI haben diese Aktion aktiv unterstützt. Details finden Sie unter https://www.datenschutz-leicht-erklaert.de.
1.12 EDPS: Bedenken gegen Cybercrime Konvention
Welche Befugnisse gibt es, um gegen Cybercrime vorzugehen? Die EU-Staaten haben sich in einem Zusatzprotokoll hier entsprechende Befugnisse einräumen lassen. Dazu hat der EDPS Bedenken geäußert. Weitere Details dazu hier.
1.13 Neuer Chef der BNetzA
Der bisherige Vorstand der verbraucherzentrale bundesverband (vzbv), Klaus Müller, ist als neuer Präsident der Bundesnetzagentur vorgesehen. Die BNetzA überwacht nicht nur die wettbewerbsrechtlichen Aktivitäten der Telekommunikationsanbieter, sondern bekommt zunehmend auch Aufgaben im Bereich der Telemedien und IT-Sicherheit, wenn es um die Regulierung der entsprechenden Netze geht.
2 Rechtsprechung
2.1 LG Hamburg: Adblocker und Urheberrecht
Der Einsatz von Trackingmaßnahmen bei Telemedien wird bei uns meist nur unter Datenschutzgesichtspunkten betrachtet. Eine Maßnahme dagegen wäre auch der Einsatz von Adblockern. Doch verstößt dies gegen das Urheberrecht? Das LG Hamburg meint laut Bericht in einem noch nicht rechtskräftigen Urteil: Nein.
2.2 LG Stendal: Wann ist Double-Opt-In-Mail Werbung?
Bei E-Mail-Werbung brauche ich zwei Einwilligungen: Als erstes, dass ich Werbung an eine bestimmte E-Mail-Adresse bekommen möchte und als zweites die Bestätigung dieses Wunsches (z.B. über Klick auf einen Link) in einer E-Mail, die an diese E-Mail-Adresse geschickt wird (Ich könnte ja sonst das Mailpostfach von jemand anderem zumüllen). Was darf aber nun in der Mail stehen, über die ich die zweite Zustimmung einhole, ohne dass dies bereits Werbung darstellt?
Das LG Stendal sah in der Verwendung des Logos wie auch in Texten wie „Welcome zu xxxxx“ und „Hast du Fragen zum Newsletter, kontaktiere uns über info@yyyyy.de“ bereits die zulässige Grenze überschritten (im Urteil RZ 28).
2.3 BayOLG: Strafbarkeit bei unberechtigtem Zugriff eines Behördenbeschäftigten
Ein Mitarbeiter eines Bürgerservicebüros einer Kommune nutzt seine Zugangsberechtigung zur Meldedatei, um Wohnadressen anderer Personen für einen Bekannten ausfindig zu machen und weiterzugeben. Ergebnis des BayOLG: Strafbar nach Art. 23 Abs. 2, Abs. 1 Nr. 1 lit. c) BayDSG.
2.4 AG Hamburg: Datenschutzrechtliche Stellung des Insolvenzverwalters
Ein amtsmäßig bestellter Insolvenzverwalter ist nicht Verantwortlicher nach Art. 4 Nr. 7 DS-GVO in einem Auskunftsverfahren gegen ein von ihm betreutes Unternehmen. So das AG Hamburg.
Im Tätigkeitsbericht des BayLDA für 2020 gilt er dagegen als Verantwortlicher, aber dort (Ziffer 6.2.) ging es um die Datenerhebungsbefugnisse im Rahmen seiner Aufgabe.
2.5 LG München: Schadenersatz aufgrund Weitergabe einer IP-Adresse an Google
Rumms.
Wer hier aufmerksam liest und Eins und Eins zusammenzählen kann, dem musste klar sein, dass aufgrund der Diskussionen und Entscheidungen es nur eine Frage der Zeit war:
In seinem Urteil sprach das LG München einen immateriellen Schadensersatz in Höhe von 100 Euro zu, weil die Einbettung von Google Fonts, die damit verbundene Weitergabe der IP-Adresse an Google und eine in diesem Fall unzureichende vorherige Einwilligung vorlag.
Natürlich ist noch nicht durch den EuGH entschieden, inwieweit bei einem immateriellen Schadenersatz eine tatsächliche Beeinträchtigung vorliegen muss. Das störte das LG München aber nicht. Und verbunden mit den anderen Informationen, die Sie hier immer bekommen, wie z.B. dass es bereits Unternehmen gibt, deren Geschäftszweck es ist Datenschutzverstöße für andere geltend zu machen, braucht es nicht viel Fantasie, um sich auszumalen, dass dadurch Hinweise Webseiten datenschutzkonform zu gestalten ein neue Dimension bekommen. Die Möglichkeit der Massenklagen spricht sich nun nämlich auch außerhalb Deutschlands rum.
Und weil es gut dazu passt: Hier ein Hinweis zum datenschutzfreundlichen Einsatz von Fonts.
2.6 BGH zu Klarnamenpflicht in sozialem Netzwerk
In zwei Verfahren gegen ein soziales Netzwerk, das eine Klarnamenpflicht einforderte, kam der BGH zu dem Schluss, dass dies gegen die rechtlichen Vorgaben verstößt, die zum damaligen Zeitpunkt galten (§ 13 Abs. 6 TMG – in der Fassung bis zum 30.11.2021). Der Nutzer könne es (das soziale Netzwerk) unter einem Pseudonym nutzen, die entsprechende Regelung in den AGB sei unwirksam.
2.7 EuGH: Stellungnahme zum Kündigungsschutz des DSB
Das BAG war sich unsicher: Widersprechen die Kündigungsschutzregelungen in § 6 Abs. 4 BDSG und § 38 Abs. 1 und 2 BDSG zugunsten des DSB den europarechtlichen Vorgaben in Art. 38 Abs. 3 DS-GVO, weil sie darüber hinausgehen? Der zuständige Generalanwalt hat nun seine Stellungnahme veröffentlicht. Er meint: Nein.
2.8 Verzinsung von bezahlten Bußgeldern?
Es ist zwar kein Fall aus dem Datenschutzbereich aber trotzdem interessant: Sollte sich bei bereits gezahlten Bußgeldern herausstellen, dass die zugrundeliegende Entscheidung rechtswidrig war, sind diese Summen dann für die Zeit zu verzinsen? Ja meint der EuGH, in einem Fall, bei dem in einem wettbewerbsrechtlichen Verfahren der Betrag vor Rechtskraft bereits zu zahlen war.
2.9 Hess. VGH: Einstweilige Verfügung bzgl. Cookiebot aufgehoben
Der Fall schlug Wellen: Es gab eine einstweilige Anordnung hinsichtlich der Untersagung des Einsatzes des Consentmanagers Cookiebot, über den personenbezogene Daten in die USA gingen. Anfang Dezember hatte das Verwaltungsgericht (VG) Wiesbaden per einstweiliger Anordnung entschieden, dass die Hochschule den Cookie-Consent-Dienst Cookiebot des dänischen Consent-Management-Providers Cybot nicht auf ihrer Webseite verwenden darf. Mit Cookiebot können Webseitenbetreiber die Einwilligungseinstellungen ihrer Nutzer für die Verwendung von Cookies verwalten und aufzeichnen. Nun hob der Hess. VGH diese Entscheidung auf, allerding nur hinsichtlich der Anforderungen an das Eilverfahren im einstweiligen Rechtsschutz. Das VG Wiesbaden kann nun über die Sache selbst entscheiden.
2.10 Rechtsweg bei datenschutzrechtlichem Schadensersatz gegen Finanzbehörden
Welches Gericht ist zuständig gegen Schadenersatzforderungen gegen Finanzbehörden aufgrund von Datenschutzverstößen? Nach dem FG Berlin-Brandenburg sind dies die Zivilgerichte.
2.11 Clearview AI: Rechtsstreit in Kanada
Der Gesichterkennungssoftwareanbieter Clearview AI streitet in Kanada gegen die Untersagung und Löschungsanordnung der dortigen Datenschutzaufsichtsbehörden. Die Nutzung der Bilder sei ohne Zustimmung der betroffenen Personen erfolgt.
3 Gesetzgebung
3.1 § 26 II TTDSG – PIMS
Das BMWi (jetzt ja BMWK) gab ein Forschungsgutachten in Auftrag, um Fragen hinsichtlich einer Verordnung zur Regelung von PIMS (Personal Information Management System) zu klären. Dieses Forschungsgutachten ist nun da. Dann warten wir mal, was das BMWK damit macht.
3.2 Bericht des Beirats zum Beschäftigtendatenschutz
Schon in der letzten Legislaturperiode hatte das BMAS einen Beirat zum Beschäftigtendatenschutz einberufen, dessen Ergebnis nun vorliegt. Normalerweise nimmt man sowas dann nur freundlich zur Kenntnis. Diesesmal sollte ihm jedoch etwas mehr Aufmerksamkeit geschenkt werden, weil sich im BMAS durch die Wahl nichts geändert hat. Den Bericht selbst finden Sie hier.
3.3 Google und angemessenes Datenschutzniveau
Natürlich trifft es nicht nur europäische Nutzer und Verantwortliche, was durch die Schrems-II-Entscheidung ausgelöst wurde. Auch US-Anbieter sehen dadurch ihre Aktivitäten auf dem europäischen Markt eingeschränkt und fordern: Schnellstmöglich eine Nachfolgeregelung zu der für unwirksam erklärten EU-US Privacy-Shield-Regelung. Siehe dazu auch 5.2.
3.4 Europa: DSA im Parlament verabschiedet
Das Europäische Parlament hat seinen Text zum Digital Services Act verabschiedet. Damit ist noch nicht entschieden, nur ein weiterer Schritt im Gesetzgebungsverfahren erreicht. Die endgültige Fassung entsteht in Abstimmung mit dem Ministerrat, der die Interessen der Länder vertritt. Aber immerhin sind ein paar Kernaussagen enthalten, bei denen es spannend sein wird, ob sie zur „Verhandlungsmasse“ gehören werden, z.B. bezüglich der Werbung über social media.
3.5 Überlegungen im Vereinigten Königreich
Der Angemessenheitsbeschluss der EU-Kommission für das Vereinigte Königreich (UK) ist befristet und kann wieder aufgehoben werden, wenn sich die Rechtslage in UK so verändert, dass die EU-Kommission dort kein angemessenes Datenschutzniveau mehr erkennt. Dann müssten andere Grundlagen aus Kapitel V der DS-GVO für einen Transfer herangezogen werden. Daher ist es spannend Berichte wahrzunehmen, die nahelegen, in UK gäbe es Bestrebungen Zugang zu Verschlüsselungstechniken zu bekommen.
4 Künstliche Intelligenz und Ethik
4.1 Benachteiligt durch Algorithmen?
Das NGO AlgorithmWatch führt zusammen mit den Verbraucherzentralen eine Erhebung durch, inwieweit sich Bürger:innen durch automatisierte Entscheidungen benachteiligt fühlen. Es erfolgt dann die Einforderung einer Stellungnahme durch die Stelle, bei der augenscheinlich die Ursache liegt.
4.2 Künstliche Intelligenz bei der Bundesregierung
Welche Maßnahmen trifft die Bundesregierung, wenn sie KI-Projekte initiiert hinsichtlich der dabei entstehenden Risiken? Dies ist der Kern einer Kleinen Anfrage im Deutschen Bundestag. Irgendwie „Eigentlich keine so richtig“ bzw. „Das ist Verschlusssache“ oder „Andere sind zuständig“ ist überspitzt im Kern die Antwort. Qualitativ besser und ausführlicher ist das hier zu lesen.
4.3 Arbeitsgruppe zu KI im DIN
Normen und Standards schaffen Vertrauen in KI und sind damit eine wesentliche Grundlage für die weitere Entwicklung der Zukunftstechnologie. Die Normungsroadmap KI legt den strategischen Fahrplan für die Standardisierung im Bereich der Künstlichen Intelligenz fest und setzt damit eine wesentliche Maßnahme der KI-Strategie der Bundesregierung um. Dazu gibt es jetzt einen weiteren Arbeitskreis im DIN.
4.4 TRUST – Kunst zur Künstlichen Intelligenz
Wie reagieren künstliche Ansprechpartner auf, wie agieren DeepFakes mit uns? Das Kunstprojekt TRUST des Zentrums für Kunst und Medien Karlsruhe hat ein interessantes Projekt initiiert. Sie finden es übrigens auch im Deutschen Museum Zukunft in Nürnberg.
4.5 Meta (formerly known as Facebook) setzt auf KI
Die Aktivitäten des Konzerns um Mark Zuckerberg erregten immer schon die Aufmerksamkeit, egal wie er hieß. Dass nun Meta auch auf KI setzt, ist nicht weiter verwunderlich, war der Konzern bislang auch schon allen technischen Möglichkeiten und Neuerungen gegenüber aufgeschlossen.
Franks Anmerkung: Dann ist ja vielleicht klar, warum man heutzutage Mondpreise für Grafikkarten bezahlen darf. Oder gleich bestimmte Modelle gar nicht bekommt.
4.6 KI im Recruitment
Blogs von Recruitern sind bezüglich Datenschutzthemen nicht immer erste Wahl – es gibt aber auch Ausnahmen, wie hier (die sicherlich auch familiäre Ursache lassen wir mal außen vor): Ein lesenswerter Beitrag zum Einsatz von KI beim Recruiting, der zum Nachdenken anregt.
Franks Anmerkung: Ich muss ja bei KI im Bewerbungsverfahren immer noch an diesen Vortrag denken (den ich in ähnlicher Form live zur BvD Herbsttagung 2021 in München gesehen habe).
4.7 Privat-o-mat
Was ist Ihnen wichtig? Wie gehen Sie selbst mit Ihren Daten um? Bei diesen Fragen hilft spierlerisch der Privat-o-mat, ein Tool, das durch die Hochschule der Medien, Institut für digitale Ethik, in Stuttgart unter Einbeziehung u.a. des LfDI BW entstand. Natürlich gab es auch gleich reflexartige Reaktionen, dass das Tool den falschen Eindruck vermittle, nur der User sei Schuld, und es würde die Anbieter vollkommen außer Betracht lassen. Aber um die Anbieter kümmert sich ja der Markt, die entsprechenden Aufsichtseinrichtungen mit Aspekten wie Verbraucherschutz, Datenschutz, Wettbewerb. Da sollte auch eine selbstbestimmte Entscheidung der Nutzer:innen trotzdem nicht unbeachtet bleiben, wollte man sie nicht bevormunden.
5 Veröffentlichungen
5.1 Schrems II: Zusätzliche Maßnahmen
Im letzten Blogbeitrag hatten wir schon über die Entscheidung der Österreichischen Datenschutzbehörde zu Google Analytics berichtet. Hier ist ein Beitrag, der sich mit den dabei gemachten Aussagen zu den zusätzlichen Maßnahmen im Drittstaatentransfer auseinandersetzt.
5.2 Google und data transfer
Und weil´s so schön passt, auch das betroffene Unternehmen veröffentlichte seine Meinung und Hoffnung auf ein neues, belastbares Rahmenwerk zum Datentransfer zwischen EU und USA. Siehe dazu auch 3.3.
5.3 Bußgelder auf unsicherer Rechtslage?
In Deutschland gibt es durch Landgerichte unterschiedliche Bewertungen, wann gegen ein Unternehmen eine Sanktion auf Basis der DS-GVO verhängt werden kann und wann nicht. Kernfrage dabei ist, ob eine Leitungsperson schuldhaft handeln muss oder ob ein objektiver Pflichtverstoß ausreicht. Details zum Meinungsstreit finden Sie hier schön zusammengefasst.
5.4 Analyse der Entscheidung der Datenschutzbehörde zu Google Analytics
Die Entscheidung der Österreichischen Datenschutzbehörde zu Google Analytics anlässlich der Beschwerde von noyb hatten wir schon vorgestellt (siehe dazu auch 5.1). Hier finden Sie eine schöne Analyse der Entscheidung auch vor dem Hintergrund der anderen europäischen Aufsichtsbehörden.
5.5 Der Zauberlehrling, digitale Version – Diesmal: Verlage und Google
Wer erinnert sich noch? Die Einbindung von Google und anderen Diensten zum Tracking sei essentiell, Verlage und Medien könnten sich nicht halten, wenn sie nicht detailgenau wüssten, was (potentielle) Kunden machen und wofür sie sich interessierten, weshalb man solche Dienste ja bräuchte.
Blöd nur, wenn sich nun solche Dienste genau überlegen, wen sie brauchen – und nun stehen die Telemedienanbieter auf einmal ohne die scheinbar so erforderlichen Informationen da und beschweren sich. Dann ist es auch schon egal, welche Technik Google nun tatsächlich einsetzt, um eigene Interessen umzusetzen, nachdem Google nun FloC beerdigt.
Franks Anmerkung: Wie tot ist FLoC? Oder heißt Raider jetzt nur Twix?
5.6 Datenschutz-Navigator
Wie gut ist Ihr Unternehmen hinsichtlich der Datenschutz-Anforderungen aufgestellt? Die Initiative „Deutschland-sicher-im-Netz“ hat ja seit einiger Zeit auch datenschutzrechtliche Anforderungen im Visier und veröffentlichte zu dieser Frage nun ein Fragebogentool. Das dabei unterschiedliche Aspekte auswertet. Laut Webseite hat es sich dabei auch vom BfDI unterstützen lassen, allerdings wage ich zu bezweifeln, dass sich die Unterstützung auch auf die Gestaltung des Cookie-Banners der Webseite bezog.
5.7 Tool-Hilfe zum SDM
Das SDM ist das Standarddatenschutzmodell (aktuell in der Version 2.0b) das zunächst durch (u.a.) norddeutsche Datenschutzaufsichtsbehörden bereits vor der DS-GVO konzipiert wurde und dann an die neuen Anforderungen aus der DS-GVO weitgehend angepasst wurde. Das SDM galt in Norddeutschland als europäischer Standard und fand in der Version 1.0 auch Eingang in die Beispiele einer Umsetzung der Anforderungen einer Datenschutz-Folgenabschätzung des EDSA.
Mittlerweile empfiehlt auch die DSK das SDM und im Auftrag der Stiftung Datenschutz erstellte das NGO iRights ein Tool, mit dem die Anforderungen abgebildet werden. Sie finden es hier.
5.8 Digitale Kontrolle am Arbeitsplatz
Hier behandelt eine Veröffentlichung, welche Kontrollen durch den Einsatz gängiger Tools möglich sind, wie Firmen damit umgehen und wie man den Einsatz dieser Tools am besten gestaltet.
5.9 Europe-Calling – Diskussionsforum zur europäischen (Daten-)Politik
Wer sich für Diskussionen um europäische (Daten-)Politik interessiert, sollte hierhin einen Blick werfen. Wechselnde Themen mit unterschiedlichen Teilnehmern werden in der Form eines Webinars behandelt.
5.10 Veranstaltungen
5.10.1 Stiftung Datenschutz: „Was bringt das TTDSG?“
02.02.2022, 13:00 – 14:00 Uhr. Es geht u.a. um die Aspekte im TTDSG, die neu sind, die Aussagen der DSK in ihrer Orientierungshilfe, und Fragen, inwieweit nun auch Arbeitgeber unter das Fernmeldegeheimnis fallen können, Teilnahme kostenlos, Anmeldung erforderlich.
5.10.2 Verbraucherzentrale Bayern: Cryptocafé
08.02.2022, 18:00 – 19:30 Uhr. Wie surft man sicher im Internet? Wie stellt man seinen Browser datenschutzfreundlich ein? Anlässlich des Safer Internet Day 2022 erhalten Verbraucherinnen und Verbraucher bei einem Online-Cryptocafé der Verbraucherzentrale Bayern Antworten auf diese und viele weitere Fragen, Teilnahme kostenlos, Anmeldung erforderlich.
5.10.3 Daten-Dienstag on tour – Gemeinsam für ein besseres Internet – Herausforderungen aus Sicht der Datenschutzaufsicht
08.02.2022, 19:00 – 21:00 Uhr. Prof. Roßnagel greift in seinem Vortrag anlässlich des Safer Internet Day 2022 nicht nur aktuelle Handlungsfelder auf, sondern auch strukturelle Fragestellungen bei der Nutzung des Internet durch Unternehmen und Behörden, Teilnahme kostenlos, Anmeldung bis 04.02.2022 erforderlich.
5.10.4 ISICO: Frühstücksworkshop zum TTDSG
23.02.2022, 09:00 – 10:30 Uhr. Im Frühstücksworkshop einer renommierten Kanzlei geht es um die Orientierungshilfe zum TTDSG – und was uns die Datenschutzkonferenz mit auf den Weg gibt, Teilnahme kostenlos, Anmeldung erforderlich.
6 Gesellschaftspolitische Diskussionen
6.1 Lobbying für gezielte Werbung
Es ist keine Überraschung, aber eigentlich auch nicht schlimm, wenn Unternehmen ihre Interessen wahrnehmen. Hier wird dargelegt, wie aufgrund von Untersuchungen der Schluss naheliegt, dass die Verhinderung des Verbots gezielter Werbung auf Lobbyaktivitäten einiger US-Unternehmen zurückgeht.
6.2 Datenschutz und Strafverfolgung
Es ist fast schon wie immer – sind Daten erst mal da, erwachen Begehrlichkeiten und heiligt der Zweck nicht die Mittel? Der Zweck kommt bei personenbezogenen Daten aber in der Regel bei der Zweckbindung vor – und gegen die wurde durch die Staatsanwaltschaft und Polizei verstoßen. Auch wenn der Beitrag sich nicht damit auseinandersetzt, warum Journalisten und ihre Quellen besonders geschützt sind. Genau aus dem gleichen Grund: Der Staat braucht eine rechtliche Grundlage, um auf personenbezogene Daten zuzugreifen und in der Regel kann er sich das selbst geben – und dabei die Verhältnismäßigkeit beachten. Mehr ist es dann auch nicht, aber dieses „Mehr“ macht eben den Rechtsstaat aus.
6.3 Reisen nach Australien…
Man muss kein ungeimpfter serbischer Tennisprofi sein, wenn man manches Verhalten der Behörden bei der Einreise nach Australien befremdlich findet. So z.B., wenn dabei das Smartphone übergeben werden soll und keiner einem sagt, was damit passierte, wenn man es dann nach ca. 30 Minuten wieder bekommt.
Franks Anmerkung: Ich hätte da Vorschläge, was passiert sein könnte…
6.4 Weitergabe von Daten an Auskunfteien
Können nun Mobilfunkbetreiber Daten an Wirtschaftsauskunfteien geben oder nicht? Brauchen sie dazu eine Einwilligung der betroffenen Personen oder reicht eine Abwägung? Laut diesem Bericht gehen diese Fragen nun vor Gericht.
6.5 Überwachungsgesamtrechnung
Die neue Bunderegierung hat es sich in ihrem Koalitionsvertrag vorgenommen: Eine Überwachungsgesamtrechnung. Hier können Sie schon mal nachlesen, was alles gemacht wird, nur weil es möglich ist.
6.6 Faktencheck durch dpa für Meta?
Fakenews haben sich mittlerweile als gesellschaftliches Thema etabliert. Da klingt es nicht gerade beruhigend, wenn eine seriöse Nachrichtenagentur sich laut Berichten nun mit Meta (Facebook) verbindet, um dort Informationen zu kuratieren. Da bleiben dann mehrere Fragen offen, nicht zuletzt die, wie unvoreingenommen dpa dann künftig über die Geschäftspolitik des Konzerns berichten wird.
6.7 Nacktfotos im Netz?
Bilder mit zu viel Haut können anregend sein, aber sich für betroffene Personen, die das nicht wollen, zu einem Horror entwickeln. Eine junge Portugiesin hat dies selbst erlebt, kämpft nun dagegen an und scheint es auch zu schaffen, dass sich die EU damit befasst. Daher: Solche Bilder nicht teilen, sondern löschen oder melden.
6.8 Tesla-Hack
Eine Meldung zwischen Schmunzeln und Horror: Wenn schon ein 19-jähriger es schafft sich in das System eines Autos einzuhacken, was würde erst bei einem „seriösen“ Angriff* passieren? Also: Update zeitnah einspielen und wer selbst entwickelt, nicht bei den Schutzmaßnahmen sparen!
* Franks Nachfrage: Können 19-jährige nicht auch „seriöse“ Angriffe starten? Ich denke doch. Kevin Mitnick war 19 Jahre alt, als er NORAD hackte. BTW: Erinnert sich noch jemand an den (laut der verlinkten Seite) davon inspirierten Film WarGames – Kriegsspiele? „The only winning move is not to play“. Die 80er, Oh Yeah!
Wenn ich richtig gezählt habe, waren fast die Hälfte der Top Ten auf der verlinkten Kaspersky-Liste entweder Teenager oder maximal Anfang 20 als sie so richtig gut dabei oder schon wieder verhaftet waren. Und das liest sich alles recht seriös.
7 Sonstiges/Blick über den Tellerrand
7.1 Passt der Schnelltest?
Wie Sie über den Strichcode auf einer Packung die Einschätzung der Wirksamkeit eines Covid-19-Schnelltests durch das RKI feststellen können, erfahren Sie hier.
Franks Anmerkung: Das ist mal ein sinnvoller Link für die Smartphone-Browser-Lesezeichen-Sammlung….
7.2 Mobilsicher: Tipps zur Smartphonenutzung
Wieder praxisnahe Tipps zur datenschutzkonformen Nutzung von Smartphones mit iOS- und Android-Betriebssystem. Zum Einsteigen, nicht nur für „Neulinge“!
7.3 Digitale Bildung? Wo beginnt sie laut bitkom?
Mit zwei Checklisten für Präsenzunterricht und für das Homeschooling sowie zwei Filmchen zeigt der bitkom, was er sich darunter vorstellt. In dem einen Filmchen wird gezeigt, wie toll Dank des Einsatzes von digitalen Tools der Unterricht gestaltet werden kann (leider wurden die Aufgabe des Onlinerecherchierens beim bitkom selbst nicht so toll gelöst – sonst wäre Distanzunterricht nicht als Homeschooling bezeichnet worden). Datenschutzthemen sind (fast erwartungskonform) nicht erwähnt. Wer hier was sucht, sollte sich das Angebot von „Datenschutz geht zur Schule“, deren aktualisierte Linkliste oder das Angebot der „Hacker-School“ ansehen.
7.4 Zertifizierung von Bildungstools
Nicht nur in Zeiten des Distanzunterrichts fiel es auf: Die Einhaltung der Anforderungen datenschutzrechtlicher Vorgaben für Unterrichtshilfsmittel sind für Kultusministerien und Schulträger nicht immer leicht zu erkennen. Hier will nun eine Allianz aus verschiedenen Anbietern und dem Bundesministerium für Bildung und Forschung Abhilfe schaffen und solche Angebote nach Datenschutzanforderungen zertifizieren lassen. Inwieweit die DAkks hier dann noch als neutrale Instanz agieren wird, wenn sie von Anfang an dabei ist, erfahren wir sicher auch noch. Zumindest geht man mit Kritik hinsichtlich der Anforderungen an eine datenschutzkonforme Webseitengestaltung offen um.
7.5 Blinde Kuh und Datenspuren
Die „kinderfreundliche“ Suchmaschine „Blinde Kuh“ erklärt anschaulich, welche Informationen ein Webseitenbetreiber alle bekommt und welche Datenspuren man beim Surfen hinterlässt.
7.6 Kreativpreis der Initiative „Datenschutz geht zur Schule“
Welche Icons, Slogans, Abbildungen stellen den Datenschutz passend dar? Im Rahmen eines Kreativwettbewerbs sind Schüler:innen und Schulklassen aufgerufen hier Vorschläge bis Ende April 2022 einzureichen. Details hier.
7.7 „Datenschutz – leicht erklärt“: Videoclips von „Datenschutz geht zur Schule“
Weil in Pandemiezeiten Besuche in Schulen nicht so angesagt sind, wurden vorerst 18 Videos erstellt, die im Unterricht genutzt werden können. Diese können kostenlos online und offline genutzt werden, um als Impuls im Unterricht diese verschiedenen Themen einzuführen. Ergänzt wird es dann durch das Lehrerhandout.
8. Franks Zugabe
8.1 Securing your digital life, the finale
Ende letzten Jahres hatte ich Ihnen eine dreiteilige Serie zur Personal Digital Security empfohlen. Irgendwie ist mir dann aber entgangen, dass es noch einen abschließenden vierten Teil gab. Diesen möchte ich nun nachreichen: Debunking worthless “security” practices
8.2 Wie frau geheime deutsche Institutionen enttarnt
Was soll ich dazu groß als Beschreibung hinschreiben? Lesen Sie doch einfach selbst:
Teil 1 – Bundesservice Telekommunikation — wie ich versehentlich eine Tarnbehörde in der Bundesverwaltung fand
und
Teil 2 – Bundesservice Telekommunikation — enttarnt: Dieser Geheimdienst steckt dahinter
Beide geschrieben von Lilith Wittmann.
Der Name kommt Ihnen bekannt vor? Darf er auch, Frau Wittmann war schon mehrfach zu Gast in unserer Blog-Reihe (1, 2, 3).
Und ich prophezeie, dass das heute nicht ihr letzter Auftritt ist. Schließlich ist sie die selbst ernannte Krawall-Influencerin… 👍
8.3 Farbenfroh – Pink Screen of Death.
Ich hatte ja schon darüber berichtet, dass Windows 11 mit dem Black Screen of Death kommt, eine lange überfällige Abkehr vom berühmt berüchtigten Blue Screen of Death.
Da konnte und wollte Apple natürlich nicht zurückfallen, und so gaben sie uns (also den Besitzer:innen mancher iPhones der 13er-Reihe) den Pink Screen of Death. Farbenfroh halt…