Frank Spaeing
Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 19/2021)
Hier ist er, der zweite Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 19/2021)“:
- Aufsichtsbehörden
- Rechtsprechung
- Gesetzgebung
- Veröffentlichungen
- Kontaktnachverfolgung durch Luca-App und CWA
- BSI: ExPress Informationssicherheits-Check
- BSI: Prüfbarkeit KI-Systeme
- Leitfaden Redaktionsdatenschutz
- Veranstaltungen
- 4.5.1 EAID „Ankündigung Europäisches Impfzertifikat“
- 4.5.2 VDE-Prüfbestimmung zu Privacy by design und Datensparsamkeit
- 4.5.3 Digital-Gipfel Event 2021
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 Schrems II und Drittstaaten: hier Rheinland-Pfalz
Keiner kann sagen, er hätte nichts gewusst: Erneut weist eine Datenschutzaufsichtsbehörde auf die Anforderungen hin, die sich durch das Schrems-II-Urteil des EuGH im Drittstaatentransfer ergeben und kündigt parallel auch Prüfungen an. Auf die Hintergründe und Anforderungen wird dabei auch verwiesen. Es bleibt die stille Hoffnung, dass die Aufsichtsbehörden mit ihren Prüfungen im öffentlichen Bereich beginnen, um hier die Chance zu nutzen dessen Vorbildfunktion Raum zu geben.
1.2 Verbot der Weiterverarbeitung von WhatsApp-Nutzerdaten durch Facebook
Die Datenschutzaufsicht in Hamburg hatte es fast schon angekündigt: Die Weiterverarbeitung von WhatsApp-Nutzerdaten durch Facebook wurde untersagt. Durch eine Änderung der Nutzungsbestimmungen am 15. Mai lässt sich Facebook weitreichende weitreichende Befugnisse für eine Datenweitergabe an Facebook einräumen. Das beträfe u.a. die Auswertung von Standortinformationen, die Weitergabe von Kommunikationsdaten der Nutzer von Unternehmen auf WhatsApp an Drittunternehmen ausdrücklich mit Hinweis auf Facebook, den zusätzlichen Zweck der Sicherstellung der Integrität der Dienste sowie die unternehmensübergreifende Verifizierung des Accounts, um den Dienst auf „angemessene Weise“ zu nutzen. Ferner werde die Nutzung der Daten zur Verbindung mit Produkten von Facebook-Unternehmen eröffnet. Ein berechtigtes Interesse für die Datenverarbeitung bzw. für den Austausch der Daten werde künftig pauschal auch gegenüber minderjährigen Nutzern vorgebracht. Ferner fiele der bislang vorhandene Hinweis weg, dass WhatsApp-Nachrichten nicht für andere sichtbar auf Facebook geteilt werden. Natürlich wird diese Entscheidung (kontrovers) besprochen, weil es dabei um das erste angewandte Dringlichkeitsverfahren geht und auch WhatsApp sieht hier ein Missverständnis.
Aufgrund des beschränkten Zeitrahmens der Anordnung im Rahmen des Dringlichkeitsverfahrens nach Art. 66 DS-GVO von maximal drei Monaten wird sich auch der Europäische Datenschutzausschuss damit befassen.
Wer dies zum Anlass nimmt (Gründe gab es ja schon immer welche) sich von WhatsApp zu verabschieden, sollte auch den Beitrag unter Ziffer 6.7 lesen.
1.3 MS 365 an Schulen in Baden-Württemberg
Wie kann man MS 365 möglichst rechtskonform einsetzen? Darüber rätseln spätestens seit Schrems II viele Unternehmen. Der LfDI BW hat nun seine Einschätzung zum Einsatz an Schulen veröffentlicht.
Fast parallel kündigte Microsoft an, künftig seine Cloudangebote auch innerhalb Europas zu betreiben. Mal sehen, ob es noch eine einheitliche Bewertung der europäischen Datenschutzaufsichtsbehörden geben wird, sollten die Aussagen von Microsoft über Marketingqualitäten hinausgehen und konkreter werden. Der LfDI BW hat sich in seinem Podcast zumindest schon mal differenzierter geäußert, dass sich die veröffentliche Bewertung nur auf die Beratung hinsichtlich des Einsatzes in Schulen beziehe.
1.4 Datenschutz und Corona
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit stellt in einer Pressemeldung klar, dass der Datenschutz in der Krise Flexibilität und Schutzwirkung gleichzeitig bewiesen hat. Ein Zurückschrauben des Datenschutzrechts sei nicht erforderlich, im Gegenteil wäre die Einschränkung des Grundrechts auf Datenschutz kontraproduktiv.
1.5 Datenschutzinformationen zum Europatag mit EDPB und EDPS
Anlässlich des diesjährigen Europatages am 9. Mai haben der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte einen gemeinsamen Auftritt zum Datenschutz veröffentlicht. Dabei stellen sie Grundlagen zum Datenschutzrecht und den Europäischen Datenschutzausschuss vor.
1.6 Cookies und der EuGH
Das rechtskonforme Setzen von Cookies ist nicht nur aufgrund der Rechtsprechung des EuGH in den Fokus geraten. Spontan denkt man bei der Überschrift an Aussagen zu Modeanbietern und Planeten. Aber auch hinsichtlich der Webseitengestaltung der Webseiten des EuGH gab es eine Beschwerde, zu der sich der Europäische Datenschutzbeauftragte nun Anfang Mai äußerte.
Durch Änderungen auf der Webseite des EuGH wurde der Beschwerde abgeholfen. Beim Lesen sollte man sich nicht irritieren lassen: Gemäß Art. 2 Abs. 3 DS-GVO ist der sachliche Anwendungsbereich der DS-GVO hier nicht eröffnet – für Einrichtungen der EU gilt eine eigene Verordnung: (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG.
2 Rechtsprechung
2.1 Arbeitgeber als TK-Anbieter?
In der geltenden Rechtslage ist es ein dauerhafter Streit: Unterfällt ein Arbeitgeber den Anforderungen des Telekommunikationsrechts, wenn er seinen Beschäftigten gestattet, die betriebliche TK-Anlage auch für private Zwecke zu verwenden? Das LG Erfurt sieht hier in einem aktuellen Fall, den es Ende April entschieden hat (LG Erfurt v. 28.04.2021, 1 HK O 43/20) keinen Anwendungsbereich. Es bleibt zu hoffen, dass sich durch die kommende Gesetzesänderungen im TTDSG und TKModG eine bestätigende Klarstellung erfolgt. Die aktuelle Situation wird hier ausführlich beschrieben.
2.2 Corona-Testpflicht an Schule rechtswidrig?
Die Testpflicht auf Corona als Voraussetzung zum Präsenzunterricht verstoße nach Ansicht eines Hamburger Verwaltungsgerichts gegen – na, was wohl? – den Datenschutz. Die Eilentscheidung ist noch nicht rechtkräftig.
2.3 Schnüffeln in PC des Kollegen kann außerordentliche Kündigung rechtfertigen
Einer Mitarbeiterin wurde gekündigt, als sie unerlaubt den Rechner ihres Kollegen durchsuchte. Auch wenn sie dadurch Straftaten aufdecken wollte, verstieß sie damit gegen Schutz- und Rücksichtnahmepflichten im Umgang mit personenbezogenen Daten, die sie im Arbeitsverhältnis erlangte. Damit verletzte sie gleichzeitig das allgemeine Persönlichkeitsrecht ihres Kollegen. In einer Gesamtschau würde dies einen wichtigen Grund für den Ausspruch einer Kündigung rechtfertigen. Im konkreten Fall des Arbeitsgerichts Aachen wurde die Kündigung aber in eine Abmahnung umgedeutet.
3 Gesetzgebung
3.1 TTDSG
Nein, es hat sich noch nichts beim Telekommunikation-Telemedien-Datenschutz-Gesetz seit der Anhörung im April getan, aber für den 20. Mai sind die 2. und 3. Lesung im Bundestag (Übertragung im Stream) angekündigt. Dann wird sich spätestens zeigen, ob die Hinweise und Kritik aus der Anhörung Berücksichtigungen fanden – oder auch nicht. Zumindest könnte eine Regelung zu Treuhändern bei der Einwilligung zu Werbediensten aktuelle Fragen auch bei Apples Politik beeinflussen.
3.2 Änderungen im TKG
Der Bundesrat hat dem TKModG mit einer Korrektur zugestimmt. Damit kann es zeitnah im Bundesgesetzblatt verkündet werden. Einige Regelungen stehen unter erheblicher Kritik. Man wünscht sich ja manchmal, dass die Politik nicht nur bei Klimagesetzen die Konsequenzen zieht, sondern auch bei der Rechtsprechung des EuGH zur Vorratsdatenspeicherung. Zumindest sollen die Regelungen erst nach einer Entscheidung des EuGH angewandt werden, wenn man den Kritiken folgt.
3.3 IT-Sicherheitsgesetz 2.0
Nach der Zustimmung des Bundesrates fehlt nur noch die Unterschrift des Bundespräsidenten und die Veröffentlichung im Bundesgesetzblatt, dann tritt das IT-Sicherheitsgesetz 2.0 in Kraft. Angestrebt wurde eine Stärkung des BSI, des Verbraucherschutzes, der unternehmerischen Vorsorgefunktion sowie der staatlichen Schutzfunktion, erreicht wurde gemäß den Experten in der Anhörung aber ein völlig unzureichendes Ergebnis. Irgendwie passt es dann auch ins Bild, wenn für die Leitungsebene der „Agentur für Sprunginnovationen in der Cybersicherheit GmbH“ neues Personal gesucht werden muss.
3.4 Brexit – wie geht es weiter?
Wenn die EU-Kommission nicht bis Ende Juni einen Angemessenheitsbeschluss erlässt sind die weiteren Grundlagen aus dem Kapitel 5 der DS-GVO heranzuziehen, um dann den Transfer von personenbezogenen Daten nach Großbritannien beanstandungsfrei zu gestalten. Ob das gelingt, ist spannend: Der Ausschuss LIBE hat nach Berichten Zweifel, ob dies angesichts sicherheitsrechtlicher Befugnisse in Großbritannien möglich sein wird. Nächste Woche soll das Europäische Parlament darüber abstimmen.
Etwas kompliziert wird es, wenn man sich vergegenwärtigt, was es heißt, wenn Großbritannien nicht mehr in der EU ist: Meist haben wir nur den Blick vom Kontinent auf die Insel. Aber es gibt auch den Blick zurück: Wie gestaltet Großbritannien den Datentransfer in andere Staaten? Für Zeit nach dem Übergang hat die ICO ja bereits Hinweise veröffentlicht. Hier kündigt die ICO nun an auch Standard Contractual Clauses vorzulegen, die den Transfer von Großbritannien in andere Länder regeln. Internationaler Datentransfer wird dadurch nicht einfacher, wenn Dienstleister innerhalb der EU dann auch Vorgaben aus UK berücksichtigen müssen, wenn sie Aufträge aus Großbritannien übernehmen.
3.5 Anpassung Krankenhausgesetz NRW
Eigentlich ist es ja nur eine Meldung, die nur ein Bundesland betrifft: Das Bemerkenswerte ist, dass es doch noch Gesetzgeber gibt, die prüfen was Urteile (auch anderswo) bedeuten können und welche Konsequenzen daraus zu ziehen sind. Im Zuständigkeitsbereich der Datenschutzaufsicht Hamburg blieben Patientenaktien auch nach Aufgabe des Krankenhauses im Gebäude unzureichend verwahrt.
Dem Erwerber des Gebäudes war dies nicht bewusst, er galt deswegen nicht als Verantwortlicher nach Art. 4 Nr. 8 DS-GVO (sehr verkürzt). In NRW wurde nun über eine Gestaltung des § 34c KHGG NRW geregelt, wie ein Krankenhausträger verpflichtet wird, angemessene Maßnahmen für die Aufbewahrungsdauer und somit auch für diese Konstellation zu treffen.
3.6 Geht doch: Grundlagen der Nutzung von Videokonferenz-Tools
In zahlreichen Talkshows mit mehr und meist weniger kompetenten Teilnehmer:innen war es das Thema im ersten Halbjahr: Ohne Datenschutz könnten wir mehr und besser – egal was. Dass es letztendlich auch der Gesetzgeber in der Hand hat durch überlegte, am Zweck orientierte Gesetzgebung datenschutzrechtliche Grundlagen zu schaffen, beweist Brandenburg, indem es jetzt für den Einsatz von Videokonferenztools zu Unterrichtszwecken rechtliche Grundlagen schafft, die eine Einwilligung entbehrlich machen.
3.7 Personal information law in China
Dass es in den USA in etlichen Bundesstaaten Bestrebungen gibt Privacy Laws zu erlassen und dass diese Materie voraussichtlich dort auch auf Bundesebene geregelt wird, ist im Rahmen von Schrems II bekannt. Nun ist auch China dabei entsprechende Regularien zu erlassen. Aber keine Sorge, dass ein mögliches Weltbild erschüttert wird – die Gestaltungen orientieren sich zwar an Vorgaben aus dem Westen, sind aber in Details wohl noch weit von dem entfernt, was westlichen Werten entsprechen könnte. Es bietet aber dennoch etwas Hoffnung, dass es eines Tages einen interoperalen Standard zum Datentransfer geben könnte.
4 Veröffentlichungen
4.1 Kontaktnachverfolgung durch Luca-App und CWA
Es bleibt diffus: Wie können Kontaktverfolgungen digitalisiert werden, ohne dass das Vertrauen der Benutzer beeinträchtigt wird. Es werden mindestens zwei Optionen diskutiert, hinzu kommen weitere wie die „Darfichrein“-Version der DEHOGA. Die Entwicklungen und Bewertungen waren aber gerade in den letzten Tagen sehr ereignisreich, so dass jede konkrete Aussage hier am nächsten Tag bereits überholt sein könnte.
Was aktuell bleiben wird: Die Abhängigkeit der Maßnahmen von der jeweiligen Gefährdungssituation sowohl für die passive Sicherheit (kann ich infiziert werden) wie auch für die aktive Sicherheit (kann ich andere infizieren). Hier werden wir schlimmstenfalls unsere Einschätzungen laufend anpassen müssen und Meldung wie von den Seyschellen zeigen, dass wir uns keiner trügerischen Sicherheit hingeben können – die AHA-Regelungenwerden uns noch länger begleiten, gerade, wenn auch Inzidenzzahlen nicht sehr verlässlich erscheinen.
So werden wir zu einem digitalen Impfnachweis den Sommer über sicher noch etliche Informationen erhalten. Erforderlich wird sein, dass die Nachweise für Erleichterungen, d.h. für geringere Gefährdungssituationen, möglichst fälschungssicher erfolgen. Ob dazu eine zentrale Speicherung erforderlich sein wird, wie in Österreich vorgesehen, wird sich zeigen. Fast schon vertrauenserweckend erscheint dabei der Verzicht auf eine Blockchain. Das Buzzwort scheint sowieso nur als Marketinggag bei Vorhaben der öffentlichen Hand zu taugen, wenn selbst der Nationales E-Government Kompetenzzentrum e.V. in seiner Publikation zur Blockchain die Vorteile der Blockchain vor allem für die unveränderliche Historie und das Bereitstellen eines dezentralen Datenzugriffs sieht. Sofern es sich bei den Inhalten der Identität um personenbezogene Daten handelt, sollen diese wegen eventuell auftretender datenschutzrechtlicher Löschungsansprüche nicht in der Blockchain selbst abgelegt, sondern von dieser aus in einer separaten Datenbank angesprochen werden.
4.2 BSI: ExPress Informationssicherheits-Check
Mit dem ExPress Informationssicherheits Check (EPIC) stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) ab sofort eine web-basierte Selbstüberprüfung zur Beurteilung des Status der Informationssicherheit für Behörden und Unternehmen zur Verfügung. Diese sollen mit dem Instrument eigenständig identifizieren können, an welchen Stellen die Informationssicherheit ihrer Institution optimiert werden kann. Dies sei vor allem in Pandemie-Zeiten mit stark eingeschränkten Möglichkeiten zur Durchführung von Vor-Ort-Prüfungen ein Vorteil. Darüber hinaus könne der ExPress Informationssicherheits Check sinnvoll mit anderen Dienstleistungen des BSI rund um das Thema Sicherheitsprüfungen kombiniert werden, um zum Beispiel im Vorfeld einer IS-Revision oder eines IS-Penetrationstests grundlegende Aspekte der Informationssicherheit zu analysieren.
4.3 BSI: Prüfbarkeit KI-Systeme
Gemeinsam mit dem Verband der TÜVs (VdTÜV) und dem Fraunhofer HHI organisierte das BSI im Oktober 2020 einen internationalen Expertenworkshop und hat aus diesen Erkenntnissen ein Whitepaper erstellt, mit dem die Prüfbarkeit von KI-Systemen abgebildet wird. Künstlich Intelligente (KI) Systeme spielen eine immer größer werdende Rolle als automatisierte Entscheidungs- und Kontrollsysteme in verschiedenen, zum Teil sicherheitskritischen Anwendungsbereichen.
Hierzu gehören u. a. autonome Fahrzeuge und biometrische Zugangskontrollsysteme. Neben den immensen Chancen, die sich durch den Einsatz von KI-Technologie eröffnen, ergeben sich gleichzeitig zahlreiche, qualitativ neue Probleme hinsichtlich u. a. der Sicherheit, der Robustheit und der Vertrauenswürdigkeit. Um diesen Problemen angemessen zu begegnen, wird eine Rahmenstruktur für die Prüfung von KI-Systemen benötigt, die neben Prüfstrategien und -werkzeugen auch entsprechende Standards umfasst. Diese Strategien, Werkzeuge und Standards sind aktuell noch nicht hinreichend für den praktischen Einsatz verfügbar.
Hier soll das Whitepaper unterstützen: Es beleuchtet verschiedene Aspekte der Sicherheit von KI-Systemen, u.a. deren Lebenszyklus, Online-Lernverfahren, qualitativ neue Angriffe, mögliche Verteidigungsmaßnahmen, Verifikation, Prüfung, Interpretation und Standardisierung.
4.4 Leitfaden Redaktionsdatenschutz
Wie wenn wir es geahnt hätten, als wir am 20.04.2021 mit dem Museum für Kommunikation und dem BayLDA auch den Pressedatenschutz bei der Vortragsreihe „Daten-Dienstag“ thematisiert hatten und uns die Anforderungen und Vorgehensweise beim Datenschutz durch den Deutschen Presserat behandelten. Nun hat der Presserat seinen Leitfaden Redaktionsdatenschutz dazu veröffentlicht. Aber Achtung: Nicht jeder, der veröffentlich, gilt gleich als Journalist! Eine der Anforderungen ist z.B., dass mit der Veröffentlichung ein Beitrag zur Meinungsbildung beabsichtigt sei.
4.5 Veranstaltungen
4.5.1 EAID „Ankündigung Europäisches Impfzertifikat“
20.05.2021, 16:00 – 18:00 Uhr, Experten diskutieren über die Anforderungen und Auswirkungen der Einführung eines europäischen Impfzertifikates (– egal ob mit oder ohne Blockchain), Veranstaltung ist online und kostenlos, Anmeldung erforderlich.
4.5.2 VDE-Prüfbestimmung zu Privacy by design und Datensparsamkeit
30.06.2021 und 07.07.2021, jeweils 10:00 – 11:00 Uhr, kostenlos, hier mehr Infos und Link zur Anmeldung (erforderlich).
4.5.3 Digital-Gipfel Event 2021
18.05.2021, 11:00 – 11:30 Uhr – Auf Einladung von Bundeswirtschaftsminister Peter Altmaier treffen sich die Vorsitzenden der zehn Plattformen des Digital-Gipfels am 18. Mai mit der Bundeskanzlerin. Die Ergebnisse diskutieren Dr. Angela Merkel, Peter Altmaier und Bitkom-Präsident Achim Berg öffentlich im Live-Stream. Kostenlos, hier mehr Infos und Link zum Stream.
5 Gesellschaftspolitische Diskussionen
5.1 Werbung über Apps – Folgen der Apple-Aktion
Seit Applenutzer in ihrem Betriebssystem iOS über die Werbenutzung entscheiden können, gingen Berichten zufolge die Werbemöglichkeiten dramatisch zurück. Damit verblasst auch die Aussage von manchem Markting-Apostel, „die Leute wollen ja Werbung“, wenn die Leute dann wirklich wählen können, was sie wollen. Aber Apple ist kein NGO und sieht sich nun einem Kartellverfahren ausgesetzt, denn für eigene Produkte lässt sich die voreingestellte Werbeeinwilligung nur erschwert ausschalten. Kann blöd laufen, wenn einen die Leute mal ernst nehmen…
5.2 Influencer fürs Unternehmen – rechtliche Leitplanken
Immer mehr Unternehmen freuen sich, wenn ihre Beschäftigten auch außerhalb des betrieblichen Umfeldes in sozialen Medien positiv wahrgenommen werden. Aber auch dabei kann es zu rechtlichen Problemen kommen, wenn gewisse Leitplanken nicht beachtet werden, wie es hinsichtlich des Wettbewerbsrechts oder der Impressumspflicht. Diese und noch weitere Hinweise thematisiert ein Bericht zweier Rechtsanwältinnen.
5.3 same same but different – weshalb nicht alle das Gleiche möchten
Ein Beitrag zu den erforderlichen Veränderungen im Bildungssystem, gerade auch unter Berücksichtigung der digitalen Anforderungen und Möglichkeiten, bietet die Möglichkeit, dessen Darstellungenn auf andere Bereiche zu übertragen. Und nicht nur auf die Aussagen, wie man „Experte“ wird.
5.4 Vorstellungen zu einem Digitalministerium
Von Digitalisierung reden alle gerne, auch wenn die letzte Schulung zu Datenschutzgrundlagen dazu bei Manchen in der Union wie im Bundeskanzleramt schon länger her ist: Wie soll ein Digitalministerium (nach der nächsten Wahl) aussehen? Ihre Vorstellung dazu hat nun die Union veröffentlicht.
6 Sonstiges/Blick über den Tellerrand
6.1 WhatsApp-Nutzungsbedingungen – und tschüss?
Dass WhatsApp nun doch seine Bedingungen (ab dem 15. Mai) ändern will, haben nun sicher die meisten mitbekommen – wer schon Threema oder Signal nutzte, hat es in den letzten Monaten mitbekommen, dass viele aus dem privaten Umfeld offensichtlich einen Wechsel in Betracht zogen. Wer nicht zustimmt, hat vorerst eine eingeschränkte Nutzung. Wer sein Account nicht nur auslaufen lassen, sondern möglichst viele Daten auch löschen will, erhält bei mobilsicher.de (siehe 6.7) dazu entsprechende Tipps.
6.2 TikTok, YouTube und weiteres
Wir haben ja mitbekommen, dass Donald Trump von TikTok nicht begeistert war, weil damit Daten von US-Amerikanern für ihn unkontrolliert in China verarbeitet wurden. Nun gibt es Berichte, dass YouTube mit der Förderung von Kurzfilmen („Shorts“) und Zahlungen an „Influencer“ seine YouTube Shorts pushen will. Dabei muss TikTok sich nun auch um die Einhaltung der Altersvorgaben in Italien kümmern, die dortige Aufsichtsbehörde lässt TikTok Altersverifikationsmaßnahmen durchführen, durch die bisher ca. 500.000 Nutzer gesperrt wurden, weil sie jünger als 13 Jahre waren. Nach dem Tod einer 10-jährigen in Italien bei einer „TikTok-Challange“ geriet TikTok (warum eigentlich nur) dort sehr unter Druck und in den öffentlichen Fokus seiner Verantwortung gerecht zu werden und Altersverifikationen einzuführen.
6.3 Tools zum Schutz von Fotos
Die Warnungen sind bekannt: Einmal im Netz sind Bilder nicht mehr unter Kontrolle zu bekommen. Was man neben Datenminimierung und Datensparsamkeit toolgestützt machen kann, schildert anschaulich dieser Beitrag über zwei Softwaretools, die an Universtäten in den USA entwickelt wurden.
6.4 Geburtstag des Computers
Diese Woche galt als der 80. Geburtstag des „ersten“ Computers der Welt, des Z3 von Konrad Zuse. Wer die spannende Geschichte um die Entwicklung des Computers und die Erlebnisse in der Nachkriegszeit nachverfolgen will, kommt um die Webseite des Sohnes, Prof. Dr. Horst Zuse, nicht herum.
6.5 Bildung von Kindern
Es ist schon länger bekannt und wurde durch die Anforderungen in der Pandemie nur offensichtlicher: Es fehlt Kindern oft an der medienpädagogischen Kompetenz. Hinsichtlich der Fähigkeit Fake-News zu erkennen unterstützt nun ein Tool, auf das Klicksafe hinweist. In der Regel besteht die Medienkompetenz in der Fähigkeit zu wischen ohne Zusammenhänge, Abhängigkeiten und Konsequenzen zu verstehen. Weiter ist man hier schon in Australien, wo nun ein Curriculum zur Cybersicherheit für Fünfjährige aufgesetzt wurde. Aber Australien ist ja eine Insel und da kann man ja ganz anders vorgehen – oder warum sind dort die Ergebnisse in der Pandemiebekämpfung erfolgreicher gewesen…?
6.6 Gesundheitsdaten selber schützen
Der beste Eigenschutz fängt mit Datenminimierung und Datensparsamkeit an – und mit der bewussteren Auswahl von Tools. Wer seine eigenen Gesundheitsdaten schützen will, sollte bei der Auswahl von Apotheken-Apps aufpassen, die Kolleg:innen von mobilsicher informieren über ihre Erkenntnisse bei der App der Shop-Apotheke.
6.7 WhatsApp richtig löschen
Der Nachfolge-Messenger ist gewählt und nun verabschieden Sie sich von WhatApp? Sicherlich keine falsche Entscheidung. Doch bevor Sie den Messenger vom Handy werfen, sollten Sie Ihr Profil löschen – sonst bleiben Daten beim Anbieter gespeichert. Die Kolleg:innen von mobilsicher.de zeigen, wie das geht.
6.8 Der Schutzheilige des Datenschutzes
Es mag Zufall sein, dass gerade an diesem Tag zwei Konferenzen zum Datenschutz in Deutschland beginnen: Ist doch der 19. Mai der Tag des Ivo von Sevilla, dem Schutzheiligen des Datenschutzes. Natürlich gab es im Mittelalter noch keinen Datenschutz in unserem heutigen Sinne, er studierte zunächst Jura, wurde Kirchenjurist und verdiente sich seinen Lebensunterhalt als Pfarrer. Seine Tätigkeit schien er sehr gewissenhaft auszuüben und insbesondere für Witwen, Waisen und andere erbarmenswerte Personen trat er unentgeltlich vor Gericht auf. Seine Lebensführung als Christ und Anwalt schien so außergewöhnlich, dass seine Grabinschrift lautet: „Advocatus, sed non latro“ – „er war ein Anwalt, aber kein Gauner“ (welcher Anwalt kann solche eine Inschrift heute noch erwarten?).
Zu seiner symbolhaften Aufgabe als Schutzheiliger des Datenschutzes kam er aber über die Siegelverwendung im Katholische Datenschutzzentrum in Dortmund, dass für sein Siegel eine Abbildung des Heiligen Ivo wählte und zur Umsetzung den damaligen Direktor des Paderborner Diözesanmuseums einbezog. Seit ihrer Gründung im Jahr 2016 hat die Behörde den französischen Heiligen als Patron; offiziell vom Papst beauftragt ist Ivo aber nicht (an dem Verfahren zur offiziellen Heiligsprechung scheint sich das Verfahren zur Zertifizierung nach der DS-GVO orientiert zu haben – es kann ziemlich lange dauern, ist umständlich und nicht jedes Verfahren führt zum Erfolg).
Nun wäre es noch schön, wenn es auch bald eine weibliche Schutzheilige gäbe, die dann auch die Informationssicherheit betreut, denn die Verfügbarkeit, die Vertraulichkeit und die Integrität von Systemen könnten in diesen Tagen Beistand auch gut gebrauchen.
7. Franks Zugabe
7.1 Apropos Facebook…
Der irische High Court hat wie erwartet am heutigen 14.05.2021 entschieden, dass die DPC die Entscheidungen des EuGH zügig umsetzen und Facebooks EU-US-Datentransfers stoppen muss. Oha, warten wir mal ab, ob und wie die DPC das Problem auszusitzen versucht. Wenn Sie Genaueres wissen möchten, informieren Sie sich bitte bei noyb.eu.
7.2 MFA und Authenticator-Apps
Mittlerweile scheint sich allgemein die Erkenntnis durchzusetzen, dass MFA (Multi-Factor-Authentication), idealerweise per Authenticator-App, deutliche Vorteile gegenüber dem klassischen 2FA (Two-Factor-Authentication), klassisch Passwort und Code per SMS, hat.
Allerdings bin ich persönlich eher ein Freund eines offenen Authenticators als der weit verbreiteten Varianten von Microsoft oder Google. Für iOS zum Beispiel nutze ich diesen eher schlichte Variante.
7.3 Bundeslagebild Cybercrime und ugly ransomware
Dieser Tage hat das BKA das aktuelle Bundeslagebild Cybercrime 2020 veröffentlicht.
Umso mehr ein Grund, sich über Sicherheit Gedanken zu machen. Vor allen Dingen, da mittlerweile gilt: Ransomware Is Getting Ugly….