Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 22/2021)“
Nr. 5 lebt… Zumindest ist hier der fünfte Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 22/2021)“:
- Aufsichtsbehörden
- Fragebogen der Aufsichtsbehörden zu Schrems II
- Cookies auch ein Thema in Frankreich
- Prof. Caspar im Rückblick und Ausblick
- Jahresbericht des EDSA
- Anforderungen an die Speicherung von Kreditkartendaten (Empfehlung 02/2021)
- Auditanforderungen des EDPS
- Audit durch EDPS zur Newsletterbereitstellung
- Tätigkeitsbericht der Datenschutzaufsichtsbehörde Österreich – Fall des Art. 36 DS-GVO
- Rechtsprechung
- Gesetzgebung
- Veröffentlichungen
- noyb und Webseiten
- Transparenz schafft Vertrauen
- Digital-Akademie des Bundes
- Identifizierung kritischer Infrastrukturen
- Kritik am neuen Code of Conduct für Cloud-Anbieter
- Konsequenzen der Datenpanne bei einer Blutspendedienstwebseite
- Neue Hardware für Gesundheitsversorgung
- Veranstaltungen
- „Forum Bildung Digitalisieren“: Datenschutz und digitale Schule – Wie können wir Schulen beim Datenschutz unterstützen und entlasten?
- reuschlaw events: “Cybersecurity Talks – Law meets Tech: Reaktion”
- Transatlantic Consumer Dialog Time to ban surveillance-based advertising?
- BigBrotherAwards 2021 im Live-Stream
- restart:BAMF | Fachtag der RLCD e.V.
- Hamburger Datenschutzgesellschaft: „Berliner Datenschutzaufsicht – Aktuelle Entwicklungen der Bußgeldpraxis deutscher Aufsichtsbehörden“
- Data Debates #18 – Deutschlands digitale Zukunft: Die Parteien im Wahl-Check
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 Fragebogen der Aufsichtsbehörden zu Schrems II
Lange schon war es angekündigt, nun setzen sie es in die Tat um: Ein Großteil der deutschen Landesdatenschutzaufsichtsbehörden* beteiligt sich an der Aktion mittels Fragebogen die Umsetzungen der Anforderungen aus Schrems II zu prüfen. Die Frage- und Antwortbögen sind durch die Aufsichtsbehörden veröffentlicht und umfassen die Bereiche Bewerberportale, Konzerninterner Datenverkehr, Mailhoster, Tracking und Webhoster.
Es gibt auch schon die ersten Stellungnahmen dazu, die sich auch mit Frage der Rechtsform dieser Fragebögen befassen und ob darauf reagiert werden sollte.
*Franks Nachtrag:
Mindestens die folgenden Landesdatenschutzaufsichtsbehörden beteiligen sich anscheinend an der gemeinsamen Prüfaktion (Stand 05.06.2021, festgestellt durch Kontrolle der Webseiten auf entsprechende Pressemitteilungen):
Baden-Württemberg, Bayern (Privatwirtschaft), Berlin, Brandenburg, Hamburg, Niedersachsen, Rheinland-Pfalz, Saarland
1.2 Cookies auch ein Thema in Frankreich
Das Thema des rechtskonformen Einsatzes von Cookies und anderen Möglichkeiten der Datenverarbeitung auf Webseiten beschäftigt nicht nur deutsche Aufsichtsbehörden und Adressaten von noyb (vgl. Ziffer 4.1). In Frankreich gibt die CNIL Unternehmen einen Monat Zeit, ihre Webseiten den Vorstellungen der CNIL anzupassen.
1.3 Prof. Caspar im Rückblick und Ausblick
In einem Videointerview einer Kanzlei äußert sich Prof. Caspar zum Ende seiner Amtszeit rückblickend, aber auch zu den aktuellen Themen wie Schrems II und den Anforderungen an die Datenverarbeitung. So gehe es bei der aktuellen Prüfaktion nicht darum Unternehmen handlungsunfähig zu machen und dazu zu nötigen ihre Hauptsysteme abzuschalten, wenn der Transfer in die USA (ggf. in der Kette der Unterauftragnehmer) eine kritische Relevanz durch Schrems II erhalten habe. Er verwies jedoch ausdrücklich darauf, dass es auch Systeme / Anbieter gebe, bei denen davon ausgegangen werden könne, dass ausreichende Alternativen zur Verfügung stünden, die keinen kritischen US-Transfer beinhalten und nannte dabei die Bereiche Webhosting, Emailhosting, Tracking sowie Bewerbungsportale.
1.4 Jahresbericht des EDSA
In dem rückblickenden Bericht des Europäischen Datenschutzausschusses für das Jahr 2020 berichtet er über die erfolgten Abstimmungen, veröffentlichten Guidelines und abgegebenen Stellungnahmen. Schwerpunkte waren (natürlich) die Bewertung von Maßnahmen aufgrund der Pandemie und die Bewertungen und Aktivitäten nach Schrems II.
1.5 Anforderungen an die Speicherung von Kreditkartendaten (Empfehlung 02/2021)
Fast hätten wir es übersehen: Der EDSA veröffentlichte auch seine Anforderungen an die Speicherung von Kreditkartendaten. Dazu macht er Aussagen sowohl zu der jeweiligen Rechtsgrundlage einschließlich der Wahrung berechtigter Interessen, weist aber auch darauf hin, dass bei einer Einwilligung diese auch jederzeit widerrufen werden können muss.
1.6 Auditanforderungen des EDPS
Was erwartet der Europäische Datenschutzbeauftragte, wenn er ein Audit durchführt und was erwartet diejenigen europäischen Einrichtungen, die er auditiert? Dies hat er nun ein einem kleinen Faktenblatt zusammengestellt.
1.7 Audit durch EDPS zur Newsletterbereitstellung
Der Europäische Datenschutzbeauftragte veröffentlichte seinen Bericht über die Überprüfung der Newsletter-Nutzung auf Seiten von Einrichtungen, die in seiner Zuständigkeit liegen. In seinem Bericht sind auch Checklisten für die erforderliche Information der betroffenen Person und die Einwilligung enthalten (Achtung: nicht irritiieren lassen: Prüfungsmaßstab ist die Verordnung (EU) 2018/1725).
1.8 Tätigkeitsbericht der Datenschutzaufsichtsbehörde Österreich – Fall des Art. 36 DS-GVO
Vieles bekommt man aus Österreich auch unterjährig mit, dennoch ist der Tätigkeitsbericht aus dem Nachbarland immer interessant. Hat man bei den Tätigkeitsberichten in Deutschland immer noch das Gefühl, das ist eine Aufsichtsmeinung unter vielen, ist es bei der DSB Österreich immerhin die eine, die einen Mitgliedsstaat alleine repräsentiert und eine Stimme im EDSA hat. Neben familiär bedingter Nähe zur österreichischen Kultur, Küche und Sprache inspirieren die Berichte aus Österreich auch immer zu neuen Erkenntnissen, da es dort wohl scheinbar (bezogen auf das Größenverhältnis) mehr Rechtsstreitigkeiten gibt, die zu Urteilen führen. Was mir aber wirklich neu war, ist, dass es in Österreich einen Fall nach Art. 36 DS-GVO gab. Art. 36 DS-GVO kommt dann zur Anwendung, wenn eine neue Verarbeitung eingeführt wird, der Verantwortliche aber trotz der technischen und organisatorischen Maßnahmen, die ihm bekannt sind und die er einsetzt, selbst nach Durchführung einer Datenschutz-Folgenabschätzung immer noch ein hohes Risiko für die Rechte und Freiheiten der natürlichen Person nicht ausschließen kann. Dann muss er seine Aufsichtsbehörde einbeziehen. Mir ist nicht bekannt, dass dies in Deutschland schon mal vorkam (aber was weiß ich schon…). Im Tätigkeitsbericht wird unter Ziffer 3.2.8. über eine vorherige Konsultation berichtet, deren Ergebnis erst im nächsten Tätigkeitsbericht erörtert würde.
Geplant sei eine Teststellung, bestehend aus einem Sensor- und Videoaufnahmesystem, welches im Bereich von Eisenbahnbrücken, die über öffentliche Verkehrsflächen verlaufen, angebracht werden soll. Das System diene der Erkennung und Video-Dokumentation von Schadenfällen, die durch den Zusammenprall eines Fahrzeugs mit einer Brücke verursacht würden (Anpralldetektion). Die Bildaufnahmen würden auch öffentliche Verkehrsflächen erfassen.
2 Rechtsprechung
2.1 Anforderungen an die Transparenz eines Algorithmus für Einwilligung
Ohne Transparenz kein Konsens – so die knappe Zusammenfassung eines Urteils in Italien zur Einwilligung nach der DS-GVO. Damit hätte man ja noch rechnen können, jedoch bezieht das das italienische Gericht auch auf den Algorithmus, der der Verarbeitung zugrunde gelegt wird. Und da wird es dann spannend. Die Einwilligung sei nicht gültig, wenn der Algorithmus nicht so transparent ist, dass die betroffene Person erkennen kann, wie er funktioniert, um eine bestimmte Entscheidung zu treffen. Auf die Consentthematik bespielsweise bei Cookies bezogen, müsste dem Webseitenbesucher die Funktionalität der einbezogenen Cookies erklärt werden. Eine Entscheidung des EuGH zu der Frage wäre mir lieber, dann bestünde europaweit Klarheit dazu.
Frank Nachtrag:
Der Algorithmus der Schufa wäre bestimmt auch erläuerterungswürdig – just sayin’…
2.2 Unbeaufsichtigter Postsack als Datenschutzverletzung?
Ein beliebtes Thema sind ja laut den Tätigkeitsberichten der deutschen Aufsichtsbehörden Vorkommnisse auf dem Posttransportweg. Allein daher ist ein Urteil aus Österreich interessant, bei dem sich das Gericht mit den Meldepflichten des Transportpartners nach Art. 33 DS-GVO befasste.
Jemand fand bei sich vor dem Haus auf dem Gehsteig einen mit einer Kordel zusammengebundenen Sack mit Post abgestellt. Da niemand zu sehen war, wurde der Sack ins Haus verbracht und die Datenschutzaufsicht verständigt. Diese wandte sich an den Transportdienstleister und verhängte Sanktionen wegen unzureichender Sicherung und nicht erfolgter Meldung nach Art. 33 Abs. 1 DS-GVO. Im Urteil kommt das Gericht zu (für mich) teilweise unerwartenden Aussagen: Der Postsack, gefüllt mit adressierter Post, falle unter ein Dateisystem im Sinne der DS-GVO, weil diese ja zumindest nach den Postleitzahlen strukturiert waren. Unbeaufsichtigtes Stehenlassen stellt keine ausreichende Sicherheitsmaßnahme dar, beim Abstellen eines Sackes auf einem öffentlichen Gehsteig besteht das Risiko, dass unbefugte Dritte den vermeintlich herrenlosen Sack – sei es in guter oder in böser Absicht – an sich nehmen, um ihn zu beschädigen oder zu vernichten (Vandalismus), zu öffnen, um sich zu bereichern oder weil der Eigentumshinweis übersehen wird.
Die seitens des Transportdienstleisters angezogene berufliche Verschwiegenheitspflicht würde sich nur auf Informationen beziehen, die im Rahmen der beruflichen Tätigkeit erhalten worden sind. Zufällig auf der Straße gefundene Postsäcke sind davon nicht umfasst. Ein Hinweis auf die Eigentumsverhältnisse kann nur vor gutgläubigen Zugriffen schützen. Er ist in der derzeitigen Form aber leicht zu übersehen und gewährt daher auch keinen ausreichenden Schutz. Tatsächlich bestünde eine Sicherheitsmaßnahme, die ausreichende Sicherheit gewährleistet und die der Beschwerdeführerin zur Verfügung gestanden hätte: Die Verwahrung von Postsäcken in seitens des Transportdienstleisters bereitgestellten absperrbaren Depots. Dass die Mitarbeiterin des Transportdienstleisters von dieser Möglichkeit keinen Gebrauch gemacht hat, muss die Beschwerdeführerin sich zurechnen lassen. Für eine Meldepflicht sei eine konkrete Gefährdung nicht erforderlich, Die vom Transportdienstleister geäußerte Ansicht, dass ja offensichtlich im Ergebnis kein Missbrauch stattgefunden habe, übersieht, dass es für die Beantwortung der Frage, ob angemessene Datensicherheitsmaßnahmen ergriffen worden sind, nicht darauf ankommt, ob die Vertraulichkeit, Integrität oder Verfügbarkeit der Daten verletzt worden ist. Maßgeblich ist, ob die ergriffenen Sicherheitsmaßnahmen geeignet und hinreichend sind, die Vertraulichkeit, Integrität und Verfügbarkeit der Daten vor den Risiken, die mit der Datenverarbeitung verbunden sind, zu schützen.
Im gegenständlichen Fall sei der Schutz personenbezogener Daten durch das unbeaufsichtigte Abstellen eines Depotsackes verletzt worden. Der Depotsack hat, bevor er in das Haus zur sicheren Verwahrung eingestellt wurde, einige Minuten unbeaufsichtigt auf einer öffentlichen Straße im Stadtgebiet gestanden. In dieser Zeit hätte es zu unbefugten Zugriffen kommen können. In weitere Folge kam es zu einem unberechtigten Zugriff, indem der Depotsack durch eine andere Person an sich genommen wurde und diese Einsicht in den Depotsack genommen und damit auch die auf den Briefen enthaltenen Empfänger und Absender wahrgenommen habe.
Wenn der Transportdienstleister das durch den Vorfall für die Betroffenen entstandene Risiko abschätzt und auf das geringe Risiko hinweist, ist ihr entgegen zu halten, dass eine Verletzung der Datensicherheit bereits dann an die Aufsichtsbehörde gemeldet werden muss, wenn den Betroffenen voraussichtlich ein Risiko droht. Eine besondere Risikohöhe ist nicht erforderlich. Irrelevant ist auch, ob der Transportdienstleister die Wahrscheinlichkeit, ob ein Risiko vorliegt, abgeschätzt hat, wenn er, wie hier, trotz Erfordernis keine Meldung erstattet hat.
Die Revision wurde nur hinsichtlich der Frage der strukturierten Ablage der Sendungen im Postsack zugelassen.
Spannend wird es nun, inwieweit dadurch die Einschätzung deutscher Datenschutzaufsichtsbehörden bezüglich Verlustsendungen und Fehlzustellungen und der Anforderungen an die meldepflichtigen Verantwortlichen (Absender oder Transportdienstleister) beeinflusst wird.
2.3 Auslesen der Handydaten von Geflüchteten
Clevere Idee: Habe ich Zweifel an den Aussagen von Geflüchteten im Asylverfahren und es liegen keine ausreichenden Dokumente vor, überprüfe ich deren Smartphone. Das geschieht Angaben zufolge wie folgt: Das Smartphone der Asyl-suchenden Person wird an einen Behördencomputer angeschlossen, die Daten werden in einem (bis zu 45 Minuten dauernden) automatisierten Prozess ausgelesen, der Ergebnisreport wird durch Volljuristen ausgewertet. Allerdings wurden im Jahr 2018 einer Studie zufolge nur in 2% der untersuchten Fälle Widersprüche zwischen den Angaben der Asyl-suchenden Person und den Angaben im Smartphone festgestellt.
Nun hat ein Berliner Verwaltungsgericht diese Durchführung für rechtswidrig erklärt, die Urteilsbegründung liegt aber noch nicht vor. Sollte das Innenministerium durch die Begründung nicht überzeugt werden, kann es in Revision gehen, der Fall landet dann beim Bundesverwaltungsgericht.
Der aktuelle Innenminister wird dann nicht mehr im Amt sein. Er zieht sich nach der Bundestagswahl im September aus der Politik zurück und hat Sehnsucht nach Privatheit.
Franks Nachtrag:
Wenn Sie dieser Beitrag interessiert hat, möchten Sie sich bestimmt auch den Veranstaltungstipp 4.8.5 anschauen…
3 Gesetzgebung
3.1 Neue Standardvertragsklauseln für Drittstaatentransfer
Ja, eigentlich heißen sie nun Standarddatenschutzklauseln – zumindest nach dem Wortlaut der DS-GVO in Art. 46 Abs. 2 lit. c DS-GVO, dennoch werden sie seitens der EU-Kommission nicht SDPC, sondern weiterhin Standard Contractual Clausses genannt.
Auch wenn die EU-Kommission am 04.06.2021 neue vertragliche Formulierung für die Sicherstellung des Datentransfers in Drittstaaten veröffentlicht hat: Damit werden aber nicht automatisch die Anforderungen des EuGH auch Schrems II umgesetzt – gerade auch wenn die gegenseitige Bespitzelung unter Freunden auch innerhalb Europas stattzufinden scheint.
Bezüglich der USA wird es Rechtssicherheit wohl erst nach einer Anpassung der dortigen Rechtslage geben, das scheint auch bei der EU-Kommission angekommen zu sein. Die neuen Standardklauseln für den Drittstaatentransfer wurden zeitgleich in Englisch, Französisch und Deutsch veröffentlicht. Sie bilden nun mehr Gestaltungen ab als bisher. Es wird eine Übergangsfrist von 15 Monaten gewährt, die Berechnung richtet sich nach der Veröffentlichung des Durchführungsbeschlusses der EU-Kommission (C(2021) 3972) im Europäischen Amtsblatt. Die Vorlagen für die Vertragstexte sind modular aufgebaut, was sicher zu viel Freude bei der Anwendung führen wird, denn Änderungen sind nicht vorgesehen und der Abgleich der Vollständigkeit und des unveränderten Wortlauts wird bei vertragsverhandelnden Einheiten in den Unternehmen und Behörden nicht nur Begeisterung auslösen.
Franks Nachtrag:
Microsoft freut sich und will die neuen Standardvertragsklauseln in die Verträge integrieren.
Franks zweiter Nachtrag:
Der Kollege Kramer bat mich, noch auf folgenden Beitrag zu verweisen, in ihm wird u.a. die Frage des risikobasierten Ansatzes in den Standardvertragsklauseln diskutiert.
3.2 Standardvertragsklauseln für Auftragsverarbeiter
Ebenfalls am 4. Juni hat die EU-Kommission den Durchführungsbeschluss (C(2021) 3701) für Standardvertragsklauseln für Auftragsverarbeiter veröffentlicht. Man wird sehen, inwieweit diese so praxisnah gestaltet sind, dass sie als Musterformulierungen Verbreitung finden werden, gibt es doch auch schon welche durch die Datenschutzaufsichtsbehörden, wie z. B. Dänemark.
3.3 Alle gegen Staatstrojaner
Wenn sich u.a. NGOs und IT-Giganten der Datenverarbeitung gemeinsam für eine Sache engagieren, ist es schon ungewöhnlich. Dann kann es entweder der Kampf gegen sexuelle Gewalt gegen Kinder sein oder es sind wirklich schlechte Ideen in einem Gesetzesentwurf. Diesmal wenden sich die Unterzeichner in einem offenen Brief gegen die Bundesregierung und kritisieren das Gesetzesvorhaben für mehr Überwachung. Statt der Einführung von Staatstrojanern fordern sie starke Verschlüsselung und den Schutz privater Kommunikation. Konkret geht es um die noch durch die Regierungskoalition geplanten Änderungen im „Gesetz zur Anpassung des Verfassungsschutzrechts“ und im „Bundespolizeigesetz“. Darin sei vorgesehen, dass alle deutschen Geheimdienste die Befugnis zum Hacken erhalten bzw. dass der Bundespolizei neben dem Einsatz von Staatstrojanern auch erlaubt werde, Personen zu hacken, die gar keine Straftat gegangen haben oder einer verdächtigt werden.
4 Veröffentlichungen
4.1 noyb und Webseiten
Neben der Ankündigung eines Fragebogens zu Schrems II war dies das zweite große Thema der Woche: Die Ankündigung und der Beginn der Umsetzung einer Fragebogenaktion durch noyb.eu, einer u.a. durch Max Schrems ins Leben gerufenen NGO. noyb will ca. 10.000 Betreiber von Webseiten anschreiben und zu einem korrekten Umgang mit Einwilligungsanforderungen („Cookie-Banner“) auffordern (eigentlich müsste sie ja „Consent-Banner“ heißen, aber das wäre nun wohl schon wieder zu spitzfindig).
Verarbeitungen von personenbezogenen Daten zu anderen Zwecken als zum Besuch der Webseite erforderlich dürfen nur mit Einwilligung des Webseitenbesuchers verarbeitet werden. Wir alle kennen diese aufploppenden Fenster, die erst wieder weggehen, wenn wir mindestens einmal („ok“) oder mehrmals („Einstellungen anpassen“) geklickt haben. noyb gibt nun die Gelegenheit, auch mittels einer Anleitung, die Webseite den Vorstellungen von noyb entsprechend anzupassen, ansonsten reichten sie Beschwerde bei der zuständigen Aufsichtsbehörde ein. Man kann sich auch bei einer Webseite registrieren, um seine Änderungen zurückzumelden. Die Anforderungen an die Gestaltung umfassen eine klare Auswahlmöglichkeit der Alternativen bis hin zur Gestaltung der Auswahlfelder. Eine der Grundlagen für die Untersuchung durch noyb waren übrigens die Ergebnisse einer Studie der Ruhr-Uni Bochum aus dem Jahr 2019.
Natürlich schlagen nun die Wellen hoch: Ist das schon strafbare Nötigung? Ist die Interpretation seitens noyb richtig? Habe ich überhaupt ein Recht auf Webseiten ohne Werbung? Ich muss sie ja nicht besuchen und keiner muss mir Inhalte kostenlos anbieten (Die Diskussion um Monopolanbieter und staatliche Stellen lassen wir hier mal dezent weg).
Die Kritik am Vorgehen von noyb und den rechtspolitischen Erwägungen wird hier prägnant (Lesetipp!!) – wenn auch nicht ganz kurz – zusammengefasst.
Die Thematik um CMP (Consent Management Platforms) (siehe beispielhaft hier) und inwieweit bei Einwilligungen ein Kopplungsverbot (ein Aspekt dazu hier) besteht, wird in diesem Zusammenhang sicher wieder verstärkt diskutiert werden.
4.2 Transparenz schafft Vertrauen
Fast passt es schon zu der Meldung der Aktivitäten von noyb (siehe Ziffer 4.1): Wie sammelt man Daten ohne das Vertrauen der Nutzer zu verlieren? Eine Studie der Ruhr-Uni Bochum zusammen mit der The George Washington University kommt zu dem Ergebnis: Transparenz. Zwar werden die genauen Ergebnisse erst am 11.08.2021 veröffentlicht, aus der Pressemeldung dazu ergibt sich jedoch schon, dass der Sammelwut ihr Schrecken genommen wird, wenn ausreichend für Transparenz gesorgt wird. „Es ist wie mit einem Monster in einem Horrorfilm: Je länger man es nicht zeigt, desto furchterregender wirkt es.“
4.3 Digital-Akademie des Bundes
Wenn über Versäumnisse bei der Digitalisierung gesprochen wird, ist ein Faktor meist dabei unzureichende digitale Qualifikation. Es reicht scheinbar nicht aus einen Instagram-Kanal zu befüllen. So richtet sich das Angebot der Digitalakademie „insbesondere“ an Beschäftigte der Verwaltung des Bundes, die keine formale Ausbildung im Bereich IT und Digitalisierung haben, für die aber Kenntnisse und Verständnis der Digitalisierung in Zukunft von entscheidender Bedeutung sind. In verschiedenen „Lernreisen“ werden in Episoden die Themen vorgestellt und vermittelt. Natürlich konnte ich mir nicht alles ansehen, aber bereits der Titel „Gefangen in der Blockchain“ lässt Humor vermuten, aber auch Sachkenntnis, wenn dabei informiert wird, dass der Dokumentationszweck der Blockchain auch zu neuen Herausforderungen führe, etwa bei Datenschutzfragen. Da das Ändern oder Löschen von Daten aus den logbuchartigen Blockketten sehr aufwendig sei, blieben auch bei dieser Zukunftstechnologie noch einige wichtige Fragen ungelöst.
Vielleicht lässt man an diesen Lernreisen auch die Verantwortlichen der Berliner IT teilhaben, um sich etwas zu Berechtigungskonzepten zu informieren, dort scheint dies nämlich nicht zu funktionieren.
4.4 Identifizierung kritischer Infrastrukturen
Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe hat Entscheidungshilfen und Erläuterungen zu kritischen Infrastrukturen herausgebracht. Dies umfasst die Identifikation von kritischen Infrastrukturen, die Priorisierung innerhalb und im Kontext von Kritischen Infrastrukturen, die Klärung des Vokabulars, aber auch die Schutzziele der Kritischen Infrastrukturen.
4.5 Kritik am neuen Code of Conduct für Cloud-Anbieter
Kaum freut man sich, dass es einen ersten europaweit gültigen Code of Conduct gibt, der auch seitens der Datenschutzaufsichtsbehörden genehmigt wurde, gibt es auch schon erste Kritik: Metadaten seien nicht ausreichend berücksichtigt worden. Warten wir es mal ab, wie sich die Einschätzung dazu entwickelt und ob er Marktstandard werden kann.
4.6 Konsequenzen der Datenpanne bei einer Blutspendedienstwebseite
Was wurde eigentlich aus der Datenpanne bei der Blutspendedienstseite des Bayerischen Roten Kreuzes? Über die Informationsseite konnte man mittels Fragebogen feststellen, ob man aktuell als Blutspender in Frage käme, wobei auch Gesundheitsfragen eingebunden wurden. Über ein eingebundenes Facebook-Pixel kamen dabei auch Informationen an Facebook.
Offiziell hat sich das BayLDA seit der damaligen Pressemeldung nicht mehr dazu geäußert. Laut einem Pressebericht wird es aber kein Bußgeld geben und das BayLDA geht davon aus, dass die Antworten bei Facebook nicht Bestandteil der Facebook-Profile wurden: Die Antworten wären erst nach einer zusätzlichen manuellen Analyse des Konzerns zu auswertbaren Gesundheitsdaten geworden. Davon sei nicht auszugehen. Facebooks Geschäftsmodell basiere maßgeblich auf der automatisierten Analyse von Nutzerdaten, um Nutzern maßgeschneiderte digitale Anzeigen vorzusetzen. Menschliche Mitarbeiter bekämen die Daten oft gar nicht zu sehen. Da aus diesem Grund kein hohes Missbrauchsrisiko für die Daten der betroffenen Teilnehmer vorliege, müsse der Blutspendedienst nun auch nicht die Betroffenen über die versehentliche Datenübermittlung informieren, wird das BayLDA zitiert. Unklar ist aber nach dem Bericht, ob die Daten durch Facebook gelöscht wurden.
4.7 Neue Hardware für Gesundheitsversorgung
Wenn im Rahmen der Pandemie die unzureichende Digitalisierung der Prozesse im Gesundheitsbereich moniert wurde, haben die einen (die nach Art. 9 Abs. 1 DS-GVO zu lesen aufhören und Abs. 2 nicht kennen wollen) dem Datenschutz die Schuld gegeben, die anderen den dezentralen Zuständigkeiten, den Eitelkeiten der Verantwortlichen, die einer zentrale IT-Struktur entgegenstehen, und der unzulänglichen technischen Ausstattung (Fax!).
Im Rahmen eines Whitepapers für die Telematikinfrastruktur 2.0 werden nun Vorschläge gemacht, die die technische Ausstattung betreffen – und Vieles der vor kurzem angeschafften Hard- und Software im Gesundheitsbereich ersetzen soll. Natürlich bleibt da Kritik nicht aus. Dies betrifft wohl auch den Konnektor, der für die in den kommenden Monaten zu befüllende Patientenakte erforderlich ist. Voraussichtlich muss dieser dann wieder abgeschafft werden. Rund 2 Mrd. Euro seien bisher in den Ankauf und die Installation der Geräte geflossen. Finanziert hätten dies letzten Endes die Versicherten, da die Kassen den Ärzten und weiteren „Leistungserbringern“ Kostenpauschalen für die Geräte erstattet haben. Die aktuell erst anlaufenden Anschlüsse der Apotheken stehen sogar noch aus.
Für Herbst ist außerdem ein neues System in der Telematikinfrastruktur vorgesehen, das den Arztbrief durch einen Messengerdienst ersetzen soll.
Und für alle, die Krankenhäuser beraten: Nicht die Änderung des § 75c SGB V übersehen.
Ab 01.01.2022 müssen Krankenhäuser dem Stand der Technik angemessene TOM haben (frage mich, warum erst dann…).
4.8 Veranstaltungen
4.8.1 „Forum Bildung Digitalisieren“: Datenschutz und digitale Schule – Wie können wir Schulen beim Datenschutz unterstützen und entlasten?
08.06.2021, 10:30 – 12:00 Uhr, Experten aus Schule und Zivilgesellschaft (u.a. auch der TLfDI) diskutieren, wie Schulen beim Datenschutz bestmöglich unterstützt und entlastet werden können, Veranstaltung ist online und kostenlos, Anmeldung erforderlich.
4.8.2 reuschlaw events: “Cybersecurity Talks – Law meets Tech: Reaktion”
10.06.2021, 11:00 – 12:00 Uhr, ob datenschutzrechtliche Melde- und Benachrichtigungspflichten, mögliche Produkthaftungsansprüche oder die Frage nach einer Strafanzeige, im Kontext von IT-Sicherheitsvorfällen stellen sich vielschichtige Rechtsfragen, die wichtigsten Fragen werden im Vortrag zusammen mit möglichen Bewältigungsstrategien aufgezeigt, Teilnahme kostenlos, Anmeldung erforderlich.
4.8.3 Transatlantic Consumer Dialog Time to ban surveillance-based advertising?
11.06.2021, 16:00 – 17:00 Uhr, Alexandra Geese, MEP, diskutiert mit Lori Trahan, Mitglied des US-Representatenhauses, beide sind in den jeweiligen Ausschüssen ihrer Parlamente zu KI und Verbraucherschutz engagiert, Teilnahme kostenlos, Anmeldung erforderlich.
4.8.4 BigBrotherAwards 2021 im Live-Stream (Dieser Veranstaltungstipp ist ein Nachtrag durch Frank)
11.06.2021, ab 18:00 Uhr, am 11. Juni um 18 Uhr heißt es das Popcorn rausholen und zurücklehnen für die Liveschalte der aktuellen BigBrotherAwards, dieses Jahr gibt es dazu ein ganz besonderes Angebot: Wer ganz schnell im Digitalcourage Shop eines der limitierten Streamtickets bestellt, tut Gutes und bekommt noch eine exklusive Packung #BBA21-Popcorn dazu, Teilnahme kostenlos möglich, Link zum BigBrotherAwards-Programm (dort wird der Link zum Stream freigeschaltet).
4.8.5 restart:BAMF
12.06.2021, 09:00 – 16:30 Uhr, restart:BAMF | Fachtag der RLCD e.V., Teilnahme kostenlos, Anmeldung erforderlich.
4.8.6 Hamburger Datenschutzgesellschaft: „Berliner Datenschutzaufsicht – Aktuelle Entwicklungen der Bußgeldpraxis deutscher Aufsichtsbehörden“
20.06.2021, 17:00 – 18:30 Uhr, mit dem Vortrag sollen vor dem Hintergrund der neuen Rechtsprechung der Ablauf eines üblichen Bußgeldverfahrens und die wichtigsten Rechtsfragen, die bei der Bußgeldverhängung durch die deutschen Datenschutzaufsichtsbehörden in der Praxis auftreten, aus Sicht der Bußgeldstelle dargestellt werden, Teilnahme kostenlos, Anmeldung erforderlich.
4.8.7 Data Debates #18 – Deutschlands digitale Zukunft: Die Parteien im Wahl-Check
24.06.2021, 17:00 – 18:00 Uhr, im Bundestagswahljahr diskutieren Dr. Anna Christmann (Bündnis 90/Die Grünen), Prof. Dr. Clemens Fuest (ifo Institut), Markus Haas (Telefónica) und Nadine Schön (CDU) über die digitalen Agenden der Parteien, diskutieren Sie online mit, Anmeldung erforderlich.
5 Gesellschaftspolitische Diskussionen
5.1 Corona und der Datenschutz
5.1.1 Coronatests per App
Wir werden uns noch etwas länger damit befassen, wie wir nachweisen, dass von Einzelnen kein Risiko für eine Infektion mit Covid-19 ausgeht. In Berlin wurde dazu der Einsatz einer App vorgestellt, bei der Selbsttests gefilmt und durch Experten bewertete werden.
5.1.2 Digitaler Impfpass und digitale Identitäten
- Nun sind auch die ersten Pläne zu einem digitalen Impfpass bekannt geworden. In einer Fachzeitschrift werden die aufkommenden Fragen anhand des bisher Bekannten behandelt.
- Der Impfpass ist auch ein Thema im Regierungspodcast mit dem CIO der Bundesregierung, der sich im Rahmen des Interviews zu digitalen Identitäten auch zum Impfpass äußert
- Wie die Corona-Warn-App auch im Urlaub eingesetzt werden kann und wie dabei auch Testergebnisse in der App dokumentiert werden können, informiert die Verbraucherzentrale NRW
Franks Nachtrag:
Weil es gut hierhin passt:
Ein Login für alles: EU-Kommission plant digitale Identität.
Es gibt auch schon erste Bewertungen…
5.1.3 Testpannen
Datenverarbeitung hat auch mit Vertrauen zu tun. Dass es bei Testzentren zu Betrügereien kam, nimmt man fast schon achselzuckend hin. Dass es auch Fälle der unzureichenden Datensicherheit gibt, ist leider fast noch weniger verwunderlich.
5.2 TikTok Entschädigung in Niederlanden? Einschränkungen der Werbeaktivitäten
Dass es gegen TikTok gerade hinsichtlich der Altersverifikation und Datennutzung Vorbehalte gibt, ist bekannt. Berichten zufolge droht nun in den Niederlanden eine Sammelklage.
Die niederländische Stiftung für Marktinformationsforschung (SOMI) vertritt nach eigenen Angaben mehr als 64.000 Eltern und beziffert dem Bericht nach die Forderungen in einer geplanten Sammelklage auf mehr als 1,4 Milliarden Euro. Die Vorwürfe beziehen sich auf Verstöße gegen die Einwilligungsvorgaben der DS-GVO und der nicht ausreichend gekennzeichneten gemachten Werbung.
Offensichtlich scheint es auch auf Brüsseler Ebene Aktivitäten zu geben die Anforderungen an die Werbeindustrie gegenüber Minderjährigen zu verschärfen. Ist wahrscheinlich auch einfacher neue Regelungen zu erlassen anstatt bestehende erstmal durchzusetzen. Es wird ja bereits versucht Apples Rahmenbedingungen für die Werbeeinwilligungen zu umgehen, zudem sind selbst Werbegiganten hier nicht in der Lage unzulässige Werbeeinblendungen gegenüber Minderjährigen zu verhindern, wie ein Test belegte.
5.3 Angreifer-Trick
Über einen echt fiesen Trick IT-Systeme anzugreifen informiert dieser Bericht: Die Angreifer behaupten, man habe sich für einen Streaming-Dienst angemeldet. Natürlich hat man das nicht und möchte natürlich so schnell wie möglich wieder kündigen. Und während des Abmeldeprozesses wird dann die Schadsoftware auf dem eigenen Rechner installiert. Was kann man dazu noch raten? Dass man „seriöse“ Diensteanbieter im Netz daran erkennt, dass man nicht leicht kündigen kann? Das kann ja nicht der Lösungsansatz sein!
Also: Immer (IMMER!) kritisch sein, bei Mails von Absendern, die man nicht kennt – und bei denen, die man kennt, kritisch bleiben, wenn einem die Inhalte ungewöhnlich vorkommen.
5.4 Google und Datenschutzeinstellungen
Nein, das schließt sich natürlich nicht aus. Trotzdem ist es manchmal ein zufriedenstellendes Gefühl, wenn aus Vorurteilen Erfahrungswerte werden: Berichten zufolge sei in den Android-Einstellungen die Erreichbarkeit der entsprechende Wahlmöglichkeiten bewusst erschwert worden. Aber ändert dies wirklich was? Es scheint bislang niemanden vom Kauf / der Nutzung abgehalten zu haben.
6 Sonstiges/Blick über den Tellerrand
6.1 Geheimnisverrat… irgendwie…
War da nicht schon mal was, mit Sporttrainings-Apps, über deren Standortangaben sich aufgrund der Nutzung durch US-Soldaten ansonsten geheime Koordinaten für Truppenstandorte der US-Armee rekonstruieren ließen? Daran musste ich bei dem Bericht über die Nutzung von Lern-Apps denken. Um sich geheime Daten zu merken, nutzen Militärangehörige auch Apps („alle andere sind ja schon weiter bei der digitale Bildung“!). Dummerweise nutzen sie diese Apps auch für wirklich echt geheime Informationen, wie Standort, Sicherheitsprotokolle und Zugangsdaten zu Atomwaffen und diese Daten waren nicht ausreichend gesichert. Aber welche Konsequenz kann man außerhalb des Militärs daraus ziehen? Eigentlich nur als Beispiel, wie wichtig es ist Informationen nach der Vertraulichkeit zu klassifizieren und dabei deutlich zu machen, dass diese nur in den jeweils für die entsprechende Vertraulichkeitsklasse freigegebenen Tools genutzt werden können. Und hoffen und beten, dass sonst nie etwas passiert.
6.2 Zukunftslabor China?
Für Trendforscher ist China faszinierend: Technische Entwicklungen lassen sich dort nachvollziehen und auf uns projizieren. Ob man das für alle Entwicklungen so positiv sieht, muss jeder für sich entscheiden. Anregungen dazu liefert der aktuelle Beitrag in der ARD über China, der noch in der Mediathek zu sehen ist. Wer auch bei Dokumentationen auf den Abspann achtet, wird dort auch die Preisträgerin des Datenschutz-Medienpreises 2020 wiederfinden…
7. Franks Zugabe
7.1 Digitalisierung? Schon wieder?
Wir haben ja schon an der einen oder anderen Stelle über Digitalisierung berichtet. Nicht immer funktioniert Digitalisierung wie geplant. Oder überhaupt. Und manchmal schießt Digitalisierung auch einfach über das Ziel hinaus. Beispiele dafür zeigt digitalcourage auf. Und hier kann man sie digitalcourage melden, damit sich ggf. jemand dieser ganzen gut gemeinten Digitalisierungsprojekte annimmt.
Bei der Gelegenheit, was war noch mal das Gegenteil von gut bzw. gut gemacht?
Richtig, gut gemeint…
7.2 Den muss ich bringen: Frank geht (wieder) ran!
Ja, ich gebe es zu, ich habe den aktuellen digitalcourage-Newsletter gelesen.
Und dabei bin ich über eine Seite gestolpert, die ich schon vor Jahren mal wahrgenommen (und dann auch irgendwann wieder vergessen) hatte.
Aber ich finde die Idee weiterhin klasse: Frank geht ran.
Und, ich meine, bei dem Namen muss ich das ja eigentlich schon fast zwangsläufig empfehlen. Auf jeden Fall besser er als ich 😉
7.3 Norton CryptoMining?
In Abhängigkeit davon, wo die geneigte Computer nutzende Person sich so im Internet herumtreibt, kann es durchaus passieren, dass sie sich freundliche Cryptominer-Progrämmchen einfängt, die nebenbei Rechenkapazität des eigenen Rechners abknapsen, damit jemand anders damit Geld verdienen kann. Und es gibt Menschen, die dann auf eine aktuelle Antivirensoftware bauen, damit diese a) das erkennt und b) es verhindert.
Nein, ich möchte jetzt keine Diskussion über den Begriff Schlangenöl im Zusammenhang mit Virenscannern führen.
Aber das Virenscanner-Anbieter jetzt den Casual CryptoMiner absichern, das ist dann doch irgendwie neu und unerwartet…
Ein Zitat aus der verlinkten Quelle, die wiederum den Anbieter der Antivirensoftware zitiert:
“For years, many coinminers have had to take risks in their quest for cryptocurrency, disabling their security in order to run coinmining and allowing unvetted code on their machines that could be skimming from their earnings or even planting ransomware,” NortonLifeLock asserted this week.
Worse still, NortonLifeLock claimed, miners will likely store their digital wallets, containing their precious coins, on hard drives that can fail. The company says, funnily enough, a better approach is to have its computer security software mine Ethereum while it runs, then store the results in the Norton cloud.
Also schürft mein Virenscanner Cryptowährungen, während ich denke, dass er meinen Rechner schützt, und dann packt er die geschürften Beträge in die Anbieter-eigene Cloud, da mein eigener Rechner ja nicht sicher genug ist?
¯\_(ツ)_/¯
7.4 Security Vulnerability in Apple’s Silicon “M1” Chip
Kollege Kramer gab oben einen Lesetipp:
Das möchte ich hiermit auch machen.
Bitte bis zum Ende durchlesen, es lohnt sich (zumindest, wenn Sie ähnlich ticken wie ich).
(Ich fand diese Meldung hier.)
Und für diejenigen, die es nicht aushalten, hier ein Spoiler:
Diese Sicherheitslücke wird sich nicht zu einem Problem auswachsen. Interesse zu erfahren, warum nicht? Dem Link folgen und bis zum Ende lesen. Oder das oben angegeben Original. Ich empfehle wie gesagt die Original-Quelle.
7.5 Apropos Impfpass…
So dicht am gefälschten Impfpass – und bei Anonymous gelandet.
Wie heißt es im Artikel so treffend?
„Manche Käufer von gefälschten Impfpässen haben nun drei Probleme: Anonymous, weniger Geld und immer noch keinen Impfpass.“