Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 27/2021)“
Der zehnte Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 27/2021)“. Ab jetzt sind wir zweistellig!
- Aufsichtsbehörden
- Guidelines des EDSA: Sprachassistenten und Controller und Processor
- Mustertexte des LfDI BW für Vereine
- Zum Anschauen: Webinar zur Datenschutz-Folgenabschätzung des LfDI BW
- Unzureichende Einbindung des DSB => Bußgeld
- Anwendung des Art. 91 DS-GVO
- Bußgeld wegen Profilbildung und Diskriminierung bei Kurierfahrern
- Rechtsprechung
- Gesetzgebung
- Veröffentlichungen
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Datenschutz und Bildung
- Katastrophenfall wegen Ransomware-Befall
- Ist das ein Hackerangriff?
- Anonymes digitales Geld
- Ein Videobeitrag zu Handy-Privacy
- Ende-zu-Ende-Verschlüsselung bei iMessage
- Eine Vision für das Jahr 2030
- Update zu Kaseya
- Update zu PrintNightmare
- Update zu Banning Surveillance-Based Advertising
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 Guidelines des EDSA: Sprachassistenten und Controller und Processor
Als wenn sie es mit Absicht machten: Am 08.07.2021 verkünden, was sie am 07.07.2021 beschlossen haben, aber die entsprechenden Unterlagen dazu noch nicht am 09.07.2021 veröffentlichen. Also: Wenn Sie Interesse an der finalen Fassung der Guidelines des Europäischen Datenschutzausschusses zum Einsatz von virtuellen Sprachassistenten oder der finalen Fassung nach der Konsultation der Guidelines zum Controller und Processor haben, schauen Sie auf dieser Seite nach. Da sollten sie voraussichtlich spätestens kommende Woche zu finden sein.
1.2 Mustertexte des LfDI BW für Vereine
Gerade Vereine und kleinere Organisationen fühlen sich von den Anforderungen der DS-GVO überfordert. Der LfDI BW bietet hier Unterstützung, wie z.B. durch ein Tool zur Erstellung der Informationshinweise nach Art. 13 DS-GVO. Allerdings weist er auch gleich darauf hin, dass diese nicht die Einbindung von Tracking und Analysetools oder der Verarbeitung von Daten besonderer Kategorie, wie Gesundheitsdaten abbilden. Hier verweist er auf seine anderweitigen Veröffentlichungen.
1.3 Zum Anschauen: Webinar zur Datenschutz-Folgenabschätzung des LfDI BW<
Was ist eine Datenschutz-Folgenabschätzung? Wann muss ich die machen? Dazu hat der LfDI BW ein Webinar online gestellt, falls Sie also eine Stunde und 22 Minuten Zeit haben, hier sind sie sicherlich gut investiert…
1.4 Unzureichende Einbindung des DSB => Bußgeld
Die luxemburgische Datenschutzbehörde verhängte ein Bußgeld (15.000 Euro) gegen ein Unternehmen, da die Position des internen Datenschutzbeauftragten nicht im Einklang mit der DS-GVO ausgestaltet wurde. Er wurde nicht in alle Fragen des Schutzes personenbezogener Daten eingebunden und hatte nicht direkt an die höchste Managementebene zu berichten. Auch wurde bemängelt, dass der Bericht an die oberste Managementebene vorher mit dem Verwaltungs- und Finanzdirektor abgestimmt wurde. Ferner hätte der DSB keine ausreichenden Fortbildungsmöglichkeiten erhalten, um den Verantwortlichen ordnungsgemäß und unabhängig beraten und informieren zu können. Zudem fehlte im Unternehmen ein formalisierter Kontrollplan, nach dem der DSB die unternehmensinterne Einhaltung der DS-GVO-Vorgaben überwachte.
1.5 Anwendung des Art. 91 DS-GVO
Der Art. 91 DS-GVO bietet die Möglichkeit, dass religiöse Glaubensgemeinschaften, die schon vor der DS-GVO ihr eigenes Datenschutzrecht hatten, dieses unter den Anforderungen des Art. 91 fortführen können und dann auch ihre eigene Datenschutzaufsicht wahrnehmen können.
Sieht man sich nun nach 3 Jahren die Liste der Religionsgemeinschaften an, die dies für sich in Anspruch nehmen, kommen drei Fragen auf: Erfüllen die alle diese Anforderungen, wer prüft das und wer prüft die rechtskonforme Anpassung derer Datenschutzregelungen an die DS-GVO? Nun hat schon die niedersächsische Aufsichtsbehörde in ihrem Tätigkeitsbericht über einen Fall berichtet, der nun (hoffentlich) über eine Feststellungsklage geklärt wird. Nach Berichten sind auch in Berlin, Hessen und Nordrhein-Westfalen Prüfverfahren eingeleitet worden. Bislang ist mir zu diesen Fragen kein Gerichtsurteil bekannt und so scheint der doppelte Glaube auszureichen, um eigenes Datenschutzrecht zu schaffen: Der Glaube als Religionsgemeinschaft und der Glaube die Anforderungen des Art. 91 zu erfüllen.
Neben der Frage der Erfüllung der Anforderungen des Art. 91 ist auch spannend, wie sich diese spezifischen Aufsichtsbehörden in die DSK einpassen, einpassen lassen oder eingepasst werden. Das BDSG ignoriert diese Frage und bislang erfolgt eine Abstimmung augenscheinlich eher aus gutem Willen denn auf Basis rechtlich fundierter Grundlagen. Warum das so spannend ist? Nehmen wir mal an, alle bisherigen bekannten religiösen Vereinigungen in Deutschland hätten tatsächlich die Anforderungen erfüllt (allein über die Seite www.artikel91.eu ließen sich dazu nur innerhalb Deutschland über 20 weitere Religionsgemeinschaften mit eigenem Datenschutzrecht ausmachen) und deren Aufsichtseinrichtungen säßen gleichberechtigt in der DSK, die Abstimmungen würden angesichts des himmlischen Backgrounds sicherlich nicht immer geerdeter getroffen, allein, wenn man sich die Kreativität bei der Schaffung und Ausgestaltung eigener datenschutzrechtlicher Regelungen ansieht.
1.6 Bußgeld wegen Profilbildung und Diskriminierung bei Kurierfahrern
In Italien wurde ein Bußgeld in Höhe von 2,6 Mio. Euro gegen ein Unternehmen verhängt, dass seine Auslieferer über einen Algorithmus bewertete, ohne dass diese ausreichend informiert waren. Dabei wurden zahlreiche Datenquellen verwendet wie Chats, E-Mails and Telefonate zwischen Auslieferern und Kundencenter, alle 15 Sekunden eine Standort-Ortung, Festhalten der Fahrstrecken, geschätzte und tatsächliche Zulieferzeit, Kundenbewertungen, Akkustand der Fahrzeuge etc. Dies führte auch zu Diskriminierungen, die bei der Sanktionierung ebenfalls Berücksichtigung fanden.
2 Rechtsprechung
2.1 Einwilligung hat auch Tücken
Natürlich habe ich bei Einwilligungen den größtmöglichen Gestaltungsraum, wenn die betroffene Person nach entsprechender Information der vorgesehenen Verarbeitung zustimmt. Dabei kommt es in der Praxis häufig zu irritierenden Vermischungen der Anforderungen aus der DS-GVO: Es besteht eine Informationspflicht gemäß Artt. 13, 14 DS-GVO, wenn personenbezogene Daten verarbeitet werden (und zusätzlich beim Besuch von Webseiten nach § 13 TMG).
Das umfasst aber nur eine reine Informationspflicht, wodurch der betroffenen Person die Information leicht zugänglich sein muss. Weder ist gefordert, dass eine Nachweispflicht besteht, dass die betroffene Person diese gelesen hat, noch bestätigt, dass sie diese gelesen und verstanden hat, geschweige denn, diese Information über die Datenverarbeitung akzeptiert oder anerkennt. Wer dies so formuliert und dann auch noch durch ein aktives Tun bestätigen lässt, z.B. durch das Ankreuzen eines Kästchens, und durch diese Handlung die weitere Nutzung erst möglich wird, geht ein rechtliches Risiko ein. Dieses aktive Tun könnte verbunden mit der „akzeptierten Erklärung“ als Willenserklärung interpretiert werden, die dazu führt, dass für die weitere Nutzung die Rechtsgrundlage der Einwilligung entsteht, die dann die eigentlichen Rechtsgrundlage der Verarbeitung, wie z.B. aus vertraglichen Gründen oder wegen Interessensabwägung verdrängt. So was kann ein Unternehmen datenschutztechnisch auch aus dem Konzept bringen, weil dann auch die Dokumentation in dem Verzeichnis der Verarbeitungstätigkeiten nicht mehr passt. Wenn es dann ganz blöd läuft, können solche „Datenschutzrichtlinien“ auch als AGB gewertet werden, auf die dann die Grundsätze der Rechtsprechung zu Allgemeinen Geschäftsbedingungen angewendet werden können.
2.2 Verarbeitungsgrenzen bei Insolvenzinformationen?
Die Schufa dürfe Daten eines Insolvenzschuldners nicht länger verwerten als sie im „Insolvenzbekanntmachungsportal“ veröffentlicht sein dürfen. Die betroffene Person könne daher die Löschung nach sechs Monaten durch die Schufa verlangen. Mit dieser Entscheidung begrenzt das OLG Schleswig-Holstein die Verwendungsdauer einer Information über eine Insolvenz auf den Zeitraum der Veröffentlichung auf dem Insolvenzbekanntmachungsportal. Bei der Interessensabwägung wertet das Gericht die Dauer aus § 3 Abs. 2 InsoBekVO, wonach die Information zur Entscheidung über die Restschuldbefreiung nur sechs Monate im Internetportal zu veröffentlichen ist, als gesetzliche Wertung die auch bei der Abwägung zwischen den Interessen der betroffenen Person und der wirtschaftlichen Öffentlichkeit zu berücksichtigen sei (im Urteil ab RN 60).
Spannend ist auch, dass das Gericht die seitens der LDI NRW genehmigten „Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien“ dabei als irrelevant berücksichtigt, denn diese entfalten keine Rechtswirkung zulasten des Klägers. Das Urteil ist noch nicht rechtskräftig, Revision ist zugelassen.
2.3 Auskunftsanspruch der Aufsichtsbehörde
Was muss ich als Unternehmen gegenüber einer Datenschutzaufsichtsbehörde mitteilen, wenn ich angeschrieben werde? Muss ich mich selbst belasten? Gibt es da Grenzen und wie sehen die aus? Dazu hat sich das OVG Schleswig-Holstein geäußert und im Ergebnis (jetzt in meinen Worten) dürfen sie Tatsachen erfragen, meine rechtliche Einschätzung und Begründung, durch die ich mich selbst belasten könnte, aber nicht. In der Praxis wird man gut beraten sein sich qualifiziert beraten zu lassen, sollte man durch Datenschutzaufsichtsbehörden zu vermeintlichen Verstößen befragt werden. Denn auch der Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um einem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern, sind bei der Bemessung von Sanktionen durch die Datenschutzaufsichtsbehörde gemäß Art. 83 Abs. 2 lit. f DS-GVO gebührend zu berücksichtigen.
2.4 Reichweite eines Auskunftsanspruchs
Mit der Reichweite des Auskunftsanspruchs befassen sich zwei Urteile. Das Landesarbeitsgericht Baden-Württemberg beurteilte in dem Fall der Ansprüche eines ehemaligen Arbeitnehmers, der Auskunft über verarbeitete Leistungs- und Verhaltensdaten begehrte.
Das Gericht hielt es für ausreichend, dass der Auskunftssuchende in seinem Begehren nur die Informationen über Daten forderte, die sein Arbeits- und Leistungsverhalten unfassten. Eine weitergehende konkretere Benennung der von ihm verlangten Daten sei dem Kläger nicht möglich und deshalb auch eine weitergehende Konkretisierung von dem, was er von der Beklagten wissen will, nicht zumutbar. Dies deshalb, weil der Kläger gerade nicht wisse oder nicht mehr ohne Weiteres wissen könne, welche verhaltens- und leistungsbezogene Daten seiner Person die Beklagte verarbeitet habe. Würde man dem Kläger insoweit eine weitere Konkretisierung zur Herbeiführung einer hinreichenden Vollstreckbarkeit seiner Forderungen abverlangen, würde sich sein in Art. 15 Abs. 1 DS-GVO weit gefasster Auskunfts- und Informationsanspruch derart gegen ihn wenden, dass ihm die Unkenntnis der von der Beklagten für seine Person verarbeiteten Daten diese Ansprüche rauben würde (RN 43 des Urteils). Auch äußerte sich das Gericht zu dem Umfang des Auskunftsanspruchs nach Art. 15 Abs. 1 Satz 1 DS-GVO: „Dies bedeute nicht, dass Ablichtungen/Ausdrucke der papierenen oder elektronischen Dokumente, in denen sich die personenbezogenen Daten des Arbeitnehmers befinden, zur Verfügung zu stellen sind“ (RN 51 des Urteils).
Eine Besprechung des Urteils mit weiteren Details finden Sie hier.
Auch der BGH befasst sich gerade mit dem Auskunftsanspruch gemäß Art. 15 und was davon alles umfasst sei, als ein Versicherungsnehmer gegenüber seiner Versicherung Auskunft begehrte. Nach Ansicht des BGH können die zurückliegende Korrespondenz der Parteien, das „Prämienkonto“ des Klägers und Daten des Versicherungsscheins sowie interne Vermerke und Kommunikation der Versicherung nicht kategorisch vom Anwendungsbereich des Art. 15 Abs. 1 DS-GVO ausgeschlossen werden (RN 24 des Urteils). So kämen auch interne Vermerke oder interne Kommunikation bei der Versicherung, die Informationen über den Kläger enthalten, als Gegenstand des Auskunftsanspruchs nach Art. 15 Abs. 1 DS-GVO ebenfalls grundsätzlich in Betracht. Dies ist beispielsweise bei Vermerken der Fall, die festhalten, wie sich der Kläger telefonisch oder in persönlichen Gesprächen geäußert habe. Auch Vermerke über den Gesundheitszustand des Klägers enthielten personenbezogene Daten. Die Erwägung, es handele sich bei Vermerken um „interne Vorgänge der Beklagten“, sei im Hinblick auf den Begriff der personenbezogenen Daten ohne Relevanz. Der Auskunftsanspruch gemäß Art. 15 Abs. 1 DS-GVO setze offensichtlich weder nach seinem Wortlaut noch nach Sinn und Zweck voraus, dass die fraglichen Daten extern zugänglich sind (RN 27 des Urteils). Der BGH stellt aber auch heraus, dass die auf der Grundlage dieser personenbezogenen Daten vorgenommene Beurteilungen der Rechtslage selbst aber keine Information über den Betroffenen und damit kein personenbezogenes Datum darstellten (RN 28 des Urteils).
Und weil´s gerade gut dazu passt: Das OVG Münster entschied, dass eine geprüfte Person über den Auskunftsanspruch auch einen kostenlosen Herausgabeanspruch einer Kopie der eigenen Examensklausur habe.
3 Gesetzgebung
3.1 Kindesmissbrauch verhindern und Datenschutz wahren
Das sind zwei hehre Ziele, mit denen auf europäischer Ebene diese Woche beschlossen wurde, dass Anbieter von internetbasierten E-Mail-, Chat- und Messenger-Diensten diese nach Auffälligkeiten durchsuchen dürfen, um gegen Kindesmissbrauch vorzugehen. Außerdem können sie Scanning-Technologien zur Erkennung von Cyber-Grooming einsetzen. (Achtung: Sie dürfen, sie müssen nicht)
Online-Material, das mit sexuellem Missbrauch von Kindern in Verbindung gebracht wird, kann durch sogenannte Hashing-Technologien aufgespürt werden, die Inhalte wie Bilder und Videos scannen. Mithilfe von künstlicher Intelligenz können Text- oder Verkehrsdaten analysiert und Online-Grooming erkannt werden. Die Regelung gilt nicht für das Durchsuchen von Audiokommunikation. Die Billigung der Verordnung folgt auf eine informelle Einigung mit dem Rat vom 29. April 2021 und diese Rechtsvorschriften gelten für maximal drei Jahre. Der Europäische Datenschutzbeauftragten äußerte dazu seine Meinung und empfiehlt eine Datenschutz-Folgenabschätzung durchzuführen. Die Verordnung wird bereits sehr kritisiert und es ist davon auszugehen, dass sie gerichtlich überprüft werden wird. Sie gefährde Missbrauchsopfer und Pressefreiheit, sie sei der Dammbruch in verdachtslose Massenüberwachung durch Konzerne.
3.2 Open Data Strategie der Bundesregierung
Im Rahmen ihrer Open-Data Strategie will die Bundesregierung laut Berichten Daten für die Öffentlichkeit zugänglich und im Internet auffindbar machen. Das könnten Forschungsdaten staatlich finanzierter Forschung sein, aber auch Protokolle von Besprechungen aus Ministerien, sofern nicht schützenswerte Interessen berührt sind. Persönliche Daten und Amtsgeheimnisse sollen ausgeschlossen sein.
4 Veröffentlichungen
4.1 Facebookseite abgeschaltet
Die Heimholtz-Gemeinschaft deutscher Forschungszentren ist uns seit Corona-Talkshows als wissenschaftlich kompetente Einrichtung bekannt. Wer sie auch über Facebook kannte, muss sich damit abfinden, dass sich die Gemeinschaft nun davon zurückgezogen und ihre Fanpage abschaltet hat. Nicht nur, dass der BfDI auf die seiner Ansicht nach rechtswidrige Gestaltung hinwies, auch für die Helmholtz-Gemeinschaft selbst macht der Betrieb der Fanpage aufgrund der dort eingesetzten Algorithmen weniger Sinn als zu Beginn der Aktivitäten.
4.2 Anstieg der biometrischen Massenüberwachung
Das NGO EDRi (European Digital Rights) veröffentliche eine Studie zu dem Thema des Anstiegs der Überwachung in der EU („The Rise and Rise of Biometric Mass Surveillance in the EU„) an den Beispielen Niederlande, Polen und Deutschland. Dabei erläutern sie, dass jeder Eingriff in die Rechte der Menschen auf biometrischen Datenschutz notwendig und verhältnismäßig sein muss. Dennoch seien die Rechtfertigungen, die in den Beispielen im Bericht verwendet wurden, regelmäßig abstrakt und vermeintlich „präventiv“. Anstatt für Sicherheit zu sorgen, würden Menschen weniger sicher gemacht, indem Kostenersparnis und vermeintliche Effizienz über berechtigte Bedenken und Sorge um Grundrechte gestellt werden. „Der Einsatz erfolgt weniger als Antwort auf konkrete und nachweisbare Bedrohungen, sondern vielmehr wahllos als Vorsichts- oder Abschreckungsmaßnahme.“ Im Ergebnis wird festgestellt, dass der Einsatz biometrischer Massenüberwachung in öffentlichen Räumen in den letzten Jahren zugenommen hat und schleichend gängige Praxis wurde.
4.3 Missverständnisse bei der Anonymisierung
Kaum ein Thema reizt so viel zu Interpretationen wie das Thema „Anonymisierung“*. Ist das überhaupt eine Verarbeitung gemäß Art. 4 Nr. 2 DSGVO, für die ich eine Rechtsgrundlage brauche, ich entnehme ja den Personenbezug? Wann ist ein Datum überhaupt anonym, wessen Wissen muss oder kann mir zugrechnet werden? Für jede Antwort auf diese Fragen finden sich prominente Vertreter.
Der Europäische Datenschutzbeauftragte und die spanische Aufsichtsbehörde reihen sich hier nun mit einem 10-Punkte-Papier zu den häufigsten Missverständnissen ein, die da lauten (meine Übersetzungen):
- Pseudonymisierung ist dasselbe wie Anonymisierung
- Verschlüsselung ist Anonymisierung
- Anonymisierung von Daten geht immer
- Anonymisierung hält ewig
- Anonymisierung reduziert die Wahrscheinlichkeit der Re-Identifikation auf Null
- Anonymisierung ist ein binäres Konzept, dass nicht messbar ist
- Anonymisierung kann vollautomatisiert erfolgen
- Anonymisierung macht Daten unbrauchbar
- Ein erfolgreicher Anonymisierungsprozess bei anderen führt bei uns zu vergleichbaren Ergebnissen
- Es gibt kein Risiko und kein Interesse daran herauszufinden, zu wem die Daten gehören
Und weil es so schön dazu passt und wie so vieles derzeit eher zur Verwirrung denn zur Klarstellung beiträgt: Wer sich in den neuen SDPC (die die Kommission als SCC abkürzt**) die Ziffer „8.4. Speicherbegrenzung“ ansieht, kann dort entnehmen, dass die EU-Kommission die Anonymisierung der Löschung gleichsetzt: „Der Datenimporteur speichert die personenbezogenen Daten nur so lange, wie es für den/die Zweck(e), für den/die sie verarbeitet werden, erforderlich ist. Er trifft geeignete technische oder organisatorische Maßnahmen, um die Einhaltung dieser Verpflichtung sicherzustellen; hierzu zählen auch die Löschung oder Anonymisierung der Daten und aller Sicherungskopien am Ende der Speicherfrist.“ Das wird viel Abstimmungsbedarf erfordern zu klären, ob davon Gebrauch gemacht werden soll, nach welcher Methode und in welcher Tiefe anonymisiert werden soll und wer dafür die Verantwortung trägt. Und bietet die Ziffer 8.4 dann für die Anonymisierung eine Rechtsgrundlage aus Art. 6 Abs. 1 lit. c i.V.m. Abs. 3 lit. a DS-GVO, wenn dieser Durchführungsbeschluss der EU-Kommission als ein Recht aus dem Unionsrecht subsumiert wird, dem der Verantwortliche unterliegt?
* Franks erster Nachtrag: Auch der BfDI hat ja erst letztens prominent die Folgen falscher Anonymisierung aufgezeigt.
** Franks zweiter Nachtrag: Wir berichteten bereits darüber.
4.4 Schadenersatz? Geschäfte mit Datenschutzverstößen
Im 10-Minuten-Podcast, der aber immer länger dauert als 10-Minuten (23 Minuten (!)), wird diesmal das Thema Schadenersatz thematisiert. Das scheint sich zwischenzeitlich als Geschäftsmodell zu etablieren, welches die Betroffenen einer Datenverarbeitung motiviert vermeintliche Rechte geltend zu machen, sobald etwas unerwartet läuft, und somit die Abwehrfront anwaltlicher Kunst zu aktivieren dem entgegenzutreten.
Auch die Wirtschaft würde langsam unruhig und fürchtet Klagewellen. Höchstrichterlich ist noch nicht entschieden, ob für einen immateriellen Schadenersatz neben einem Verstoß gegen die DS-GVO noch weitere „Erfordernisse“ hinzukommen müssen. Der Gesprächspartner hat in einem aktuellem Beitrag in einer Fachzeitschrift die derzeitige Rechtslage umfassend dargelegt.
Bei aller deutschen Fokussierung zu dem Thema fällt mir nur auf, dass die Maßnahme zur Klärung dieser Frage mal wieder nicht aus Deutschland kommt, sondern der Oberste Gerichtshof in Österreich dies dem EuGH zur Klärung vorgelegt hat.
4.5 Regulierung der Datentreuhänder
Traue ich einem nicht oder will ich, dass mir einer besonders vertraut, dann ziehe ich jemanden hinzu, der kein eigenes Interesse hat und für Sorgfalt und Nachvollziehbarkeit steht. Im Datenverkehr diskutiert man hier über einen „Datentreuhänder“. Die „Stiftung Neue Verantwortung“ hat nun eine Publikation herausgegeben, die sich mit Anwendungsfällen befasst, aber auch mit der rechtlichen Einordnung und den regulatorischen Maßnahmen und Handlungsempfehlungen.
4.6 Veranstaltungen
Nächste Woche ist wohl mal nichts. Zumindest haben wir keine Veranstaltungen rechtzeitig genug gefunden…
5 Gesellschaftspolitische Diskussionen
5.1 Fotos im Ferienlager
Ein schöner Beitrag, der nicht nur warnt und belehrt, sondern auch Tipps zur Vorgehensweise gibt, findet sich auf der Webseite zum kirchlichen Datenschutz.
„Was ist eigentlich erlaubt bei Fotos, auf denen Kinder und Jugendliche zu sehen sind?“ ist eine Frage, die sich viele so kurz vor den Ferien und einigen Freizeitangeboten stellen, die größtenteils als Ehrenamtliche solche Veranstaltungen begleiten. Dabei wird nicht nur auf die Rechtslage eingegangen, sondern auch angeregt dies zum Vorbereitungsthema zu machen und dabei festzulegen, welche Art von Bildern über welche Medien verwendet werden dürfen.
5.2 Stärkung im digitalen Ehrenamt
Eine weitere Initiative, die besonders ehrenamtlich Aktive unterstützen soll, im digitalen Wirrwarr der Anforderungen zurecht zu finden. Getragen wird diese von DSiN, die nun auch auf Landeseben aktiv wird und hierzu einen bekannten Torwart zur Unterstützung finden konnte, der aufgrund des Ausscheidens bei der EM nun auch Zeit für sowas hat.
6 Sonstiges/Blick über den Tellerrand
In der aktuellen Woche gab es in dieser Kategorie nichts, was uns aufgefallen und berichtsenswert wäre. Nächste Woche wieder mehr…
7. Franks Zugabe
7.1 Datenschutz und Bildung
Datenschutz und Bildung war ja schon mehrfach Thema (ja, das sind fünf Links…) in dieser Beitrags-Reihe. Meist aus verschiedenen Perspektiven. Sowohl Rudi Kramer als auch mir liegt das Thema am Herzen.
Deswegen freue ich mich Ihnen an dieser Stelle das aktuelle Sonderheft der Deutschen Vereinigung für Datenschutz e.V. (DVD), die DANA 02/2021 mit dem Schwerpunkt „Bildung“ bieten zu können. In diesem Heft finden Sie Beiträge zu den folgenden Themen: Datenschutz als Bildungshindernis in Corona-Zeiten? / Die Grundrechte dürfen nicht unter die Räder kommen! / Datenschutzfreundlicher Unterricht / Wie ein Lock-In an Schulen der Gesellschaft schadet / „Datenschutz geht zur Schule“ (DSgzS) / Bildungsmedien für Schulen – bundesweites Kuddelmuddel / Sündenbock Datenschutz sowie Polizeirechtsreform in Schleswig-Holstein.
Genau zum Thema Verhindern des Lock-In-Effekts bzw. datenschutzfreundlicher Unterricht passt das „Netzwerk Freie Schulsoftware – Schulen helfen Schulen“. In diesem Netzwerk können sich Schulen engagieren, um sich gegenseitig auszutauschen oder Starthilfe zu geben.
Unterstützens- und weiterverbreitenswert!
Da war es ja klar, dass nicht alle der Meinung sind, dass datenschutzfreundliche Alternativen zu bevorzugen sind. Wie mich diese Argumente à la „Datenschutzrechtliche Regelungen hemmten die Digitalisierung der Schulen.“ aufregen! Da möchte wohl auch jemand einen BBA (zwei Links) bekommen?
7.2 Katastrophenfall wegen Ransomware-Befall
Und schon wieder etwas, was zumindest in meiner Region intensiv durch die Medien geht:
Der Landkreis Anhalt-Bitterfeld beklagt einen Ransomware-Befall. Deswegen wurde nun der Katastrophenfall ausgerufen.
Einige meiner Gedanken dazu:
- Bestes Zitat aus der Pressekonferenz: „Die Situation ist beschissen, aber nicht hoffnungslos.“ (Uwe Schulze (CDU), Landrat Anhalt-Bitterfeld)
- Guter Einstieg übrigens für den neuen Landrat so im Katastropenfall, den der Vorgänger als letzte Amtshandlung vor dem Wochenende ausgerufen hat, am Montagmorgen zu beginnen. Das hat er sich bestimmt auch anders vorgestellt.
- Eine Microsoft-Sicherheitslücke bei den Druckern? Woran erinnert mich das nur? Aber vielleicht gibt es da ja mehrere Sicherheitslücken im Zusammenhang mit Druckern bei Microsoft?
- Meist wird ja bei Ransomware-Attacken immer von aktiven (im Sinne von zielgerichteten) Attacken gesprochen. Allerdings sind nicht alle dieser Meinung. Ob ich jetzt – so wie der Autor der anderslautenden Meinung – so komplettes Versagen unterstellen möchte, weiß ich nicht.
Aber es scheint auch bei der öffentlichen Hand an der einen oder anderen Stelle doch Nachholbedarf in Sachen Cybersicherheit zu geben. Diverse Teile der Wirtschaft wurden durch die Politik mit der Einstufung als KRITIS versucht auf die richtige Spur zu bringen. Vielleicht sollte es solche Vorgaben auch für öffentliche IT geben? Nicht, dass noch jemand den Bundestag hackt oder so?
Wie, Verwaltungen sind längst so klassifiziert? Müssen die dann auch Zertifizierungen als Nachweis der funktionierenden Informationssicherheit beibringen? Nicht? Komisch… Aber mit Cyber kennt sich die öffentliche Hand ja aus… - Irgendwie passt diese Meldung da dann gut zum Vorfall…
7.3 Ist das ein Hackerangriff?
Vulnerability in the Kaspersky Password Manager.
Also entweder ist das richtig schlecht geschriebene Software oder eine echt schlampig verstecke Backdoor. Die NSA hat das damals besser gemacht…
Zum Kontext: Vor dem aktuellen Sicherheitsupdate hat der Kaspersky-Passworterzeugungsalgorithmus als einzige Zufallskomponente die aktuelle Zeit genutzt. Damit waren diese Passworte in Sekunden per Brute-Force knackbar. Mehr technische Details gibt es hier.
7.4 Anonymes digitales Geld
Bereits letzten Monat forderte der EDSA die EU-Kommission auf im Zusammenhang mit der geplanten Einführung einer digitalen europäischen Währung eine Datenschutz-Folgenabschätzung durchzuführen und legte im gleichen Schreiben unter anderem die Notwendigkeit der möglichen anonymen Zahlung bei einer einzuführenden digitalen Währung dar. Digital Blockchains sind da sicherlich nicht das Zahlungmittel der Wahl, um diese Anforderungen zu erfüllen.
Wie wäre es denn mit dem GNU-Taler?
7.5 Ein Videobeitrag zu Handy-Privacy
Die Kolleginnen und Kollegen von mobilsicher.de haben ein informatives Video unter den Namen „10 Fragen zu Handy-Privacy vol. 3“ veröffentlicht, welches unter anderem folgende Themen behandelt: „Warum die Luca-App zum Heulen ist, warum Datenschutzerklärungen nicht in erster Linie für Sie geschrieben werden und woher mobilsicher eigentlich sein Geld hat – darüber reden wir in unserem neuen Video. Außerdem über Browser. Und über Apps, die wir hier bisher nicht besprochen haben, zum Beispiel über den Aurora-Store und den Messenger Teleguard.“
Wie so oft sehenswert.
7.6 Ende-zu-Ende-Verschlüsselung bei iMessage
Mike Kuketz setzt sich mit der Ende-zu-Ende-Verschlüsselung bei iMessage auseinander.
Sein Fazit: Es kann durchgängig verschlüsselt über iMessage kommuniziert werden. Aber nur unter einer wichtigen Voraussetzung: Beide Seiten müssen davon absehen ihre iMessage-Daten in die iCloud zu sichern.
Das fällt mir persönlich nicht schwer.
Aber wie immer braucht es bei Ende-zu-Ende-Verschlüsselung halt immer mindestens zwei Teilnehmer. Und damit wird es dann schon spannend. Wenn also verschlüsselte Kommunikation hohe Priorität hat, muss entweder ein anderer Messenger genutzt werden oder beide müssen sich soweit vertrauen, dass sie der jeweils anderen Kommunikationsteilnehmer glauben, dass dieser die iCloud-Backupfunktion für iMessage deaktiviert hat.
7.7 Eine Vision für das Jahr 2030
Das ist mal eine düstere Vision. Ich weiß schon, warum ich Dinge gerne besitze und ungerne miete…
7.8 Update zu Kaseya
Nachdem am letzten Wochenende Kaseya in den Medien stark präsent war (ich berichtete darüber) ist nun die Zeit der detailierteren Betrachtungen gekommen. Ein Aspekt, der im Zusammenhang mit diesem Vorfall besonders meine Aufmerksamkeit erregt, ist die Aufforderung mancher dieser Sicherheits-Software-Service-Provider sogenannte Security-Shotcuts zu nutzen, konkret die Aufforderung, andere Sicherheitssysteme wie Firewalls zu deaktivieren, damit der eigene Dienst besser oder fehlerfrei funktioniert.
Wie kann denn jemand auf die Idee kommen, dass das Abschalten von Sicherheitsmaßnahmen die Sicherheit erhöhen soll (solange die Sicherheitsmaßnahme nicht offiziell Schlangenöl ist)?
Für mich ist Sicherheit wie die Hülle der Zwiebel. Jede einzelne Schicht hält nicht viel ab, aber in Summe ist die Zwiebel doch ziemlich sicher.
7.9 Update zu PrintNightmare
Nachdem Mitte der Woche durch Microsoft zu PrintNightmare ein Patch veröffentlicht wurde wurde am nächsten Tag berichtet, dass dieser nicht umfassend schützt. Schade. Aber das wird bestimmt noch … vielleicht mit einem neuen Update?
7.10 Update zu Banning Surveillance-Based Advertising
Nachdem das Norwegian Consumer Council einen Report zu Surveillance-Based Advertising veröffentlicht hat und dieser mit einem offenen Brief vieler NGOs, Bürgerrechtsorganisationen und auch Einzelpersonen unterstützt wurde haben sich nun 14 Unternehmen mit einem eigenen offenen Brief angeschlossen. Das ist lobenswert.