Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 29/2022)“
Hier ist der 47. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 29/2022)“.
Sommer, Sonne, Meer, Blog – Entgegen der Ankündigung der letzten Woche wurde auch dieser Blog-Beitrag wieder umfangreicher. Aber nachts oder wenn es regnet will ja auch niemand am Strand liegen… zumindest ich nicht.
- Aufsichtsbehörden
- EDPS: Digitale Identitäten und Datenschutz
- Berlin: Checklisten für Webhoster-Verträge
- LDI NRW: Bewertungsportale
- Hamburg und MV: Kooperation in der Medienbildung
- CNIL: Hinweise für Apotheken
- CNIL: Bußgeld für Fahrzeugtracking
- Finnland: Kontaktkanäle für Betroffenenrechte regelmäßig prüfen
- Italien: Google und die Portabilität
- Dänemark: Untersagung von Google Workspace an Schulen
- BSI: Tools zum Telemetrie-Monitoring unter Windows 10
- Rechtsprechung
- BAG: Einsatz von Microsoft 365 mitbestimmungspflichtig
- BFH: Rechtsweg für Klagen aus Art. 82 DS-GVO gegen Finanzbehörden
- Klage gegen EU-Kommission wegen Datenschutzverstoß
- Klage gegen Telekommunikationsunternehmen wegen Positivdaten
- Klage gegen Tesla wegen Datenschutzverstößen
- OLG Frankfurt: Zugriff auf Standortdaten eines Fahrzeugs
- Datenschutzverstöße durch die App der Bahn und DHL?
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Haftung für automatisierte Verwaltungsentscheidungen
- Tipps zur Webseitengestaltung mit Google
- Journalistischer Preis für Berichterstattung zur Luca-App
- Jahresbericht von noyb
- Podcast zum TTDSG
- CEDPO: Stellungnahme zur Bußgeldberechnung
- FAZ-Artikel: Was läuft bei der DS-GVO schief?
- Auswertung der Verkäuferdaten durch Amazon
- Ring-Camera und Weitergabe an Behörden
- Google: Kümmert Euch selbst!
- TikTok – hier Drittstaatentransfer
- Veranstaltungen
- Stifterverband: „Let´s talk about data literacy”
- EPIC: Webinar on Chinese Surveillance Tech and Global Impact on Privacy and Human Rights
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- TeamViewer und das Web-Fingerprinting?
- Lustige Überschriften – heute: So schützen Sie Ihr Smartphone vor Überhitzung
- Apropos fiese Werbemaßnahmen – Facebook encrypts Links
- Signal Messenger: Sealed Sender aktivieren
- Was macht eigentlich die NSO? – Hier mal wieder ein Update zu Pegasus
- Ein Deal, bei dem niemand Nein sagen kann?
- Wer mag eigentlich CSAM?
- GPS-Tracker in Autos – immer eine gute Idee?
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDPS: Digitale Identitäten und Datenschutz
In seinen News berichtet der EDPS darüber, wie seine Behörde sich mit Digitalen Identitäten und mit den Anforderungen an Datenschutz auseinandersetzt. Mehr zu Internet Privacy Engineering Network (IPEN) und dem Workshop finden Sie hier.
1.2 Berlin: Checklisten für Webhoster-Verträge
Die Berliner Datenschutzaufsicht hat bekanntgegeben, dass sie zusammen mit den Datenschutzaufsichtsbehörden aus Niedersachsen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Bayern (LDA) eine Prüfung der Auftragsverarbeitungsverträge von Webhostern durchführt. Dazu veröffentlichte sie eine Checkliste und die Ausfüllhinweise dazu. Ergänzend sei noch auf einen Onlinebeitrag eines der Autoren der Checkliste verwiesen.
1.3 LDI NRW: Bewertungsportale
Welche Möglichkeiten habe ich mich gegen abwertende Bewertungen auf Portalen zu wehren? Was muss ich akzeptieren, wann wird es datenschutzrechtlich relevant, wann bleiben zivilrechtliche Möglichkeiten und wie kann ich mich wehren? Anhand von Beispielsfällen zeigt die LDI NRW Leitplanken bei der Bewertung und Reaktion auf diese. Anlass seien die steigende Anzahl an Beschwerden bei ihr, die zu dieser Veröffentlichung führten.
1.4 Hamburg und MV: Kooperation in der Medienbildung
Die Aufsichtsbehörden Hamburg und Mecklenburg-Vorpommern kündigen eine Kooperation in der Medienbildung für Eltern an. Damit soll der Datenschutz für Eltern erlebbar und verständlich und mittels Veranstaltungen und Online-Events verschiedene Themen des Datenschutzes und der Medienerziehung leicht zugänglich gemacht werden. Außerdem erhalten die Eltern umfassende Informationen zu ihren Rechten aber auch Pflichten im digitalen Raum. Das Projekt richte sich an alle Familien, sodass auf Mehrsprachigkeit und barrierearme Zugänge geachtet wird.
1.5 CNIL: Hinweise für Apotheken
Die französische Datenschutzaufsichtsbehörde CNIL veröffentlichte Hinweise für Apotheken zur Einhaltung der DS-GVO. Zwar ist der 14-seitige Text nur in Französisch verfügbar, aber es gibt ja Übersetzungsprogramme für den Rest von Europa.
1.6 CNIL: Bußgeld für Fahrzeugtracking
Die französische Datenschutzaufsicht CNIL verhängte ein Bußgeld in Höhe von 175.000 Euro für unzulässiges Fahrzeugtracking.
1.7 Finnland: Kontaktkanäle für Betroffenenrechte regelmäßig prüfen
Die finnische Aufsicht verhängte ein Bußgeld in Höhe von 85.000 Euro, weil Betroffenenrechte nicht ordnungsgemäß bearbeitet wurden. Ursächlich war aber nicht die Missachtung der gesetzlichen Vorgaben, sondern die angegebenen Kontaktkanäle gingen nach einer internen Umstellung ins Leere. Insofern monierte die Aufsicht auch, dass diese angegebenen Kontaktkanäle nicht regelmäßig auf ihre Funktionsfähigkeit geprüft wurden. Also: Immer wieder testen, ob die angegebenen Kommunikationskanäle auch ankommen und dieses Tests dokumentieren. Bei dem Vorfall wurde zudem kritisiert, dass zur Geltendmachung der Betroffenenrechte eine Unterschrift eingefordert wurde, ohne dass diese z.B. zum Abgleich und der Authentifizierung genutzt wurde. Mehr dazu hier.
1.8 Italien: Google und die Portabilität
Laut Berichten wird in Italien durch die Wettbewerbsrechtliche Aufsicht gegen Google ermittelt. Die Beschwerde wurde initiiert durch einen Marktteilnehmer, der seine Dienstleistung durch Google beeinträchtigt sieht, weil Google keine ausreichende Datenportabilität zu ihm ermögliche.
1.9 Dänemark: Untersagung von Google Workspace an Schulen
Letzte Woche hatten wir bereits berichtet, nun gibt es auch die Informationen in Englisch dazu.
1.10 BSI: Tools zum Telemetrie-Monitoring unter Windows 10
Das BSI veröffentlichte Tools zum Telemetrie-Monitoring für Windows 10. Die Telemetrie in Windows 10 hat Zugriff auf umfangreiche System- und Nutzungsdaten des Betriebssystems. Zur Überwachung der Telemetrie-Komponente erarbeitete das BSI im Rahmen der „Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10“ (SiSyPHuS Win10) eine technische Lösung. Der entwickelte „System Activity Monitor“ (SAM) ermöglicht detaillierte Aufzeichnungen des System- und Anwendungsverhaltens der Windows-Telemetrie für Forschungszwecke. Zudem wurde auf der Basis des sogenannten „Event Tracing for Windows (ETW)“ für Windows 10 Enterprise eine Methodik für nachrichtenbasierte Analysen entwickelt.
2 Rechtsprechung
2.1 BAG: Einsatz von Microsoft 365 mitbestimmungspflichtig
Laut einem Urteil des Bundesarbeitsgerichts ist der Einsatz von Microsoft 365 aufgrund der vielfältigen technischen Überwachungsmöglichkeiten mitbestimmungspflichtig (RN 31). Für die Ausübung der Mitbestimmungsrechtes ist der Gesamtbetriebsrat zuständig (RN 32).
2.2 BFH: Rechtsweg für Klagen aus Art. 82 DS-GVO gegen Finanzbehörden
Für die Geltendmachung von Schadenersatzansprüchen gegen Finanzbehörden wegen behaupteter Verstöße gegen die DS-GVO ist laut Bundesfinanzhof der Finanzrechtsweg gegeben.
2.3 Klage gegen EU-Kommission wegen Datenschutzverstoß
Das hat es in sich: Eine Klage gegen die EU-Kommission als Verantwortliche einer Webseite zur Konferenz zur Zukunft Europas, der dabei vorgeworfen wird, dass Auskunftsbegehren nicht ordnungsgemäß beantwortet und bei dem Besuch der Webseite die Anforderungen an eine zulässige Drittstaatenübermittlung nicht eingehalten werden.
Bevor Missverständnisse auftreten: Für die EU-Kommission gilt nicht die DS-GVO, sondern die VO 2018/1725 für die datenschutzrechtlichen Vorgaben für die Organe der EU. Nun wendet sich der Webseitenbesucher an eine GmbH, deren Geschäftsmodell darin besteht „Opfern von Datenschutzverstößen“ zu helfen. Der Kläger fordert nun von der EU-Kommission 1.200 Euro immateriellen Schadenersatz. Das scheint nun genau die Situation, die in bestimmten Kreisen gerne „Klageindustrie“ genannt wird, Kreisen, die sich aber auch scheuen, bestimmte Geschäftsmodelle und Webseitengestaltung als „Rechtswidrigkeitsindustrie“ zu bezeichnen. Diese Klage weckt auch international Interesse, auch wenn erst in 12 bis 18 Monaten ein Urteil erwartet wird.
2.4 Klage gegen Telekommunikationsunternehmen wegen Positivdaten
Dürfen Telekommunikationsunternehmen sogenannte Positivdaten, also Informationen über vertragstreues Verhalten, an Wirtschaftsauskunfteien übermitteln, auch wenn keine Einwilligung der betroffenen Personen vorliegt? Das will die verbraucherzentrale NRW gegenüber Telekom, Vodafone und Telefonica nun gerichtlich klären lassen. Welches Risiko sie darin sieht, erläutert sie auch in ihrer Pressemitteilung: „Jede Information über Verbraucher:innen könne von Unternehmen für spürbare Entscheidungen genutzt werden“, so gelte unter Umständen eine Person, die mehrere Mobilfunkverträge hat oder diese häufig wechselt, als weniger vertrauenswürdig und erhielte deswegen keinen Vertrag, auch wenn alle Rechnungen pünktlich bezahlt worden sind.
2.5 Klage gegen Tesla wegen Datenschutzverstößen
Dass manche Autos bei der Datenverarbeitung sehr umfangreich unterwegs sind, ist kein Geheimnis mehr. Bei Tesla nennt sich dies „Wächtermodus“ und beinhaltet die Videoüberwachung des Umfelds des Fahrzeugs. Die Wächter des Verbraucherschutzes lassen dies nun gerichtlich überprüfen, weil den Kunden und Nutzern die datenschutzrechtlichen Zusammenhänge nicht offengelegt werden, sie aber als datenschutzrechtlich Verantwortliche die Rechtskonformität sicherstellen müssen. Spätestens nach dem Motorenskandal von VW & Co. muss man davon ausgehen, dass das Zulassungsverfahren des Kraftfahrzeugbundesamtes Interessen der Verbraucher und Kunden nicht berücksichtigt, was in diesem Zusammenhang auch kritisiert wird.
2.6 OLG Frankfurt: Zugriff auf Standortdaten eines Fahrzeugs
Aktuelle Autos verfügen oft über Standortdaten, die dem Nutzer in vielen Situationen helfen. Laut OLG Frankfurt dürfen Strafverfolgungsbehörden über § 100k StPO darauf zugreifen. Das Urteil ist jetzt ein Jahr alt, hier ist nochmal schön nachzulesen, welche Konsequenzen sich daraus ergeben können.
2.7 Datenschutzverstöße durch die App der Bahn und DHL?
Verstößt die Navigator-App der Bahn gegen datenschutzrechtliche Vorschriften? Dies will nun Digitalcourage gerichtlich klären lassen. Basis sind die Analysen eines IT-Sicherheitsexperten. Die dabei zu klärenden Fragen betreffen auch weitere Themen, z.B. die Einbindung von Dienstleistern oder die Frage, wann eine Datenverarbeitung notwendig ist. Die Bahn sieht der Klage gelassen entgegen, zeigt sich aber irritiert.
Bei der APP von DHL, der ebenfalls Datenschutzverstöße vorgehalten werden, wird laut Aussage des IT-Sicherheitsexperten aktuell aus Ressourcengründen auf eine Klage verzichtet.
3 Gesetzgebung
3.1 Kostenlose Übersichten erweitert um EuGH-Rechtsprechung
Einige Themen warten noch auf die EuGH-Rechtsprechung, wie Fragen zum Schadenersatz nach Art. 82 DS-GVO oder zur Auskunft nach Art. 15 DS-GVO. Die umfassende Übersicht zur bisherigen Rechtsprechung dazu wurde nun ergänzt um Entscheidungen des EuGH zum Datenschutz. Alles fleißig zusammengesammelt und hier veröffentlicht.
3.2 Wann brauchen Nicht-EU-Unternehmen einen Repräsentanten?
Etliche EU-Regulatorien fordern einen Repräsentanten innerhalb der EU, wenn das Unternehmen seinen Sitz außerhalb hat. Dabei geht es nicht nur um Art. 27 DS-GVO. Auch andere Vorgaben wie die NIS 2.0 erheben diese Forderungen. Mehr dazu lesen Sie hier.
3.3 EU: Was tut sich alles
Einen schönen (und teilweise kritischen) Überblick über die europäischen Aktivitäten rund um die Digitalisierung lesen Sie in diesem Artikel.
3.4 EU: Digital Markets Act
Der Digital Markets Act hat die letzte formale Hürde genommen, die Zustimmung des Ministerrates – nun geht es an die Übersetzungen in die Sprachen der Mitgliedsstaaten und danach an die Veröffentlichung im Amtsblatt. Details zu den Inhalten finden Sie hier und dort.
3.5 Bundestag: Anfrage zu Lösegeldzahlungen bei Ransomsoftware
Es gibt die Diskussion, wie sich Opfer von Ransomsoftware, durch die eigene Systeme verschlüsselt werden, verhalten sollen: Lösegeld zahlen oder nicht? Das BSI warnt vor Zahlungen. Auch droht dadurch unter Umständen sich selbst strafbar zu machen. Es gibt jetzt jedenfalls im Bundestag eine kleine Anfrage (Drucksache 20/2783) an die Bundesregierung zu dieser Thematik.
3.6 Digitalgesetz Bayern
In den meisten Parlamenten ist gerade Sommerpause – deswegen ist es hier auch so ruhig. Doch in Bayern wurde noch vor der Sommerpause das Digitalgesetz beschlossen. Viele freuen sich darüber, dazu gibt es auch einen Flyer des verantwortlichen Ministeriums. Die Regelungen umfassen u.a. Onlinezugänge, Identitätsregelungen, Sicherheitsvorgaben sowie Regelungen zur Auftragsverarbeitung.
3.7 UK: Änderungen im Datenschutzrecht
Es wurde immer wieder angekündigt und nun gibt es auch die Formulierungen dazu: Das Vereinigte Königreich will sein Datenschutzrecht ändern. Wenn diese Änderungen so kommen, wird die EU-Kommission ihren Angemessenheitsbeschluss prüfen müssen, auch wenn Brexit-Befürworter hier keine Änderungen erwarten.
Passenderweise gibt es auch einen Entwurf zum Einsatz von KI.
4 Künstliche Intelligenz und Ethik
4.1 Bloom – Open Source bei KI?
Den meisten Vorsprung bei der Entwicklung von KI haben Unternehmen, die dazu auf besonders viele Daten zurückgreifen können. Umso spannender die Idee, über die hier berichtet wird – im Rahmen von Bloom (BigScience Language Open-science Open-access Multilingual) auch über KI-Anwendungen nachzudenken, die auf den Gedanken der Open-Source-Bewegung beruhen. So sind die Mitwirkenden daran überzeugt, dass Technologie – und insbesondere KI – offen, vielfältig, inklusiv, verantwortungsbewusst und zum Nutzen der Menschheit zugänglich sein sollte. Ihrer Verantwortung möchten sie im Rahmen des sozialen, kulturellen, politischen und ökologischen Kontexts gerecht werden, der dem Design von KI-Modellen – und speziell BLOOM – und den Prozessen der Datenauswahl, -kuratierung und -verwaltung zugrunde liegt. So haben die Mitglieder von BigScience eine ethische Charta veröffentlicht, in der die Werte festgelegt sind, an die sie sich bei der Entwicklung und dem Einsatz dieser Technologien halten.
4.2 Utopia – Dokumentation in ZDF-Mediathek
Was tut sich im Silicon Valley, wie wirken sich die dortigen Entwicklungen und Überlegungen auf unsere Welt aus? Damit befasst sich der 44-minütige Bericht in der ZDF-Mediathek des früheren „Heute“-Anchorman Claus Kleber, der sich auch mit den Themen Gehirnforschung, Genetic Engineering, politische Entscheidungsprozesse, menschliche Beziehungen, Architektur und Materialforschung, Transportwesen und Tourismus befasst.
4.3 Überblick über KI in Deutschland
Wer macht was, wo wird geforscht, wo fördert der Bund, wo gibt es Nachwuchsgruppen, Förderprogramme für KMU, Lernangebote für Schule, Studiengänge rund um KI, öffentlich geförderte KI-Transferzentren, KI-Kompetenzen von Berufstätigen etc.?
Wer dazu Antworten sucht, findet diese auf der Plattform für Künstliche Intelligenz.
4.4 Was kann KI machen?
Ist das nun KI oder einfach nur Rechnerkapazität? Egal, es zeigt anschaulich, dass wir Kompetenzen brauchen, um noch Realitäten zu erkennen.
5 Veröffentlichungen
5.1 Haftung für automatisierte Verwaltungsentscheidungen
Wenn der Staat in der Verwaltung automatisierte Systeme einsetzt, wer haftet dann für daraus entstandene Schäden? Eine umfassende Darstellung der rechtlichen Bewertung findet sich hier. Die Ausführungen umfassen u.a. auch staathaftungsrechtliche Aspekte aber auch Betrachtungen zu Ansprüchen nach der DS-GVO.
5.2 Tipps zur Webseitengestaltung mit Google
Es kann derzeit wohl kaum zu oft wiederholt werden: Die Einbindung von Google-Tools kann zu einer datenschutzrechtlichen Problematik führen. Auch wenn irritierenderweise bei manchen volksnahen Berichten dabei unterschlagen wird, dass das eigentliche Problem „nur“ die Drittstaatenthematik sein kann. An was man dabei denken sollte, lässt sich hier nachlesen.
5.3 Journalistischer Preis für Berichterstattung zur Luca-App
Genau genommen wird aber nicht nur die Berichterstattung, sondern auch die Recherche zur Luca-App ausgezeichnet. Daneben gibt es auch Auszeichnungen für die diesjährigen Preise des Surveillance-Studies-Forschungsnetzwerkes in Kooperation mit Telepolis für fünf Journalist:innen für ihre Arbeiten über den Aufbau einer biometrischen Datenbank in Westafrika sowie zur Überwachung am Arbeitsplatz.
5.4 Jahresbericht von noyb
Aufsichtsbehörden sind gesetzliche verpflichtet einen jährlichen Bericht zu veröffentlichen. Dieses scheint sich auch das NGO noyb zu eigen zu machen. In dem Jahresbericht für das Jahr 2021 wird über die Aktivitäten und Finanzen berichtet, aber auch über die Resonanz in den Medien und es werden statistische Angaben veröffentlicht.
5.5 Podcast zum TTDSG
In diesem Podcast (ca. 40 Min) eines Medienrechtsprofessors unterhalten sich zwei Expertinnen mit einem Wirtschaftsjuristen zum sogenannten Spannungsfeld zwischen Wirtschaft und Aufsicht beim Onlinedatenschutz. Neben der historischen Entwicklung geht es natürlich auch um § 25 TTDSG, der ja keine Datenschutznorm ist, sondern die Integrität des Endgerätes schützt. Ein zweiter Teil des Podcast soll folgen.
5.6 CEDPO: Stellungnahme zur Bußgeldberechnung
Die Confederation of European Data Protection Organisations (CEDPO) hat ihre Stellungnahme zur Guideline des EDSA zu Bußgeldberechnung veröffentlicht.
5.7 FAZ-Artikel: Was läuft bei der DS-GVO schief?
„In der Anwendung der DSGVO läuft einiges schief – so war sie nicht gemeint“ – Wenn ein Artikel in einer renommierten Tageszeitung so beginnt, ahnt man fast, was folgt. Ist aber erstmal irritiert, wenn man die Namen der vier Autoren liest, die ein illustres Team bilden: Ein Mitglied des EP, welches als Schattenberichterstatter die DS-GVO selbst unmittelbar mitformulierte und zustimmte, ein Leiter einer deutschen Aufsichtsbehörde, der seit fünf Jahren die Durchsetzung in seinem Zuständigkeitsbereich verantwortet, ein Vertreter eines IT-Unternehmens und ein Medienrechtsprofessor, der ansonsten die DS-GVO auch mal verteidigt, sich auch im Datenschutz zuhause fühlt. Inhaltlich findet sicher jeder eine Aussage, die nachvollziehbar scheint und die DS-GVO hat etliche Stellen, die nachjustiert werden könnten. Bei dem Beitrag vermisse ich den konstruktiven Ansatz, was jeder der Autoren beiträgt, um die vermeintlichen Missstände zu verändern. Zum Beispiel hätte eine zitierte „Klageindustrie“ wenig Chancen, würde eine Rechtskonformität durch Aktivitäten von Aufsichtsbehörden gewährleistet werden und gäbe es keine massenhaften Rechtsverstöße durch verarbeitende Unternehmen (und Webseitenbetreiber). Die Herausforderungen der zu lösenden Fragen der Digitalisierung werden sich nicht allein dadurch lösen lassen, dass sie angeprangert werden, ohne auch Möglichkeiten der Lösung zu skizzieren.
5.8 Auswertung der Verkäuferdaten durch Amazon
War das bekannt? Der Plattformbetreiber nutzt seine Angebot für andere Verkäufer auch dahingehend die dabei gewonnenen Erkenntnisse zum eigenen Vorteil zu nutzen. Das will Amazon nun wohl bleiben lassen – nachdem die EU-Kommission mit Bußgeldern drohte.
5.9 Ring-Camera und Weitergabe an Behörden
Das Teil von Amazon verkaufte sich gut: Eine vernetzte Türklingel mit Kamera zeigt mir auch, wer vor der Tür steht, wenn ich nicht daheim bin. Ein Service, den Amazon laut Berichten auch der Polizei bot – natürlich ohne die Kunden oder die gefilmten Personen zu informieren. Ein einfaches Formular für die Polizei für „law enforcement tracker“ genügte dafür.
Franks Nachtrag: Na, das passt doch gut zu dem hier, oder?
5.10 Google: Kümmert Euch selbst!
Wenn Sie Apps auf Google-Betriebssystemen nutzen, überlegen Sie sich bitte, wem Sie noch trauen. Gemäß Meldungen überlässt es Google nun den Entwicklern, ob sie über die Berechtigungen, die sich Apps einräumen lassen, informieren wollen oder nicht. Als Beispiel einer App, die keine diesbezüglichen Informationen mehr angibt, wird dabei Amazon Alexa genannt. Das muss sicher nicht weiter kommentiert werden.
Franks Nachtrag: Da das Thema um eine neue Quelle angereichert ist, lassen wir es trotzdem stehen.
5.11 TikTok – hier Drittstaatentransfer
Dass TikTok nur eine harmlose App für lustige Videospielereien sei, glaubt wohl keiner mehr. Zumindest nicht die, die sich ernsthaft damit befassen und sich zum Datenhunger der App informieren. Dass TikTok nicht den besten Ruf bei Datenschützern hat, ist bekannt, aber, dass die Daten alle nach China übertragen werden und die dortige Nutzung nicht transparent ist, wird bei einer datenschutzrechtlichen Beurteilung dafür sorgen, dass es große Schwierigkeiten bereitet dies noch als zulässig darstellen zu können.
5.12 Veranstaltungen
5.12.1 Stifterverband: „Let´s talk about data literacy”
28.07.2022, 13:00 – 14:00 Uhr: In der Reihe „Let’s talk about Data Literacy“ geben Unternehmen regelmäßig Einblicke in ihre Aktivitäten zur Stärkung von Datenkompetenz. Der Stifterverband möchte so einen Austausch zwischen Wirtschaft und Wissenschaft zum Thema Data Literacy initiieren. Diesmal ist Arthur Michael Seidel von der Fraport AG zu Gast. Teilnahme kostenlos, Anmeldung erforderlich.
5.12.2 EPIC: Webinar on Chinese Surveillance Tech and Global Impact on Privacy and Human Rights
28.07.2022, 16:00 – 19:00 Uhr*: This two-part panel event explores impacts and use of surveillance technology both domestically within China and internationally, looking at what these tech developments mean on a policy level and within the global surveillance tech ecosystem. We will also discuss how international actors can work together to build human rights and democratic resilience in the digital space, develop robust cybersecurity and data protection frameworks that address misuse of surveillance technology, and promote solutions to protect human rights. This event is hosted by the Electronic Privacy Information center (EPIC). The Domestic Surveillance Panel will take place at 10 AM (ET) and the International Surveillance Panel will begin at 11:30 AM (ET) on July 28, 2022. Please pre-register – you will receive a confirmation email after registering with details on how to join the webinar.
* Franks Anmerkung: Ich habe 10:00 Uhr Eastern Time in 16:00 Uhr Mitteleuropäische Zeit umgerechnet. Vielleicht möchten Sie das noch mal überprüfen…
6 Gesellschaftspolitische Diskussionen
6.1 Konnektorenaustausch
Zur sicheren Kommunikation von Patientendaten zwischen Arztpraxen und Krankenkassen werden Systeme eingesetzt, die die Kommunikationspartner beziehen (und bezahlen) müssen. Da die kommunizierten Daten sehr sensibel sind, gelten strenge Sicherheitsvorgaben. So stellen speziell abgesicherte Router – sogenannte Konnektoren – die Verbindung zur Telematikinfrastruktur her. Deren Krypto-Zertifikate laufen nach fünf Jahren aus. Der Austausch wird teuer – wäre aber vermeidbar, wie in diesem Beitrag dargestellt.
6.2 DIW: Was wissen Onlinetracker?
Das Deutsche Institut für Wirtschaftsforschung e.V. (DIW) stellt in seinem Newsletter dar, was regelmäßige Zirkusbesucher bereits ahnen, wenn nicht sogar wissen: Durch die Onlinetracker ist im Internet fast keiner mehr sicher.
6.3 Social-Media-Fails
Was sind die bekanntesten „Eigentore“ der Social-Media-Nutzung durch Unternehmen? Sie finden eine Auflistung, z.B. auch die Kommunikation der Bahn zu Greta Thunbergs Bahn-Tweet. Was noch fehlt ist die Gegenüberstellung von Marketing-Aussagen zu Privacy und tatsächlichem Verhalten – aber die Liste wird ja immer wieder aktualisiert.
7 Sonstiges/Blick über den Tellerrand
7.1 Selbstdarstellung im Netz
„Tue Gutes und rede darüber“ ist ein Klassiker in der Public Relation für die Wirtschaft. „Tue Gutes und zeig Dich“ ist nach diesem Bericht die peinliche Variante in Zeiten von TikTok und Social Media. Das lassen wir einfach mal so stehen.
7.2 Bayerisches Kompetenzzentrum für Fernprüfungen
Wie können Fernprüfungen technisch sicher durchgeführt werden? Das ist eine der Aufgaben, mit der sich das Bayerische Kompetenzzentrum für Fernprüfungen befasst. Seine Ergebnisse richten sich vor allem an die Technik-, Didaktik- und Rechtsabteilungen der Universitäten: Ziel ist die Beratung und Unterstützung der zuständigen Fachabteilungen für eine bestmögliche orts- und fachadäquate Umsetzung von Fernprüfungen. Dafür stehen den Fachabteilungen die Expertinnen und Experten für Technologie, Prüfungsdidaktik, Recht und Sicherheit sowie Datenschutz zur Verfügung. So finden sich hier Hinweise zur Auswahl von Fernprüfungssoftware aber auch aufgezeichnete Workshops zu verschiedenen Fragestellungen.
7.3 Hilfsmittel und Tools zur Sensibilisierung
Als Abschluss hier nun einfach mal ein paar Tools, die mir über den Weg liefen, wie ein BreakoutEdu zur Kryptologie, ein Escapespiel zur digitalen Zukunft oder Materialien der Medienscouts NRW.
8. Franks Zugabe
8.1 TeamViewer und das Web-Fingerprinting?
Wir kennen (und schätzen nicht) das Web-Fingerprinting. Damit versuchen Unternehmen Nutzer wiederzuerkennen. Indem sie den Browser Informationen auslesen lassen, die die möglichst eindeutig Nutzer identifizieren. Also „bestes“ Werberwirtschaftsverhalten.
Ein norwegischer Entwickler hat sich eine Schriftart genauer angeschaut, die enthalten ist, wenn die Windows-Version von TeamViewer installiert wird (Tipp: Meist kann man die TeamViewer-Installationsdatei auch einfach nur starten ohne sie komplett installieren zu müssen).
Diese enthält nur die Zeichen, die gebraucht werden, um das Wort „TeamViewer“ sowie die Zahlen 7 und 8 zu schreiben. Alle anderen Zeichen sind als Apostroph ausgeführt. Da fällt zumindest mir auch kein anderer Grund für ein, wofür diese Schrift wohl gebraucht wird. Vor allen Dingen, wenn Sie sich die Schrift anschauen.
Also liegt die Vermutung nah, dass es um das eindeutige Identifizieren von PCs geht, auf denen TeamViewer installiert ist. Durch Auslesen dieser Schriftart.
Im verlinkten Artikel schreibt der Autor, dass er keine Webseite unter teamviewer.com gefundeh habe, in der auf diese Schriftart geprüft werde (so dass sie selbst diese Information nutzen).
In einem ersten Update berichtet er, dass einer seiner Leser eine Unterseite fand, die tatsächlich diese Schriftart nutzt, um auf eine vorhandene Installation zu prüfen.
In einem weiteren Update hat er eine Aussage des CISO von Teamviewer veröffentlicht. Laut dieser Aussage soll es diese Schriftart in zukünftigen Versionen von TeamViewer für Windows nicht nehr geben.
Warum gab es sie dann überhaupt? Aber besser spät als nie, oder?
Hier gibt es auch einen deutschsprachigen Artikel zum Thema.
8.2 Lustige Überschriften – heute: So schützen Sie Ihr Smartphone vor Überhitzung
Wobei, wenn ich so sehe, wieviele Personen gerade am Strand mit ihren Smartphones rumhantieren, ist der Artikel von heise.de sicherlich sinnvoll.
8.3 Apropos fiese Werbemaßnahmen – Facebook encrypts Links
Neben Web-Fingerprinting ist das Übermitteln zusätzlicher Parameter per Weblink eine gern genutzte Möglichkeit Informationen an die nächste Webseite zu übergeben, um z.B. Nutzer Webseitenübergreifend besser zu verfolgen und zu beobachten. Deswegen haben sowohl der Firefox- als auch der Brave-Browser mittlerweile eine Funktion, die solche Tracking-Erweiterungen der Links abschneiden. Dumm nur, wenn Facebook jetzt den ganzen Link (also alles nach facebook.com/users/posts/) verschlüsselt. Denn was soll denn nun abgeschnitten werden?
Meine Überlegungen dazu:
- Erinnert sich noch jemand an sprechende Links? Das war mal ein Ding…
- Ich bin echt gespannt, ob und wenn ja wie sie bei Facebook versuchen, das zu begründen.
- Wundert es irgendjemanden, dass Facebook Maßnahmen, die ihre Werbeeinnahmen schmälern können, zu verhindern sucht?
Bruce Schneier hat (neben dem Originallink) weiterführende Informationen…
8.4 Signal Messenger: Sealed Sender aktivieren
Wenn Sie am Strand sitzen, sich langweilen aber nicht am Smartphone spielen wollen, damit dieses nicht überhitzt, können Sie ja auch an Ihren Signal-Einstellungen optimieren. Dann schauen Sie sich diesen Artikel zu Sealed Sender an und überlegen, ob Sie das entsprechend nutzen möchten. Oder Sie genießen einfach den Tag am Meer…
(Das dürfen Sie natürlich auch nutzen, wenn Sie nicht im Urlaub sind.)
8.5 Was macht eigentlich die NSO? – Hier mal wieder ein Update zu Pegasus
Ach ja, läuft wohl nicht so gut bei denen. Zumindest, wenn man diesem Artikel Glauben schenken darf. Und grundsätzlich sind Bruce Schneiers Recherchen gründlich…
8.6 Ein Deal, bei dem niemand Nein sagen kann?
Das US Department of Homeland Security (DHS) bietet gerade interessierten Staaten Zugriff auf ihre umfangreichen biometrischen Datenbanken an, wenn diese im Gegenzug Zugriff auf ihre eigenen Datenbanken bieten. Statewatch hat einen ausführlichen Artikel dazu, auch Patrick Breyer (MEP) berichtet darüber.
UK soll schon teilnehmen, das DHS scheint an der EU vorbei auch schon Mitgliedsstaaten der EU direkt anzusprechen. Oh weia, was soll da schon schiefgehen?
Und ab 2027 soll es wohl Voraussetzung für das 90-Tage-Visa-Programm werden? Happy days.
Übrigens, die Datenbasis der US-Datenbanken muss auch nicht wirklich gut sein…
8.7 Wer mag eigentlich CSAM?
Sie erinnern sich an CSAM? Was die EU jetzt verpflichtend einführen will? Wie auch UK?
Wer mag diese Technologie eigentlich? So wie sich zeigt, Geheimdienste. Also, wenn die etwas toll finden, sollten bei uns die Alarmglocken klingeln…
8.8 GPS-Tracker in Autos – immer eine gute Idee?
Vor allen Dingen, wenn sie genutzt werden können, um Fahrzeuge aus der Ferne anzuhalten oder auszuschalten? Das mag bei Diebstahlsystemen gut sein. Aber nur, wenn dies nur berechtigte Nutzer dürfen. Nun stellt sich heraus, dass auch andere über nicht patchbare Sicherheitslücken diese Funktionen ansteuern können. Auch heise.de hat darüber berichtet.