Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 30/2021)“
Der 13. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 30/2021)“ ist da!
- Aufsichtsbehörden
- BfDI: Leitfaden für Datenverarbeitung im Personalrat
- BayLDA: Kopplungsverbot bei Newslettereinwilligung?
- Baden-Württembergs Schulcloud künftig ohne Microsoft
- CNIL: Bußgeld für Verletzungen der Speicherfristen und Informationspflichten
- CNIL: Bußgeld für rechtswidrigen Cookieeinsatz
- EDSA: Entscheidung zur irischen Aufsicht und WhatsApp
- Aktuelle Apple-Kamerafahrten
- Luxemburg: Rekord-Bußgeld gegen Amazon
- Behindert der Datenschutz die Pandemiebekämpfung?
- Rechtsprechung
- Gesetzgebung
- Veröffentlichungen
- Gemeinsame Verantwortlichkeit insb. bei Internetsachverhalten
- Ist eine Nicht-Antwort eine Einwilligung?
- What´s next after the EU-US Privacy Shield?
- BSI: Aktualisierung Mindeststandards zur Nutzung Cloud-Dienste
- Checkliste für Entwickler zur KI
- Privacy, AI und überhaupt: Schutzgüter der DS-GVO?
- Schadenersatz aufgrund unzureichender Auskunft und zur Haushaltsausnahme bei Portalen
- Corona Impfstatus – Was darf die Chefin wissen?
- Hört Facebook über die Smartphones ab?
- Regulierte Verschlüsselung?
- Tracking: Wirtschaft will mitreden
- App-Anbieter informieren nicht vollständig
- Veranstaltungen
- 4.13.1 Daten-Dienstag: „Das Ende des Webtrackings? Das Telekommunikations-Telemedien-Datenschutzgesetz“
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 BfDI: Leitfaden für Datenverarbeitung im Personalrat
Der BfDI hat einen Leitfaden zur Datenverarbeitung im Personalrat bei den öffentlichen Stellen des Bundes als Orientierung für den Umgang mit personenbezogenen Daten von Beschäftigten veröffentlicht. Hier sei nochmals klargestellt, dass der BfDI nicht der oberste Datenschützer in Deutschland ist, sondern dass sich sein Zuständigkeitsbereich (bis auf ein paar historisch bedingte Ausnahmen) auf die Einrichtungen und Behörden des Bundes konzentriert. Dennoch können seine Ansichten und Argumente oft auch für die Situation bei Betriebsräten herangezogen werden.
1.2 BayLDA: Kopplungsverbot bei Newslettereinwilligung?
Sie wollen eine Software runterladen, die nichts kostet, aber Sie bekommt sie nur, wenn Sie dem Bezug eines Newsletters zustimmen. Ist das noch freiwillig? Das BayLDA hat sich in seinem Tätigkeitsbericht für das Jahr 2020 (dort Ziffer 8.1) damit befasst. Das BayLDA interpretiert die Verlautbarungen des EDSA dazu so, dass nur dann eine Freiwilligkeit vorliegt, wenn das gleiche Produkt auf derselben Plattform auch kostenpflichtig angeboten wird. Diese Ansicht wird nun in einem Beitrag betrachtet und besprochen.
1.3 Baden-Württembergs Schulcloud künftig ohne Microsoft
Bei einigen rechtlichen Unsicherheiten, die es bei vielen Themen im Datenschutz gibt, hört man immer wieder „die anderen machen es doch auch“. Bezüglich des Einsatzes von Microsoft in der Schulcloud in Baden-Württemberg klappt das Berichten zufolge bald nicht mehr. Dort soll nun künftig auf den Einsatz von Microsoft in der Schulcloud verzichtet werden. Aufgrund der Fristen des Vergaberechts sei eine Anpassung des Zeit- und Projektplans der digitalen Bildungsplattform notwendig. Allerdings sollen Schulen, die bisher schon Microsoft nutzen, die Software weiter verwenden dürfen, bis eine Gesamtlösung für alle Schulen zur Verfügung steht. Das dürfte nun allerdings noch über ein Jahr dauern. Eine pauschale Untersagung von Microsoft-Produkten an Schulen soll es zunächst durch die Datenschutzaufsichtsbehörde nicht geben. Beschwerden geht der Landesbeauftragte weiterhin nach.
1.4 CNIL: Bußgeld für Verletzungen der Speicherfristen und Informationspflichten
Die französische Aufsichtsbehörde CNIL hat gegen eine Versicherungsgruppe ein Bußgeld in Höhe von 1.750.000 Euro verhängt, weil sie Verstöße gehen Aufbewahrungsfristen und die Informationen von Personen feststellte.
1.5 CNIL: Bußgeld für rechtswidrigen Cookieeinsatz
Wenn sich Viele für eine zentralisierte Aufsicht einsetzen, sollten sich diese bewusst sein, dass es dann einfacher ist eine Meinung zu haben und diese dann auch anzuwenden. So z.B. auch bei Bewertung des rechtskonformen Gestaltens einer Webseite: In Frankreich gab es bei einem Verstoß nun auch wieder mal ein Bußgeld durch die CNIL in Höhe von 50.000 Euro.
1.6 EDSA: Entscheidung zur irischen Aufsicht und WhatsApp
Es hat sich herumgesprochen, dass die irische Datenschutzaufsicht gegenüber US-amerikanischen Unternehmen, die Irland als Sitz ihrer europäischen Niederlassung gewählt haben, nicht als „harter Brocken“ gilt. (Nicht nur) die anderen Aufsichtsbehörden vermissen bei einigen Sachverhalten ein energischeres Vorgehen und im Fall von WhatsApp trafen sie nun einen Beschluss nach Art. 65 DS-GVO:
Sie geben der irischen Aufsicht eine Frist von einem Monat, um Maßnahmen gegen WhatApp einzuleiten. Als federführende Aufsicht sollte Irland auf die Änderung der Nutzungsbedingungen von WhatsApp (vor allem hinsichtlich der Datenweitergabe an Facebook) reagieren.
1.7 Aktuelle Apple-Kamerafahrten
In Bayern waren sie schon, jetzt schauen sie sich in Berlin und im Norden um: Fahrzeuge mit Kameras sind wohl in Berlin unterwegs, um für ein Angebot von Apple Ansichten von der Straße aus aufzunehmen. Die Berliner Datenschutzaufsicht verweist hier auf die Seite des BayLDA, welches innerhalb von Deutschland für die Aktivitäten von Apple zuständig ist. Das BayLDA hatte schon im Jahr 2019 Infos und Muster hinsichtlich Widersprüche zu Aufnahmen veröffentlicht. Dort findet man auch die geplanten Zeiten und Gegenden der Kamerafahrten sowie FAQs dazu.
1.8 Luxemburg: Rekord-Bußgeld gegen Amazon
Hierzu gibt es nur Berichte, die auf Informationen beruhen, die nicht von der Luxemburger Aufsichtsbehörde kommen. Aufgrund einer Beschwerde (mutmaßlich aus dem Jahr 2019) befasst sich die Luxemburger Datenschutzaufsicht mit der Datenverarbeitung bei Amazon. Die führte nun dazu, dass es zu einem Bußgeldbescheid in Höhe von 746.000.000 Euro führte. Aufgrund der Regelungen in Luxemburg darf die Behörde keine Informationen darüber veröffentlichen, wenn diese Entscheidung gerichtlich überprüft wird, was Amazon natürlich machen wird. So ist jetzt alles Spekulation, was konkret den Anlass der Sanktion bildet und wie die Behörde die Höhe berechnet. Zumindest hat Amazon in seinem Quartalsbericht unter „Legal proceedings“ darüber berichtet. Natürlich ist das eine Rekordhöhe für ein Bußgeld für Verfehlungen nach der DS-GVO, aber wer mal den Jahresumsatz von Amazon nachschlägt und den Bußgeldrahmen der DS-GVO (2-4 % des weltweiten Jahresumsatzes) mit den Zielen eines Bußgeld („abschreckend“) betrachtet, wird nicht mehr so überrascht sein. Es ist zu begrüßen, wenn es hierzu dann auch Gerichtsurteile gibt, die auch die Leitplanken für die Berechnung der Bußgelder auf Basis der Vorgaben der DS-GVO transparenter definieren.
1.9 Behindert der Datenschutz die Pandemiebekämpfung?
Nach der Sommerpause der Talkshows wird es wieder die Talk-Nomaden geben, die mit Worthülsen ihr Standardrepertoire über die Kanäle jagen. Wer sich dafür fachlich wappnen will, ist in diesem Beitrag des Forum Privatheit gut aufgehoben. Warum werden eigentlich nie Experten in solche Talkrunden eingeladen? Und wer den Beitrag nachliest, versteht auch, warum er in dieser Rubrik abgelegt wurde. Gerne kann der Beitrag auch denen empfohlen werden, deren Expertentum sich auf ein anderes Gebiet konzentriert oder denen immer noch nicht den Unterschied zwischen SMS und Cell Broadcast vermittelt werden konnte.
2 Rechtsprechung
2.1 Anforderung an Anspruch auf Schadensersatz
Kann jemand die Kosten für einen Prozess nicht vorfinanzieren, soll ihm der Gang zu den Gerichten nicht verwehrt bleiben – das ist der Zweck der Prozesskostenhilfe. Das Gericht prüft kursorisch die Erfolgsaussichten des Rechtsmittels und entscheidet dann über die Prozesskostenhilfe. Das OLG Bremen hat nun einen solchen Antrag im Rahmen eines Schadensersatzanspruchs auf Basis des Art. 82 DS-GVO abgelehnt, weil der Antragsteller keine weiteren Ausführungen zu einem materiellen oder immateriellen Schaden angab. Es reiche nicht aus nur zu behaupten, es läge ein Verstoß gegen die DS-GVO vor.
2.2 Anforderungen an Speicherung einer Restschuldbefreiung (durch Schufa)
Das Urteil des VG Wiesbaden zur Datenspeicherung von Daten aus dem Schuldnerverzeichnis bei Wirtschaftsauskunfteien hat mehrere spannende Aussagen. Es trifft nicht nur Aussagen zu den Aktivitäten einer Datenschutzaufsichtsbehörde, definiert die Anforderungen an genehmigte Verhaltensregeln, sondern bewertet auch die Speicherung der Angaben einer Restschuldbefreiung. Hierbei erkennt das VG Wiesbaden die Zulässigkeit einer Speicherung von Restschuldenbefreiungen dann an, wenn zum Zeitpunkt der Datenübermittlung bereits ein konkretes Auskunftsbegehren über die wirtschaftliche Situation einer betroffenen Person bei der verantwortlichen Stelle vorliegen würde. Andernfalls dürfe die Grundrechtsabwägung im Einzelfall zu Gunsten der betroffenen Person ausgehen. Dies mit der Folge, dass die Speicherung bei der Beklagten nicht „fair“, also nicht rechtmäßig, da auf Vorrat, wäre.
2.3 UK: Vorratsdatenspeicherung eingeschränkt
Später juristischer Erfolg für Privacy International (PI) im Kampf gegen die Vorratsdatenspeicherung. Das für die Sicherheitsbehörden zuständige britische Gericht, das Investigatory Powers Tribunal (IPT), hat in einem Urteil vom Donnerstag auf Klage der Bürgerrechtsorganisation hin entschieden, dass die Befugnis für die Polizei und Geheimdienste zum anlasslosen massenhaften Erheben und Aufbewahren von Verbindungs- und Standortdaten im Telecommunications Act von 1984 nicht vereinbar war mit dem EU-Recht.
3 Gesetzgebung
3.1 Projekt Glass: Blockchain-Technologie für die digitale Verwaltung
Mithilfe von Blockchain-Technologie will das EU-Projekt GLASS administrative Prozesse, Servicequalität und den Datenaustausch der Öffentlichen Verwaltung verbessern und automatisieren. Grundlage dafür soll ein bürgernahes eGovernance-Modell mit einer verteilten Infrastruktur sein, das insbesondere die Interaktion zwischen Bürger*innen, Unternehmen und der Öffentlichen Verwaltung unterstützen soll.
4 Veröffentlichungen
4.1 Gemeinsame Verantwortlichkeit insb. bei Internetsachverhalten
Bei einem Großteil der interessanten und diskussionswürdigen Infos, die wir uns hier zu verbreiten erlauben, profitieren wir und damit auch Sie davon, dass andere ihr Wissen und ihre Ergebnisse kostenlos ins Netz stellen. Das soll ermuntern auch selbst gelegentlich andere an Grundlagen teilhaben zu lassen, um so eine vielfältige Diskussionskultur und ein breites Meinungsbild zu ermöglichen. Dies nur mal vorangestellt, weil es dabei immer wieder Besonderheiten gibt, wie eine umfassende und aktuelle Arbeit zur „Gemeinsamen Verantwortlichkeit unter der DS-GVO unter besondere Berücksichtigung von Internetsachverhalten“ darlegt. Innerhalb der über 460 Seiten finden sich eine Zusammenfassung des „was bisher geschah“ bis hin zu den zivilrechtlichen Fragestellungen und einer kritischen Bewertung.
4.2 Ist eine Nicht-Antwort eine Einwilligung?
Ist die Weitergabe von Kundendaten wie Namen und E-Mail-Adressen an Google und Facebook so gestaltbar, dass der Kunde aktiv widersprechen muss? Im konkreten Fall wurde an Bestandskunden eine E-Mail mit Hinweis auf die Änderung versendet und die Kunden hätten aktiv werden müssen, um eine Weitergabe zu verhindern. Laut Berichten scheint sich das für eine Discounterkette zu lohnen. Die zuständige Aufsichtsbehörde sieht das wohl kritischer.
4.3 What´s next after the EU-US Privacy Shield?
Das einzig Positive, was ich dem datenschutzrechtlichen Zirkus um Microsoft-Produkte nach einigem Nachdenken abgewinnen kann, ist die Hoffnung, dass somit über wirtschaftlichen Druck innerhalb der USA ein Bewusstsein bestärkt wird, dass uns mehr verbindet als trennt und es dann eine politische Lösung für den transatlantischen Datentransfer geben könnte. Zumindest scheinen das nun zunehmend auch politische Kräfte in den USA erkannt zu haben, wie sich in dieser Diskussionsrunde am Center for Technology Innovation at Brookings zeigte.
4.4 BSI: Aktualisierung Mindeststandards zur Nutzung Cloud-Dienste
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Mindeststandard zur Nutzung externer Cloud-Dienste in der neuen Version 2.0 veröffentlicht. Die aktualisierte Fassung wurde insbesondere an den neuen Kriterienkatalog Cloud Computing (C5:2020) sowie an das aktuelle IT-Grundschutz-Kompendium (Edition 2021) angepasst.
Im neuen Mindeststandard sind erstmals zwei Publikationen in einer Veröffentlichung zusammengefasst: Neben dem Mindeststandard zur Nutzung externer Cloud-Dienste gab es bislang einen weiteren Mindeststandard zur Mitnutzung externer Cloud-Dienste. Dieser befasste sich mit dem Sonderfall, dass eine Behörde einen Cloud-Dienst nutzt, aber kein eigenes Vertragsverhältnis mit einem Diensteanbieter besteht, beispielsweise im Rahmen einer Zusammenarbeit mit Dritten. In der Version 2.0 wurde dieses Thema in einem eigenen Kapitel integriert, sodass es nun einen Mindeststandard für beide Nutzungsszenarien gibt.
4.5 Checkliste für Entwickler zur KI
Dass der Datenschutz in der Republik Korea (Südkorea) ein hohes Niveau hat, gilt als allgemein bekannt, auch wenn die EU-Kommission für die Feststellung eines Angemessenheitsbeschlusses für das Vereinigte Königreich schneller war: Der Angemessenheitsbeschluss für Südkorea ist nur noch eine Frage der Zeit. Umso interessanter ist es, wenn in Südkorea nun eine Checkliste für Entwickler von der Personal Information Protection Commission veröffentlicht wurde, die sich mit dem Einsatz von KI bei personenbezogenen Daten befasst. Und keine Sorge: Sie wurde auch auf Englisch veröffentlicht! Dabei werden sechs Prinzipien für den Einsatz Künstlicher Intelligenz bezogen auf personenbezogene Daten beschrieben:
- Legitimacy:
The grounds for processing, e.g. personal information collection, use and provision must be legitimate and clear. - Safety:
Personal information must be processed and managed safely. - Transparency:
The details of personal information processing must be disclosed that that data subjects will easily see them. - Participation:
There must be a communication system in regard to personal information processing, and the rights of data subjects must be guaranteed. - Responsibility:
The responsibility for personal information processing management must be clear. - Fairness:
Personal information must be processed in a way suitable for the purpose of collection to minimize social discrimination and bias.
4.6 Privacy, AI und überhaupt: Schutzgüter der DS-GVO?
Zu den Themen Datenschutz und KI passt auch der hier veröffentlichte Beitrag auf der Seiten der IAPP, aus dem meines Erachtens nach gut deutlich wird, warum „Privacy“ nicht alle Facetten umfasst die bei der Verarbeitung personenbezogener Daten zu beachten sind und warum der Begriff „data protection“ umfassender (und passender) ist – es geht eben um mehr als nur die Privatsphäre, auch wenn die Schutzgut-Diskussionen manchmal etwas unübersichtlich wirkt.
4.7 Schadenersatz aufgrund unzureichender Auskunft und zur Haushaltsausnahme bei Portalen
Im Trubel (und teilweise Jubel) über die Vorlageentscheidung des österreichischen Gerichtshof an den EuGH, inwieweit die vertragliche Gestaltung seitens Facebook für die angestrebte Verarbeitung ausreichend sei, ging etwas unter, dass der OGH auch eine Entscheidung getroffen hatte: Es gestand an den Kläger 500 Euro als immateriellen Schaden gemäß Art. 82 DS-GVO zu, weil der Zugang für die betroffene Person über ein Online-Portal zu den Daten, die im Rahmen der Auskunft bereitgestellt wurden, zu umständlich gestaltet sei, um den Ansprüchen der DS-GVO zu genügen (RN 153 der o.g. Entscheidung). Zu dem Schadensersatzbegehren aufgrund der unzureichenden Auskunft äußert sich das Gericht ausführlich (ab RN 163) und geht dabei auch auf die Grundlagen der Berechnung ein. Ebenfalls interessant sind die Ausführungen, inwieweit bei der Eingabe von Daten einer natürlichen Person in ein Portal diese Daten dann von der Haushaltsausnahme der DS-GVO noch umfasst werden oder nicht (ab RN 113).
4.8 Corona Impfstatus – Was darf die Chefin wissen?
Die Pandemie und ihre (datenschutz-)rechtlichen Fragestellungen sind noch lange nicht durch. Und während überlegt wird, durch welche begleitenden Maßnahmen die Impfbereitschaft gesteigert werden kann, sind die Folgefragen dann natürlich, wer denn den jeweiligen Impfstatus erfragen darf oder sogar muss. Das ist wieder ein Paradebeispiel, warum Juristen mit „das kommt darauf an“ antworten – nämlich darauf, was der jeweilige Gesetzgeber in seinen entsprechenden Landesverordnungen festlegt. Wesentlich eleganter wird es hier ausgedrückt und umfassender und differenzierter dargestellt. Und eine Binsenweisheit setze ich noch obendrauf: Selbst wenn es der Gesetzgeber regelt, wird es wieder Juristen geben, die dies gerichtlich überprüfen lassen und die Gerichte kommen auch nicht immer zum selben Ergebnis.
4.9 Hört Facebook über die Smartphones ab?
Sie haben sich unterhalten, nutzen eine App wie Facebook oder Instagram und kurz danach bekommen Sie auf dem Handy die passende Werbung? Die Erklärung erscheint einfach: „Die hören mit, was ich gesagt habe!“ Diese Einschätzung erinnert mich immer etwas an die „Spinne in der Yucca-Palme“. (Jüngere Leser bitte die Eltern oder eine Suchmaschine fragen). Das ist so eine Legende, an der bestimmt was dran ist.
Dass dem nicht so ist, wird hier in einem Zeitungsbericht ausführlich beschrieben. Dass Facebook und Instagram über besuchte Webseiten und sonstige Weitergaben von Interessen und Aktivitäten dann ohne „Abzuhören“ genau auf die aktuellen Themen einer Person kommen, denen sie entsprechende Werbung ausspielen können, ist aber sicher auch nicht für jeden beruhigender.
4.10 Regulierte Verschlüsselung?
Verschlüsselung kann je nach technischer Umsetzung Vertraulichkeit und Sicherheit gewährleisten. Nicht umsonst gilt eine angemessene Verschlüsselung als eine zusätzliche Maßnahme, um bei gewissen Gestaltungen ein ausreichendes Datenschutzniveau beim Drittstaatentransfer auch nach Ansicht der Datenschutzaufsichtsbehörden annehmen zu können. Umso irritierter bin ich, wenn nun das problematischste Hindernis für den Schutz der Bürger die Verschlüsselung ohne Zugriffsoption für Ermittler sei, wie Strafverfolger der USA und Europas meinen. Wenn die Sicherheitsbehörden dabei Regelungen hätten, die dem Anspruch des EuGH gerecht werden würden, wären wir schon weiter – aber man kann wohl Europol leiten ohne sich um die Aussagen des EuGH zu kümmern.
4.11 Tracking: Wirtschaft will mitreden
Die länderübergreifende Datenschutz-Prüfung von Medien-Webseiten, bei der vor kurzem Nachbesserungen angekündigt wurden, sorgt zumindest dafür, dass die werbetreibende Wirtschaft ihr Gesprächsangebot erneuert. Bemängelt wird vor allem, es weder unter den insgesamt 18 Datenschutzaufsichtsbehörden in Deutschland noch unter den Datenschutzaufsichtsbehörden der 27 Mitgliedstaaten in Europa einheitliche Anforderungen seitens der Datenschutzaufsichtsbehörden zu zentralen Fragestellungen dieses Themas gäbe. Bei manchen Punkten wird sicherlich irgendwann eine gerichtliche Klärung kommen – gerade wenn es um die Gestaltung der Consent-Banner geht. Aber ohne EuGH wird es nicht gehen, auch wenn in Marketingkreisen der EuGH gelegentlich auch nur als eine Rechtsmeinung bewertet wird.
4.12 App-Anbieter informieren nicht vollständig
Die Stellen, die sich die Gestaltung von Apps ansehen, werden immer mehr: Ich zitiere hier immer wieder gerne Untersuchungen von mobilsicher.de oder den Verbraucherschutzverbänden, gelegentlich auch Aufsichtsbehörden oder Zeitschriften, doch nun befasst sich auch das Bundeskartellamt mit der umgesetzten Gestaltung der Informationspflichten. Und da werden dann doch einige zucken, denn das BKartA hat nicht den Ruf nur zu bellen ohne zu beißen. In dem nun veröffentlichten Bericht zur „Sektoruntersuchung Mobile Apps“ befasst sich die Behörde mit der Untersuchung verschiedener App-Anbieter und geht erfreulicherweise auch auf die kommenden Anforderungen durch das TTDSG ein. Im Ergebnis stellt der Bericht fest, dass in einzelnen Punkten ernsthafte Zweifel bestehen, ob große App-Publisher, Werbenetzwerke sowie Betriebssystem- und App-Store-Betreiber sich stets an geltende datenschutzrechtliche Vorgaben halten. Er stellt aber auch die Frage, ob die prominente Rolle, die die DS-GVO der federführenden Datenschutzaufsichtsbehörde zugedacht hat, einer effektiven Rechtsdurchsetzung stets förderlich sei. Anders als beispielsweise die Organisation der Durchsetzung des europäischen Wettbewerbsrechts setze die DS-GVO auf ein Prinzip exklusiver Federführung einer nationalen Behörde, die sich zudem am Sitz statt an den räumlichen Tätigkeitsbereichen bzw. Auswirkungen von Verhaltensweisen des Unternehmens orientiere. So wundert es nicht, wenn eine der Forderungen lautet, das Durchsetzungsregime der DS-GVO müsse grundlegend überdacht werden. Die Schaffung einer europäischen Institution zur Übernahme großer grenzüberschreitender Fälle – ähnlich dem Netz der europäischen Wettbewerbsbehörden – wäre laut Bericht eine mögliche Option.
4.13 Veranstaltungen
4.13.1 Daten-Dienstag: „Das Ende des Webtrackings? Das Telekommunikations-Telemedien-Datenschutzgesetz“
28.09.2021, 19:00 – 20:30 Uhr: Was ändert sich durch das neue TTDSG, insbesondere beim Einsatz von Cookies und anderen Technologien, die dem Webseitenbetreiber Informationen geben, die er haben möchte? Sind mit den gesetzlichen Änderungen nun wirklich alle Fragen geklärt und wie schätzt dies eine Aufsichtsbehörde ein? Diese Fragen sind Thema am 28. September um 19 h beim (Online-)Daten-Dienstag des Museums für Kommunikation, der zusammen mit BayLDA und BvD kostenlos angeboten wird, Anmeldung erforderlich, Teilnahme kostenlos.
5 Gesellschaftspolitische Diskussionen
5.1 Was sind und wie wirken „dark pattern“?
Mit Unterstützung des Center for Critical Internet Inquiry der UCLA und in Zusammenarbeit mit dem Digital Civil Society Lab von Stanford haben Forscher verschiedener Organisationen Studenten mit der Untersuchung von Beispielen für dunkle Muster beschäftigt und ein wunderschön illustriertes (Maga-)Zin(e) als Bildungsressource entwickelt. Damit wird ein aktueller Überblick der schädlichsten Täuschungsmuster geschaffen. Es bietet manipulative Muster, mit denen Unternehmen ahnungslose Benutzer dazu verleiten, das zu tun, was sie wollen. Es umfasst neun Fallstudien, die von versteckten Stornierungsgebühren und Online-Spielekäufen bis hin zu subtilen Werbeformen reichen, die Benutzertäuschungen verursachen. Für jeden Fall werden ein Kontext geliefert, ein Muster mit einer Illustration definiert und die direkten Schäden für die Menschen erklärt.
5.2 Fotos für Maps – Apple und der gute Ruf…
Apple nützt sein Datenschutzimage für die Werbung, bietet aber auch Leistungen an, für die personenbezogene Daten verarbeitet werden (vgl. oben unter Ziffer 1.7). Aber nicht nur Kamerafahrten mit dem Auto nutzt nun Apple: In einigen Parks sind wohl nun auch Personen mit Rucksäcken unterwegs, die Aufnahmen machen. Die zitierten Aufsichtsbehörden in Berlin und Brandenburg zeigen sich etwas irritiert – sind aber nicht zuständig, das wäre das BayLDA, von dem ist aber noch nichts bekannt geworden. Zusammen mit Berichten über eine unzureichende Strategie hinsichtlich Sicherheitslücken imagemäßig nicht die beste Zeit für Apple.
5.3 Einwilligungen bei O2
„Des Menschen Wille ist sein Himmelreich!“ Diese Erkenntnis stammt noch aus der Zeit vor der DS-GVO, spiegelt aber die Möglichkeiten, die eine Einwilligung einem Unternehmen bietet, auch ganz gut wider. Willigt jemand ein, sind entsprechende Verarbeitungen problemlos möglich – es müssen halt „nur“ die Anforderungen an eine Einwilligung eingehalten werden, informiert, freiwillig und aktives Tun. Blöd, wenn es dann Berichte gibt, dass dies nicht eingehalten wird, bzw. richtig blöd, wenn sogar Zwischenhändler mit finanziellen Anreizen gedrängt würden hier – sagen wir kreativ – nachzuhelfen. In einer Aktualisierung des Berichts gibt es auch eine Anleitung, wie überprüft werden kann, welche Einwilligungen der Kunden bei O2 hinterlegt sind.
6 Sonstiges/Blick über den Tellerrand
6.1 Schon von „Clubhouse“ gehört?
Was war das im ersten Quartal für ein Hype, als iPhone-Nutzer die digitalen Freuden einer Massentelefonkonferenz namens „Clubhouse“ nutzen konnten! Hinweise auf Unsicherheiten hinsichtlich der Datenschutzkonformität schreckten kaum jemanden ab, die komplette Weitergabe der eigenen Telefonkontaktdaten schien unvermeidlich (zumindest für viele) und das Gefühl sich als digitaler Trendsetter zu fühlen, kommt auch nicht alle Tage – selbst ein Ministerpräsident mischte sich unter die Plaudertaschen. Um Clubhouse ist es etwas stiller geworden, dafür hört man jetzt ganz andere Neuigkeiten: Telefondaten seien abgezogen worden und stünden im Darknet zur Verfügung. Die Datenbank enthalte 3,8 Milliarden Telefonnummern. Das verneint Clubhouse mittlerweile und teilte mit, dass es sich um künstlich generierte Nummern handeln soll. Die Anzahl käme deswegen zustande, weil natürlich bei Clubhouse alle Nummern aus dem Telefonbuch der eingesetzten Smartphones hochgeladen würden – und dies nicht nur bei der Installation, sondern auch bei der Nutzung. Ob aufgrund des Dementis von Clubhouse tatsächlich etwas dran ist? Die Antwort würde sicher keinen der bisherigen Nutzer abhalten, beim nächsten Hype wieder mit dabei zu sein – es sollte nur in jedem Fall Anregung sein bei der Nutzung neuer Angebote zu prüfen, ob eine Nutzung nicht möglichst datensparsam denkbar ist – und den Gedanken ggf. auch Taten folgen zu lassen.
7. Franks Zugabe
7.1 Meinungen zu Pegasus
Wir haben uns ja letzte Woche schon ausführlicher mit Pegasus beschäftigt.
Auch Edward Snowden hat sich damit ausführlich auseinandergesetzt. Lesenswert. Besonders der letzte Satz…
Außerdem sehenswert: mobilsicher.de fragt sich, ob es sich jetzt noch lohnt (Sicherheits-)Tipps für Smartphones zu veröffentlichen. Meine Meinung? Ja, natürlich! Und wenn nur wegen des letzten Satzes (im vorher verlinkten Artikel)…
7.2 Cybersecurity – TPM-Bitlocker
Festplattenverschlüsselung mit Bitlocker muss nicht gegen alle Angriffsszenarien helfen. Zumindest nicht die TPM-Variante ohne Passphrase. Hier gibt es ein paar Hinweise dazu.
7.3 Cybersecurity – Wenn die Bundeswehr helfen soll
Zitat aus dem heise.de-Artikel: „Der Landkreis Anhalt-Bitterfeld kämpft weiterhin mit den Folgen einer Cyberattacke. Nun soll sogar die Bundeswehr aushelfen.“
OK, dann wird jetzt ja bestimmt alles gut. 🤔
7.4 Eine Leseempfehlung
Lassen Sie mich mit einer (recht kurzen) Leseempfehlung schließen:
How to Cut Down on Ransomware Attacks Without Banning Bitcoin.
Wobei es allein wegen des Klimas genug gute Gründe gäbe Bitcoins und vergleichbare Cryptowährungen abzuschaffen. Aber das ist ein anderes Thema.