Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 32 bis 34/2022)“ – Die Jubiläumsausgabe: Nr. 50!
Hier ist unsere erste Jubiläums-Ausgabe aus Anlass des 50. Blog-Beitrags „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 32 bis 34/2022)“.
- Aufsichtsbehörden
- LfDI Baden-Württemberg: Maßnahmen wegen Einsatz von M365 ohne Darlegung der Prüfung
- LfDI Baden-Württemberg zur Entscheidung der Vergabekammer Baden-Württemberg
- LfDI Bremen: Änderung bei Software zur Anzeige von Insolvenzdaten
- LfDI Rheinland-Pfalz: FAQ zu verschiedenen Themen
- LDI Niedersachen: Bußgeld gegen Volksbank
- Sachsen: Götterdämmerung für Facebookseiten?
- TLfDI: Pressemeldung zu Google Fonts
- ULD: Nur sichere E-Rezepte sind gesund
- CNIL: Anonymisierungsmethoden und Re-Anonymisierung
- CNIL: Bußgeld gegen Criteo?
- Italien: Bußgeld wegen unzureichender Auskunft
- Österreich: Handyfoto eines Schülers durch Lehrerin
- Spanien: 600 Euro Bußgeld wegen Videokamera
- Irland: Dokumentation in Kirchenbüchern nach Austritt
- Norwegen: Für Sanktionierung von Facebook
- EKD: FAQ zu Direktwerbung
- BSI: Erste Veröffentlichung des Beirats Digitaler Verbraucherschutz
- BSI: Grundschutz-Profil für Weltrauminfrastruktur
- BSI: Warnung vor unsicheren Funk-Türschlössern
- Aufsicht schreitet wegen WhatsApp ein
- Geldbußen wegen WhatsApp-Nutzung im dienstlichen Umfeld
- Rechtsprechung
- BVerfG: Entscheidungssammlung auf Englisch
- BAG: Schmerzensgeld bei verspäteter Auskunft nach Art. 15 DS-GVO
- ArbG Frankfurt: Anspruch des Betriebsrats auf Videokonferenzen
- OLG Köln: Schmerzensgeld wegen verspäteter Auskunft gegen eigenen Anwalt
- OLG Frankfurt: Immaterieller Schadensersatz bei Postfehlversand eines Kontoabschlusses
- LG Hamburg: DS-GVO kann auch für juristische Personen gelten
- LG Meiningen: Liken ist „zu-eigen-machen“ und kann strafbar sein
- AG München: Werbemails und Eingriffe ins Persönlichkeitsrecht
- AG Pforzheim: Rechtsmissbräuchlichkeit einer Auskunft bei Beleidigung
- FG München: Kein Anspruch auf Überlassung einer Finanzakte aus Art. 15 DS-GVO
- Polen: Einwilligung in Verarbeitungen zu Marketingzwecken
- USA: Google und Marktbeherrschung
- USA: Veröffentlichung von FISA-Entscheidungen
- EuGH: Ausblick auf die nächsten Wochen
- Gesetzgebung
- Hinweisgeberschutzgesetz
- EU: Digital Operation Resilience Act (DORA)
- Änderung der DS-GVO – allein der Sprache wegen
- UK: Änderungen durch nationales Gesetz?
- American Data Privacy and Protection Act (ADPPA)
- USA: Überwachungskapitalismus
- Handels- und Vereinsregister
- DMA, DSA, DGA und Data Act – wer und wie?
- Wissenschaftlicher Dienst zu PNR
- Barrierefreiheitsstärkungsgesetz- Anforderungen an Webangebote
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- bvitg: Praxishilfe Protokollauswertung
- KBV: IT-Sicherheit in der Praxis
- Unzureichender Schutz von Patientendaten
- bitkom: Reifegradmodell für TOM
- noyb und OneTrust: Ablehnen-Button auf der ersten Ebene
- Kritische Auseinandersetzung mit Guideline 05/2021 des EDSA zu Drittstaaten
- Ausspähung der Anwaltschaft?
- Überprüfung der Warnung vor Kaspersky
- Blockchain und der Datenschutz
- Sicherheitslücken beim digitalen Führerschein
- Geltungsbereich des US-Cloud-Acts
- Stellungnahme von Microsoft zu M365 und Teams
- Datenpanne bei unverschlüsselten Passwörtern?
- Abmahnung wegen Google Fonts?
- Themenfelder Industrie 4.0
- Podcast I – mit M. Selmayr
- Podcast II – zu Datenschutz und Datensouveränität
- Podcast III – Fahrzeugdaten
- bitkom: Leitfaden Verarbeitung personenbezogener Daten in Drittländern
- Klagen gegen Oracle wegen Datennutzung
- noyb: Werbung in E-Mail-Account ohne Einwilligung unzulässig
- Rechtsdurchsetzung in den USA
- Veranstaltungen
- Workshop: Künstliches Denken menschlich erklärt
- DIHT: Data Act – Was kommt auf die Wirtschaft zu?
- Kanzlei-Workshop: „Deep Dive” zur GDPR
- ZAC: Cybercrime – konkrete Gefahr für den Mittelstand
- Veranstaltungsreihe des LfDI Baden-Württemberg zu „Datenschutz durch Technikgestaltung“
- Daten-Dienstag im Museum für Kommunikation: Kinderbilder im Netz
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Medienkompetenz I: Was dürfen Sie mit Bildern machen?
- Medienkompetenz II: Nacktbilder im Netz
- Medienkompetenz III: Urheberrecht
- Medienkompetenz IV: Bildungsmaterialien für die Entwicklung digitaler Bildung
- SWR fakefinder
- Kauffunktion in Social Media
- Schulen ohne Smartphones
- Cybersecurity niedrigschwellig
- Nicht nur in der Urlaubszeit: Gründe für eine not-to-do-Liste
- Fake-Shop-Finder
- Franks Zugabe
- Apropos Medienkompetenz
- Ich habe noch was zu Medienkompetenz – Nächster Zeuge: Facebook
- Apropos KI – KI in der Kindeserziehung?
- Apropos KI, die zweite – Die in China mal wieder
- Apropos KI, die dritte – Startup will, dass die Welt weißer wird…
- Apropos KI, die vierte – KI beschert dem französischen Fiskus Millionen
- Spam statt Mülleimer?
- Cybersecurity – 15 Minuten reichen aus
- Cybersecurity – Einfallstor IoT
- Cybersecurity – Ransomware nutzt Spiele-Anti-Cheat-Treiber zum Abschalten von AV-Software
- Spannungsfeld: Datenschutz und Online-News
- Datenhygiene: Das digitale Haare waschen und Zähne putzen
- Lage der Digitalisierung in der öffentlichen Verwaltung
- Minus mal Minus gleich Plus? Downtime in Österreich
- Daten-Melkkuh bei ebay Kleinanzeigen – Tipps zum Selbstschutz
- Cookies: Trau, schau, wem?
- Apropos Cookies – Firefox-Add-On reduziert den Cookie-Banner-Stress?
- Reihe zur Bewertung von Firefox-Add-Ons
- Microsoft Cloud for Sovereignty
- Meta-Terroristenliste
- Forschungsprojekt zu Telegram mit irritierenden Resultaten
- Der Google-Ton
- Abenteuer Admin-Alltag: Anekdoten von aufregend bis amüsant
- Doom auf John Deere
- Auch das noch – Mikro im Klon
- Ernsthaft? Song von Janet Jackson crashte Notebooks…
- Ernsthaft? die zweite: Krypto-Facepalm für Hyundai
- Ernsthaft? Die letzte (für diesen Blog-Beitrag): Bug-Bounty-Programm als NDA-Einstieg?
- Die gute Nachricht zum Schluss
Da die folgenden Beiträge ja nun viel zu lesen sind, setzen wir voraussichtlich nächste Woche (urlaubsbedingt) wieder aus. Wir wünschen eine gute Lektüre.
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 LfDI Baden-Württemberg: Maßnahmen wegen Einsatz von M365 ohne Darlegung der Prüfung
Zeitungsberichten zufolge kündigt der LfDI BW gegen Schulen, die sich bislang weigern, der Nachweisaufforderungen zum rechtskonformen Einsatz von M365 nachzukommen, weitere Maßnahmen an.
1.2 LfDI Baden-Württemberg zur Entscheidung der Vergabekammer Baden-Württemberg
Die Entscheidung der Vergabekammer Baden-Württemberg (wir berichteten), dass alleine eine theoretische Möglichkeit ausreicht, um aus einer Mischung aus Cloud Act und Schrems II einen unzulässigen Datentransfer anzunehmen, hat auch den LfDI BW zu einer kritischen Stellungnahme veranlasst. Er sieht nach wie vor einzelfallbezogene Alternativprüfungen und nicht pauschale Transferverbote als das Mittel der Wahl die Vorgaben der DS-GVO bestmöglich umzusetzen. In der Konsequenz der Entscheidung der Vergabekammer könnte allein der Einbezug eines US-amerikanischen Dienstleisters auch bei einer ausschließlichen Leistungserbringung innerhalb Europas dann zu einem unzulässigen Datentransfer führen, wenn dies (nach Ansicht der Vergabekammer) mit einem latenten Risiko eines Zugriffs nach den geltenden datenschutzrechtlichen Grundsätzen ausreiche, um eine datenschutzrechtlich unzulässige Übermittlung zu bejahen.
Unabhängig davon wird sich Berichten zufolge das OLG Karlsruhe am 31. August 2022 in einer mündlichen Verhandlung mit der Beschwerde zu der Entscheidung der Vergabekammer befassen.
1.3 LfDI Bremen: Änderung bei Software zur Anzeige von Insolvenzdaten
Gemäß ihrer eigenen Pressemeldung wurde die LfDI Bremen auf die Praxis der Veröffentlichung von Insolvenzdaten auf freizugänglichen Seiten von entsprechenden Kanzleien aufmerksam gemacht. Die betroffenen Kanzleien verwendeten alle dieselbe Software eines Herstellers. Aufgrund der Einflussnahme der LfDI Bremen wurde die Software entsprechend angepasst, damit die Kanzleien auch den Vorgaben der Datenminimierung nachkommen konnten und ein Zugang nur dann ermöglicht wird, wenn Vor- und Nachname, das Insolvenzgericht und das gerichtliche Aktenzeichen in die Suchmaske eingegeben werden.
Dieser Vorgang zeigt auch, dass derzeit Aufsichtsbehörden unter der DS-GVO keine Handhabe gegen Hersteller haben, sondern nur gegenüber Nutzern der Software, wenn der Einsatz dieser Software nicht datenschutzkonform erfolgt.
1.4 LfDI Rheinland-Pfalz: FAQ zu verschiedenen Themen
Der LfDI Rheinland-Pfalz behandelt auf seiner Webseite häufige Fragenstellungen, die in verschiedenen Rubriken zu finden sind, etwa ob ein Steuerberater immer einen Datenschutzbeauftragten benennen muss oder ob aus seiner Sicht etwas gegen den Einsatz eines Hybrid-Briefs durch öffentliche Stellen (7. Eintrag unter Organisation auf der verlinkten Seite) spricht. Bei einem Hybrid-Brief übermittelt der Absender lediglich die Datei an den Dienstleister, der dann ausdruckt, kuvertiert und versendet.
Interessant fand ich auch die Aussage, dass es grundsätzlich möglich sei, dass durch dieselbe Handlung der Webseitenbesucher:innen zwei Einwilligungen erteilt werden könnten (z.B. durch ein Einwilligungsbanner). Als Beispiel werden genannt die Einwilligung für die Rechtmäßigkeit der Speicherung von und dem Zugriff auf Informationen in der Endeinrichtung nach § 25 Abs. 1 S. 1 TTDSG und die Einwilligung zur Weiterverarbeitung dieser Daten (z.B. Profilbildung und Werbeeinblendung) für die Rechtmäßigkeit nach Art. 6 Abs. 1 lit. a DS-GVO. Voraussetzung hierfür sei, dass bereits an dieser Stelle über alle Zwecke der Datenverarbeitung informiert werde und eindeutig erkennbar sei, dass es sich um mehrere Einwilligungen handele.
1.5 LDI Niedersachen: Bußgeld gegen Volksbank
Wir hatten schon berichtet anlässlich einer Pressemeldung der LDI Niedersachsen. Hier finden sich weitere Details zu dem vorgeworfenen Vergehen, z.B. dass offenbar unter anderem Daten aus Schufa-Erkenntnissen sowie der Kunden über das Gesamtvolumen von Kaufvorgängen in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern und die Gesamthöhe von Überweisungen im Onlinebanking im Vergleich zu Filialbesuchen ausgewertet würden. Das Institut erklärte, Ziel sei eine verbesserte Kund:innenbetreuung gewesen und dass die Kunden durch ein 28-seitiges Schreiben* über den Sachverhalt informiert gewesen seien. Diese Aussage, die Kund:innen hätten es ja lesen können, schien die Aufsicht nicht zu überzeugen.
Franks Anmerkung: 28 Seiten? Seriously? Transparenz, irgendjemand?
1.6 Sachsen: Götterdämmerung für Facebookseiten?
Die Durchsetzung geltenden Rechts ist Aufgabe der Aufsichtsbehörden. Bezüglich der Nutzung von Facebook-Fanpages gestaltet sich dies augenscheinlich etwas schwierig, sind doch öffentliche Stellen oftmals weniger bereit den Aufforderungen der Datenschutzaufsicht nachzukommen. Trotzdem versucht die sächsische Datenschutzaufsicht nach dieser Meldung hier voranzukommen.
1.7 TLfDI: Pressemeldung zu Google Fonts
Die Diskussion um einen rechtskonformen Einsatz der Google Fonts auf Webseiten (siehe auch 5.14) hat nun auch Thüringen erreicht. Ausgelöst durch das Urteil des LG München, das einem Webseitenbesucher immateriellen Schadenersatz in Höhe von 100 Euro zusprach, weil dabei dessen IP-Adresse ohne Erfüllung der datenschutzrechtlichen Anforderungen in die USA übermittelt worden sei scheinen sich viele einen schnellen Euro davon zu versprechen hier Ansprüche geltend machen zu können. Der TLfDI informiert nun dazu. Ungeachtet der fachlichen Kritik, die man dem Urteil des LG München hinsichtlich des Personenbezugs einer IP-Adresse in diesem Fall entgegenbringen könnte, verweist er dabei auch auf Tipps zur rechtkonformen, lokalen Einbindung.
In Österreich scheint sich derweil eine Kanzlei durch entsprechende Abmahnungen einen Namen zu machen, so dass auch die dortige Datenschutzbehörde bereits reagierte.
1.8 ULD: Nur sichere E-Rezepte sind gesund
Zunächst gab es Berichte, dass die Kassenärztliche Vereinigung Schleswig-Holstein informierte, das ULD hätte die Nutzung des E-Rezeptes untersagt, dann stellte das ULD klar, dass lediglich der Hinweis erfolgt sei, dass die gesetzlich festgelegten, sicheren Verfahren einzusetzen sind. Zwischenzeitlich wurde auch Schriftverkehr dazu veröffentlicht.
Franks Nachtrag: Zum Thema E-Rezept noch einen Nachtrag: Die Webseite des E-Rezepts trackt laut diesem Bericht durchaus fleissig und nicht so ganz datenschutzkonform. Aus der gleichen Quelle gibt es auch einen Test der damals aktuellen E-Rezept-App der Gematik (allerdings nur für Android) aus dem Oktober 2021 plus der durchaus positiv zu bewertenden Reaktion der Gematik.
1.9 CNIL: Anonymisierungsmethoden und Re-Anonymisierung
Die französische Datenschutzaufsucht CNIL unterhält ein Labor (LINC), welches sich nun mit der Frage der Re-Anonymisierung am Beispiel von großen Datenmengen und Standortdaten befasst. Ziel ist auch Anonymisierungsmethoden auszuprobieren, um die Datenschutzrisiken für die betroffenen Personen zu begrenzen und gleichzeitig sicherzustellen, dass die Daten weiterhin verwendet werden können.
1.10 CNIL: Bußgeld gegen Criteo?
Berichten zufolge hat die CNIL ein Bußgeld in Höhe von 60 Mio. Euro gegen Criteo wegen unzulässiger Werbung und Nutzerprofilbildung angekündigt. Die Untersuchung der CNIL ging auf eine Beschwerde aus dem Jahr 2018 zurück. Criteo hat in einer Stellungnahme dargelegt, dass es bezüglich der rechtlichen Einschätzung wie auch der Sanktionshöhe eine andere Auffassung hat.
1.11 Italien: Bußgeld wegen unzureichender Auskunft
In Italien wurde ein Bußgeld gegen eine Bank in Höhe von 20.000 Euro verhängt, weil einem Auskunftsbegehren nicht rechtzeitig nachgekommen wurde. Eine gute Darstellung des Falles finden Sie hier.
1.12 Österreich: Handyfoto eines Schülers durch Lehrerin
Weil´s auch bei uns vorkommt und weil viele immer noch nicht genügend sensibilisiert mit der Nutzung der Handykamera und WhatsApp umgehen, hier ein Fall aus der Nachbarschaft, Österreich. Eine Lehrerin machte eine Aufnahme eines Schulkindes und versandte diese über WhatsApp. Ausgangspunkt des Falles ist wieder mal eine Meinungsverschiedenheit zwischen Eltern und Lehrkraft:
Die Lehrkraft hat ein Foto des minderjährigen Schülers angefertigt und dieses der Mutter per WhatsApp geschickt. Hintergrund sei ein Vorfall am Vortag gewesen, wonach die Mutter der Lehrerin vorgeworfen habe, sie lasse den das Kind nicht essen. Das Foto sei als „Beweis“ angefertigt worden, um diese Vorwürfe zu entkräften. Das Foto zeige das Kind beim Essen nach der dafür vorgesehenen Pause. Die ursprüngliche Idee der Nutzung von WhatsApp als Kommunikationsmittel sei auf Bitte der Eltern während der Zeit des pandemiebedingten Lockdowns an Stelle des Elternheftes von der Lehrerin verwendet worden.
Sie vermuten zurecht, wie die Datenschutzbehörde Österreich entschied: Die Aufnahme durch die Lehrerin ist der Schule als Verantwortliche zuzurechnen und für diese Aufnahme konnte keine ausreichende Rechtsgrundlage gefunden werden. Das Versenden des Bildes über WhatsApp war nicht Gegenstand des Verfahrens, weil offensichtlich von der Mutter nicht gerügt.
1.13 Spanien: 600 Euro Bußgeld wegen Videokamera
In Spanien gab es ein Bußgeld in Höhe von 600 Euro gegen einen Imbissbesitzer, der mit seiner Videokamera auch den öffentlichen Bereich und ein gegenüberliegendes Haus erfasste, darüber zudem nicht ausreichend informierte.
1.14 Irland: Dokumentation in Kirchenbüchern nach Austritt
Wer tagtäglich versucht Drittstaatentransfers und Webseitenanalysen rechtskonform zu begründen, blickt evtl. neidisch nach Irland, welche Themen dort aktuell* sind. So prüft gemäß diesem Bericht die Datenschutzaufsicht, inwieweit nach einem Kirchenaustritt in den Kirchenbüchern noch personenbezogene Daten enthalten sein dürften. Überraschend für mich ist an der Meldung vor allem, dass die traditionell starke kath. Kirche in Irland offensichtlich nicht von Art. 91 DS-GVO Gebrauch gemacht hat und sich mit einem eigenen Datenschutzrecht inkl. spezifischer Aufsicht nicht selbst reguliert. (Dafür gönnen sich deutsche Katholiken gleich mehrere Varianten wie das KDG und das KDR-OG.)
* Franks Anmerkung: Also, priorisieren kann die irische Aufsicht scheinbar … immer erst mal die wichtigen Sachen abarbeiten!
1.15 Norwegen: Für Sanktionierung von Facebook
Seit Jahren wird Facebook für seine Praxis u.a. bezüglich des Drittstaatentransfers in die USA seitens der Datenschutzaufsichtsbehörden kritisiert und seit Jahren fehlt es an der Wahrnehmung eines Durchsetzungswillens durch die irische Datenschutzaufsicht*. Nun hat auch die norwegische Datenschutzaufsicht laut einem Bericht verkündet, dass sie eine Sanktionierung wegen des Drittstaatentransfers in die USA ohne Umsetzung der Vorgaben des EuGH befürwortet. Sie empfiehlt – wie viele andere europäische Aufsichtsbehörden auch – auf den Einsatz von Facebook zu verzichten.
* Franks Anmerkung: Die haben ja auch keine Zeit, die müssen sich ja mit Kirchenbüchern beschäftigen… Siehe meine Anmerkung zum vorherigen Punkt.
1.16 EKD: FAQ zu Direktwerbung
Der Beauftragte für den Datenschutz der EKD (BfD EKD) hat FAQs zu Direktwerbung veröffentlicht. Damit gibt er Antworten auf weltliche Fragen, wie z.B. zur Dauer der Nutzung einer Einwilligung, aber auch zur Rechtsgrundlage.
1.17 BSI: Erste Veröffentlichung des Beirats Digitaler Verbraucherschutz
Der Beirat Digitaler Verbraucherschutz hat sich in den Jahren 2021 und 2022 mit den Themen Passwortsicherheit, 2-Faktor-Authentisierung und Phishing beschäftigt und hierfür praktische Handlungsempfehlungen entwickelt. Im kommenden Zeitraum 2022/2023 wird sich der „Beirat Digitaler Verbraucherschutz“ dem Fokusthema „Digitale Identitäten aus Verbrauchersicht“ widmen.
Franks Nachtrag: Apropos Passworte: Meist sind gute Passworte kein Schutz, wenn das Problem beim Anbieter der Seite liegt.
1.18 BSI: Grundschutz-Profil für Weltrauminfrastruktur
Während manche Branchen bezüglich standardisierter Schutzmaßnahmen gar nicht aus den Puschen kommen, ist das BSI schon weiter: Für Weltrauminfrastrukturen wurde nun ein Grundschutzprofil veröffentlicht. Das BSI will damit seinen Beitrag leisten die Cyber-Sicherheit von Weltrauminfrastrukturen zu stärken und die Verfügbarkeit von Diensten über integere und authentische Kommunikation sicher zu stellen.
Franks Anmerkung: OK, Ok, kein konkreter Bezug, aber es geht wieder los Richtung Mond.
Go, Shaun, Go!
1.19 BSI: Warnung vor unsicheren Funk-Türschlössern
Mit weltlichen Risiken befasst sich das BSI aber auch noch. So informierte es diese Woche, dass Funk-Türschlösser eines Anbieters „geknackt“ werden können. Wer sich davon angesprochen fühlt, findet in der FAQ-Liste evtl. auch eine Antwort auf die dann aufkommenden Fragen.
Franks Nachtrag: Für den Kontext hier noch ein Beitrag zu den Schlössern.
1.20 Aufsicht schreitet wegen WhatsApp ein
Es sind nicht nur die Datenschützer, denen der (insbesondere berufliche) Einsatz von WhatsApp nicht gefällt. Auch die Bankenaufsicht in der Schweiz findet es nicht gut, wenn Kommunikationen nicht ausreichend dokumentiert werden kann, weil ein Medium verwendet wird, dass nicht mal diesen Anforderungen genügt.
1.21 Geldbußen wegen WhatsApp-Nutzung im dienstlichen Umfeld
Im vorherigen Punkt berichte ich über die Schweiz, aber auch bei anderen Banken in anderen Ländern waren wohl scheinbar Mitarbeiter:innen nicht in der Lage sich (auch) kommunikationstechnisch an Regeln zu halten: Das berichtet zumindest diese Zeitung, die sonst verständnisvoll für die Belange der Wirtschaft eintritt… WhatsApp im beruflichen Kontext! Dabei gibt es bei Banken wohl auch diesbezügliche schon seit längerem klare interne Vorgaben.
2 Rechtsprechung
2.1 BVerfG: Entscheidungssammlung auf Englisch
Das Bundesverfassungsgericht hat seine wesentlichen Entscheidungen zum allgemeinen Persönlichkeitsrecht auf Englisch veröffentlicht. Durch die Übersetzung wichtiger Entscheidungen möchte das Bundesverfassungsgericht einen Beitrag zum verfassungsrechtlichen Diskurs innerhalb des europäischen Gerichtsverbundes und der weltweiten Gemeinschaft von Verfassungsgerichten leisten. Die Themenbände Decisions of the Federal Constitutional Court sollen einen systematischen Zugriff auf prägende Rechtsprechungslinien ermöglichen.
Der jetzt erschienene Band sei einem Grundpfeiler der deutschen Grundrechtslehre gewidmet: dem allgemeinen Persönlichkeitsrecht. Nach einer thematischen Einführung, verfasst von Mitgliedern des Gerichts, werden 45 Leitentscheidungen präsentiert, die den verfassungsrechtlichen Schutz von Selbstbestimmung, Identität und privater Lebensgestaltung nachzeichnen – von den Anfängen bis zur jüngsten Rechtsprechung zu Recht auf Vergessen, Suizidhilfe und Auslandsaufklärung des BND. Im Gegensatz zu Entscheidungen des EuGH verlangt das BVerfG über den Verlag Geld dafür. Evtl. könnte dies auch ein Grund dafür sein, dass Auslegungen des BVerfG ebenso wie der Begriff der „informationellen Selbstbestimmung“ in der gesetzgeberischen Diskussion auf europäischer Ebene einfach nicht existent sind.
2.2 BAG: Schmerzensgeld bei verspäteter Auskunft nach Art. 15 DS-GVO
Eine Beschäftigte stellte einen Auskunftsanspruch, der nicht ordnungsgemäß erfüllt wurde. Sie forderte daher immateriellen Schadensersatz, die Vorinstanzen empfanden 1.000 Euro als angemessen, das Bundesarbeitsgericht wies nun höhere Forderungen ab. Dabei stellt das BAG fest, dass ein Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO keinen in bestimmter Weise qualifizierten Verstoß gegen die DSGVO, also kein Überschreiten einer gewissen Erheblichkeitsschwelle, voraussetze. Das Landesarbeitsgericht habe die Entscheidung über die Höhe des immateriellen Schadensersatzanspruches auch nicht rechtsfehlerhaft getroffen.
Nettes Detail am Rande (RN27): Der Schadenersatz wird auch deshalb nicht erhöht, weil sich die Klägerin durch einen Rechtsanwalt vertreten ließ. Zitat:
„Die Hinzuziehung eines Rechtsanwalts ist weder allgemein noch nach der DSGVO verpönt.“
Sollte man sich unabhängig vom Kontext merken.
2.3 ArbG Frankfurt: Anspruch des Betriebsrats auf Videokonferenzen
Das für mich Spannende an dem Beschluss im einstweiligen Verfahren des ArbG Frankfurt zur Verpflichtung eines Arbeitgebers, dem Betriebsrat eine entsprechende Ausstattung zur Durchführung von Videokonferenzen bereitzustellen, ist die Anforderung, dass dieses System ein Datenschutzniveau gemäß der DS-GVO zu gewährleisten habe. Allein dieser Nebensatz bietet ja wieder Anlass zu einer Auseinandersetzung.
2.4 OLG Köln: Schmerzensgeld wegen verspäteter Auskunft gegen eigenen Anwalt
Die Parteien stritten nach Kündigung des Mandatsvertrags um die Rückzahlung von Vergütungen und um die verspätete Herausgabe der Handakten, die über einen Auskunftsanspruch geltend gemacht wurde. Das OLG Köln hat entschieden, dass eine verspätete Auskunft nach der DS-GVO im Einzelfall ein Schmerzensgeld in Höhe von 500 Euro rechtfertigen kann. Das LG Bonn hatte einen entsprechenden Anspruch in der Vorinstanz noch abgelehnt. Die Klägerin beruft sich vorliegend in erster Linie darauf, dass sie durch die verzögerte Datenauskunft des Beklagten psychisch belastet wurde; sie habe Stress und Sorge im Hinblick auf die Regulierung ihrer Ansprüche aus dem Verkehrsunfallgeschehen empfunden. Dem wurde durch den Beklagten auch nicht widersprochen.
[Bemerkenswert übrigens, dass das LG Bonn den Auskunftsanspruch auch deswegen als nicht erfüllt ansah, weil die Kommunikation mit der Mandantin über WhatsApp nicht in der Auskunft enthalten war (im Urteil des LG Bonn unter RN 36).]
2.5 OLG Frankfurt: Immaterieller Schadensersatz bei Postfehlversand eines Kontoabschlusses
Der Fall ist etwas komplexer und hier ganz nachzulesen. Ein Kontoabschluss ging an einen unbeteiligten Dritten und an eine Wirtschaftsauskunftei wurde eine falsche Adresse gemeldet. Dies führte dazu, dass das OLG Frankfurt einen immateriellen Schadenersatzanspruch in Höhe von 500 Euro und die Übernahme der vorgerichtlichen Rechtsanwaltskosten auf Basis eines Streitwertes von 1.000 Euro zusprach.
2.6 LG Hamburg: DS-GVO kann auch für juristische Personen gelten
Eigentlich ist es nicht Neues: Die DS-GVO betrifft nur Daten von natürlichen Personen. Und sie regelt auch, wann Daten einen Personenbezug haben, nämlich, wenn diese Daten personenbeziehbar sind. Das LG Hamburg hat dies nun auch in einem Fall angewandt, bei der eine juristische Person gegenüber einer Wirtschaftsauskunftei Löschungsansprüche nach der DS-GVO geltend machte. Zwar bejahte das LG Hamburg die Anwendung der DS-GVO in diesem Fall, weil die juristische Person in ihrem Firmennamen den Familiennamen der Geschäftsführer führt und ihr Geschäftssitz mit der Wohnanschrift ihrer Geschäftsführer identisch sei (RN 35). Im Rahmen der Interessenabwägung wurde aber der Anspruch aus Art. 17 Abs. 1 lit. d DS-GVO abgelehnt (RN 37ff).
2.7 LG Meiningen: Liken ist „zu-eigen-machen“ und kann strafbar sein
Nach einem Beschluss des LG Meiningen kann das Liken von fremden Beiträgen in sozialen Medien strafbar sein, wenn der ursprüngliche Beitrag selbst strafbare Inhalte enthielt. In dem Fall ging es um Straftaten der Verunglimpfung des Andenkens Verstorbener nach § 189 StGB wie auch der Belohnung und Billigung von Straftaten nach § 140 StGB und der Prüfung der Rechtmäßigkeit der Durchsuchung zum Auffinden von Beweismitteln wie beispielsweise Smartphones und anderen Speichermedien. Eine ausführlichere Darstellung finden Sie hier.
2.8 AG München: Werbemails und Eingriffe ins Persönlichkeitsrecht
Dass AG München untersagte einem Unternehmen Werbung per E-Mail an die beruflich genutzte E-Mail-Adresse des Klägers zu senden, ohne dass dessen Einwilligung dazu vorliegt. Der Kläger hatte das Unternehmen per E-Mail informiert, dass er keine Werbung wünsche. Trotzdem bekam er weiterhin Werbung. Die Entscheidung des AG München kommt daher nicht unerwartet und ist es eigentlich auch nicht wert darüber zu berichten. Das AG München lehnt aber auch das Vorbringen des Unternehmens ab, der Kläger hätte seinen Wunsch selbst im Kundenverwaltungssystem des Unternehmens hinterlegen können. Das AG München führt dazu aus, dass der Widerspruch gegen die Zulässigkeit elektronischer Werbung an keine bestimmte Form gebunden sei und die Verwaltung ihrer Kundendaten allein der Beklagten obliege und nicht auf den Kunden abgewälzt werden könne. Das Urteil ist noch nicht rechtskräftig.
2.9 AG Pforzheim: Rechtsmissbräuchlichkeit einer Auskunft bei Beleidigung
Im Rahmen einer familienrechtlichen Auseinandersetzung erstellte ein Architekt ein Gutachten und nannte dabei den vollen Namen des Eigentümers. Dieser stellte daraufhin ein Auskunftsersuchen an den Architekten. Im weiteren Schriftwechsel kam es dann seitens des Betroffenen zu verbalen Entgleisungen („Arschitekt“) und Drohungen gegenüber dem Architekten. Das AG Pforzheim (Urteil vom 05.08.2022 – 4 C 1845/21) lehnte die Klage auf (weitere) Auskunft als unbegründet ab, weil es dem Kläger offenbar nur darauf ankäme das Auskunftsrecht zu nutzen, um den Beklagten und dessen Prozessbevollmächtigte zu schikanieren. Die Schreiben des Klägers an den Beklagten und dessen Prozessbevollmächtigte seien durchweg von sachfremden Drohungen, Verballhornungen und sogar Formalbeleidigungen gekennzeichnet.
2.10 FG München: Kein Anspruch auf Überlassung einer Finanzakte aus Art. 15 DS-GVO
Nicht jede(r) kann Entscheidungen des Finanzamtes nachvollziehen, das FG München hat dazu nun entschieden, dass ein Auskunftsrecht aus Art. 15 DS-GVO keine Akteneinsicht und auch keinen Anspruch auf Überlassung einer Kopie der Verwaltungsakte gewährt. Für die Geltendmachung des Anspruchs gegenüber dem Steuerbereich des Finanzamts sei der Finanzrechtsweg eröffnet, gegenüber der Steuerfahndung der Verwaltungsrechtsweg.
2.11 Polen: Einwilligung in Verarbeitungen zu Marketingzwecken
Laut diesem Bericht einer Kanzlei über ein Urteil in Polen wird auch dort diskutiert, inwieweit die Verarbeitung personenbezogener Daten zu Marketingzwecken im Austausch für die Inanspruchnahme eines kostenlosen Dienstes als im Einklang mit der DS-GVO anzusehen sei. Der Kunde sei vor der Zustimmung zur Verarbeitung seiner personenbezogenen Daten nicht über ein analoges, alternatives, kostenpflichtiges Angebot informiert worden. Nach Ansicht des Gerichts sei es nach der DS-GVO möglich Rabatte oder kostenlose Dienstleistungen im Austausch für die Bereitstellung personenbezogener Daten anzubieten, sofern der betroffenen Person ein alternatives Angebot zur Verfügung gestellt wurde, welches keine Einwilligung erfordert.
2.12 USA: Google und Marktbeherrschung
Berichten zufolge plant das US-Justizministerium Alphabet (Google) wegen illegaler Dominanz des Werbemarktes zu verklagen.
2.13 USA: Veröffentlichung von FISA-Entscheidungen
Eigentlich kann einem ja egal sein, was anderswo passiert. Seit Schrems II können aber Entscheidungen des FISA (Foreign Intelligence Surveillance Court) in den USA auch relevant für die Einschätzung des dortigen Datenschutzniveaus sein, Daher hier der Hinweis auf veröffentlichte Entscheidungen des FISA.
2.14 EuGH: Ausblick auf die nächsten Wochen
Zum Beispiel wird für den 20.09.2022 die Stellungnahme des Generalanwalts zur Vorlagefrage des OLG Düsseldorf (C-252/21) zu dem kartellrechtlichen Verfahren gegen Meta (Facebook) erwartet.
Und am 22.09.2022 bin ich auf die Stellungnahme des Generalanwalts zu Art. 88 DS-GVO und zu der deutschen Umsetzung im Beschäftigtendatenschutz (C-34/21) (konkret geht es um die Formulierung im hessischen Datenschutzgesetz, die aber identisch mit § 26 BDSG ist) gespannt.
3 Gesetzgebung
3.1 Hinweisgeberschutzgesetz
Die Bundesregierung hat nun ihren neuen Entwurf eines Hinweisgeberschutzgesetzes zur Umsetzung der Whistleblowerrichtlinie (Richtlinie (EU) 2019/1937) veröffentlicht.
Franks Nachtrag: Whistleblowing wirkt! Hier am Beispiel Twitter. Oder alternativ von einer deutschen Quelle.
3.2 EU: Digital Operation Resilience Act (DORA)
Nachdem im Mai 2022 der EU-Rat und das EU-Parlament eine politische Einigung zum Digital Operation Resilience Act (DORA) erzielt haben, ist seit Ende Juli 2022 nun auch der finale Kompromiss der Öffentlichkeit zugänglich. DORA wurde am 24.09.2020 als Teil des Digital Finance Packages von der EU-Kommission vorgestellt. Der Verordnungsentwurf ist ein Lex specialis zur NIS-Richtlinie und regelt die IT-Sicherheit für Finanzunternehmen und deren ITK-Drittanbieter. Im Herbst 2022 werden das EU-Parlament und der Rat den Text offiziell annehmen. Anschließend wird DORA im Amtsblatt veröffentlicht. 24 Monate später, also ab Ende 2024, wird DORA dann in der gesamten EU gelten.
3.3 Änderung der DS-GVO – allein der Sprache wegen
Immer wieder tauchen Gerüchte auf, die DS-GVO solle im Rahmen einer Evaluierung angepasst werden. Stellen, bei denen man sich aus der Praxis eine etwas deutlicher Vorgabe oder weniger bürokratische oder schlankere Vorgehensweise wünschen würde, gibt es viele. Hier ein kritischer Beitrag zu der in der DS-GVO verwendeten Rechtssprache, die alleine schon für Interpretationsspielräume bei der Auslegung sorgt.
3.4 UK: Änderungen durch nationales Gesetz?
Was würde sich in UK durch ein neues Datenschutzgesetz ändern? Hier finden Sie eine Darstellung zu der Data Protection and Digital Information Bill in einem informativen Beitrag.
Franks Nachtrag: Apropos Amberhawk – beim Rumschmökern auf der Seite habe ich Datenschutz-Comics gefunden. Und einen davon muss ich mit Ihnen teilen, da wir das Abgebildete alle kennen! (Verzeihen Sie, dass die Links ohne https daher kommen. Komisch das…)
3.5 American Data Privacy and Protection Act (ADPPA)
Was kommt da auf uns zu? Wird dadurch ein Angemessenheitsbeschluss erleichtert? Kommen zusätzliche Anforderungen bei internationalen Datenübertragungen dazu? Wer selbst in die Glaskugel sehen will, kann dazu die Übersicht im Vergleich zu den Vorgaben der DS-GVO einer internationalen Kanzlei gut verwenden.
3.6 USA: Überwachungskapitalismus
Die US-Wirtschaftsbehörde FTC (Federal Trade Commission) interessiert sich auch dafür, welche Überwachungssituationen es schon gibt, um daraus einen etwaigen Regulierungsbedarf abzuleiten. Darunter versteht die FTC Sammlung, Analyse und Monetarisierung von Informationen über Personen. Bis Mitte Oktober können dazu Hinweise eingereicht werden. Einen Bericht mit weiteren Links dazu gibt es hier.
3.7 Handels- und Vereinsregister
Was nun? Transparenz oder nicht? Bislang waren Daten aus dem Handels- oder Vereinsregister gegen Angabe des besonderen Interesses daran zugänglich. Das hat sich geändert und die Daten sind nun öffentlich zugänglich. Das umfasst auch Namen und weitere Angaben zu Gesellschaftern, aber auch Funktionären in Vereinen. Die Deutsche Vereinigung für Datenschutz e.V. (DVD) weist auf die datenschutzrechtliche Problematik dabei hin.
Franks Nachtrag: Ok, als von diesem Beitrag Betroffener habe ich da noch ein paar Ergänzungen 🙂
Diese Pressemitteilung der DVD ist (wie alle anderen auch) hier zu finden und sie ist von verschiedenen Medien aufgegriffen worden.
Aber neben diesen fürs Ego erfreulichen Erwähnungen beschäftigen sich auch Experten intensiv mit dem sich aus dem Protal ergebenden Problemen:
So hat Lilith Wittmann, die wir ja auch schon öfter im Blog hatten, mit Kolleg:innen von bund.dev ein Projekt gestartet, bei dem die Daten, die ja so gut gesichert unter handelsregister.de abrufbar sind, automatisiert abgerufen werden und dann interessierten Parteien zu Forschungszwecken zur Verfügung gestellt werden sollen. Dabei soll erforscht werden, wie leicht die automatisierte Erhebung und Auswertung der vielen darin enthaltenen Daten aus dem Portal umgesetzt werden kann. Hier berichtet sie im Interview über das Projekt und ihre Motivation.
Und ich bleibe bei meiner Aussage: Abschalten, bis die Seite datenschutzkonform nutzbar ist!
3.8 DMA, DSA, DGA und Data Act – wer und wie?
Wer fürchtet den Überblick zu verlieren bei all den neuen Gesetzesaktivitäten auf europäischer Ebene (insbesondere, wenn es immer heisst, die DS-GVO bliebe unberührt) findet bei dieser Kanzlei eine Darstellung nach Zielgruppen und Benefits dieser neuen Gesetze.
3.9 Wissenschaftlicher Dienst zu PNR
Welche Auswirkungen auf das Fluggastdatengesetz und dessen Anwendung hat das Urteil des EuGH vom 21.06.2022 zur Auslegung der PNR-Richtlinie? MIt dieser Frage befasst sich der wissenschaftliche Dienst in einer Ausarbeitung.
3.10 Barrierefreiheitsstärkungsgesetz- Anforderungen an Webangebote
Eigentlich kein originäres Thema aus dem Umfeld Datenschutz und IT-Sicherheit, trotzdem können die Hinweise aus diesem Artikel relevant werden, wenn Sie sich überlegen, wie Sie rechtliche Informationspflichten barrierefrei auch auf Webseiten und Onlineanwendungen gestalten.
4 Künstliche Intelligenz und Ethik
4.1 Kleine Anfrage zu KI
Unter der Drucksache 20/2984 werden der Bundesregierung Fragen zu ihren Vorhaben bei der KI-Regulierung im Rahmen der europäischen KI-Verordnung gestellt. Die Antworten sind sicher nicht nur für die fragestellende Fraktion interessant.
4.2 Studie zu ethischen Leitlinien
Wie kann Vertrauen in den Einsatz von digitalen Technologien gefördert werden? In einer Neuauflage einer Studie über die veröffentlichten Leitlinien zu digitaler Ethik in Europa wird nach dieser Meldung aufgezeigt, wie sich Ethikleitlinien zwischen 2020 und 2022 weiterentwickelt haben. Insbesondere wird sich auch mit den gesetzlichen Vorgaben in Dänemark befasst, wo Aussagen zu ethischen Aspekten in der Jahresabschlussbilanz vorgeschrieben sind. Die Studie kann unter diesem Link angefordert werden.
4.3 China: KI in der Rechtsprechung
Legal Tech in der nächsten Stufe. In China müssen diesem Bericht zufolge Richter jetzt die KI zu jedem Fall per Gesetz konsultieren. Entscheiden sich Richter gegen die Empfehlung, müssen sie dies der Maschine gegenüber begründen. Damit soll das Gerichtssystem „verbessert“ werden, indem bei „wahrgenommenen menschlichen Fehler“ in Entscheidungen alarmiert wird.
4.4 KInsights!: Wo finde ich künstliche Intelligenz
KInsights! ist aus der Fokusgruppe IT-Sicherheit und Künstliche Intelligenz der Gipfelplattform Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft des Digital-Gipfels der Bundesregierung entstanden und präsentiert nun über DSiN anschaulich, wo überall bereits Künstliche Intelligenz eingesetzt wird. Virtuelle „Persona“ erläutern 18 einzelne Anwendungsszenario aus ihrer Perspektive und beantworten Fragen rundum Technik, Ethik oder Datenschutz. Das interaktive Glossar erläutert darüber hinaus die wichtigsten Begriffe rund um Künstliche Intelligenz leicht verständlich – von Algorithmus über Deep Learning bis hin zu Black Box. Zugegebenermaßen scheint sich die Darstellung an jüngere Mitbürger:innen zu wenden, ist aber als Einstieg auch für Ältere hilfreich.
4.5 Schulkinder und KI
Passend zur vorherigen Meldung hat die gemeinsame Forschungsstelle der Europäischen Kommission einen neuen Bericht über die Rechte von Kindern in Bezug auf künstliche Intelligenz veröffentlicht. Sie empfiehlt, dass politische Entscheidungsträger und die Industrie Kinder, Eltern und Lehrer konsultieren, wenn sie neue Strategien oder Initiativen zu dieser fortschrittlichen Technologie entwickeln. Zu den Empfehlungen in dem Bericht gehört ein Aufruf an die Schulen Kinder auf „eine durch KI-Technologie veränderte Welt“ vorzubereiten.
4.6 KI erforschen – nicht nur für die Kleinen
Wie kann KI Kindern erklärt werden? Die Beispiele, die Sie hier finden, sind aber auch für andere Altersgruppen nützlich.
4.7 KI in der Verwaltung partizipativ gestalten
Wie der Einsatz von KI in der Verwaltung partizipativ gestaltet werden kann, wird in dem Beitrag der AWV anschaulich geschildert.
4.8 Prüfungsstandard des IDW zu KI-Systemen
Wie kann der Einsatz Künstlicher Intelligenz geprüft bzw. bewertet werden? Damit befasst sich der Entwurf des IDW zu einem Prüfungsstandard zur Prüfung von KI-Systemen. Weitere Infos dazu finden Sie hier.
5 Veröffentlichungen
5.1 bvitg: Praxishilfe Protokollauswertung
Die Arbeitsgruppe „Datenschutz & IT-Sicherheit“ des Bundesverband Gesundheits-IT e.V. hat zusammen mit anderen die Anforderungen hinsichtlich der anlassbezogenen und anlasslosen Datenschutzkontrolle an Protokollierungen verfasst. Dies umfasst natürlich speziell die Protokollierung bei medizinischen Verarbeitungen, kann aber auch zur Orientierung bei anderen Verarbeitungen herangezogen werden.
5.2 KBV: IT-Sicherheit in der Praxis
Die Kassenärztlichen Bundesvereinigung hat Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragspsychotherapeutischen Versorgung veröffentlicht. Damit setzen sie die Anforderung des § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit um. Die Infos dazu finden Sie hier.
5.3 Unzureichender Schutz von Patientendaten
Unzureichende Schutzmaßnahmen in einer dezentralen Lösung sind nach diesem Bericht der Grund, warum mehr als eine Million Datensätze von Patientinnen und Patienten für Unbefugte einsehbar waren. Details dazu finden Sie hier.
Franks Nachtrag: In diesem Zusammenhang ist vielleicht auch dieses Interview lesenswert. Wo wir doch gerade über sichere (und gesetzeskonforme) Verarbeitung von Gesundheitsdaten sprechen. Wir sollten darauf achten, wie sehr die weltweit agierenden großen IT-Konzerne in den Gesundheitsmarkt drängen und was das für uns bedeutet.
5.4 bitkom: Reifegradmodell für TOM
Der bitkom hat ein Reifegradmodell zur Abbildung von technisch-organisatorischen Maßnahmen bei der Auftragsverarbeitung in der Beta-Version vorgestellt. Es soll Unternehmen, die sich in der Rolle eines Auftragsverarbeiters befinden, eine Richtschnur mit Best Practices zur Identifikation und Umsetzung relevanter technischer und organisatorischer Maßnahmen hinsichtlich Privacy by Design und Sicherheit der Verarbeitung geben. Rückmeldungen können noch im August an den bitkom gegeben werden.
5.5 noyb und OneTrust: Ablehnen-Button auf der ersten Ebene
noyb stört sich daran, dass bei Bannern, die mit OneTrust erstellt werden, auf der ersten Ebene kein „alles ablehnen“-Button eingestellt ist. OneTrust hat auch die Standardeinstellungen geändert, um der DSGVO zu entsprechen. Dennoch gäbe es immer noch viele Websites, die die Anforderungen nicht erfüllen. So hat noyb nach eigenen Angaben nun gegen 226 Webseiten Beschwerden bei den zuständigen Aufsichtsbehörden eingereicht. [Und für alle, denen die Ansichten von Datenschutzaufsichtsbehörden etc. egal sind: Selbst Google hat dies umgesetzt…]
5.6 Kritische Auseinandersetzung mit Guideline 05/2021 des EDSA zu Drittstaaten
Der EDSA hat mit seiner Guideline 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR (in meinen Worten „zu dem Übermittlungsbegriff im Drittstaatentransfer“) versucht Klarheit für bestimmte Szenarien zu bekommen. Hier lesen Sie, für welche Fälle ihm das nach Ansicht des Autors nicht gelungen ist.
5.7 Ausspähung der Anwaltschaft?
Der Deutsche Anwaltverein hat in einer Pressemeldung seiner Besorgnis Ausdruck verliehen, inwieweit durch die (Trojaner-)Software „Pegasus“ auch Anwälte ausgespäht werden und dazu das BMI um Aufklärung gebeten.
5.8 Überprüfung der Warnung vor Kaspersky
Wir berichteten schon über die Warnungen des BSI vor dem Einsatz von Software des Herstellers Kaspersky, deren gerichtliche Überprüfung und das Ausscheiden Kasperskys aus dem bitkom nach Kriegsbeginn in diesem Frühjahr. Recherchen dazu befassen sich mit der Grundlage der Warnungen des BSI. Objektiv nachvollziehbar sei die Bedrohung Berichten zufolge dabei nicht gewesen.
5.9 Blockchain und der Datenschutz
Irgendwie auch eines dieser Themen, die sich wiederholen, ohne, dass sich was ändert. Nun scheut sich auch nicht die IAPP darauf hinzuweisen, dass es bei der Technologie der Blockchain und personenbezogenen Daten gewisse „Reibungen“ geben kann. Solange die Themen Berichtigungen oder Löschen nicht gelöst sind, bleibt bei Blockchain das Risiko, dass ein rechtskonformer Einsatz mit personenbezogenen Daten darin nicht möglich ist.
5.10 Sicherheitslücken beim digitalen Führerschein
Nun auch hier. Auch der digitale Führerschein lässt sich manipulieren und verliert damit das Vertrauen, das seine Existenz überhaupt erst rechtfertigte. Wenn das so weiter geht, wird es nichts mit der digitalen Transformation. Vielleicht ist die Einstellung „Digital first, Bedenken second“ doch nicht so ideal, um mehr Fortschritt zu wagen. Und vorhersehbar war das schon lange.
5.11 Geltungsbereich des US-Cloud-Acts
Die Befassung mit den gesetzlichen Regelungen zu Informations- und Weitergabepflichten eines ausländischen Rechtssystems im Rahmen nationaler Sicherheitsinteressen gehört nicht zum Standardumfang der Ausbildung einer/eines zum Datenschutz beratenden Person. Anders scheint es sich beim US-Cloud Act zu verhalten, hier werden substantiierte Einschätzungen erwartet in welchen Fällen dieser bei Beteiligungsunternehmen im US-amerikanischen Ausland (speziell Europa) mit welchen Rechtsfolgen zu bewerten ist. Wer dann lapidar auf Statistiken verweist, zu dem Cloud Act gäbe es ja kaum Urteile, der würde wahrscheinlich zu § 307 StGB auch sagen – dazu gibt es keine Urteile, musst du nicht beachten. Umso erfreulicher, wenn Gutachten bekannt werden, die sich qualifiziert mit dem Cloud Act (und anderen Regelungen) befassen, wie hier in einem Gutachten für das niederländische Justizministerium (Ministery of Justice and Security) aus dem Juni 2022. Womit implizit auch die oftmals gestellte Frage „beachten das nur die Deutschen“ auch beantwortet wäre. In dem Gutachten werden in den Schlussbemerkungen auch Aussagen zu einigen Anbietern formuliert. Sie finden es hier (und dort dann auch den Link zu einer DSFA zu MS Teams, OneDrive & Azure vom Juni 2021 in der Version vom Februar 2022).
5.12 Stellungnahme von Microsoft zu M365 und Teams
Da scheint jemand doch wahrzunehmen, dass Anforderungen an Datenschutz und Informationssicherheit auch bei Standardtools ein zunehmendes Auswahlkriterium geworden sind. So greift Microsoft in einer Stellungnahme Behauptungen auf, bestätigt oder verneint diese, die in Zusammenhang mit Aussagen zu datenschutzrechtlichen Anforderungen an seine Produkte stehen.
5.13 Datenpanne bei unverschlüsselten Passwörtern?
Nach diesem Bericht gab es eine Datenpanne, weil Passwörter für ein bankeigenes Mehrwertprogramm unverschlüsselt abgelegt wurden und dadurch auch dortige Beschäftigte davon Kenntnis nehmen konnten. Von einem weiteren Schaden wird dabei nicht berichtet, die zuständige Aufsichtsbehörde wurde aber informiert.
5.14 Abmahnung wegen Google Fonts?
Wer betroffen ist von derzeit kursierenden Abmahnschreiben wegen des Vorwurfs der Einbindung von Google Fonts in der Onlinevariante, findet hier eine weitere Quelle für eine Reaktion. Der nächste Schritt sollte allerdings sein sich qualifiziert beraten zu lassen.
5.15 Themenfelder Industrie 4.0
Welche Fragestellungen erwarten uns mit der Industrie 4.0? Der Forschungsbeirat der Plattform Industrie 4.0 befasst sich in der 2. überarbeiteten Fassung damit und behandelt auch die Aspekte wie „Souveräne Datenräume“ und der „Gestaltung rechtlicher Rahmenbedingungen“.
5.16 Podcast I – mit M. Selmayr
Das Podcast-Interview mit Martin Selmayr weckt nicht das Interesse, weil es um dessen Verständnis von Europapolitik und Österreich-Deutschland geht, sondern weil er sich (ab der zehnten Minute) auch zur DS-GVO äußert, die er damals an führender Position in der EU-Kommission begleitete. Es geht dabei u.a. um die Partizipation der Bürger im Gesetzgebungsverfahren, die damaligen Entwicklungen, den europäischen Ansatz und die bisherige Durchsetzbarkeit.
5.17 Podcast II – zu Datenschutz und Datensouveränität
Ein Podcast mit Wissenschaft und Aufsicht zu datengetrieben Geschäftsmodellen und allem was dazu gehört (Dauer ca. 1:09h). Speziell zu Arbeitnehmerdaten, Geschäftsmodellen, Cloudeinsatz und Beschäftigtendatenschutz. Hörenswert!
5.18 Podcast III – Fahrzeugdaten
Es geht in diesem Podcast um Daten im Auto, vom Auto und wer diese nutzten will und nutzen darf. Als Buzzwort passt hier auch „Datensouveränität“. Hierzu unterhalten sich ein Rechtsanwalt und eine Vertreterin des ADAC. Aber auch hier gilt: Relevant ist die Beratung im Einzelfall (manche Aussagen im Podcast sind mir zu pauschal).
5.19 bitkom: Leitfaden Verarbeitung personenbezogener Daten in Drittländern
Der bitkom hat seinen Leitfaden zum Drittstaatentransfer in vollkommen überarbeiteter Auflage herausgebracht. Mit der „Verarbeitung personenbezogener Daten in Drittländern“ werden nicht nur die aktuellen rechtlichen Rahmenbedingungen nach Schrems II abgebildet, sondern auch Möglichkeiten der Übermittlung personenbezogener Daten in Drittländer in einer Tabelle und einer grafische Checkliste aufgeführt.
5.20 Klagen gegen Oracle wegen Datennutzung
In den USA gibt es Klagen gegen Oracle, weil Oracle mit seiner Datenverarbeitungspraxis gegen die Verfassung des Bundessstaates Kalifornien verstoßen würde. Berichten zufolge fordern die Kläger neben der Zulassung als Sammelklage einen Stopp von Oracles Datensammlungsaktivitäten sowie die Rückerstattung von Gewinnen, die mit den ohne Zustimmung gesammelten Daten erzielt wurden.
5.21 noyb: Werbung in E-Mail-Account ohne Einwilligung unzulässig
Sie nutzen ein Gmail-Konto und Google sendet Ihnen Werbeemails ohne Ihre Einwilligung? Nach Ansicht von noyb verstößt dies gegen die Rechtsprechung des EuGH und daher haben sie ein Beschwerdeverfahren bei der französischen Datenschutzaufsicht CNIL eingeleitet. Warum wohl dort? Die hatten in der Vergangenheit bereits ihre Rechtsansicht gegen Google durchsetzen können.
Franks Anmerkung: Vielleicht möchten Gmail-Nutzer sich mal 6.6 durchlesen?
5.22 Rechtsdurchsetzung in den USA
Nur mal so, falls mal wieder jemand quengelt, deutsche Aufsichtsbehörden wären so überkorrekt und dabei den Eiertanz um die Facebook-Fanpages ausblendet. Hier ein Beispiel, wie in Kalifornieren das – auch noch recht junge – California Consumer Privacy Act (CCPA) durchgesetzt wird.
Der Vorwurf an den Onlinehändler:
Den Verbrauchern nicht mitzuteilen, dass er ihre persönlichen Daten verkauft, dass er Benutzeranfragen zur Abmeldung von der Kundenliste über Datenschutzdashboards unter Verstoß gegen den CCPA nicht bearbeitet hat und dass er diese Verstöße nicht innerhalb der derzeit vom CCPA zulässigen 30-Tage-Frist behoben hat.
Die Konsequenz:
1,2 Mio. US-$ Bußgeld.
5.23 Veranstaltungen
5.23.1 Workshop: Künstliches Denken menschlich erklärt
02.09.2022, 15:30 – 19:00 Uhr, Berlin, nur vor Ort: Im Rahmen des Forschungsprojektes KI & Nachvollziehbarkeit, sollen Erklärungsmodelle für KI-Systeme entwickelt werden, die zu einem besseren Verständnis von KI für die Zivilgesellschaft führen. Innerhalb dieses Workshops wird sich mit künstlichem Denken und wie sich dieses menschlich erklären lässt, befasst. Anmeldung erforderlich.
5.23.2 DIHT: Data Act – Was kommt auf die Wirtschaft zu?
05.09.2022, 14:30 – 18:00 Uhr: Zusammen mit dem BvD und der Stiftung Datenschutz geht es um die bessere Nutzung von Unternehmensdaten in Europa. Was erwartet uns diesbezüglich durch den Data Act? Teilnahme vor Ort im Haus der Deutschen Wirtschaft in Berlin oder über Livestream. Weitere Infos auch zur Anmeldung hier.
5.23.3 Kanzlei-Workshop: „Deep Dive” zur GDPR
08.09.2022, 08:30 – 09:30 Uhr: In diesem Zeitraum bietet eine Kanzlei einen Deep Dive (so nennt man jetzt eine vertiefte Auseinandersetzungen) zur DS-GVO (dafür steht GDPR). Themenschwerpunkte werden das Bußgeld in Niedersachsen aufgrund einer Profilbildung einer Bank und die Rechtsprechung des EuGH zu „sensiblen Daten“ des Art. 9 DS-GVO sein. Anmeldung/Registrierung erforderlich.
5.23.4 ZAC: Cybercrime – konkrete Gefahr für den Mittelstand
20.09.2022, 11:00 – 12:00 Uhr: Die Zentrale Ansprechstelle Cybercrime hat u.a. die Aufgabe Organisationen zu Angriffen zu sensibilisieren. Dort sind die Spezialisten tätig, die beim Bayerischen Landeskriminalamt tagtäglich mit Angriffen zu tun haben. Neben den häufigsten Schwachstellen werden die Phänomene in diesem Bereich thematisiert und das Vorgehen der Täter anhand anonymisierter Echt-Fälle aufgezeigt. Anmeldung erforderlich.
5.23.5 Veranstaltungsreihe des LfDI Baden-Württemberg zu „Datenschutz durch Technikgestaltung“
Ab 21.09.2022: An vier Terminen werden Themen wie Risikobasierter Ansatz, Grundsätze der Verarbeitung und Stand der Technik (21.09.2022), Technikgestaltung und Basisfragen / Praxisbeispiele (19.10.2022), Einführung BSI Standards und BSI IT-Grundschutz (02.11.2022) und DSFA in der Praxis, technisch und rechtlich (16.11.2022) behandelt. Alles vor Ort und immer Anmeldung erforderlich.
5.23.6 Daten-Dienstag im Museum für Kommunikation: Kinderbilder im Netz
27.09.2022, 19:00 – 20:30 Uhr: Der Journalist Daniel Moßbrucker berichtet unter dem Titel „Gepostet, geteilt, geklaut: Wie Pädokriminelle Kinderfotos bei Social Media stehlen“ über seine Recherchen zum Missbrauch von Kinderbildern im Netz. Anmeldung erforderlich.
6 Gesellschaftspolitische Diskussionen
6.1 Geparkter Tesla liefert nach Straftat Fahndungsfotos
Leider enthalten solche Meldungen nie einen kleinen Exkurs zu den datenschutzrechtlichen Fragestellungen*, auch wenn ich Opfer und Täter den Fahrungserfolg gleichermaßen gönne: Auf welcher Grundlage kann die Polizei auf Umgebungsaufnahme eines KFZ zugreifen, wenn selbst in einem anderen Bundesland Bußgelder aufgrund nicht ausreichender Kennzeichnung von Umgebungsaufnahmen durch ein Fahrzeug verhängt werden?
* Franks Anmerkung: Na, dann helfe ich mal aus…
6.2 Ausforschung durch Facebook- und Instagram-Apps
Hier erfahren Sie die technischen Details, wie durch Facebook- und Instagram-Apps Ihre Aktivitäten verfolgt werden können. Erfreulich in dem Artikel (für mich) die FAQs für nicht-Techies am Ende und die Klarstellung in der Aktualisierung vom 11.08.2022, dass Meta angibt den ATT (App Tracking Transparency) zu folgen.
6.3 Cyberangriffe nun auch IHK-Verbände und Wasserzähler
Es scheint kein Unternehmen oder Einrichtung sicher zu sein: Neben Angriffen auf die IHKs gibt es auch Angriffe auf Wasserzähler.
6.4 Digitale Lage der Nation
Diese Analyse zur digitalen Lage der Nation fällt nicht gerade positiv aus. Mir fällt dazu leider auch kein positiver Aspekt ein.
6.5 Datenlokalisierung
Was bedeutet es, wenn der EDSA in seiner Guideline zum Drittstaatentransfer bezüglich Ländern, in denen kein Angemessenheitsbeschluss besteht, eine Datenhaltung innerhalb Europas zu prüfen und in seiner Stellungnahme zum EU-Gesundheitsdatenraum auf Lokalisierungsanforderungen hinweist. Damit befasst sich dieser Beitrag in einer Fachzeitschrift, die auch zum Kommentieren einlädt.
6.6 Kindesmissbrauchsverdacht
Was habe wir hier nicht schon berichtet und zitiert, welche Risiken durch eine „Chatkontrolle“ entstehen, also durch gesetzliche Vorschreiben einer automatisierten Durchsuchung von Chatnachrichten auf verdächtiges Material, welches auf Kindesmissbrauchsfälle hindeutet. Und hier gibt es nun auch den ersten passenden Fall dazu:
Während der Pandemiezeit besucht eine Familie nicht den Arzt, sondern fotografiert den Genitalbereich des Kindes, um eine medizinische Einschätzung des Arztes zu ermöglichen – und schwupps, sind (alle Google-) Onlinezugänge weg, Strafverfahren am Hals, online gespeicherte Familienbilder nicht mehr verfügbar – und scheinbar alle berichten darüber – aber ob das etwas ändert?
Franks Nachtrag: Zumindest in diesem Kommentar wird verdeutlicht, dass ggf. auch die Nutzer ein wenig mehr nachdenken dürfen bei ihrer Mediennutzung.
Franks 2. Nachtrag: Ich weiß nicht, ob ich mich über diese Meldung in dem Zusammenhang freuen soll (Tatsächlich weiß ich, dass ich mich nicht freue…).
7 Sonstiges/Blick über den Tellerrand
7.1 Medienkompetenz I: Was dürfen Sie mit Bildern machen?
Dass Medienkompetenz nicht nur die Bedingungsfunktion Ihrer Geräte umfassen sollte, sondern auch was Sie mit Daten und Bildern anderer machen dürfen, müsste sich herumgesprochen haben.
Sicherlich ist die zweite nicht nur für Urlaubsbilder eine gute Frage oder wenn Sie Influencer „spielen“. Sie finden Antworten dazu z.B. auf den Seiten von klicksafe, iRights oder auch manch einer Aufsichtsbehörde, wenn es um Bilder geht.
7.2 Medienkompetenz II: Nacktbilder im Netz
Bilder mit viel Haut und wenig Textil gab es immer schon, zumindest seit es Abbildungen von Menschen gibt. Mit der digitalen Transformation erhöht sich aber auch hier das Risiko, dass Dinge außerhalb des Erwartungshorizontes passieren. Insbesondere jüngere Zeitgenossen (m/w/d) sollten darauf hingewiesen werden, dass § 184c StGB auch greift, wenn es Aufnahmen des eigenen Körpers sind. Und natürlich sollten solche Bilder auch nicht weitergegeben werden. Sollten Fragen dazu aufkommen oder es Ärger geben, sollte von Anfang an deutlich sein, an wen sie sich vertrauensvoll wenden können!
Franks Nachtrag: Und dann gibt es noch das hier… Kinder und Jugendliche müssen zu Medienkompetenz sensibilisiert werden!
7.3 Medienkompetenz III: Urheberrecht
Darf ich für Posts in meinen sozialen Netzwerken ein Meme aus einem fremden Material erstellen? Die Standardantwort lautet natürlich: „Das kommt darauf an“. Worauf es dann ankommt, lesen Sie hier.
7.4 Medienkompetenz IV: Bildungsmaterialien für die Entwicklung digitaler Bildung
Das Bundesministerium für Bildung und Forschung hat seine OER-Strategie für Freie Bildungsmaterialien für die Entwicklung digitaler Bildung veröffentlicht. Mit OER meinen sie „Open Educational Resources“ und ist schon wieder originell oder typisch für uns, dass wir mit einem Papier die digitale Bildung voranbringen wollen. Aber bitte. Dabei geht es auch um Lizenzregelungen zu digitaler Teilhabe und ich habe bereits ein neues Buzzwort gelernt: „21st Century Skills“.
7.5 SWR fakefinder
Über den fakefinder des SWR lässt sich erklären und üben, wie Fake-Nachrichten erkannt werden können. Nicht nur für die Kleinen sinnvoll.
7.6 Kauffunktion in Social Media
Viele beliebte Social-Media-Dienste wie Instagram und Snapchat bieten Kauffunktionen an. Diese sind auch für Kinder und Jugendliche interessant. Nutzer:innen können ihre Idole durch Abos oder Geschenke unterstützen und mehr Aufmerksamkeit auf den eigenen Account lenken. Außerdem können durch Käufe und Abos zusätzliche Inhalte oder Gestaltungselemente freigeschaltet werden. Aber welche Maßnahmen treffen die Dienste, um Kinder und Jugendliche vor zu hohen Ausgaben und Kostenfallen zu schützen? Der Report „Kauffunktionen in Social Media“ von jugendschutz.net gibt Einblick in die angebotenen Funktionen, Zahlungsmethoden und Preise von neun beliebten Diensten. Zusammenfassend in meinen Worten: Wieder ein schönes Beispiel, wo aus Vorurteilen gegenüber „sozialen Medien“ Erfahrungswerte werden können.
7.7 Schulen ohne Smartphones
Nein, keine Sorge, zu Unterrichtszwecken und natürlich auch um den MINT-Nachwuchs für die Interessen der Wirtschaft auszubilden sind IT-Geräte weiterhin gewünscht. Hier geht es um die Aspekte der Konzentrationsfähigkeit, aber auch des sozialen Umgangs, die sich in dem Versuch einer Schule in Sydney ergaben.
7.8 Cybersecurity niedrigschwellig
Diese Folge von Team Timster des Senders Kika befasst sich mit Aspekten der Cybersecurity. Achtung: Die Bereitstellung dieser Folge in der Mediathek ist zeitlich befristet!
7.9 Nicht nur in der Urlaubszeit: Gründe für eine not-to-do-Liste
Diese Tipps lassen sich nicht nur auf Social Media anwenden und sicher nicht nur im Urlaub! In Verbindung mit der 80-20-Regel, die besagt, dass 80 Prozent des Ergebnisses allein mit den richtigen 20 Prozent der To-dos eingefahren werden können, entfaltet eine Not-to-do-Liste so richtig ihr Potenzial.
7.10 Fake-Shop-Finder
Das Anwaltsregister informiert über den Fakeshop-Finder der Verbraucherzentrale NRW. Sie können dies dort auch direkt anklicken, dann sparen Sie sich das wundersame Consentbanner des Anwaltsregisters. Über Angabe der Shop-URL überprüft der Fakeshop-Finder Merkmale, die einen unterstützen den Shop besser einzuschätzen.
8. Franks Zugabe
8.1 Apropos Medienkompetenz
Obwohl mein Kollege sich ja unter 7. schon ausführlich zur Medienkompetenz ausgelassen hat, habe ich auch noch einen: Getreu dem Motto „Ein Bild sagt mehr als tausend Worte“ hier eine Infografik mit dem Titel „Willst Du etwas teilen?“. Auch informativ sind die Infografiken zum Posten von Texten bzw. von Bildern. Die Quelle (aus der ich die Infografiken habe) ist hier zu finden.
8.2 Ich habe noch was zu Medienkompetenz – Nächster Zeuge: Facebook
Dieser Fall ging durch die Medien: 17-jährige in den USA wird auf Grund von Kommunikation über Meta-Dienste verurteilt (es ging um das Thema Schwangerschaftsabbruch, das hatten wir ja schon als Thema).
In diesem Beitrag wird beleuchtet, wie die Medien mit diesem Fall umgegangen sind und was tatsächlich passiert ist.
Fazit 1: Gründliche Recherche sichert meist objektive Ergebnisse. Aber wo bekommt man heutzutage noch gründliche Recherche?
Fazit 2: Ich stimme dem Autor des Beitrags in seinem Fazit voll und ganz zu:
Deshalb: Facebook ist und bleibt einfach der letzte Laden auf der Welt, dem man seine persönlichen Chats und Daten anvertrauen sollte.
8.3 Apropos KI – KI in der Kindeserziehung?
Ich bin mir dessen bewusst, dass es nicht wirklich um KI und auch nicht um Kindeserziehung geht, aber eine nette Überschrift lockt die Leser…
Auf jeden Fall hat bei einem Schachtunier in Moskau ein Roboter einem siebenjährigen Schachspieler einen Finger im laufenden Spiel gebrochen. Es lag wohl nicht daran, dass er unter den Top-30-Schachspielern in seiner Altersgruppe lag und der Roboter sich nicht mehr anders zu helfen wusste. Mehr Details finden sich im folgenden Artikel.
8.4 Apropos KI, die zweite – Die in China mal wieder
Manchmal sind die Chinesen heutzutage führend (sicherlich öfter, als manchen von uns „im Westen“ (wobei der Westen wohl tatsächlich westlich von China beginnt) lieb ist).
Hier ist wieder so ein Beispiel. Eigentlich würden wir ja erwarten, dass unsere westlichen Demokratien mit den besten Rechtssystemen (so stellen wir uns doch da, oder?) auch die meiste Transparenz für Verbraucher ermöglichen. Aber tatsächlich sind es chinesische Regulierer, die als erste Anbieter von KI-Lösungen dazu zwingen (durchaus aussagekräftige) Informationen zu deren Algorithmen zu veröffentlichen.
Und (auch, um unsere Erwartungshaltungen zu bedienen): Es wären die Gesetze nicht vom chinesischen Staat, wenn in ihnen nicht auch Zensur und Unterdrückung zumindest ermöglicht würden. Die Details finden sich in diesem Beitrag.
8.5 Apropos KI, die dritte – Kalifornisches Startup will, dass die Welt weißer wird…
Zumindest weißer klingt. Lesen und staunen. Oder aufregen, je nach Gemüt.
8.6 Apropos KI, die vierte – KI beschert dem französischen Fiskus Millionen
Laut diesem Bericht hat der französische Fiskus mithilfe von KI-Technnologie und Luftbildern in einem Pilotprojekt zehntausende nicht angemeldete Pools entdeckt und dem Staat Mehreinnahmen von 10 Millionen Euro gesichert, das Verfahren soll nun landesweit eingesetzt werden. Und sie wollen es auch auf andere Bauwerke (wie Veranden) ausweiten.
Na, das macht doch bestimmt bald europaweit Schule, oder?
8.7 Spam statt Mülleimer?
Wie diesem Beitrag zu entnehmen ist, landen häufiger als erwartet vertrauliche Mails im Spam-Filter statt gelöscht zu werden. Und damit je nach Postfach-Anbieter auch in der Verfügungsgewalt dieser Anbieter. Was problematisch sein kann.
Apropos Spam: Wenn einem das einsortieren der eigenen Werbemails als Spam-Mails nicht gefällt, dann mag es sehr hilfreich sein, wenn man eben dieses gesetzlich verbieten kann. So versuchen es zumindest gerade amerikanische Politiker.
Ob die verstehen, wie schwer es sein wird, diese Regelung, sollte sie beschlossen werden, umzusetzen? Und kann es außer Politikern irgendjemand geben, der dieses Gesetz gut findet? Das ist mal eine Entwicklung, von der ich hoffe, dass sie nicht zu uns rüberschwappt.
8.8 Cybersecurity – 15 Minuten reichen aus
Laut diesem Artikel dauert es manchmal nur 15 Minuten, bis nach dem Bekanntwerden von Sicherheitslücken diese „in the wild“ ausgenutzt werden.
Deswegen sind gute Sicherheitsstrategien so wichtig. Allerdings nicht so, wie in diesem kleinen Video schön verdeutlicht.
8.9 Cybersecurity – Einfallstor IoT
Diese Meldung steht ja tatsächlich nur stellvertretend für die im Artikel genannten Probleme, die (mindestens) die folgenden Maßnahmen erfordern:
Administratoren sollten den Firmwarestand ihrer IoT-Geräte dringend überprüfen und gegebenenfalls zügig aktualisieren und IoT-Geräte idealerweise in ein separates (V)LAN sperren oder per Firewall isolieren, um keine Gefahr für das restliche Firmennetz darzustellen. Zudem sind IT-Verantwortliche gut beraten die IoT-Geräte in ihren Netzen in den Wartungszyklus mit aufzunehmen.
Ach ja, falls Sie nicht klicken wollten: Im Artikel geht es um Videokameras…
8.10 Cybersecurity – Ransomware nutzt Spiele-Anti-Cheat-Treiber zum Abschalten von AV-Software
Wenn Sie jetzt denken „Interessiert mich nicht, wir haben ja keine Spiele auf den Dienstgeräten“, bleiben Sie bitte trotzdem bei mir:
Der Treiber benötigt kein installiertes Spiel. Und damit ist dieses Problem ggf. für Sie doch wieder relevant.
Trend Micro berichtete ursprünglich darüber.
8.11 Spannungsfeld: Datenschutz und Online-News
Das ist eine geklaute Überschrift. Aber egal. Der Beitrag beschäftigt sich mit den Argumenten pro und Contra Einwilligung für Internetwerbung und versucht dieses Themengebiet umfassend zu beleuchten. Lesenswert!
8.12 Datenhygiene: Das digitale Haare waschen und Zähne putzen
Und noch eine geklaute Überschrift. Ob das System hat? Ich denke ja, aber es liegt nur daran, weil die Ersteller des Beitrags einfach schon die beste Überschrift gefunden haben und es ist halt ein Zitat. Der Beitrag ist auf jeden Fall lesens- und bedenkenswert!
8.13 Lage der Digitalisierung in der öffentlichen Verwaltung
Kennen Sie das? Wenn Sie etwas mitbekommen und spontan einfach nur müde sind?
Mir ging es so beim Lesen dieses Tweets! Ein Stoffverteilungsplan aus dem Jahr 1999?
8.14 Minus mal Minus gleich Plus? Downtime in Österreich
Scheinbar trifft das bei dieser Meldung zu. Zum Kontext: Urheberrechtsbesitzer wollten (in Österreich) eine Seite eines (illegalen?*) Musikportals von den Providern sperren lassen. Die Betreiber dieses Musikportals haben sich (aus welchen Gründen auch immer, vielleicht genau diesen?) eines CDN-Anbieters bedient. Und nun haben die Provider in Österreich demzufolge auch den CDN-Anbieter gesperrt. Und damit auch alle anderen Kunden des CDN-Anbieters. Hier gibt es (u.a.) eine ausführlichere Aussage von einer österreichischen NGO, warum es eine dumme Idee war die Sperre nicht (wie sonst üblich) auf Domain-Namen-Ebene sondern auf IP-Ebene durchzuführen.
* Franks Anmerkung (ja, ich mache das immer noch zu meinen eigenen Beiträgen): Warum ein Fragezeichen? Ich habe mir von Personen, die solche Seiten (also die Musikportale etc.) schon mal besucht haben, erklären lassen, dass diese Musikportalanbieter sich selbst nur als Anbieter von Links sehen und die illegalen Inhalte wo ganz anders liegen. Aber das ist eine ganz andere Diskussion und deswegen habe ich das Fragezeichen gesetzt…
8.15 Daten-Melkkuh bei ebay Kleinanzeigen – Tipps zum Selbstschutz
Wie bei vielen Seiten ist das bewusste Entscheiden für oder gegen Cookies auch bei ebay Kleinanzeigen sehr wichtig. In diesem Artikel wird erläutert, warum, und es werden Tipps gegeben, wie darüber hinaus noch Schutz erzielt werden kann beim stationären oder mobilen Surfen.
8.16 Cookies: Trau, schau, wem?
Laut dieser Aussage ist es sinnvoll, den eigenen Surfverkehr mal genauer unter die Lupe zu nehmen (beim Hashtag #TeamDatenschutz fühlen wir uns doch alle angesprochen, oder?).
Wer sich denkt, gute Idee, aber wie? Da werden Sie geholfen* (zumindest für Google Chrome und Firefox).
Es lohnt sich übrigens, den ursprünglichen Tweet weiterzulesen, daraus habe ich nicht nur die eben genannte Anleitung entnommen, nein, dort wird auch ein Sneak Preview auf das Ergebnis einer Auskunftsaktion gegeben. Was wurde beauskunftet, fragen Sie?
Ganz einfach, die konkreten SCC sowie die Additional Measures (worauf Betroffene nach Art. 15 Abs. 2 DSGVO sowie aus den SCC selbst einen Anspruch haben).
Aber zurück zum Sneak Preview, manche Antwort(-kategorien) waren zwar erheiternd (SCwhat?; GDPwhat?), aber von über 50 Anfragen nur eine richtige Auskunftserteilung? Wow!
Da wächst ja die Spannung aufs Update dieses Artikels (nur ein Teaser, nicht der Artikel) mit dem schönen Namen „Das datenschutzrechtliche Vollzugsdefizit im Bereich der Telemedien — ein Schreckensbericht“ aus dem Jahr 2009 von Prof. Dr. Jürgen Kühling, Anastasios Sivridis, Mathis Schwuchow & Thorben Burghardt.
Dieses scheint Herr Hense (der Autor all dieser schönen Tweets) gerade zu erstellen. Und er hat auch schon davon berichtet (Video, ca. eine Stunde), wovon wiederum wir vorab auch berichtet haben.
* Franks Anmerkung: siehe auch…
8.17 Apropos Cookies – Firefox-Add-On reduziert den Cookie-Banner-Stress?
In einer Reihe analysiert Kollege Kuketz Add-Ons für Firefox (siehe auch meinen nächsten Beitrag). Aber eines habe ich auf Grund der inhaltlichen Nähe zu den vorherigen Beiträgen herausgegriffen. Nachdem wir ja in den vorherigen Beiträgen bereits einiges zu Cookies hatten (nichts wirklich Gutes, aber wer hätte das auch erwartet?), gibt es speziell für das automatische bedienen von Cookie-Bannern nun ein Add-On für Firefox. In dem Beitrag wird es durchaus auch positiv dargestellt:
Fazit – Das Add-On tut genau, wofür es konzipiert wurde:
Get rid of cookie warnings from almost all websites!
Aber es wird auch eine wichtige Warnung ausgesprochen: Das Tool wählt (in Abhängigkeit vom vom Webseitenbetreiber genutzten Consent-Tool) manchmal eher die einfachste und nicht die aus Nutzersicht beste Einstellung. Das Tool soll nämlich nur automatisch für uns die Einstellungen vornehmen. Und dabei ist es wohl nicht immer datenschutzfreundlich unterwegs. Aber es soll auf jeden Fall den Cookie-Banner-Stress reduzieren.
8.18 Reihe zur Bewertung von Firefox-Add-Ons
Wie im vorherigen Beitrag besprochen hat Kollege Kuketz gerade eine laufende Reihe von Beiträgen, in denen Firefox-Add-Ons bewertet werden:
- Avira Browser Safety: Übermittlung der besuchten Websites – Die Bewertung fällt erwartungskonform eher schlecht aus.
- AVG Online Security: Übermittlung des gesamten Surfverhaltens – same, same, nothing new to see here.
- Dark Reader: Dunkles Design für Websites – das hat mal gar nix mit Datenschutz zu tun (mal abgesehen davon, dass es nicht trackt oder spioniert, was ja wie bereits gesehen schon eher die Ausnahme ist), hier geht es nur um das Schonen der eigenen Augen. Deswegen gibt es eine Empfehlung.
Ich bin gespannt, wie die Reihe weitergeht…
8.19 Microsoft Cloud for Sovereignty
In diesem Blogbeitrag beschreibt Microsoft Konzepte, wie sie ihr Dilemma, welches sich aus dem Schrems-II-Urteil ergeben hat, dass sie immer wieder mit Fragen zu Drittlandstransfers konfrontiert werden, in Zukunft lösen wollen. Wenn diese Konzepte tatsächlich dazu führen sollten, dass Mitarbeiter von Microsoft im Wesentlichen nicht mehr an Nutzerdaten herankommen (was momentan in den meisten Fällen durch Microsoft-Kunden nicht zu unterbinden ist, auch wenn die bei Microsoft das anders sehen, siehe 5.12), dann wäre das begrüßenswert.
8.20 Meta-Terroristenliste
Meine erste Reaktion beim Beschäftigen mit dem Thema war:
Wot? Die führen eine Terroristenliste?
Aber es scheint so zu sein. Denn als eine Bekannte einer ehemaligen Abgeordneten des europäischen Parlaments den Meta-Chatbot (was es alles gibt, aber wir berichteten ja bereits darüber) gefragt hat, wer ihre Bekannte (die MEP) sei, gab dieser die folgende Antwort.
Spannend übrigens, wenn man dem Tweet mal ein wenig nach unten weiterliest, dass dieser Meta-Chatbot Fiktion und Realität lustig mischt. Also hat Meta wohl eine Terroristenliste.
Diese wird übrigens auch bereits zweckkonform genutzt… Wer hätte das nur erwarten können.
8.21 Forschungsprojekt zu Telegram mit irritierenden Resultaten
(Kann der Autor auch eigene Überschriften kreieren? Kann er, aber manches Mal stellt er sich die Frage, warum sollte er?)
In den Niederlanden wurde (u.a.) untersucht, wie viele öffentliche Chatgruppen im holländischen Teil des Sozialen Netzwerks Telegram (ist das schon ein Soziales Netzwerk? Für mich ist das doch eher nur ein Messenger? Ach, was weiß ich schon…) von Verschwörungsideologen betrieben werden. Die Antwort: 43% aller Chatgruppen. Der Autor des Artikels vermutet, dass es in Österreich wohl nicht viel besser aussieht. Wie es in Deutschland aussieht? Dazu habe ich keine Informationen gefunden, aber natürlich vermute auch ich etwas. Vielleicht vermuten Sie auch richtig, was ich vermute…
8.22 Der Google-Ton
Na, das ist doch mal eine tolle Awareness-Aktion. Dieses kleine Tool gibt jedes Mal einen Ton aus, wenn der Browser Daten an Google sendet. Wie das funktioniert, wird in diesem Video anschaulich gezeigt.
8.23 Abenteuer Admin-Alltag: Anekdoten von aufregend bis amüsant
Hier bin ich wieder frech und klaue einfach die Überschrift des verlinkten Beitrags (der schon von Ende Juli 2022 ist), da sie den Inhalt des Beitrags schon recht gut beschreibt. Falls Sie ein bisschen schmunzeln möchten…
8.24 Doom auf John Deere
Über John-Deere-Landmaschinen hatten wir ja schon berichtet. Nun ist es einem Hacker gelungen auf John-Deere-Traktoren Doom zu installieren. Details finden Sie hier.
8.25 Auch das noch – Mikro im Klon
Bei der Überschrift könnte hier jetzt Einiges stehen. Tatsächlich geht es aber nur um einen Klon eines Küchengeräts. Aber natürlich darf die Frage gestellt werden, wofür ein Küchengerät ein (im Zweifel aus der Ferne aktivierbares) Mikrofon braucht. Der Hersteller spricht davon, dass ggf. in zukünftigen Updates Sprachsteuerung nachgeliefert werden soll und deswegen das Mikrofon als Vorbereitung bereits verbaut ist. Natürlich wäre es a) schön gewesen, wenn Kunden davon auch irgendwo hätten etwas lesen können. Und zum Thema Updates: Android 6.0 als Betriebssystem des Geräts zu nutzen ist, auf Grund der Tatsache, dass es gar keine Updates mehr für Android 6 gibt, auch schon irgendwie krass. Krasser ist die Begründung:
Bei der Entwicklung wurde gezielt auf ein bereits ausgereiftes Android System gesetzt, um so mögliche Schwachstellen von neueren Systemen zu vermeiden. Viele handelsübliche smarte Küchenprodukte, wie zum Beispiel Kühlschränke werden auf eine ähnliche Art und Weise konstruiert und verwenden ebenfalls entsprechende Systeme.
Da sage ich nur: Kaufen! Kaufen!
8.26 Ernsthaft? Song von Janet Jackson crashte Notebooks…
Ha, doch mal eine eigene Überschrift! Seit diesem Jahr ist das auch eine offizielle Schwachstelle. Ist heutzutage wohl kein Problem mehr, aber im Artikel wird der Song tatsächlich nur verlinkt, nicht eingebunden. Der Autor will wohl sicherstellen, dass der nicht selbstständig startet und Ihr Notebook crasht…
8.27 Ernsthaft? die zweite: Krypto-Facepalm für Hyundai
(Und wieder geklaut, ähh, zitiert…)
Tja, was soll ich dazu sagen? Ich gebe Ihnen noch einen weiteren Link und halte fest: Einen Beispiel-Schlüssel aus Online-Tutorial zum Thema Verschlüsselung in produktiv eingesetzter Software zu nutzen ist eher nicht so klug!
8.28 Ernsthaft? die letzte (für diesen Blog-Beitrag): Bug-Bounty-Programm als NDA-Einstieg?
Laut diesem Beitrag scheinen Softwarehersteller die Teilnahme an ihren Bug-Bounty-Programmen gerne mit der Verpflichtung des Meldenden zu einer NDA zu verknüpfen.
Clever. Dann können sie Security through Obscurity praktizieren…
Hier gibt es die ganzen Details genau eines solchen Vorgangs.
Vielleicht sollten Unternehmen lieber Programmierer einstellen, die mehr nach diesem Ansatz arbeiten:
“Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live“
Im besten Fall haben die Programme dann weniger Fehler und damit wahrscheinlich auch weniger Sicherheitslücken.
9. Die gute Nachricht zum Schluss
9.1 Löschanspruch gegenüber Taufregistern?
Nichts ist für ewig? In diesen unsicheren Zeiten, in denen Vieles in Frage gestellt wird was bislang als sicher galt, gibt es auch Dinge, die sich nie ändern: zum Beispiel die Frage „Können meine Daten aus dem Taufregister gelöscht werden?“
Die Taufe ist als Sakrament ein unumkehrbarer Akt, selbst wenn Personen aus der Kirche austreten. Wie sieht es dann mit dem Löschanspruch nach dem europäischen Datenschutzrecht aus? Selbst wenn Religionsgemeinschaften über Art. 91 DS-GVO ihr eigenes Datenschutzrecht gestalten können? Aus dem Sexualstrafrecht ist ja bekannt, dass manche Kirchen hier lange Zeit auch ihre eigene Philosophie hatten. Wie es mit dem Löschanspruch gegenüber Taufregistern verhält, damit befasst sich dieser Beitrag. Und das beschreiben wir hier mal als gute Nachricht in diesen Zeiten: Es ändert sich nichts.