Frank Spaeing

„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 42/2021)“

Der 20. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 42/2021)“ ist da!

Obacht, für Kurzentschlossene gibt es einen spannenden Veranstaltungshinweis für den 26.10.2021!

  1. Aufsichtsbehörden
    1. EDSA: Guideline 10/2020 zu Beschränkungen nach Art. 23 DS-GVO
    2. EDSA: koordinierte Aktion zum Einsatz von Cloud-Lösungen
    3. EDSA: Verhältnis e-Privacy und DS-GVO
    4. EDPS: Einführung von TechDispatch
    5. Thüringen: Nachweis des Mindestlohns
    6. LfD Bayern: Einwilligungen auf Webseiten
    7. Berlin: Amtszeitende der BBfDI
    8. EKD zu Drittstaaten
    9. Thüringen: Fragen nach Impfbereitschaft
    10. Dänemark: Konkretisierung des Auskunftsbegehrens
    11. Slovenien: Kein Löschanspruch im Taufregister
  2. Rechtsprechung
    1. LAG Sachsen: Anforderungen an Auskunftsansprüche
    2. Übersicht über Fälle des EuGH
  3. Gesetzgebung
    1. EU: Aushebelung der Verschlüsselung bei Messenger-Diensten?
    2. Richtlinie zur Bereitstellung digitaler Inhalte
    3. ePrivacy-VO – Woran hängt’s?
  4. Künstliche Intelligenz und Ethik
    1. EU-Kommission: Konsultation zu Haftungsfragen künstlicher Intelligenz
    2. Was bringt der AI Act?
    3. Zentrum für vertrauenswürdige KI
    4. Kannst du es mir erklären?
    5. Gesichtserkennung
    6. KI in der Rechtsschutzbranche
  5. Veröffentlichungen
    1. DFB stellt WhatsApp ins Abseits
    2. Argentinien: Hacker stehlen IDs
    3. BSI: Irrtümer zu E-Mail
    4. Komplexität und Cybersicherheit
    5. Stand von eGovernment
    6. Datensammeln durch Smartphones
    7. Veranstaltungen
      1. Datenschutztalk mit Edward Snowden und Max Schrems
      2. Das neue TTDSG – Cookie-Einwilligungen und Behördenzuständigkeiten
      3. DatenTag der Stiftung Datenschutz: Das TTDSG und neue Wege zum Einwilligungsverwaltung
      4. Der neue § 25 TTDSG – Anwendungsbereich, Ausnahmen von der Einwilligungspflicht und behördliche Zuständigkeiten
  6. Gesellschaftspolitische Diskussionen
    1. Sicherheitscenter für Familien
    2. Teslas Datenspeicher geknackt
    3. Überwachung über Schullaptops
    4. Relativierte Aussage zur Nutzung von Microsoft 365 an Schulen?
  7. Sonstiges / Blick über den Tellerrand
    1. Privacy-Features in iOS 15
    2. Bewertungen von mobilsicher und das Recht
  8. Franks Zugabe
    1. Cybersecurity – The PrintNightmare Saga
    2. Knapp 100 Abmahnungen wegen Cookie-Bannern
    3. KI erkennt Ethnie in medizinischen Abbildungen
    4. Apropos Cookie-Banner
    5. Cybersecurity – Das Twitch-Debakel
    6. Apropos ungesichert online
    7. Datenschutz und Transparenz bei deutschen Kontaktverfolgungs-Apps
    8. Warum MFA erklärt werden muss…
    9. Pegasus? Wer oder was war noch mal Pegasus?
    10. Update zu beA



Wir wünschen eine gute Lektüre,

Rudi Kramer und Frank Spaeing

1 Aufsichtsbehörden

1.1 EDSA: Guideline 10/2020 zu Beschränkungen nach Art. 23 DS-GVO

Der Europäische Datenschutzausschuss veröffentlichte die finale Fassung seiner Guideline 10/2020 zu den Beschränkungen nach Art. 23 DS-GVO. Damit gibt er seine Interpretation an die Erfordernisse einer Einschränkung der Betroffenenrechte durch die Mitgliedsstaaten.

zurück zum Inhaltsverzeichnis

1.2 EDSA: koordinierte Aktion zum Einsatz von Cloud-Lösungen

Der Europäische Datenschutzausschuss beschloss die Erfahrungen in den Einzelstaaten mit der Nutzung von Cloud-Lösungen durch den öffentlichen Sektor zu bündeln. Damit wendet er zeitnah die selbst festlegten Vorgaben für eine koordinierte Durchsetzung der DS-GVO um.

zurück zum Inhaltsverzeichnis

1.3 EDSA: Verhältnis e-Privacy und DS-GVO

Angesicht der aktuellen Umsetzung der ePrivacy-RL durch das TTDSG sei an die Stellungnahme des EDSA zum Zusammenspiel zwischen der ePrivacy-RL und der DS-GVO aus dem Jahr 2019 erinnert.

zurück zum Inhaltsverzeichnis

1.4 EDPS: Einführung von TechDispatch

Der Europäische Datenschutzbeauftragte, der die Aufsichtsfunktion über die europäischen Einrichtungen wahrnimmt, hat ein Monitoring (TechDispatch) für technische Neuerungen eingeführt. Eine lobenswerte Initiative, die auch anlässlich der 43rd Global Privacy Assembly 2021 mit dem Global Privacy and Data Protection 2021 Award in der Kategorie “Erziehung und Sensibilisierung” ausgezeichnet wurde.

zurück zum Inhaltsverzeichnis

1.5 Thüringen: Nachweis des Mindestlohns

Nun hat auch Thüringen seinen Tätigkeitsbericht für 2020 veröffentlicht. Unter Ziffer 4.26 wird die Weitergabe von Beschäftigtendaten zum Nachweis des Mindestlohns an Auftraggeber behandelt. Als zulässige Möglichkeit werden Lohn- und Arbeitszeitlisten angesehen, in denen mit dem Gewerk betraute Beschäftigte teilweise anonymisiert (Anfangsbuchstaben von Vor- und Nachnamen, gegebenenfalls Geburtsdatum) geführt werden zusammen mit einer Bestätigung des Auftragnehmers/Arbeitgebers oder eine Bestätigung einer unabhängigen Stelle, zum Beispiel eines Wirtschaftsprüfers oder des Steuerberaters des Auftragnehmers.

zurück zum Inhaltsverzeichnis

1.6 LfD Bayern: Einwilligungen auf Webseiten

Der Landesbeauftragte für den Datenschutz in Bayern hat seine 36. Aktuelle Kurz-Information veröffentlicht: Cookie-Einwilligungen auf Webseiten bayerischer öffentlicher Stellen. Dabei geht er teilweise auch auf das TTDSG ein, das ab 01.12.2021 zur Anwendung kommt. Mit Beispielsfällen werden die rechtlichen Anforderungen erläutert. Auf Einwilligungsbanner kann verzichtet werden, wenn keine Cookies verwendet werden. Am Beispiel von Firefox werden aber auch Möglichkeiten zur Einstellung von Schutzmaßnahmen am Browser vermittelt.

zurück zum Inhaltsverzeichnis

1.7 Berlin: Amtszeitende der BBfDI

Die Amtszeit der bisherigen Berliner Beauftragten für Datenschutz und Informationsfreiheit endet zum 27. Oktober 2021. Nachdem in Berlin selbst eine zeitnahe Neubesetzung nicht klappte, übernimmt ihr bisheriger Stellvertreter ihre Aufgaben.

zurück zum Inhaltsverzeichnis

1.8 EKD zu Drittstaaten

„Des Menschen Glauben ist sein Himmelreich.“ Diese Lebensweisheit findet sich zunehmend auch im kirchlichen Datenschutz wieder. Die evangelische Kirche hat in ihrer Stellungnahme nun die Einwilligung zum Drittstaatentransfer weniger als Ausnahmeregelung, sondern etwas offener interpretiert. Insgesamt bin ich gespannt, wann die kirchlichen Regularien mal einer Überprüfung und vor allem durch wen auf die Vereinbarkeit der vielen Sonderinterpretationen mit der DS-GVO unterzogen werden.

zurück zum Inhaltsverzeichnis

1.9 Thüringen: Fragen nach Impfbereitschaft

Aufregung gab es nach Berichten aufgrund der Ankündigung des TLfDI, dass er Hinweisen nachgeht, dass eine Lehrerin nach der Impfwilligkeit der ihr anvertrauen Kinder im Unterricht fragte. Natürlich ist es schwer nachvollziehbar, was dabei das Problem sein sollte, aber solange nicht geklärt ist, was tatsächlich im Unterricht thematisiert und (zu welchem Zweck evtl. auch) dokumentiert wurde, sollte man sich in einer Bewertung zurückhalten.

zurück zum Inhaltsverzeichnis

1.10 Dänemark: Konkretisierung des Auskunftsbegehrens

Während bei einem Auskunftsbegehren oft die Befürchtung herrscht, es könnte zu unangemessenem Aufwand führen, ging die dänische Aufsichtsbehörde in einem Fall einen anderen Weg. Die Frage, woher ein Unternehmen die E-Mail-Adresse der betroffenen Person für einen Newsletter habe, konnte das Unternehmen auch nach einer Recherche nicht beantworten. Damit habe laut Aufsicht das Unternehmen den konkretisierten Auskunftsbegehren ausreichend beantwortet. Die Entscheidung ist hier detaillierter besprochen.

zurück zum Inhaltsverzeichnis

1.11 Slovenien: Kein Löschanspruch im Taufregister

In Slovenien bestätigte das Verwaltungsgericht die Entscheidung der dortigen Datenschutzaufsicht, dass es keinen Löschanspruch auf Beseitigung der Einträge im Taufregister gibt, u.a. weil diese Unterlagen gemäß nationaler Regelungen als Archivmaterial klassifiziert werden.

zurück zum Inhaltsverzeichnis

2 Rechtsprechung

2.1 LAG Sachsen: Anforderungen an Auskunftsansprüche

Viele freuten sich über das Urteil des LAG Sachsen. Es äußert sich zu den Anforderungen an die Bestimmtheit eines Auskunftsbegehren in einem Arbeitsverhältnis. Natürlich wurde auch hier noch um viel mehr gestritten, aber relevant für uns sind die Aussagen zur Ablehnung der Geltendmachung eines Auskunftsanspruchs über Arbeitszeiten, um darauf basierend einen Anspruch auf Abgeltung von geleisteten Überstunden begründen zu können. Das LAG lehnt den Anspruch nach Art. 15 DS-GVO ab, weil er zu unbestimmt sei (und daher nicht vollstreckt werden könne), funktionswidrig (der Kläger wolle ja keine Daten berichtigen lasen), der Antrag nicht präzise genug sei und überdies exzessiv (vgl. Art. 12 Abs. 5 DS-GVO, alles ab RN 29 in dem Urteil, hier wieder mal stark verkürzt wiedergegeben).
Das Urteil bedient damit (mind.) zwei Vorurteile: Das Datenschutzrecht sei eh zu überzogen und eine Eingrenzung überfällig und andererseits, dass Arbeitsrechtler das Datenschutzrecht noch nie verstanden hätten. Irgendwann wird der EuGH mind. eines der beiden Vorurteile bestätigen.

zurück zum Inhaltsverzeichnis

2.2 Übersicht über Fälle des EuGH

Weil es mir wieder in die Hände fiel – auch wenn es nicht ganz aktuell ist. Der EuGH hat im Juli 2020 nicht nur mit Schrems II Aufsehen erregt, er hat damals auch durch seinen wissenschaftlichen Dienst eine Übersicht über relevante Entscheidungen zum Schutz personenbezogener Daten mit einer kurzen Einführung veröffentlicht. Bemerkenswert – aber trotzdem werden wir den Juli 2020 Dank einer anderen Veröffentlichung des EuGH in Erinnerung behalten.

zurück zum Inhaltsverzeichnis

3 Gesetzgebung

3.1 EU: Aushebelung der Verschlüsselung bei Messenger-Diensten?

Noch ist es nicht so weit, bei uns findet sich ja erst noch die künftige Regierung, um neue Gesetzesvorhaben auf den Weg zu bringen, aber auf europäischer Ebene sind die Aktivitäten ungebrochen: Die Umgehung der Verschlüsselungen von Messenger-Diensten sei laut Berichten wieder verstärkt in der Diskussion. Und natürlich geht es wieder ausschließlich um den Kampf gegen sexuellen Missbrauch von Kindern – oder etwa doch um mehr? Laut diesem Bericht geht ess auch um andere Delikte, wie Terrorismus oder dem „Missbrauch der digitalen Dimension für Verbrechen“.

zurück zum Inhaltsverzeichnis

3.2 Richtlinie zur Bereitstellung digitaler Inhalte

Das ist jetzt kein Lückenfüller, dafür war wieder zu viel los. Ich bin nur sicher, nicht jeder hat es auf dem Radar, dass auf europäischer Ebene auch Regelungen im Zivilrecht getroffen wurden, die sich auf Datenschutz und IT-Sicherheit auswirken können und zum 1 Januar 2022 im BGB bereits umgesetzt wurden. Wer jetzt noch nicht unruhig wurde, wird es vielleicht bei den Stichworten „Bezahlen mit Daten“ und „Updatepflicht des Verkäufers“. Mehr dazu hier.

zurück zum Inhaltsverzeichnis

3.3 ePrivacy-VO – Woran hängt’s?

Wenn sich jemand fragt, warum es mit der ePrivacy-VO nicht vorangeht, bzw. wieso man nichts von Fortschritten im Trilog mitbekommt, hilft ein Blick in die Unterlagen eines wettbewerbsrechtlichen Verfahrens in den USA gegen Google.
„In a July 31, 2019 document prepared in advance of the meeting, Google memorialized: “we have been successful in slowing down and delaying the [ePrivacy Regulation] process and have been working behind the scenes hand in hand with the other companies.” (Seite 68).

zurück zum Inhaltsverzeichnis

4 Künstliche Intelligenz und Ethik

4.1 EU-Kommission: Konsultation zu Haftungsfragen künstlicher Intelligenz

Zweck der Konsultation der EU-Kommission ist es die Relevanz der Probleme zu bestätigen, die bei der im Jahr 2018 durchgeführten Bewertung der Produkthaftungsrichtlinie festgestellt wurden (z. B. Art und Weise der Anwendung der Richtlinie auf Produkte in der Digital- und Kreislaufwirtschaft), sowie Informationen und Meinungen darüber einzuholen, wie die Richtlinie verbessert werden kann: Informationen zusammenzutragen, die darüber Aufschluss geben, ob die Notwendigkeit besteht die spezifischen, mit der künstlichen Intelligenz (KI) einhergehenden Herausforderungen mit Blick auf mögliche Anpassungen der Richtlinie und der nationalen Haftungsbestimmungen anzugehen, und die mögliche Wege dafür aufzuzeigen. Rückmeldungen können bis 22. Januar 2022 bei der Kommission eingereicht werden.

zurück zum Inhaltsverzeichnis

4.2 Was bringt der AI Act?

Ein Kollege sagte immer „Sprich nicht mit dem Brötchen, frag den Bäcker.“ Daran musste ich denken, als ich diesen Podcast hörte. Der Entwurf des AI Act wurde im April 2021 veröffentlicht und vieles ist noch unklar. Umso informativer fand ich den Podcast mit dem zuständigen Referatsleiter der EU-Kommission, der letztes Wochenende erschien. Wie definiert sich KI, wie soll der risikobasierte Ansatz berücksichtigt werden, welcher Zeithorizont bis zur Anwendung wird geschätzt? Diese Fragen werden alle behandelt und beantwortet!

zurück zum Inhaltsverzeichnis

4.3 Zentrum für vertrauenswürdige KI

Vertrauen ist eine unabdingbare Voraussetzung dafür, dass sich Menschen selbstständig und selbstbestimmt mit neuen Technologien auseinandersetzen können. Das Ergebnis einer Vielzahl von Analysen, Studien und Veranstaltungen lautet: „Zentrum für vertrauenswürdige KI (ZVKI)“.
Mit dabei sind neben dem irights-Lab das unterstützende Bundesministeriums der Justiz und für Verbraucherschutz (BMJV), die Fraunhofer Gesellschaft (AISEC und IAIS) und die Freie Universität Berlin. Als nationale Schnittstelle zwischen Wissenschaft, Wirtschaft, Politik und Zivilgesellschaft soll das ZVKI vor allem über alle verbraucher:innenrelevanten Aspekte von Künstlicher Intelligenz informieren und dazu öffentlichkeitswirksame Diskussionen ermöglichen.

zurück zum Inhaltsverzeichnis

4.4 Kannst du es mir erklären?

Sie wollen auf Rechnung mit verzögertem Zahlungsziel bei einem Online-Shop kaufen und wählen diese Möglichkeit an, Ihnen wird sie aber verweigert. Darauf stellen Sie einen Auskunftsanspruch, weil Sie wissen wollen, warum und der Online-Händler kann es selbst nicht erklären. Es ist nicht bekannt, ob der Online-Händler dann im konkreten Beispiel irgendwas von „unsupervised learning“ vorbrachte, jedenfalls gibt es nun eine Beschwerde bei der zuständigen Datenschutzaufsicht, u.a. wegen des Verstoßes gegen Art. 22 DS-GVO. Auch bei Entscheidungen auf Basis von Algorithmen oder KI sollte das Ergebnis (derzeit noch) erklärbar bleiben, wenn es Nachteile für andere bringt.

zurück zum Inhaltsverzeichnis

4.5 Gesichtserkennung

Früher hieß es „Zahlen Sie mit Ihrem guten Namen“, jetzt muss man nicht mal mehr Lächeln – zumindest wenn das Gesicht so in den Datenbanken hinterlegt ist. Nicht nur in Rußland in der U-Bahn wird der Zugang nun über das Gesicht freigeschaltet, auch im Vereinigten Königreich werden in Schulkantinen damit Berechtigungen überprüft.

Franks Nachtrag: da nicht alle über die Paywall kommen, hier ein alternativer Artikel zu der Gesichtserkennung in Schulkantinen in UK.

zurück zum Inhaltsverzeichnis

4.6 KI in der Rechtsschutzbranche

Welche Möglichkeiten und Leitplanken sind in der Rechtsschutzbranche beim Einsatz einer KI zu beachten? Auch wenn es „nur“ die Schweiz ist – manchmal lohnt der Blick über den eigenen Monitor…

zurück zum Inhaltsverzeichnis

5 Veröffentlichungen

5.1 DFB stellt WhatsApp ins Abseits

Ja, das ist ein alter Hut: Im Unternehmenskontext sind Kommunikationsmittel wie WhatsApp unzulässig, „aber es stört doch keinen…“ – hört man immer wieder. Doch selbst der DFB hat nun durchgegriffen – WhatsApp ist kein offizielles Kommunikationsmittel. Und auch wen rechtliche Argumente nicht überzeugen, vielleicht reicht es ja auch, wenn man sich mal mit den Chatprotokollen anderer Leute befasst.

zurück zum Inhaltsverzeichnis

5.2 Argentinien: Hacker stehlen IDs

Ist jetzt auch schon fast ein alter Hut: In Argentinien sollen alle IDs zentral gespeichert worden sein und es ist blöd, wenn dann die Schutzmaßnahmen nicht ausreichen. Jetzt sollen die IDs für die gesamte argentinische Bevölkerung über dunkle Kanäle im Umlauf sein. Lehren für uns? Wieder ein Beispiel, dass man nicht vorsichtig genug sein kann und auch eine Verschlüsslung in solchen Fällen helfen kann.

zurück zum Inhaltsverzeichnis

5.3 BSI: Irrtümer zu E-Mail

Das BSI hat in seiner Reihe diesmal die üblichen Irrtümer zu E-Mails aufgelistet. Zu vier Irrtümern bzw. Fehlvorstellungen bringt das BSI dazu aber auch Hinweise, wie man unwillkommene Folgen dieser Irrtümer vermeidet.

zurück zum Inhaltsverzeichnis

5.4 Komplexität und Cybersicherheit

Welche Auswirkungen hat die Komplexität von Systemen auf die Cybersicherheit? Damit befasst sich eine Studie, die u.a. auch eine Einschätzung von Führungskräften hinsichtlich des Anstiegs von bestimmten Angriffsszenarien und meldepflichtigen Vorfällen enthält.

zurück zum Inhaltsverzeichnis

5.5 Stand von eGovernment

Was ist Ihre Einschätzung des aktuellen Entwicklungsstandes von eGovernment in Deutschland? Die Digitalisierung des Staates geht nur schleppend voran und bleibt weit hinter den Entwicklungen in Wirtschaft und Privatleben zurück? Digitale Verwaltungsleistungen unterscheiden sich deutlich zwischen den Bundesländern? Große Infrastrukturprojekte der Verwaltung wie die Behördennummer 115 oder der Online-Ausweis erreichen die BürgerInnen nicht? Sie kennen aber viele Leute, die mehr mit digitaler Technologie mit Behörden interagieren wollen? Dann hätte man sich die aktuelle Studie von D21 auch sparen und einfach Sie fragen können: Denn genau das sind deren Ergebnisse.

Franks Nachtrag: Wenn Sie sich intensiver mit dem Thema E-Government aus Datenschutz-Sicht beschäftigen wollen, darf ich Ihnen die aktuelle DANA (siehe PM vom 08.10.2021) empfehlen.

zurück zum Inhaltsverzeichnis

5.6 Datensammeln durch Smartphones

Sie haben ein Android-Smartphone und kein Google-Handy, weil Sie den Datenabzug minimieren wollen? Aufgemerkt: Forscher aus Dublin stellen aber auch hier regen Datenaustausch fest. Details hier.

zurück zum Inhaltsverzeichnis

5.7 Veranstaltungen

5.7.1 Datenschutztalk mit Edward Snowden und Max Schrems

26.10.2021, ab 10:00 Uhr, natürlich geht es vor allem um die Datenverarbeitung in den USA, Teilnahme kostenlos, Anmeldung erforderlich.

5.7.2 Das neue TTDSG – Cookie-Einwilligungen und Behördenzuständigkeiten

02.11.2021, 10:00 – 11:00 Uhr, mit Carlo Piltz und dem BayLDA, eine Veranstaltung von OneTrust, Teilnahme kostenlos, Anmeldung erforderlich.

5.7.3 DatenTag der Stiftung Datenschutz: Das TTDSG und neue Wege zum Einwilligungsverwaltung

03.11.2021, 13:30 – 19:30 Uhr, „Zum Dezember wird das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien, kurz TTDSG, in Kraft treten. Was diese nachträgliche Umsetzung der ePrivacy-Richtlinie für den Umgang mit Cookies bedeutet, klären wir mit Akteuren aller Seiten in unserem DatenTag am 3. November.“, Teilnahme kostenlos, Anmeldung erforderlich.

Franks Anmerkung: Schon wieder eine IRL. Beginnt dann bereits um 12:30 Uhr…

5.10.4 Der neue § 25 TTDSG – Anwendungsbereich, Ausnahmen von der Einwilligungspflicht und behördliche Zuständigkeiten

04.11.2021, 11:00 – 12:00 Uhr, mit Carlo Piltz und der Niedersächsischen Aufsichtsbehörde, Teilnahme kostenlos, Anmeldung erforderlich.

Wer am 02.11.2021 und am 04.11.2021 keine Zeit hat, Carlo Piltz gibt es auch im Podcast des Heise-Verlages Auslegungssache 49: Das TTDSG – Alter Datenschutz in neuen Schläuchen?

zurück zum Inhaltsverzeichnis

6 Gesellschaftspolitische Diskussionen

6.1 Sicherheitscenter für Familien

Laut Umfragen wünschen sich Eltern Unterstützung bei der Medienerziehung ihrer Kinder. Eine neue Plattform steht mit Tipps & Infos zur Seite.
Freiwillige Selbstkontrolle Multimedia-Diensteanbieter e.V. (FSM), Deutschland sicher im Netz (DsiN), klicksafe, fragfinn.de, Nummer gegen Kummer und eco – Verband der Internetwirtschaft e.V sind alle mit dabei und stellen Materialien zur Verfügung. Wer sich nicht daran stört, dass die Seite von Google betrieben wird und dass Googles normales Datenschutzgedöns zur Anwendung kommt, kann auf der Plattform zu allen möglichen Themen fündig werden.

zurück zum Inhaltsverzeichnis

6.2 Teslas Datenspeicher geknackt

Sollten Sie mit einem Tesla einen Unfall haben, ist es nun möglich alle Daten auszulesen, nicht nur die paar, die Ihnen Tesla zugesteht. Laut einem Bericht konnte in den Niederlanden die Verschlüsselung geknackt werden mit dem positiven Ergebnis, dass die Fahrzeugprotokolle „sehr genau“ waren, mit Abweichungen von weniger als einem Kilometer pro Stunde. Nun sind damit genauere Unfallanalysen möglich. In einem Fall konnte festgestellt werden, dass der Fahrer vor einem Auffahrunfall rechtzeitig reagierte, aber dass vorher der Folgeabstand durch den Autopiloten zu kurz war. Wer wird nun haften?

Franks Nachtrag: Ah, also mal nicht nur die fahrende Person verpfeifen?

zurück zum Inhaltsverzeichnis

6.3 Überwachung über Schullaptops

Endlich kommt die Digitalisierung an den Schulen etwas voran. Die Entwicklung kann aber auch Schattenseiten haben. In den USA wurde Schüler:innen, die kein eigenes Notebook haben, eines gestellt. Allerdings erfassten einige der Programme sogar private Chats, E-Mails oder Dokumente, wie berichtet wird. Viele der Schüler nutzen die Google-Accounts, die sie schulisch angelegt bekommen, auch privat: Die Schulen können aber weiterhin sämtliche dieser Informationen einsehen und begründen das damit, dass auf diese Weise Mobbing oder Depressionen erkannt werden sollen – und die Erwachsenen dann handeln könnten.

zurück zum Inhaltsverzeichnis

6.4 Relativierte Aussage zur Nutzung von Microsoft 365 an Schulen?

(Dieser Beitrag ist insgesamt ein Nachtrag von Frank)
Apropos Digitalisierung von Schulen – Die LDI NRW soll ihre laut diesem Bericht im aktuellen Tätigkeitsbericht getroffene Aussage zur Nutzung von Microsoft 365 an NRWs Schulen relativiert haben.
Meine Gedanken dazu? Die zitierte Aussage finde ich im aktuellen Tätigkeitsbericht der LDI NRW nicht. Aber vielleicht suche ich nur falsch? Auch die begleitende Presseerklärung der LDI NRW kann m.M.n. da nicht als Zitate-Quelle dienen…
Die im verlinkten Artikel benannte Studie beinhaltet lustige Aussagen: „Die bundeseinheitliche Schulcloud, wie sie von der Bundesregierung angestrebt wird, ist demnach kaum zu realisieren. Das dürfte auch für zentrale Plattformen einzelner Bundesländer gelten. Der Grund ist einfach: Es gibt längst gut funktionierende nicht-staatliche Lösungen, die von Schulen genutzt werden.“ und „Schließlich haben viele Schulträger schon eine Menge Geld in ihre digitale Infrastruktur investiert.“
Also, weil es a) ja „gut funktionierende“ nicht-staatliche Lösungen gibt und b) die Schulträger bereits viel Geld in nicht-Schrems-2-konforme Lösungen investiert haben, kann die Nutzung von Microsoft 365 kein Problem sein? Hätte das doch mal jemand dem EuGH vor seinem Urteilsspruch vom Juli 2020* gesagt! WIr hätten doch alle viel weniger Stress!
Aber vielleicht hat der Auftraggeber der Studie auch nur eigene Interessen?

* Franks Anmerkung: (Bei meinem eigenen Beitrag? Ja!) Siehe 2.2 im letzten Satz.

zurück zum Inhaltsverzeichnis

7 Sonstiges/Blick über den Tellerrand

7.1 Privacy-Features in iOS 15

Mobilsicher erklärt wieder Aktuelles in einem Video, diesmal die Möglichkeiten der Einstellungen in der aktuellen Fassung des Apple Betriebssystems, wie z.B. den App-Sendeaufzeichnungsbericht.

Franks Nachtrag: Ich vermisse die peertube-Variante…

zurück zum Inhaltsverzeichnis

7.2 Bewertungen von mobilsicher und das Recht

In dieser Blog-reihe berichten wir ja gelegentlich über Bewertungen einzelner Apps durch mobilsicher. Hier ist eine Erklärung von mobilsicher, wie es sich mit deren Bewertungen unter rechtlichen Gesichtspunkten verhält.

zurück zum Inhaltsverzeichnis

8. Franks Zugabe

8.1 Cybersecurity – The PrintNightmare Saga

Wir hatten ja PrintNightmare schon an der einen oder anderen Stelle erwähnt…
Es gibt eine ausführlichere Darstellung der Ursache, der „generischen Kategorie von Schwachstellen im Druckerspooler“. Spannende Bewertung von Microsofts Umgang mit der Problematik PrintNightmare, wenn auch schon älter.

zurück zum Inhaltsverzeichnis

8.2 Knapp 100 Abmahnungen wegen Cookie-Bannern

Wir hatten ja im September-Blog-Beitrag darüber berichtet, dass der EDSA eine Taskforce für Beschwerden zu Cookie-Bannern eingerichtet hat.
Auch der vzbv ist im September zu mangelhaften Cookie-Bannern aktiv geworden und hat knapp 100 Unternehmen abgemahnt.
Ach ja, noyb hatte schon im August Beschwerden zu Cookie-Bannern eingereicht. Das waren auch ein paar

zurück zum Inhaltsverzeichnis

8.3 KI erkennt Ethnie anhand von medizinischen Abbildungen

Auch diese Meldung ist noch aus der Queue, aber lesenswert: Wer hätte erwartet, dass KI aus medizinischen Bildern (z.B. Röntgenbildern) die Ethnie ableiten kann? Nun, scheinbar haben manche dazu schon eine Studie verfasst.

zurück zum Inhaltsverzeichnis

8.4 Apropos Cookie-Banner

Cookie-Paywalls werden nicht so gern gesehen. noyb hat im August Beschwerden zu Cookie-Paywalls von sieben großen Medienunternehmen aus Deutschland und Österreich bei den zuständigen Aufsichtsbehörden eingereicht.

zurück zum Inhaltsverzeichnis

8.5 Cybersecurity – Das Twitch-Debakel

Das war dann mal ein größerer Datenabfluss bei Twitch. Hier wird es ausführlicher dokumentiert.

zurück zum Inhaltsverzeichnis

8.6 Apropos ungesichert online

Ich fand es schon immer eher nicht so gut, Daten von Waerables und Health-Apps unreflektiert zu teilen. Scheinbar zu Recht.

zurück zum Inhaltsverzeichnis

8.7 Datenschutz und Transparenz bei deutschen Kontaktverfolgungs-Apps

Die Civil Liberties Union For Europe hat dazu eine Studie erstellen lassen. Das Ergebnis? Ernüchternd. Hier gibt es die komplette Studie.

zurück zum Inhaltsverzeichnis

8.8 Warum MFA erklärt werden muss…

Hier geht es zur Zusammenfassung durch Bruce Schneier, hier gibt es den ausführlichen Artikel.
Und hier das tl;dr:
Wenn Nutzer nicht wissen, wann sie einer MFA-Abfrage zustimmen sollen, dann hat irgendjemand es ihnen wahrscheinlich nicht gut genug erklärt und die zusätzliche Sicherheit ist damit futsch…

zurück zum Inhaltsverzeichnis

8.9 Pegasus? Wer oder was war noch mal Pegasus?

Der betroffene Reporter hat Pegasus gekannt (wir ja auch). Hat ihm aber trotzdem nicht geholfen, dass er bereits darüber berichtet hatte

zurück zum Inhaltsverzeichnis

8.10 Update zu beA

Mit dem beA hatten wir uns ja auch schon beschäftigt. Es gibt auch dazu ein Update – „Das Licht am Ende des Tunnels? Es ist der Zug.“ Na, das läuft ja…

zurück zum Inhaltsverzeichnis