Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 43-45/2022)“
Hier ist der 54. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 43-45/2022)“.
- Aufsichtsbehörden
- EDPS: Hinweise und Ansprechpartner zur Cybersicherheit
- Spanien: Tool zur Prüfung einer Datenpannenmeldung
- Icons der Aufsichtsbehörden
- EDPB: Guideline 8/2022 zur zuständigen Aufsichtsbehörde
- Norwegen: Zugang einer Beschwerde
- LfDI BW: Einbindung von Videos auf Webseiten
- Google Fonts
- BfDI löscht Twitter-Account
- BayLDA: Fotografieren von Falschparkern
- BfDI: Rechtskonforme Gestaltung des e-Rezepts
- Spanien: Pakethinterlegung ohne Einwilligung
- LfD Bayern: Hinweise zu hybriden Briefen
- Rechtsprechung
- EuGH: Schlussanträge zur Auslegung des Zugangs zu IP-Adressen
- EuGH: Suchmaschinenbetreiber sind über Löschungsantrag zu informieren
- Klage der GFF gegen Software zur Prüfungskontrolle
- ArbG Heilbronn: Kündigung eines DSB
- VG Aachen: Begrifflichkeit des Betriebs- und Geschäftsgeheimnisses
- LG Köln: Anforderungen an Online-Kündigungsmöglichkeiten
- BGH: Zugang einer E-Mail
- BGH: Vorlage zum EuGH: Verbraucherschutz und Art. 13 DS-GVO
- Sozialgericht Berlin: Sicherheit der Verarbeitung
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Abmahnungen zu Google Fonts
- US-Datentransfer und TIA
- Unzureichende IT-Sicherheit in Kommunen
- Hinweisgeberschutz und NDAs
- Datenrealpolitik – Datenökosysteme, Datenrecht, Datendiplomatie
- Fernmeldegeheimnis bei Privatnutzung dienstlicher E-Mails?
- Veranstaltungen
- ITeG Ringvorlesung 2022/2023
- Datenschutz im Spannungsfeld zwischen Gemeinwohl und Privatheit
- Daten-Dienstag: Künstliche Intelligenz und Gesundheitsdaten
- BfDI: Symposium „Gesundheitsforschung trifft Datenschutz“
- Stiftung Datenschutz – DatenTag: Anonymisierung von Daten
- Veranstaltungsreihe „Gespräche zu Recht und Digitalisierung“ in Trier werden fortgesetzt
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- IT-Angriff auf Schulen durch Phishing-Attacke
- Förderrichtlinie in Sachsen zum Einstieg in die digitale Arbeitswelt
- Covid-19-Wahrscheinlichkeits-Rechner
- Kreative Pausen
- Beobachtungstechnologien im Bereich der zivilen Sicherheit
- Raw & Uncut: 11 Minuten Medienpädagogik
- Neues NGO zum Schutz von Kindern und Jugendlichen im Netz
- Franks Zugabe
- Doppelt hält besser?
- Datenreichtum…
- Die Entcyberung des Cyberwar
- Mal wieder ein App-Check – Was letzte Preis?
- KI kann ganz schön brutal sein
- Einschätzung des Sterberisikos per Smartphone
- Cybersecurity I – Apple patcht nur noch die aktuellste OS-Version?
- Cybersecurity II – Fieser Bug im Google-Pixel-Sperrbildschirm
- IBAN-Tracking?
- Tipps für den Notfall aus dem Kreis Warendorf – nach Bild.de
- Mit WLAN durch Wände schauen?
- Phishing-Resistant MFA Does Not Mean Un-Phishable
- Die gute Nachricht zum Schluss
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDPS: Hinweise und Ansprechpartner zur Cybersicherheit
Der Europäische Datenschutzbeauftragte veröffentlichte Informationen zur Cybersicherheit anlässlich des Cybersecurity Monats Oktober. Daraus finden sich verlinkt Informationen zu Ansprechpartnern und Meldestellen innerhalb Europas wie auch zur Vorgehensweise bei einem Verschlüsselungsangriff.
1.2 Spanien: Tool zur Prüfung einer Datenpannenmeldung
Die spanische Datenschutzaufsicht hat ein Onlinetool zur Prüfung der Meldepflicht einer Datenpanne veröffentlicht. Es ist auch auf Englisch verfügbar*.
* Franks Anmerkung: Da der ursprünglich hier vorgesehene Link mal wieder einen nur kurz gültigen Zeitstempel zu enthalten scheint, passierte es wiederholt, dass der Link auf einen Timeout lief. Deswegen folgender Workaround:
Wenn Sie wie ich nicht wirklich des Spanischen mächtig sind, klicken Sie trotzdem auf den oben angegebenen Link zum spanischen Tool, dort steht unten im Text ein Link auf „Enlace a la herramienta“. Wenn Sie diesem folgen (und aufs spanische Tool kommen), können Sie dort auf die englische Version umschalten.
1.3 Icons der Aufsichtsbehörden
Nach dem der LfDI BW nun seine Vorschläge für Bildsymbole für die Umsetzung von Informationspflichten eingebracht hat, hier nochmal zur Erinnerung die Verlinkung auf weitere Möglichkeiten. Zum Beispiel aus der Schweiz oder die Ergebnisse einer Aktion der italienischen Aufsicht aus dem Jahr 2021. Daneben haben auch größere Unternehmen bereits eigene Bildsymbole entwickelt. Letztendlich wäre es immer noch schön, wenn die EU-Kommission die Gestaltungsspielräume, die sie sich selbst über Art. 12 Abs. 8 DS-GVO zugesprochen hat, auch nutzen würde.
1.4 EDPB: Guideline 8/2022 zur zuständigen Aufsichtsbehörde
Der Originaltitel lautet Guideline 8/2022 on identifying a controller or processor’s lead supervisory authority und beinhaltet Änderungen für den Fall der gemeinsamen Verantwortlichkeit. Die Änderungen sind markiert und Hinweise können bis zum 2. Dezember 2022 an den EDPB gegeben werden.
1.5 Norwegen: Zugang einer Beschwerde
In diesem Bescheid der norwegischen Datenschutzaufsicht führt diese aus, wann eine E-Mail an den CEO eines Unternehmens nicht unbedingt eine Frist zur Beantwortung eines Auskunftsbegehrens auslöst. Hier wird der Bescheid besprochen.
1.6 LfDI BW: Einbindung von Videos auf Webseiten
Der LfDI BW hat Hinweise zur Einbindung von Videos auf Webseiten veröffentlicht. Die Handreichung umfasst sowohl den Umgang mit eigenen wie auch mit fremden Videos, Ausführungen zum TTDSG und den Datenschutz bei Videos selbst.
1.7 Google Fonts
Jetzt äußern sich auch vermehrt Datenschutzaufsichtsbehörden wie in Thüringen, Sachsen, Sachsen-Anhalt und Hessen zu den aktuell erfolgenden Abmahnungen aufgrund der Einbindung von Schriftarten, die aus dem Internet nachgeladen werden. (Beachten Sie zu Google Fonts auch 5.1).
Hervorheben möchte ich zu dieser Thematik diesen Beitrag, der sich kritisch und substantiiert mit der grundlegenden Annahme des Personenbezugs von IP-Adressen befasst. Jetzt werde ich auch diesen Satz mal wieder los: „Es kommt eben darauf an…“. Denn auch zu diesem Thema gibt es Darstellungen, die zu einem anderen Ergebnis kommen. Und dabei möchte ich auf die feine Unterscheidung hinweisen: „sind potenziell“ – also andere Bewertungen sind nicht ausgeschlossen. Um das Thema auch gleich „rund“ zu machen, hier noch Ausführungen zum Einbinden von Chatbots.
1.8 BfDI löscht Twitter-Account
Viele diskutieren es: Soll Twitter verlassen werden, weil die Aktivitäten des neuen Eigentümers nicht gefallen? Während in Unternehmen oft noch das Übliche „Der Zweck heiligt die Mittel“ vorherrscht, berichtet der BfDI, dass er den offiziellen Account gelöscht hat. Er ist aber auf Mastondon.
Infos zum Umzug auf Mastodon brachten wir bereits im April.
Auch andere zeigen aktuell wieder Umzugshilfen auf.
1.9 BayLDA: Fotografieren von Falschparkern
Darf ich falsch parkende Autos fotografieren und die Bilder im Rahmen eine Meldung an die Polizei geben? Was ist dabei zu beachten und welche Grenzen dazu gibt es? Darum ging es in einem Verfahren vor dem VG Ansbach, das sich mit Verwarnungen des BayLDA befasste und diese aufhob. Ist das nun die Aufforderung zum Denunziantentum und was muss ich beachten, wenn ich Ordnungswidrigkeiten melden möchte? Das BayLDA kündigte in seiner Pressemeldung dazu an sich diesbezüglich auch zu äußern, wenn die schriftliche Fassung des Urteils vorliegt.
1.10 BfDI: Rechtskonforme Gestaltung des e-Rezepts
In seiner Pressemitteilung macht der BfDI deutlich, dass und wie eine Gestaltung eines e-Rezeptes rechtskonform durchgeführt werden könne. Mit dieser Fragestellung ging nach Ansicht der KZBV zu viel Zeit verloren.
1.11 Spanien: Pakethinterlegung ohne Einwilligung
In Spanien bekam ein Postdienst nach dieser Darstellung ein Bußgeld in Höhe von 70.000 Euro, weil ohne ausreichende Einwilligung des Adressaten eine Sendung beim Nachbarn abgegeben wurde. Der Bescheid setzt sich auch mit der Frage auseinander, wer dafür die verantwortliche Stelle sei.
1.12 LfD Bayern: Hinweise zu hybriden Briefen
Der LfD Bayern hat Hinweise zum Versand hybrider Briefe durch bayerische öffentliche Stellen veröffentlicht. Seine Kernaussagen fasst er wie folgt zusammen: Bayerische öffentliche Stellen dürfen grundsätzlich auch per Hybridbrief kommunizieren; allerdings kann neben den allgemeinen datenschutzrechtlichen Vorgaben auch das Fachrecht hier Grenzen setzen. Ein Teil der Dienstleistung eines Hybridbrief-Anbieters wird typischerweise im Rahmen einer Auftragsverarbeitung erbracht; der Auftraggeber muss sich seiner Pflichtenstellung bewusst sein und diese aktiv gestalten. Dies gilt auch hinsichtlich der Implementierung der nötigen technisch-organisatorischen Maßnahmen, insbesondere, was die regelmäßige Löschung von Adress- und Inhaltsdaten bei Dienstleistern betrifft.
2 Rechtsprechung
2.1 EuGH: Schlussanträge zur Auslegung des Zugangs zu IP-Adressen
Es geht in diesem Verfahren um die Zulässigkeit der Speicherung von IP-Adressen und der Zuordnung zu den Nutzenden, um Urheberrechtsverletzungen zu verfolgen. Der Generalanwalt vertritt dabei in seinem Schlussantrag, dass eine nationale Behörde auf Identitätsdaten zugreifen dürfen müsste, die mit IP-Adressen verknüpft sind, wenn diese Daten den einzigen Anhaltspunkt darstellen, um die Identität der Inhaber dieser Adressen, die der Urheberrechtsverletzungen verdächtigt werden, zu ermitteln.
2.2 EuGH: Suchmaschinenbetreiber sind über Löschungsantrag zu informieren
Der für die Verarbeitung personenbezogener Daten Verantwortliche ist verpflichtet angemessene Maßnahmen zu ergreifen, um Suchmaschinenanbieter über einen Löschungsantrag der betroffenen Person zu informieren. Dazu muss er entsprechende Prozesse implementieren. Im Verfahren des EuGH unter Beteiligung des belgischen Anbieters Proximus ging es um die Löschung der Angaben aus öffentlichen Telefonverzeichnissen. Hier muss die Gesellschaft, die dazu Daten an andere weitergibt, auch dafür sorgen, dass diese über Löschanträge der betroffenen Person informiert wird. Bevor die Daten veröffentlicht werden, müssen die Kunden einwilligen. Durch diese Einwilligung könnten dann zwar auch andere Unternehmen die Daten verarbeiten, sofern damit der gleiche Zweck verfolgt wird (RN 45 ff). Genauso müsse es aber auch ausreichen, dass nur ein einziges Mal die Einwilligung widerrufen würde. Dabei sei es unerheblich gegenüber wem, ob gegenüber dem eigenen Anbieter oder einem der anderen Unternehmen, die die Daten verwenden. Der EuGH zitiert dazu Art. 7 Abs. 3 DS-GVO, nach dem es für die betroffenen Person ebenso leicht sein muss einen Widerruf zu widerrufen wie zu erteilen (RN 87). Die Telefonanbieter seien dann verpflichtet den Widerruf weiterzuleiten und dafür zu sorgen, dass die Daten gelöscht werden.
2.3 Klage der GFF gegen Software zur Prüfungskontrolle
Wie wird bei Online-Prüfungen an Universitäten sichergestellt, dass die Studierenden die Beantwortung alleine und ohne unerlaubten Hilfsmittel durchführen? Klar, Videoüberwachung und Spysoftware, dachte sich eine Hochschule. Ob das eine gute Idee sei, will nun die Gesellschaft für Freiheitsrechte (GFF) gerichtlich klären lassen. Der Pressemeldung zufolge sei dadurch nicht nur eine unangemessene Beeinträchtigung der Privatsphäre, sondern auch ein IT-Sicherheitsrisiko bezogen auf die privaten IT-Geräte entstanden.
2.4 ArbG Heilbronn: Kündigung eines DSB
Die fristlose Kündigung des Arbeitsverhältnisses eines Datenschutzbeauftragten aufgrund reiner Amtspflichtverletzungen ist nach Systematik sowie Sinn und Zweck von § 6 Abs. 4 BDSG nach einem Urteil des ArbG Heilbronn unwirksam. Eine reine Verletzung der Pflichten als Datenschutzbeauftragter könne grundsätzlich nur seine Abberufung nach § 6 Abs. 4 S. 1 BDSG rechtfertigen. Der Arbeitgeber stützte sich bei seiner Kündigung auf Versäumnisse in der Umsetzung des Datenschutzes in seinem eigenen Verantwortungsbereich. Originell: Der Arbeitgeber bezog sich bei seiner Begründung auf Unzulänglichkeiten im Datenschutzmanagement, die durch eine Wirtschaftsprüfergesellschaft zusammengestellt wurden, für die aber nach dem Gesetz nicht der DSB, sondern die Unternehmensleitung die Verantwortung trägt.
2.5 VG Aachen: Begrifflichkeit des Betriebs- und Geschäftsgeheimnisses
Es ist aktuell kein eigentliches Thema aus dem Datenschutz – sondern aus der Informationsfreiheit. Da wir aber noch nicht ganz wissen, was kommt als Ausschlussgrund der Preisgabe nach dem Data Act auf uns zu, hier mal eine Aussage des VG Aachen zu Betriebs- und Geschäftsgeheimnissen, die einem Informationsanspruch als zwingender Versagungsgrund entgegenstehen (ab RN 112 des Urteils).
2.6 LG Köln: Anforderungen an Online-Kündigungsmöglichkeiten
In dem Verfahren ging es darum, dass das Unternehmen verlangte, dass sich Kunden (Verbraucher) vor der Ausübung einer Kündigungsmöglichkeit erst in ihr Kundenkonto einloggen mussten. Im einstweiligen Verfügungsverfahren wurde dem Unternehmen dies nun untersagt. Es müsse ausreichen, dass weitere Identifizierungsmerkmale wie Wohnanschrift, E-Mailadressen und dergleichen angewendet werden.
2.7 BGH: Zugang einer E-Mail
Der BGH stellte in einem Urteil fest: Wird eine E-Mail im unternehmerischen Geschäftsverkehr innerhalb der üblichen Geschäftszeiten auf dem Mailserver des Empfängers abrufbereit zur Verfügung gestellt, ist sie dem Empfänger grundsätzlich zu diesem Zeitpunkt zugegangen. Dass die E-Mail tatsächlich abgerufen und zur Kenntnis genommen wird, ist für den Zugang nicht erforderlich.
Also empfiehlt es sich, bei längeren Abwesenheiten einen Assistenten einzurichten, damit Fristen nicht verpasst werden, oder Kolleg:innen den Einblick in das Postfach für den Vertretungsfall zu gewähren.
2.8 BGH: Vorlage zum EuGH: Verbraucherschutz und Art. 13 DS-GVO
Der BGH will nach seiner Pressemitteilung nun klären lassen, ob Verbraucherschutzverbände auch berechtigt sind die Informationen nach Artt. 13, 14 DSGVO wettbewerbsrechtlich überprüfen lassen zu dürfen. Die letzte Entscheidung des EuGH zu diesem Thema befasste sich noch nicht mit dieser konkreten Fragestellung. Ausgangspunkt ist die Frage, ob die Gestaltung des Buttons „Sofort Spielen“ auf der Plattform Facebook durch Meta die Anforderungen an eine Einwilligung nach der DS-GVO berücksichtigt. Verbraucherschutzverbände dürften nach Art. 80 Abs. 2 DS-GVO mutmaßliche Verletzungen „infolge einer Verarbeitung“ bemängeln. Der EuGH soll nun klären, ob dies auch bei mutmaßlichen Verstößen gegen die Informationspflicht besteht.
2.9 Sozialgericht Berlin: Sicherheit der Verarbeitung
In einem Verfahren am Sozialgericht Berlin geht es nach diesem Beitrag um die Zulässigkeit der zentralen Zusammenführung von Gesundheitsdaten und um die dabei verwendeten Schutzmaßnahmen. Behandelt werden dabei auch Fragen der Pseudonymisierung und Anonymisierung.
3 Gesetzgebung
3.1 Digital Service Act
Die Verordnung (EU) 2022/2065 des Europäischen Parlaments und des Rates vom 19. Oktober 2022 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG (Gesetz über digitale Dienste) wurde im Europäischen Amtsblatt veröffentlicht. Sie gilt ab dem 17. Februar 2024. Sie ist bekannter unter dem Namen Digital Service Act. Beachten Sie in diesem Zusammenhang auch 3.5.
3.2 Digital Markets Act
Für wen gilt er, ab wann gilt er und ab wann kommt er zur Anwendung? Alles nachzulesen in diesem Beitrag einer Kanzlei.
3.3 BMJ: Vorratsdatenspeicherung
Wie könnte ein erneuter Versuch aussehen auf Kommunikationsdaten bei Verdacht auf Strafdaten zuzugreifen, ohne dass Millionen von sensiblen Daten anderer Bürger auf Vorrat gespeichert werden? Das BMJ hat sich hierzu Gedanken gemacht: Verkehrsdaten mit möglichem Bezug zu Straftaten sollen danach durch die Provider bis zu einem Monat lang gespeichert werden, damit diese von Ermittlungsbehörden genutzt werden können. Ob das den Ermittlungsbehörden reicht, wird sich in der Diskussion zeigen.
3.4 EU Chatkontrolle
Laut dieser Meldung will der Rat der EU, dass Internet-Provider vermehrt Websites sperren und Anbieter von Suchmaschinen Ergebnisse entfernen sollen. Die tschechische Ratspräsidentschaft nenne diese Vorschläge „Kompromiss“.
Franks erste Anmerkung: Warum liest denn keiner die Stellungnahme des EU-Ausschusses für Regulierungskontrolle oder die Analyse des Wissenschaftlichen Dienstes des Deutschen Bundestages?
Franks zweite Anmerkung: Die Österreicher sehen das mit der Chatkontrolle anders. Dem CCC gefällts…
3.5 Digital Service Act, die zweite
Hier finden Sie eine Darstellung und Analyse der am 27.10.2022 veröffentlichten finalen Fassung des Digital Service Acts.
3.6 UK: Änderung der Datenschutzgesetze?
Bei all den Meldungen aus dem Vereinigten Königreich wundert einen fast nichts mehr. So auch eine Berechnung, welche Kosten die Umsetzung der DS-GVO verursacht, die als weitere Begründung für eine Änderung der datenschutzrechtlichen Grundlagen herangezogen wird.
3.7 Schweden: Aufsichtsbehörden müssen Beschwerden nachgehen
„Kann ich nicht“ heißt „Will ich nicht“. Oder so ähnlich. In Schweden stellte ein Verwaltungsgericht nach dieser Meldung fest, dass eine Aufsichtsbehörde auf Beschwerden reagieren muss. Eigentlich nichts Neues. Dort schaffte es die Aufsichtsbehörde innerhalb von sechs Monaten nicht eine Entscheidung zu treffen. In Deutschland wäre nach drei Monaten „Nichtstun“ eine Untätigkeitsklage möglich, aber es gibt keinen Anspruch auf eine bestimmte Entscheidung, dies muss die Behörde dann nach den allgemeinen Ermessensgrundsätzen entscheiden.
3.8 Biometrische Überwachung im AI Act
24 Organisationen haben nach dieser Meldung in einem offenen Brief an die Bundesregierung diese aufgefordert sich auf europäischer Ebene für ein Verbot biometrischer Überwachung einzusetzen. Im AI Act sei diesbezüglich nur ein aufgeweichtes Verbot vorgesehen.
4 Künstliche Intelligenz und Ethik
4.1 USA: Vorstellungen zum EU AI Act
Berichten zufolge wünschen sich die USA beim EU AI Act zur Künstlichen Intelligenz, dass die Definition enger gefasst werden würde, es mehr Ausnahmen geben möge und eine individualisierte Risikobewertung geregelt würde. Aber solange die Europäer nicht mal selbst wissen, was sie eigentlich wollen…
4.2 UK: AI Standards Hub
Im Vereinigten Königreich wird nach dieser Meldung eine Initiative für einen Standard für Künstliche Intelligenz gestartet.
Diese Initiative, der AI Standards Hub („Hub“), wird als Zusammenarbeit zwischen dem Alan Turing Institute, der British Standards Institution und dem National Physical Laboratory in Partnerschaft mit der britischen Regierung umgesetzt, um bei der Entwicklung von Standards führend zu sein, die in allen Sektoren und Gerichtsbarkeiten verwendet werden können.
4.3 USA: AI Zertifizierung
Das Responsible Artificial Intelligence Institut (RAII) in den USA bietet eine Zertifizierung an, um damit als kritische Ergänzung zu Gesetzen und Vorschriften dienen zu können. Die RAII-Zertifizierungs-Beta wurde auf der Grundlage umfangreicher Forschungen zu globalen Prinzipien, Rahmenbedingungen und Praktiken für verantwortungsvolle KI entwickelt.
4.4 Ethische Leitlinien für Lehrkräfte
Diese sollen bei der Nutzung von KI und Daten für Lehr- und Lernzwecke helfen und wurden durch die EU-Kommission in Luxemburg veröffentlicht. Auch findet sich ein Glossar, Ausführungen zu den rechtlichen Rahmenbedingungen, Kernanforderungen an eine vertrauenswürdige KI sowie Leitlinien für Lehrkräfte und Schulleitungen.
4.5 Vertrauen und Misstrauen in KI
Die Bewertung der Nutzung von KI scheint sich nach diesem Beitrag in zwei Pole aufzuteilen: Blindes Vertrauen oder uneingeschränkte Aversion. Auch hier kommt es auf eine „gesunde“ Mischung an.
4.6 KI und Gesundheitsdaten
Welche Fragestellungen sind beim Einsatz von KI im Gesundheitswesen zu beachten? Problembeschreibungen und Leitplanken finden Sie dazu in diesem Beitrag einer Kanzlei.
4.7 Italien: KI und „Steuersünder“
Hier lesen Sie über den Einsatz von KI in Italien zum Aufspüren von Steuerlöchern bei Barzahlungen. In diesem Jahr verabschiedete das Ministerium für Wirtschaft und Finanzen ein Dekret, das die italienische Steuerbehörde ermächtigt einen neuen Algorithmus einzuführen, der Finanzdaten abgleicht, um Steuerzahler zu identifizieren, die Gefahr laufen nicht zu zahlen. Mal sehen, wie sich der Einsatz von KI in diesem Bereich datenschutzkonform darstellen lässt, es kann aber auch sein, dass die neue Regierung hier nachsichtiger agiert.
5 Veröffentlichungen
5.1 Abmahnungen zu Google Fonts
Die derzeitigen Aktivitäten einiger Webseitenbesucher, deren traumatischen Erlebnisse danach und die willfährigen Unterstützungen durch Kanzleien sorgen dafür, dass in Deutschland und Österreich aktuell Webseitenbetreiber die Einbindung von Google Fonts überprüfen und gegebenfalls korrigieren. Es gibt auch etliche gute bis sehr gute pauschale Hinweise, wie zu reagieren sei, wichtig dabei aberist: Mögliche Schreiben genau lesen und bestenfalls professionelle Hilfe in Anspruch nehmen. Sollten im Rahmen von Abmahnungen auch Auskünfte gefordert werden sind diese sorgfältig und fristgerecht zu beantworten. Ist die Person bis dahin unbekannt, sollte bedacht werden, dass bei einer sogenannten Negativauskunft dann die Datenverarbeitung im Rahmen des Auskunftsbegehrens ausgenommen wird. Weitere Infos finden Sie hier und dort und es finden sich sogar Formulierungshilfen.
Beachten Sie auch 1.7.
5.2 US-Datentransfer und TIA
Das „Transfer Impact Assessment“-Tool nach David Rosenthal wurde um die Erkenntnisse aus der Executive Order ergänzt und aktualisiert.
5.3 Unzureichende IT-Sicherheit in Kommunen
Sind die Daten der Bürgerinnen und Bürger bei ihren Kommunen sicher? Folgt man den Ausführungen aus diesem Blogbeitrag, ist es damit nicht weit her. Teilweise waren Zugriffe auf Daten und Mailpostfächer möglich.
5.4 Hinweisgeberschutz und NDAs
Wie wirken sich Regelungen zum Hinweisgeberschutz auf abgeschlossenen NDAs aus? NDA steht für Non Disclosure Agreement und bedeutet im deutschen Vertraulichkeitsvereinbarung, klingt aber globaler. Damit befasst sich dieser Beitrag.
5.5 Datenrealpolitik – Datenökosysteme, Datenrecht, Datendiplomatie
Dazu wurde ein Beitrag veröffentlicht, der nun auch frei zugänglich ist. Spannend zu lesen!
5.6 Fernmeldegeheimnis bei Privatnutzung dienstlicher E-Mails?
Mit dieser Fragestellung befasst sich dieser veröffentlichte Beitrag. Und noch mehr, er liefert auch Antworten und zudem Lösungsvorschläge.
5.7 Veranstaltungen
5.7.1 ITeG Ringvorlesung 2022/2023 – Konzept der „digitalen Selbstbestimmung“
16.11.2022, ab 17:00 Uhr: Mehr Freiheiten, aber auch mehr Fremdbestimmung? Überlegungen zu einem Konzept der „digitalen Selbstbestimmung“ Weitere Infos und Link zur Veranstaltung hier.
Über die ganze Reihe der Ringvorlesungen informieren Sie sich bitte hier.
5.7.2 Datenschutz im Spannungsfeld zwischen Gemeinwohl und Privatheit
21.11.2022, 18:00 – 20:00 Uhr: Die Kölner Forschungsstelle für Medienrecht lädt zu einem Online-Symposium ein. Es geht bei dem Titel um ein Digitalisierungsrecht für das 21. Jahrhundert. Kommentatoren der DS-GVO diskutieren dazu mit einem BGH-Richter. Die Kommentatoren habe bereits auch in der FAZ ihre Ansichten veröffentlichen dürfen, jetzt auch zum Zuhören. Weitere Infos und Link zur Veranstaltung hier.
5.7.3 Daten-Dienstag: Künstliche Intelligenz und Gesundheitsdaten
22.11.2022, 19:00 – 20:30 Uhr: Es referiert Prof. Dr. Peter Dabrock, Professor für Systematische Theologie (Ethik) am Fachbereich Theologie der Friedrich-Alexander-Universität Erlangen-Nürnberg und Vorsitzender der Datenethikkommission. Teilnahme kostenlos, Anmeldung erforderlich.
5.7.4 BfDI: Symposium „Gesundheitsforschung trifft Datenschutz“
22.11.2022, Abends: Am Vorabend der 104. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) lädt der BfDI als Vorsitzender der DSK zum Austausch über den Datenschutz bei Forschungsdaten ein. Weitere Informationen zur Veranstaltung (online und vor Ort in Bonn).
5.7.5 Stiftung Datenschutz – DatenTag: Anonymisierung von Daten
07.12.2022, 15:00 – 18:00 Uhr in Bonn und per Stream. In einem Projekt hat die Stiftung Datenschutz einen Leitfaden für die Praxis zu Anonymisierungsvorgängen sowie eine Ausgangsbasis für Verhaltensregeln zum Anonymisieren nach Art. 40 DSGVO entwickeln lassen. Zu beidem wird hier berichtet und diskutiert. Anmeldung erforderlich.
5.7.6 Veranstaltungsreihe „Gespräche zu Recht und Digitalisierung“ in Trier werden fortgesetzt
Das Institut für Recht und Digitalisierung in Trier bietet auch im Wintersemester die Gesprächsreihe „Trierer Gespräche zu Recht und Digitalisierung“ (TGRD) an, die jeweils um 18:30 Uhr beginnen und online angeboten werden.
- 17.01.2023: „Staatliche gebilligte Sicherheitslücken“
- 07.02.2023 „Der Feind im eigenen Haus? – (Vertragliche) Ansprüche auf Sicherheits-Updates“
Weitere Infos und Anmeldung hier.
6 Gesellschaftspolitische Diskussionen
6.1 Data breach in den USA
Nicht nur bei uns, auch in den USA sind Datenpannen zu melden und sind bußgeldbewehrt, wie sich hier nachlesen lässt.
6.2 Verfassungsschutz sensibilisiert zu Cyberangriffen
Auch der Verfassungsschutz von Rheinland-Pfalz widmet sich der Sensibilisierung der Wirtschaft zu Maßnahmen gegen Cyberattacken.
6.3 Umgang im Kinderdaten bei Online-Games
Ausgehend von einem Bericht über den Umgang mit den Daten der spielenden Kindern bei Online-Games befassen sich nun nach diesem Beitrag Aufsichtsbehörden mit den Anbietern.
6.4 TikTok und die Infos nach draußen
Gemäß den Ausführungen in diesem Bericht wird TikTok am 2. Dezember 2022 die Datenschutzbestimmungen der Videoplattform anpassen. Der mit rund einer Milliarde Nutzerinnen amtierende Social-Media-König lässt in diesem „Update“ wissen, dass man den Datentransfer in andere Länder künftig benötige, um als Plattform „konsistent, angenehm und sicher“ bleiben zu können. Was noch dahinter steckt können Sie dieser Meldung entnehmen.
6.5 Überprüfung Ihrer Daten bei Facebook (Meta)
Hier bietet Facebook (Meta) an zu überprüfen, welchen Daten Facebook von Ihnen kennt, weil sie durch jemand anderen hochgeladen wurden, wie z.B. Ihre Telefonnummer oder E-Mailadresse. Der direkte Link zu dem Tool liegt aber hier. Bei Eingabe der Daten wird ein Verifizierungscode an die angegebenen Kontaktinformation geschickt. Sollte es dann nach dessen Eingabe einen Treffer geben, hat man die Wahl eine Löschung zu beauftragten. Das soll funktionieren.
6.6 Umfrage zur Unternehmensplattform
Das Bayerische Staatsministerium für Digitales führt eine Umfrage zur Unternehmensplattform durch. Diese Plattform soll als zentrale Anlaufstelle für alle Verwaltungstätigkeiten von und mit Unternehmen dienen. Dadurch soll die Interaktion zwischen Unternehmern und den öffentlichen Behörden deutlich schneller, effizienter und nutzerfreundlicher werden. Die Umfrage sei anonym, gleichwohl gibt es eine Erklärung zu personenbezogenen Daten, die akzeptiert werden muss. Die Fragen beziehen sich auf Erreichbarkeit, Nutzung und Möglichkeiten von Kontakten zwischen Behörden und Unternehmen. So kann beispielsweise angegeben werden, ob „Mehr Datenschutz bei öffentlichen Onlinediensten (im Vergleich zur aktuellen Situation)“ als „sehr wichtig / eher wichtig / weniger wichtig / nicht wichtig“ bewertet wird.
6.7 Massenentlassungen bei Facebook?
Scheinbar bereitet Facebooks Mutterkonzern Meta Massenentlassungen vor. Nach den Veränderungen bei Twitter eine weitere Auswirkung des Konjunktureinbruchs, zumindest nach dieser Meldung.
7 Sonstiges/Blick über den Tellerrand
7.1 IT-Angriff auf Schulen durch Phishing-Attacke
Keiner bleibt verschont: Neben der Caritas traf es nun auch den Landkreis München mit dem Schulserver. Berichten zufolge waren 75 Schulen betroffen, der Unterricht sei nicht betroffen gewesen. Ursächlich sei eine Phishing-Mail gewesen, durch die dann ein Account übernommen wurde. Die Daten seien zwar verschlüsselt gewesen, aber das Backup-Konzept war wohl auf die Schulen ausgelagert, nun hoffe man*, dass dort noch Kopien der Daten verfügbar seien. Fraglich ist für mich noch, ob bei der Phishing-Attacke eine Zwei-Faktor Authentifizierung umgangen wurde, oder ob diese Schutzmaßnahme dort als „zu anstrengend“ gar nicht erst eingerichtet wurde.
* Franks Anmerkung: Manchmal verlässt einen ja die Hoffnung…
7.2 Förderrichtlinie in Sachsen zum Einstieg in die digitale Arbeitswelt
Fast schon passend dazu gibt es in Sachsen eine neue Förderrichtlinie beim Einstieg in die digitale Arbeitswelt. Mit der Förderung sollen Schülerinnen und Schüler auf die zu erwartende Veränderung der Arbeitswelt durch die Digitalisierung vorbereitet und natürlich auch der absehbare Fachkräftemangel in den Berufen der Informationstechnologie abgefedert werden.
7.3 Covid-19-Wahrscheinlichkeits-Rechner
Wie wahrscheinlich ist es, dass man jemanden trifft, der mit SARS-CoV-2 infiziert und ansteckend ist? Mit wie vielen Menschen hat man durchschnittlich Kontakt, mit denen man nicht in häuslicher Gemeinschaft lebt oder Schutzmaßnahmen, wie ausreichend Abstand halten, treffen kann? Hier will ein Online-Tool helfen, dass die jeweiligen Inzidenzen des genannten Ortes in Deutschland, Österreich oder Schweiz miteinbezieht.
7.4 Kreative Pausen
Sie haben Angst, etwas zu verpassen, wenn Sie mal nicht online sind? Im Gegenteil, Ihr Gehirn erholt sich dann vom „Stress“ und das wirkt sich positiv auf Ihre Innovationsfähigkeit aus. Mehr dazu hier in dem Vortrag einer Journalistin, die dank ihres Smartphones nichts versäumt, bis sie merkt, dass…
Aber schauen Sie selbst (Dauer ca. 16 Minuten). Und ja, der Vortrag ist schon aus dem Jahr 2017.
7.5 Beobachtungstechnologien im Bereich der zivilen Sicherheit
Das Büro für Technikfolgen-Abschätzung des Deutschen Bundestages hat eine Studie veröffentlicht, die sich mit den Folgen polizeilicher Überwachung auf Staat und Gesellschaft befasst. Einen Bericht dazu finden Sie hier.
7.6 Raw & Uncut: 11 Minuten Medienpädagogik
Hier mal wieder fast etwas ganz anderes: Ein Podcast von Medienpädagogen – diesmal zur Verantwortung von Medienpädagogik und Politik und zur Macht der Großkonzerne.
7.7 Neues NGO zum Schutz von Kindern und Jugendlichen im Netz
Die Whistleblowerin, die gestützt auf Dokumente den zweifelhaften Umgang seitens Facebook mit Daten von Kindern offenbarte, gründete Berichten zufolge nun eine gemeinnützige Organisation, die helfen soll soziale Medien wie Facebook, Instagram, TikTok, Twitter und YouTube sicherer zu machen. Wichtigster Fokus sei der Schutz von Kindern und Jugendlichen. Das Unternehmen „Beyond the screen“ – auf deutsch „Jenseits des Bildschirms“ – plane eine Open Source Datenbank zu erstellen, in der dokumentiert werden solle, wie die Tech-Konzerne im Silicon Valley ihren Verpflichtungen nicht nachkommen.
8. Franks Zugabe
8.1 Doppelt hält besser?
Laut einem Bericht hat noyb eine Beschwerde bei der österreichischen Datenschutzbehörde gegen ein österreichisches Nachrichtenmagazin eingereicht. Warum, fragen Sie? Nun ja, wenn beim Cookie-Banner die falsche Auswahl getroffen wurde, kam prompt ein zweites, welches nicht mehr so abwahlfreudig war… Aber lesen Sie selbst.
Wobei noyb tatsächlich positive Bilanz über die eigenen Bemühungen im Kampf um gute Cookie-Banner zieht
8.2 Datenreichtum…
Wir hatten ja weiter oben schon einen Data Breach in den USA. Nicht, weil es dort so etwas nicht gäbe, sondern weil im konkreten Fall auch mal ein Bußgeld vergeben wurde. Und es ist ja schön zu sehen, dass auch „da drüben“ Vergehen Bußgelder nach sich ziehen…
Apropos Data Breach, kommen wir noch mal zur Überschrift dieses Beitrags: Datenreichtum. Ein schöner Euphemismus, oder?
Konkret geht es um diesen Datenreichtum. Bei Microsoft liest es sich etwas anders. Vor allen Dingen sind sie enttäuscht, dass der Datenreichtum überhaupt veröffentlicht wurde…
Apropos, wenn es Sie nun aber doch interessiert, woher der Begriff kommt (bzw. wer ihn häufiger nutzt), und wenn Sie noch eine Bewertung zum Vorfall lesen wollen, dann schauen Sie hier.
8.3 Die Entcyberung des Cyberwar
Laut diesem Bericht ist es doch nicht so wild mit Russlands-Cybertruppen? Hier gibt es die gezeigten Folien von Manuel Atug, einem Mitglied der AG Kritis, von dem wir auch schon ab und an etwas im Blog hatten.
8.4 Mal wieder ein App-Check – Was letzte Preis?
Wir hatten ja schon ein paar App-Checks aus der Reihe. Hier nun der Test der App für eBay Kleinanzeigen. Läuft wohl auch mit dieser App… Ein langer, aber lesenswerter Text (wenn Sie das Verhalten der Apps, die Sie vielleicht nutzen, interessiert).
8.5 KI kann ganz schön brutal sein
Wo es Bedarfe gibt, da gibt es auch Angebote … und dann wird manchmal auch darüber geschrieben. Sachen gibts… Wobei, KI-erzeugte Bilder hatten wir ja auch schon.
8.6 Einschätzung des Sterberisikos per Smartphone
Was so alles erforscht wird… Hier der Bericht, laut dem Bewegungssensordaten von nur sechs Minuten Gehen ausreichen, um das Fünf-Jahres-Sterberisiko vorherzusagen.
Und ja, die Überschrift ist geklaut. Na und?
8.7 Cybersecurity I – Apple patcht nur noch die aktuellste OS-Version?
Es wird gerne erzählt, dass Apple auch nicht ganz so aktuelle Betriebssystemversionen regelmäßig mit Updates und Sicherheitspatches versorgt. Laut diesem Bericht ist das allerdings wohl schon lange nicht mehr so. Schade eigentlich.
8.8 Cybersecurity II – Fieser Bug im Google-Pixel-Sperrbildschirm
Hier sollten Sie als Besitzer:in eines Google-Pixel-Smartphones schnell aktiv werden. Laut diesem Bericht ist ein Patch verfügbar.
Wer probiert sowas eigentlich immer aus?
8.9 IBAN-Tracking?
o2-Kunden aufgemerkt: Hier ist ggf. Ihr Handeln (konkret ein Widerspruch) erforderlich…
8.10 Tipps für den Notfall aus dem Kreis Warendorf – nach Bild.de
Schauen Sie mal, hier habe ich die Überschrift nicht geklaut … und die wäre gut gewesen: Bürger sollen das Internet ausdrucken. (Disclaimer: Das geht wirklich zu bild.de!)
Wobei die Vorsorge für Krisenfälle sicherlich nicht schlecht ist … und bild.de bestimmt „ein wenig“ überzeichnet. Aber es liest sich erst mal amüsant. Nun ja.
8.11 Mit WLAN durch Wände schauen?
Das klingt schon wie Science Fiction, ist aber laut dieser Studie durchaus möglich. Hier gibt es den Bericht. Worum geht es? Kleine, speziell präparierte Dronen können per Triangulation WLAN-Geräte ausmessen und damit deren Position „hinter der Wand“ bestimmen. WLAN-Geräte können per WLAN ins eigene Netz integrierte Kameras aber auch die Smartphones der Nutzer:innen sein (wenn diese WLAN standardmäßig aktiviert haben).
Womit sich auch mindestens zwei Abhilfemaßnahmen sofort aufdrängen: WLAN am Smartphone nur bedarfsgesteuert aktivieren und Sicherheitsgeräte nicht per WLAN ins eigene Netz integrieren (und zusätzlich an diesen WLAN deaktivieren).
8.12 Phishing-Resistant MFA Does Not Mean Un-Phishable
Die US-amerikanische Cybersecurity & Infrastructure Security Agency hat eine Empfehlung zur Phishing-resistenten MFA veröffentlicht. Hier wird in einem ausführlichen Artikel dargelegt, dass Phishing-resistent im Zusammenhang mit MFA nicht un-Phishbar heißt. Lesenswert! Und zwar nicht nur wegen der dargestellten Angriffsvarianten.
9. Die gute Nachricht zum Schluss
9.1 Poesie in der IT
Sie vermissen in der IT die Poesie? Es gibt mehr als Sie denken. Angeregt von einem Hinweis auf LinkedIn, dass AWS im Handelsregistereintrag für die eigene Zweigniederlassung in der Schweiz als Zweck „Das Anbringen von Rechnerwolken …“ beschreibt, begann ich mal die eigene Wahrnehmung zu reflektieren: „Privacy Evangelist“ auf einer „Job Description“ war da schon ein Anfang. Ich kenne aber auch einige sogenannte „Privacy Professionals“, da würde auch „Datenschutz-Seepferdchen“ als Qualifizierungsmerkmal passen, auch wenn sie sich wie David Hasselhoff in Baywatch am Strand fühlen (und so auftreten).