Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 49/2021)“
Hier ist der 26. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 49/2021)“.
- Aufsichtsbehörden
- BSI: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen
- BSI: IT-Sicherheitskennzeichen für sicheres E-Mail-Verfahren
- BfDI: Kinderbilderbücher
- BayLDA: 2G im Einzelhandel
- LDI NRW zu TTDSG
- LfD Sachsen-Anhalt: Leitfaden für kleine und mittlere Unternehmen & Infopaket KMU
- Spanien: Unzureichende Information führt zu Bußgeld
- Niederlande: Bußgeld gegen Finanzministerium
- Kritik am Benennungsverfahren der Leitung der Aufsichtsbehörden
- Luxemburg: Kundenbindungsprogramm führt nicht zu DSB-Pflicht
- Rechtsprechung
- Österreich Bundesverwaltungsgericht: Personenbezug bei Standortdaten eines Handys?
- Österreich: Verfahrenskosten als Schaden?
- VG Köln: Befugnis der Aufsichtsbehörden zu (Ab-)Berufung eines behördlichen DSB
- VG Wiesbaden: Untersagung der Nutzung des Consentmanagers Cookiebot
- Bundesverwaltungsgericht Österreich: Wechsel der Rechtsgrundlagen möglich?
- Schadensersatz bei nicht gelöschtem Tweet
- Klarnamenpflicht bei Facebook
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Recht auf Verschlüsselung
- Informationspflichten bei Sprachassistenten
- Passwörter – berechenbar
- Veranstaltungen
- Datenschutzausblick 2022 mit BayLDA
- Ringvorlesung „Ethikboards – Lösung für Problemzonen digitaler Ethik?“
- Daten-Dienstag: Digitaler Daten-Dienstag zum Europäischen Datenschutztag 2022
- 16. Europäischer Datenschutztag – Die europäische digitale Identität (EUid)
- Gesellschaftspolitische Diskussionen
- Desinformation Messengerdienste
- Klage gegen Facebook
- Google achtet auf Datenschutz?
- Algorithmen und politische Tweets
- Software umsonst
- Löschen von Daten beim BKA
- De-anonymisierung bei TOR
- Digitaler Zwilling in der Verwaltung
- Icons im Datenschutz
- Tracking
- Datenschutz als Wettbewerbsvorteil
- Tesla und die Sicherheit
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Ein Update zu Grindr
- CWA – Wenn, dann bitte richig nutzen
- Apropos Google – Wie Google seine Nutzer seitenübergreifend erkennt bzw. trackt
- Apropos Adventskalender – ein bisschen Hintergrundinfo zu Telegram
- Cybersecurity – Windows 10 RCE: The exploit is in the link
- Ein Ampelsystem für die Digitalpolitik der Ampel
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 BSI: Log4j-Zero-Day-Lücke bedroht Heimanwender und Firmen
Am 10.12.2021 begann das BSI eindrücklich vor einer Sicherheitslücke zu warnen. Die kritische Schwachstelle (Log4Shell) in der weit verbreiteten Java-Bibliothek Log4j führe nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu einer extrem kritischen Bedrohungslage. Das BSI hat daher seine bestehende Cyber-Sicherheitswarnung auf die Warnstufe Rot hochgestuft. Ursächlich für diese Einschätzung ist die sehr weite Verbreitung des betroffenen Produkts und die damit verbundenen Auswirkungen auf unzählige weitere Produkte. Die Schwachstelle ist zudem trivial ausnutzbar, ein Proof-of-Concept ist öffentlich verfügbar. Eine erfolgreiche Ausnutzung der Schwachstelle ermöglicht eine vollständige Übernahme des betroffenen Systems. Dem BSI sind welt- und deutschlandweite Massen-Scans sowie versuchte Kompromittierungen bekannt. Auch erste erfolgreiche Kompromittierungen werden öffentlich gemeldet. Das BSI veröffentlichte auch entsprechende Hinweise (aktuell mit Stand 15.12.2021) zur Vorgehensweise.
Franks Nachtrag (aufs Rudis Wunsch): Auch das BayLDA hat mittlerweile Hinweise veröffentlicht.
Franks zweiter Nachtrag: Auch wenn das bestimmt nicht populär ist, aber … es gibt auch Stimmen, die sich anders äußern. Beispiel gefällig? NOTABUG, WONTFIX
1.2 BSI: IT-Sicherheitskennzeichen für sicheres E-Mail-Verfahren
Das BSI hat für die ersten zwei Produktkategorien „Breitbandrouter“ und „E-Mail-Dienste“ für Hersteller die Anträge für eine Erteilung des IT-Sicherheitskennzeichens beim BSI freigegeben. Nach der Erteilung des IT-Sicherheitskennzeichens überprüft die durch das IT SiG 2.0 ermöglichte BSI-Marktaufsicht am Standort Freital anlasslos (z.B. durch Stichproben) die Einhaltung der Anforderungen bei einzelnen Produkten. Bei Bekanntwerden von Schwachstellen in Produkten mit Sicherheitskennzeichen prüft das BSI die Informationen, setzt sich mit dem Hersteller in Verbindung und stellt entsprechende Informationen für die Verbraucherinnen und Verbraucher auf der zum Kennzeichen gehörigen Internetseite zur Verfügung.
1.3 BfDI: Kinderbilderbücher
„Was Hänschen nicht lernt, …“ – das war schon ein Titel in einer Fachzeitschrift vor 7 Jahren* – mit dem Ergebnis, dass Datenschutzbewusstsein möglichst früh vermittelt werden sollte. Der BfDI hat sich diese Erkenntnis zu Eigen gemacht und hat im Dezember zwei Pixi-Büchlein zur Vermittlung von Datenschutz-Basics veröffentlicht. Schnell waren die Bestände aufgebraucht, Bestellungen sind wieder nicht mehr möglich, es kann produktionsbeding zu Lieferverzögerungen kommen. Und persönlich freue ich mich über die drittletzte Seite des Pixi-Wissens.
* Franks Anmerkung: Huch, das hatte ich schon wieder vergessen 😀
1.4 BayLDA: 2G im Einzelhandel
Das BayLDA hat seine FAQs zum Einsatz von 2G-Regeln im Einzelhandel veröffentlicht. Und weil sich im Datenschutzrecht auch Anwälte tummeln, die bei Coronaschutzmaßnahmen auf beiden Seiten aktiv sind: Hier ist ein schönes Beispiel für die Prüfung von Verhältnismäßigkeit am Beispiel von Infektionsschutzmaßnahmen in Niedersachsen, was geht und was nicht.
1.5 LDI NRW zu TTDSG
Auch die LDI NRW hat sich zum TTDSG geäußert. Hier scheint die Interpretation der Erforderlichkeit etwas praxisnäher, werden doch Systeme zur Betrugsprävention als rein funktionale Cookies angesehen. Infos zur Erforderlichkeit auch hier.
1.6 LfD Sachsen-Anhalt: Leitfaden für kleine und mittlere Unternehmen & Infopaket KMU
Franks Beitrag:
Der Landesbeauftragte für den Datenschutz Sachsen-Anhalt hat den Leitfaden „Datenschutz ist Chefsache! Leitfaden für kleine und mittlere Unternehmen“ veröffentlicht.
Darin werden grundsätzliche Ausführungen zu – nach Erfahrung der Aufsichtsbehörde – für KMU wichtige Themen zusammengestellt. Links führen zu Vertiefungen und zu Vordrucken und Mustern, die die Umsetzung datenschutzrechtlicher Vorgaben wesentlich erleichtern können.
Der Leitfaden ist online aufrufbar unter https://lsaurl.de/ChefsacheDS.
Außerdem wurde passend zum Leitfaden das „Infopaket KMU“ veröffentlicht, zu finden unter https://lsaurl.de/InfopaketKMU.
1.7 Spanien: Unzureichende Information führt zu Bußgeld
Die Verwendung einer veralteten Information über die Datenschutzangaben führte in Spanien zu einem Bußgeld in Höhe von 2.000 Euro.
1.8 Niederlande: Bußgeld gegen Finanzministerium
Die Mitgliedsstaaten konnten selbst entscheiden, ob es in Umsetzung der DS-GVO gegen öffentliche Stellen Bußgeld geben kann oder nicht. Deutschland hat sich dagegen entschieden. Die Niederlande offensichtlich dafür: Weil es das Finanzministerium u.a. mit der Datenminimierung bei Fragebögen um Kinderbeihilfen nicht so genau nahm, gab es nun ein Bußgeld in Höhe von 2.750.000 Euro. Das Verfahren war wohl auch der Anlass des Rücktritts der damaligen Regierung.
1.9 Kritik am Benennungsverfahren der Leitung der Aufsichtsbehörden
Haben Sie schon mal eine Stellenausschreibung für die Besetzung einer Leitung einer Datenschutzaufsichtsbehörde gesehen? Eben* – das ist auch das Ergebnis eines Gutachtens, das sich mit den Vorgaben zur Benennung der Landesdatenschutzbeauftragten befasst. Im Ergebnis wird u.a. empfohlen, dass der Auswahl der Datenschutzbeauftragten auf Bundes- und Landesebene verstärkt Aufmerksamkeit gewidmet werden sollte. Diese Auswahl müsse diskriminierungsfrei und transparent erfolgen und sich an der Qualität der Bewerbenden ausrichten. Die weithin verbreitete politische Praxis des Ausklüngelns in Hinterzimmern müsse beendet werden.
* Franks Anmerkung: Ähhh, actually. Nur gebracht hat es bisher offensichtlich noch nichts. Aber gut Ding will ja Weile haben…
1.10 Luxemburg: Kundenbindungsprogramm führt nicht zu DSB-Pflicht
In Luxemburg hat die Aufsichtsbehörde entschieden, dass allein ein Kundenbindungsprogramm nicht ausreicht, um eine Benennungspflicht eines DSB auszulösen. Aber Vorsicht: Gerade bei Kundenbindungsprogrammen gibt es einige Entscheidungsmöglichkeiten, die bei entsprechender Anwendung dann doch zu einer Benennungspflicht führen können, wie z.B. ein Tracking in einem bestimmten Umfang.
2 Rechtsprechung
2.1 Österreich Bundesverwaltungsgericht: Personenbezug bei Standortdaten eines Handys?
Um klären zu lassen, ob Handy-Standortdaten personenbezogene Daten sind, ruft die NGO noyb das Bundesverwaltungsgericht in Österreich an. Die Standortdaten eines Smartphones zeigen nur an, wo das Handy mit der SIM-Card ist, aber nicht, wer es bei sich trägt. Kann man auch anders sehen und noyb sieht es anders und will dies nun gerichtlich klären lassen.
2.2 Österreich: Verfahrenskosten als Schaden?
Können Kosten eines Verwaltungsverfahrens als Schadensersatz gemäß Art. 82 DS-GVO geltend gemacht werden? In Österreich wurde in einem Fall so durch das OLG Linz entschieden, obwohl das dortige Verfahrensrecht keinen Kostenerstattungsanspruch vorsah.
2.3 VG Köln: Befugnis der Aufsichtsbehörden zu (Ab-)Berufung eines behördlichen DSB
Ein Jobcenter wehrt sich gegen einen Bescheid des BfDI. Normalerweise haben Klagen eine aufschiebende Wirkung, es sei denn der Bescheidersteller begründet die sofortige Vollziehbarkeit. Streitgegenständlich ging es um die Abberufung eines behördlichen Datenschutzbeauftragten. Das VG Köln befasst sich auch mit der Frage der Anwendbarkeit des § 20 Abs. 7 BDSG, die seitens des BfDI als Verstoß gegen europarechtliche Regelungen vorgebracht wurde, ließ es aber letztendlich an der fehlenden Ermächtigungsgrundlage für den BfDI scheitern: Art. 58 Abs. 2 lit. d DS-GVO erlaube es nur, Verarbeitungen zu untersagen, dass die (AB-)Berufung eines behördlichen DSB hierunter fallen könnte, sei aber nicht ersichtlich. Besprechung auch hier.
2.4 VG Wiesbaden: Untersagung der Nutzung des Consentmanagers Cookiebot
Im Rahmen des einstweiligen Rechtsschutzes untersagte das VG Wiesbaden im Eilverfahren einer Hochschule den Einsatz des Consentmanagers Cookiebot. Der eingeschaltete Dienstleister übermittle die Daten ohne ausreichende Rechtsgrundlage in die USA. Diese Entscheidung ist noch keine Entscheidung in der Hauptsache und dennoch bekam es überregionale Aufmerksamkeit. Die konsequente Anwendung der Vorgaben des EuGH-Urteils zu Schrems II, ohne dass erkennbar wurde, dass Überlegungen zu einem risikobasiertem Ansatz oder die Wahrscheinlichkeit eines Zugriffs durch US-amerikanische Sicherheitskräfte berücksichtigt wurden, wurde breit diskutiert.
2.5 Bundesverwaltungsgericht Österreich: Wechsel der Rechtsgrundlagen möglich?
Eine Aufsichtsbehörde prüft eine Verarbeitung auf Basis einer Einwilligung und kommt zu dem Ergebnis, dass dessen Voraussetzungen nicht erfüllt sind. Kann man nun als Verarbeiter schnell eine andere Grundlage für die bisherige Verarbeitung angeben und damit begründen? Das Bundesverwaltungsgericht ist der Ansicht, dass eine unwirksame Einwilligung kein Ausschlussgrund für andere Rechtsgrundlagen darstellt.
2.6 Schadensersatz bei nicht gelöschtem Tweet
Beleidigende Äußerungen wurden trotz Anmahnung über einen längeren Zeitraum nicht gelöscht. Dies führt nach diesem Bericht zu einem Schadenersatz. Plattformen müssen hier schneller reagieren, sonst droht ihnen eine entsprechende Haftung auch für die Posts anderer Personen.
2.7 Klarnamenpflicht bei Facebook
Darf ich bei Facebook auch einen Account unter Verwendung eines Pseudonyms verwenden? Schon die Fragestellung deutet auf eine ältere Person hin – welcher junge Mensch nützt noch Facebook? Jedenfalls besteht Facebook in seinen AGB darauf, dass eine Klarnamenspflicht gelten würde. Das kann man anders sehen, gerade, wenn man das deutsche TMG liest, wonach auch eine pseudonyme Nutzung im Web möglich sein müsse. Nun befasst sich der BGH damit. Und laut einem Prozessbeobachter könnte das Gericht sich der Meinung von Facebook nicht anschließen. Und dann könnte diese Entscheidung auch auf andere Angebote der heutigen Zeit Auswirkungen haben wie Instagram, Metaverse, TikTok, u.s.w.
3 Gesetzgebung
3.1 Koalitionsvertrag: Datenschutz
Eine übersichtliche Zusammenfassung der Aussagen zum Koalitionsvertrag findet sich hier. Überlegungen zu einer Bündelung der digitalen Aufgaben lassen sich hier finden.
3.2 Kritik am Data Governance Act
Kaum hat das EU-Parlament sich seine Meinung zum Data Governance Act, also wie Daten für die öffentliche Nutzung bereitgestellt werden sollen, gebildet, gibt es Bewertungen. Die Anforderungen sind hier gut dargestellt. Allerdings auch die Kritikpunkte werden pointiert geschildert.
4 Künstliche Intelligenz und Ethik
4.1 Europäisches Parlament: Studie zu AI
„Welchen Einfluss hat die DS-GVO auf Künstliche Intelligenz?“ Damit befasst sich eine Studie aus dem Jahr 2020. Sie führt eine gründliche Analyse der automatisierten Entscheidungsfindung durch, wobei berücksichtigt wird, inwieweit automatisierte Entscheidungen zulässig, welche Schutzmaßnahmen zu treffen sind und ob Betroffene ein Recht auf individuelle Erläuterungen haben. Sie befasst sich dann auch mit dem Umfang, in welchem die DS-GVO einen präventiven risikobasierten Ansatz mit Fokus auf Datenschutz durch Design zugrunde legt.
4.2 CDR-Manifesto auf Deutsch
Das Manifest zu Corporate Digital Responsibility ist nun auch auf Deutsch erschienen. Damit werde die sieben Grundprinzipien der internationalen Definition der digitalen Verantwortung von Unternehmen leicht zugänglich dargestellt.
4.3 Verleihung des 1. CDR-Award
Anlässlich der Verleihung des 1. CDR Awards gab es interessante Vorträge und Workshops, die nun auch teilweise online gestellt sind. Näheres hier.
4.4 KI Risiken
Das KI nicht zu Selbstläufern werden, hat sich herumgesprochen. Befürchtungen sind die Basis der Überlegungen zur Regulierung. Welche Risiken mit KI in Verbindung gebracht werden, wird auf dieser Webseite dargestellt.
4.5 IAPP: Artificial Intelligence
Die Spezialisten der IAPP haben sich auch in einer Serie mit der Regulierung von AI befasst.
4.6 Videoserie – Was AI uns brachte – und wohin
Wer sich für KI interessiert und einen guten Einstieg sucht, der zwar niedrigschwellig ist aber trotzdem inhaltlich anspruchsvoll, kann sich hier umsehen: In sechs Videobeiträgen werden verschiedene Aspekte beleuchtet.
4.7 UK: Standard für Transparenz von Algorithmen
Die Regierung in UK hat einen Standard für Transparenz von Algorithmen für den öffentlichen Dienst vorgegeben, um Entscheidungen zu unterstützen. Das Tool ist in einer Pilotversion. Der Einsatz sieht vor, dass die Vorhaben mittels des Tools erfasst und über die Weitergabe transparent offenlegt werden.
5 Veröffentlichungen
5.1 Recht auf Verschlüsselung
Die Innenminister beschließen, dass Sicherheitsbehörden Zugriff auf verschlüsselte Daten bekommen, die neue Bundesregierung geht davon aus, dass Bürger:innen ein Recht auf verschlüsselte Kommunikation haben (Koalitionsvertrag, Seite 16). Warten wir ab, was passiert.
5.2 Informationspflichten bei Sprachassistenten
Wer sich mit Sprachassistenten befasst, kommt um die Fragestellungen der datenschutzrechtlichen Informationspflichten nicht herum. Dabei hilft vielleicht diese Veröffentlichung.
5.3 Passwörter – berechenbar
Wer Beispiele braucht, wie schnell man Passwörter mit bestimmter Zusammensetzungen berechnen kann, wird hier fündig. Vielleicht auch mal als Argument für eine Zwei-Faktor-Authentifizierung.
5.4 Veranstaltungen
5.4.1 Datenschutzausblick 2022 mit BayLDA
20.12.2021, 14:00 – 15:00 Uhr, Ausblick zu den Themen wie 3G am Arbeitsplatz, TTDSG, „Privacy Shield 2.0“, Zertifizierung nach DSGVO, Bußgeld-Praxis in 2022, Umsetzung der DSGVO im europäischen Kontext. Anmeldung erforderlich.
5.4.2 Ringvorlesung „Ethikboards – Lösung für Problemzonen digitaler Ethik?“
21.12.2021, 19:30 – 21:00 Uhr, zwischen Science und Fiction: Mit welchen Konsequenzen haben die Gesellschaft und die Umwelt durch die Anwendung moderner Technologien zu rechnen? Dürfen die Wissenschaftler*innen, Mediziner*innen oder Techniker*innen alles tun, was sie können?
Führt Künstliche Intelligenz zum „Ende der Menschheit“? Zwischen übermächtig erscheinenden Internetgiganten und dem Recht auf informationelle Selbstbestimmung – was bedeutet „Verantwortung“ im Kontext der Informatik? Anmeldung erforderlich.
5.4.3 Daten-Dienstag: Digitaler Daten-Dienstag zum Europäischen Datenschutztag 2022
25.01.2022, 19:00 – 20:30 Uhr, seit vier Jahren ist die Datenschutz-Grundverordnung europaweit anzuwenden. Wo stehen wir aktuell? Ralf Bendrath, der als politischer Referent bei der Fraktion Die Grünen / Europäische Freie Allianz im Europäischen Parlament tätig ist, beschäftigt sich mit der Wirkung der DS-GVO auf die aktuelle EU-Datenschutz-Gesetzgebung, Museum für Kommunikation Nürnberg, online. Anmeldung erforderlich.
5.4.4 16. Europäischer Datenschutztag – Die europäische digitale Identität (EUid)
28.01.2022, 10:00 – 13:00 Uhr, Staffelstabübergabe der Datenschutzkonferenz – auch dieses Mal nur online. Erst mal nur ein Save the Date.
6 Gesellschaftspolitische Diskussionen
6.1 Desinformation Messengerdienste
Weil es uns immer mehr tangiert, wie sich unsere Gesellschaft auch durch Desinformationen verändert, hier noch der Hinweis auf eine Studie zu Desinformation mittels Messengerdiensten.
Franks Nachtrag: Apropos Desinformationen…
6.2 Klage gegen Facebook
Lug und Trug als Geschäftsmodell? Na ja, viele aus dem Marketing würden es anders sehen. Da geht es dann um Reichweite und User Experience. Gerade die Reichweite und die User Experience aufgrund von Facebook-Posts nehmen etliche der (überlebenden) Angehörigen der Rohingya zum Anlass Facebook auf Schadenersatz zu verklagen. Algorithmen des US-Unternehmens hätten Desinformation und extremistisches Gedankengut gefördert, das zu Gewalt in der realen Welt führte.
Auch hierzulande kommt Facebook zunehmen in den Fokus. Ein Satiremagazin, bei dem die Realität satirisch wahrgenommen wird (oder wird die Satire realistisch dargestellt?) befasst sich nun auch mit den Folgen des Microtargetings und der politischen Einflussnahme und bereitet zusammen mit noyb eine Klage vor.
Franks Nachtrag: Ich habe zwei längere Artikel zu Facebook, die inhaltlich durchaus passen: Auch Cory Doctorov ist der Meinung, dass Facebook zerschlagen gehört. Und im zweiten Artikel geht es um das Metaverse. Nicht um das Original*, um Facebooks Interpretation: Facebook’s “Metaverse” Must Be Stopped.
* Franks Anmerkung: Ein wirklich gutes Buch, welches ich besitze und gerne gelesen habe.
6.3 Google achtet auf Datenschutz?
Ich musste es schon zweimal lesen – aber letztendlich geht es bei dieser Meldung um den Datenschutz bei Apps im Play-Store. Apple hat es vorgemacht und nutzt seine Aktivitäten zu Marketingmaßnahmen. Google scheint hier nun auch bei Apps ordentliche Datenschutzerklärungen anzumahnen.
6.4 Algorithmen und politische Tweets
Welchen Einfluss haben Algorithmen bei der Verbreitung von politischen Tweets? Damit befasst sich eine Studie der Universität Kiel, die nun öffentlich zugänglich ist.
Franks Nachtrag: Hier ist der Direktlink auf die Studie bei Twitter.
6.5 Software umsonst
Wenn Sie sich – wie immer mehr Andere auch – fragen, wie man mit proprietärer Software umgehen soll, die es einem schwer macht sich an rechtlichen Anforderungen – nicht nur bezogen auf die Drittstaatenthematik – zu halten, können Sie sich ja mal bei der EU umsehen: Diese stellt ihre OpenSource Software bereit.
6.6 Löschen von Daten beim BKA
Die Löschpflicht und die Löschroutinen sind Anforderungen, die viele Unternehmen nach der Einführung der DS-GVO als Herausforderung erkannten. Leider scheint sich dies auch noch als Herausforderung für staatliche Ermittlungsstellen darzustellen, wie Berichte zeigen, wenn es um pädokriminelle Inhalte geht.
Franks Anmerkung: Wenn Kinder sich die Hände vor die Augen halten, um die Monster nicht zu sehen, gehen diese schließlich auch weg…
6.7 De-anonymisierung bei TOR
Der Anonymisierungsdienst TOR gilt vielen als sicher, um unerkannt im Netz aktiv zu sein, gerade auch in Staaten, bei denen ein Regierungswechsel nicht so harmonisch abläuft wie bei uns letzte Woche. Um so beunruhigender die Meldung, dass hier De-Anonymisierungsangriffe durchgeführt werden.
6.8 Digitaler Zwilling in der Verwaltung
Wie Städte und Kommunen mit den Daten der Bürgerinnen und Bürger ihre Leistungen optimieren, war Thema einer Veranstaltung, bei der verschiedene Städte ihre Überlegungen und Umsetzungen präsentierten. Die Folien sind jetzt zugänglich.
6.9 Icons im Datenschutz
Natürlich hatten alle ab 2016 von Wirtschaft und Behörden erwartet ihre Prozesse und Dokumente auf die Anforderungen der DS-GVO umzustellen. Und natürlich hofften auch alle, dass auch die Beamtinnen und Beamten der EU-Kommission einen kleinen Teil der Möglichkeiten, die sie sich selbst gegeben haben, nutzen, um zu entbürokratisieren und Erleichterungen für die Akteure zu erzielen, wie z.B., durch die Bereitstellung von Bildsymbolen gemäß Art. 12 Abs. 7 und 8 DS-GVO. Doch auch hier trug die Kommission ihren Teil bei, dass hinsichtlich der vorausschauenden Tätigkeit öffentlicher Stellen aus Vorurteilen Erfahrungswerte wurden: Nichts geschah. Und so bleibt es erstmal privaten Initiativen überlassen hier etwas beizusteuern.
6.10 Tracking
Wie kann man mit den zunehmenden Einschränkungen durch technische Maßnahmen und auch trotz des gesteigerten Bewusstseins der aufgeklärten Nutzer, nicht mehr jeden Dreck (= Tracking) zuzulassen, trotzdem noch Werbung (Tracking and Targeting) platzieren? Damit befasst sich Berichten zufolge auch LinkedIn. Dann warten wir mal ab, was da wirklich kommt.
6.11 Datenschutz als Wettbewerbsvorteil
Datenschützer erzählen es ja gerne, dass die Einhaltung von Datenschutzregularien ein Wettbewerbsvorteil sei. Und gelegentlich zeigen Aktivitäten von Wettbewerbshütern auch in diese Richtung. Dass nun ein Mobilitätsanbieter der gehobenen Preisklasse in diese Kerbe schlägt, überrascht dennoch. Hier will man nun über die Einhaltung der rechtlichen Vorgaben hinausgehen. Digitale Sicherheit und Privatsphäre sollten durchaus als USP begriffen werden: Schaut man auf den einen oder anderen Tech-Giganten, würde man feststellen, dass „Privacy“ dort sogar strategisch zur Prime-Time platziert wird. Das ist mir persönlich jetzt schon wieder etwas zu viel Marketing-Gelaber, spannend finde ich es dennoch.
6.12 Tesla und die Sicherheit
Immer wieder hatten wir hier schon Meldungen, dass autonomes Fahren, die eingesetzte Technik und die Informationen darüber manchmal etwas mit sicherheitstechnischen bzw. Datenschutz-Anforderungen zu Kollisionen führen. Nun wird über einen Beitrag der NYT berichtet, dass Sicherheitsbedenken auch aufgrund der Einflussnahme des Firmenchefs ignoriert wurden.
7 Sonstiges/Blick über den Tellerrand
7.1 Geschenke unterm Weihnachtsbaum
Wer dem Christkind hilft und jetzt Geschenke besorgt, sollte diesen Beitrag zur Kenntnis nehmen und überlegen, ob es wirklich Geschenke sein müssen, die z.B. ungewollte Bewegungsprofiile erstellen. Bei der ostdeutschen kirchlichen Datenschutzaufsicht finden sich nicht nur abstrakte Warnungen, sondern auch konkrete Tipps, die ich nun einfach zitiere (ich weiß, dass eh niemand allen Links folgt und dort nachliest):
- Niemals die Voreinstellungen der Apps einfach akzeptieren! Dieser Zeitaufwand lohnt sich, da bestimmte Eigenschaften wie Tracker, Mikrofon, Kameras etc. ausgestellt werden können.
- Sorgfältiges Lesen der Datenschutzerklärung: Dort verstecken sich Hinweise, welche Daten in welcher Form ausgewertet, gespeichert oder in irgendeiner anderen Form verarbeitet werden. Hersteller begründen die Zwecke der Datenverarbeitung damit, dass nur das Beste für das Kind erreicht werden soll, indem das Spielzeug oder die Online-Anwendung dadurch stetig verbessert werden.
Weiterhin gibt die Datenschutzerklärung Informationen über Dritte, die u.U. Zugriffsberechtigungen haben und somit personenbezogene Daten der Kinder erhalten können.
Vorsicht ist geboten, wenn Datenschutzerklärungen nicht in deutscher Sprache vorgehalten werden. Hierin besteht ein Verstoß gegen europäisches Datenschutzrecht, welcher Veranlassung gibt an der Datenschutzeinhaltung insgesamt zu zweifeln. - Ändern von voreingestellten Benutzern und Passwörtern.
- Altersbeschränkungen und Entwicklungsstand des Kindes im Hinblick auf die Zielgruppe berücksichtigen. Ältere Kinder sollten über ihre Verantwortung und rechtliche Belange aufgeklärt werden. So dürfen Menschen im öffentlichen Raum nur unter bestimmten Gegebenheiten gefilmt oder fotografiert werden. Für Drohnen gilt seit 2021 die EU Drohnenverordnung, die u.a. ein Mindestalter und eine Registrierungspflicht vorschreibt.
- Transparenz gegenüber den Kindern schaffen. Die Freude über ein Smartes Gerät könnte schnell vorbei sein, wenn Helikoptereltern damit die Kinder überwachen.
- Spielzeug, welches durch eine App auf einem Smartphone oder einem Tablet bedient wird, kann Folgekosten verursachen.
7.2 Studysmarter – Lernerfolg minus
Natürlich wollen wir, dass Bildung auch digitale Angebote umfasst und natürlich hat die Pandemie und das Umstellen auf Distanzunterricht gezeigt, dass die Entscheidungen der für die Bildungspolitik Verantwortlichen in den letzten Jahren nicht immer glücklich waren. Und nur gut, dass es vermehrt Angebot zum digitalen Lernen gibt. Aber ist es immer noch nicht möglich ein Mindestmaß an technischen Anforderungen zu verlangen? Wieder einmal scheiterte eine Bildungssoftware an simplen Sicherheitsanforderungen: Diesmal Studysmarter (Details hier). Digitalisierung First. Bedenken Second. Damit kommen wir nicht weit.
7.3 KMK: Lehren und Lernen digital
Die Aussagen der Kultusministeriumskonferenz im Rahmen des Distanzunterrichts und zur Digitalisierung wären ein eigenes Kapitel wert. Lassen wir das besser. Hier aber irgendwas mit Strategie und „Bildung in der digitalen Welt“. Nun gibt es einen Beschluss zu „Lehren und Lernen in der digitalen Welt“. Der Einstieg bietet folgende Einblicke:
„Die Digitalisierung und Mediatisierung haben in allen Bereichen unserer Lebens- und Arbeitswelt zu entscheidenden Veränderungen geführt. Diese gehen über einen rein technischen Fortschritt hinaus und führen zu einem breit angelegten kulturellen und gesellschaftlichen Wandel, der sich auf das schulische Lehren und Lernen und auf die Bewältigung und Gestaltung von Lebens- bzw. Arbeitsprozessen von Kindern, Jugendlichen und jungen Erwachsenen auswirkt.“
Franks Nachtrag: Auch weiter hinten werden die Textpassagen nicht besser:
„… zu betonen, dass Lehrkräfte nicht alle vorab ausgewiesenen Kompetenzen in ihrer gesamten Tiefe besitzen müssen, sondern auf einem breiten basalen Kompetenzniveau Spezialisierung wie in einem Orchester anzustreben ist, …“
Ja, nee, is klar…
7.4 De-Mail zu teuer?
Wer erinnert sich noch an De-Mail, das im Jahr 2012 gestartete Angebot zur sicheren E-Mail-Kommunikation, das ab dem Jahr 2014 als Pendent zur Briefpost in der Bundesverwaltung eingesetzt werden sollte? Das Innenministerium erwartete bis zu 6 Mio. E-Mails innerhalb der ersten vier Jahre. Es wurden dann doch weniger, insgesamt nur 6.000 E-Mails. Laut Rechnungshof hat das BMI bislang nicht untersucht, inwieweit De-Mail wirtschaftlich sei. Ich könnte helfen. Andere bezeichnen es bereits vor meinem Hilfsangebot als Misserfolg.
7.5 Neue Aufgaben für Albrecht
Nur eine Meldung am Rande: Der damalige Berichterstatter des Europäischen Parlaments im Gesetzgebungsverfahren zur DS-GVO, der 2018 Nachfolger von Robert Habeck als Minister in Schleswig-Holstein wurde, übernimmt im Sommer 2022 zusammen mit Imme Scholz die Stiftungsvorstandschaft der Heinrich-Böll-Stiftung.
8. Franks Zugabe
8.1 Ein Update zu Grindr
Ich hatte ja schon von noybs Beschwerde gegen Grindr berichtet und mir auch ein hohes Bußgeld gewünscht.
Ich wurde erhört. Das ist für Grindr nicht das erste Mal, dass sie ein Bußgeld in dieser Größenordnung bekommen. Wer weiß, ob es das letzte Mal war…
8.2 CWA – Wenn, dann bitte richig nutzen
Laut einem Bericht hat ein Wirt aus Versehen bei 2G-Kontrollen die digitalen Zertifikate seiner Gäste nicht nur gecheckt sondern sie gleich in die CoronaWarnApp (CWA) auf seinem Smartphone importiert. Die Entwickler der CWA sprechen in diesem Zusammenhang nicht von einem Bug sondern von einem Feature. Ich neige dazu ihnen zuzustimmen*. Viele Menschen haben gerne Impfzertifikate ihrer Familienangehörigen auf dem Smartphone, damit das Scannen schneller geht.
Aber kommen wir zurück zum besagten Wirt. Hätte er mal unseren Blog gelesen, dann hätte er gewusst, dass er zum Checken der Zertfikate die CovPass-Check-App nehmen sollte. Nun ja, ein Layer-8-Problem halt.
Franks Anmerkung: Normalerweise bedeutet dieser Satz ja etwas anderes…
8.3 Apropos Google – Wie Google seine Nutzer seitenübergreifend erkennt bzw. trackt
Nicht ohne Grund musste mein Kollege die besagte Nachricht mehrfach lesen, ist Google doch nicht wirklich als Speerspitze des Datenschutzes bekannt. Wenn Sie schon immer mal wissen wollten, wie Google seine Nutzer seitenübergreifend erkennt bzw. trackt, möchten Sie vielleicht diesen Beitrag lesen.
8.4 Apropos Adventskalender – ein bisschen Hintergrundinfo zu Telegram
Wir hatten ja schon über digitale Adventskalender berichtet.
Im Open-Source-Adventskalender ist mir am 09.12.2021 ein umfangreicherer Artikel zu Telegram untergekommen. Falls Sie also nicht wissen, wovon die Nutzer sprechen, wenn sie von Telegram sprechen, können Sie sich dort ein wenig informieren.
8.5 Cybersecurity – Windows 10 RCE: The exploit is in the link
Das ist doch auch mal eine nette Sicherheitslücke…
8.6 Ein Ampelsystem für die Digitalpolitik der Ampel
Auch ich möchte eine Bewertung der Digitalpolitik der neuen Bundesregierung vorstellen: Ein Ampelsystem für die Digitalpolitik der Ampel