Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (September 2021)“
Der 17. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (September 2021)“ ist da!
Uns geht es gut und wir sind auch noch da – Einige fragten schon nach, warum keine neuen Blogbeiträge kamen.
In Rudis Urlaub wurde diesmal wirklich nichts gemacht – zumindest nichts, was sich hier unmittelbar auswirkte. Leider nahmen Aufsichtsbehörden und Rechtsprechung, sowie etliche Veröffentlichungen nicht Rücksicht auf unsere Abwesenheit und so sammelte sich Einiges an. Vieles hat sich dabei natürlich schon wieder überholt (z.B. die diversen Wahlomaten zur Digitalpolitik).
Die heutige Ausgabe konzentiert sich erst mal auf Veröffentlichungen der Aufsichtsbehörden und ist inhaltlich auch recht kurz gehalten, Details sind ja über die Links erhältlich.
In den nächsten Ausgaben holen wir dann mindestens noch die Rechtsprechung nach, die Gesetzgebung ist ja während der Wahlphase geringer ausgefallen.
Und es gibt wieder Franks Zugaben, da gab es ja wirklich schöne Themen in den letzten beiden Monaten…
Ab dem Wochenende (Franks Anmerkung: Welches hier im Blog manchmal am Freitag beginnt und manchmal auch erst am Dienstag oder Mittwoch endet, ahem.) sollte es wieder regelmäßig weitergehen.
- Aufsichtsbehörden
- Irland: Sanktion gegen WhatsApp
- Abfragen des Impfstatus durch den Arbeitgeber
- Hamburg: Bußgeld wegen unzureichender Information
- Rheinland-Pfalz: 1:0 für den Datenschutz
- Liechtenstein: Profiling
- Liechtenstein: Hinweise zu technischen und organisatorischen Maßnahmen
- Baden-Württemberg zu MS365
- EDSA: Wann liegt ein Drittstaatentransfer vor?
- Sachsen: Datenschutz in der Schule
- EDSA: Taskforce zu Cookie-Banner
- Schweden: „unverzügliches“ Löschen
- Bundeskartellamt: Sektorenuntersuchung bei Apps
- Irland: Ermittlungen gegen TikTok
- Spanien: Bußgeld gegen Auftragsverarbeiter
- LfDI BW: Schulungsreihe zur Informationsfreiheit und Veranstaltungen
- Rechtsprechung
- Gesetzgebung
- Veröffentlichungen
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 Irland: Sanktion gegen WhatsApp
Die irische Aufsichtsbehörde hat ein Bußgeld in Höhe von 225 Mio. Euro gegen WhatsApp für Verstöße gegen das Transparenzgebot verhängt. Mal sehen, ob dieses auch tatsächlich vollstreckt werden wird, liegt die Hauptmotivation doch wohl auch in dem Beschluss des Europäischen Datenschutzausschusses, der hier sicher Auswirkungen zeigte. Natürlich will WhatsApp es überprüfen lassen.
1.2 Abfragen des Impfstatus durch den Arbeitgeber
Darf ein Arbeitgeber nach dem Impfstatus fragen?
Hier passt die Juristenantwort: Das kommt darauf an … konkret darauf, welcher Beruf ausgeübt wird und in welchem Bundesland man arbeitet.
In Bayern sieht das BayLDA hierfür keine Grundlage außerhalb der gesetzlich ausdrücklich genannten Fälle gemäß § 23a und § 36 Abs. 3 IfSG.
Auch die Datenschutzaufsicht Sachsen-Anhalt sieht hierfür ebenso wie die Aufsicht in Sachsen keine Grundlage, sofern nicht eine explizite gesetzliche Regelung dies erlaubt. Der BfDI bevorzugt eine bundeseinheitliche Lösung.
Letztendlich gibt es aber auch die Stimmen, die Infektionsschutz vor Arbeitsrecht sehen. Es spricht ja nichts dagegen, eine gesetzliche Regelung zu erlassen – dann sollte dies aber auch gemacht werden.
1.3 Hamburg: Bußgeld wegen unzureichender Information
Wieder mal Hamburg: Über 900.000 Euro Bußgeld wurden verhängt und akzeptiert. Und dabei muss genau gelesen werden: Ein Energieunternehmen wollte „Schnäppchenjäger“ finden, die günstige Neukundenangebote gezielt nutzen, um nach der Mindestbezugsdauer anderswo ebensolche günstigen Konditionen zu nutzen. Dabei wurden Daten analysiert, die nur noch zu Aufbewahrungszwecken gespeichert waren. Das Bußgeld gab es aber allein deswegen, weil über diese Verarbeitung nicht informiert wurde.
Also: Es ist nicht geklärt, ob diese Verarbeitung vollkommen unzulässig gewesen war – aber unstreitig ist, dass die Kunden nicht informiert wurden, dass Daten, die lediglich aus gesetzlichen Aufbewahrungsfristen gespeichert wurden, hier zu anderen Zwecken genutzt wurden.
Das Energieunternehmen akzeptierte den Bußgeldbescheid in dieser Höhe.
1.4 Rheinland-Pfalz: 1:0 für den Datenschutz
Der aktuelle Erfolgskurs des SV Mainz 05 setzt sich auch außerhalb des Spielfeldes fort. Zusammen mit der dortigen Datenschutzaufsicht engagiert sich der SV Mainz 05 in der Sensibilisierung von Jugendlichen im bewussteren Umgang mit Daten. Und das sogar ohne vorherigen Datenschutzverstoß.
1.5 Liechtenstein: Profiling
Auf was muss beim Profiling geachtet werden und wann liegt dies überhaupt vor? Hierzu informiert die Datenschutzstelle des Fürstentums Liechtenstein auf seiner Homepage.
1.6 Liechtenstein: Hinweise zu technischen und organisatorischen Maßnahmen
Die Datenschutzstelle des Fürstentums Liechtenstein hat auch Hinweise zur Definition und den Anforderungen an technische und organisatorische Maßnahmen veröffentlicht. Dabei nimmt sie auch zum Risiko und „Stand der Technik“ Stellung.
1.7 Baden-Württemberg zu MS365
Dass der Einsatz von MS365 im Schulbetrieb umstritten war und nun letztendlich auch aufgrund einer Stellungnahme des LfDI BW aktuell nicht mehr vorgesehen ist, hat sich herumgesprochen. Durch eine Anfrage über das Informationsfreiheitsgesetz wurde nun diese Stellungnahme veröffentlicht. Auch wenn sie aus dem April stammt, sind doch die wesentlich offenen Punkte (Verwendung von Daten durch Microsoft für eigene Zwecke etc.) noch immer nicht ausreichend geklärt.
Franks Anmerkung: Ab und zu scheinen bei frag-den-staat auch mal sich mindestens Links zu ändern (um das Wort verschwinden nicht zu nutzen). Also am Besten speichern Sie sich die PDF bei Interesse gleich mal irgendwo hin ab…
1.8 EDSA: Wann liegt ein Drittstaatentransfer vor?
Reicht es bereits aus, dass sich eine Person aus einem Drittstaat auf ein System aufschaltet, ohne dass eine technische Möglichkeit zum Herunterladen besteht, wenn dabei personenbezogene Daten zur Kenntnis genommen werden können?
Der Europäische Datenschutzausschuss befasst sich in seiner Subgroup derzeit mit dieser Fragestellung, die in einer Stellungnahme der Universität von Oslo behandelt wird. Praktischer Anwendungsfall sind beispielsweise Supportsituationen zur Fehleranalyse und Fehlerbehebung.
Franks Anmerkung: Ab und zu scheinen bei frag-den-staat auch mal sich mindestens Links zu ändern (um das Wort verschwinden nicht zu nutzen). Also am Besten speichern Sie sich die PDF bei Interesse gleich mal irgendwo hin ab…
1.9 Sachsen: Datenschutz in der Schule
Rechtzeitig zum Beginn des neuen Schuljahres hat der sächsische Datenschutzbeauftragte seine Info zu den Anforderungen an den „Datenschutz in der Schule“ veröffentlicht.
Dabei finden sich Links u.a. zu den Themen Fotografieren oder Videokonferenzdienste.
1.10 EDSA: Taskforce zu Cookie-Banner
Der europäische Datenschutzausschuss hat eine Task Force eingerichtet, um die Beschwerden zu Cookie-Bannern einheitlich zu bewerten.
1.11 Schweden: „unverzügliches“ Löschen
Was bedeutet die Anforderung „unverzüglich“ in der DS-GVO? Bewanderte Zeitgenossen denken dabei auch an den § 121 BGB, in dem „unverzüglich“ als ohne schuldhaftes Zögern definiert wird. Aber: Das BGB ist eine deutsche Regelung, die DS-GVO eine europäische. So haben die Schweden bei der Frage der Unverzüglichkeit eines Löschungsanspruchs aus Art. 17 Abs. 1 DS-GVO in einem Prüfverfahren entschieden, dass hierfür ein Zeitraum von 16 Tagen angesehen werden kann. Schön beschrieben wird dieses Thema (wieder mal) hier.
1.12 Bundeskartellamt: Sektorenuntersuchung bei Apps
Auch wenn das Bundeskartellamt keine Datenschutzaufsichtsbehörde ist:
Ihre Prüfungen und Ergebnisse (und deren Konsequenzen) sind auch für die datenschutzrechtliche Beratung interessant. So wurden bei einer Sektorenuntersuchung des Bundeskartellamts auch datenschutzrechtliche Aspekte betrachtet. Es ging dabei um folgende (verbraucherrechtlichen) Problemfelder:
- Vorinstellation von Apps
- Suche nach Apps
- Informationen vor dem Download, hier v.a. datenschutzrechtliche Themen (v.a. auch 4. Einwilligungspflicht nach DSGVO und TMG/TTDSG)
- Gewährleistung
- Berechtigungsmanagement
1.13 Irland: Ermittlungen gegen TikTok
Laut Berichten ermittelt die irische Aufsichtsbehörde gegen TikTok, insbesondere wegen der Verarbeitung der Daten von Kindern und der Datenweitergabe nach China.
1.14 Spanien: Bußgeld gegen Auftragsverarbeiter
Ein IT-Dienstleister einer spanischen Hotelkette verweigerte die Datenrückgabe und den Zutritt zu den Räumlichkeiten, in welchen die Server standen, nach der Beendigung des Vertrages. Keine gute Idee, meinte die spanische Datenschutzaufsicht und verhängte ein Bußgeld gegen den Auftragsverarbeiter in Höhe von 100.000 Euro. Mit der DS-GVO können nun auch Sanktionen gegen Auftragsverarbeiter direkt verhängt werden, wenn sich diese nicht an die Vorgaben der DS-GVO halten.
1.15 LfDI BW: Schulungsreihe zur Informationsfreiheit und Veranstaltungen
Der LfDI Baden-Württemberg unterhält ein Bildungszentrum zu datenschutzrechtlichen Themen und erweitert sein Angebot auch um die Kenntnisvermittlung zur Informationsfreiheit. Auch bietet er nun auch eine App an, die über Neuigkeiten aus seiner Behörde informiert.
2 Rechtsprechung
Wie in der Einführung geschrieben, gibt es hier ab der nächsten Ausgabe wieder mehr…
3 Gesetzgebung
Wie in der Einführung geschrieben, gibt es hier ab der nächsten Ausgabe wieder mehr…
4 Veröffentlichungen
Wie in der Einführung geschrieben, gibt es hier ab der nächsten Ausgabe wieder mehr…
5 Gesellschaftspolitische Diskussionen
Wie in der Einführung geschrieben, gibt es hier ab der nächsten Ausgabe wieder mehr…
6 Sonstiges/Blick über den Tellerrand
Wie in der Einführung geschrieben, gibt es hier ab der nächsten Ausgabe wieder mehr…
7. Franks Zugabe
7.1 Cybersecurity – Handbücher geleaked
Wenn Sie sich jetzt fragen, warum jemand Handbücher leaked und warum Sie das interessieren sollte (kriegen wir normalerweise nicht Handbücher immer mit dazu?), dann sollten Sie kurz weiterlesen:
Die fraglichen Handbücher und Anleitungen sind tatsächlich die der Conti-Ransomware-Gang. Scheinbar gab es dort jemand unzufriedenen. Und diese Person hat die internen technischen Dokumentationen veröffentlicht. Die Inhalte werden hier schön dargestellt. Scheinbar sind die Dokumente mitunter auch für Laien geschrieben.
7.2 Apples Tabubruch: Massenüberwachung für den Kinderschutz
Auch wenn es mit gewissem Abstand schon wieder wie alter Kaffee wirkt, hat doch Apple einen Tabubruch vor. Und natürlich ist das verschiedentlich problematisch. Angefangen damit, dass Bild-Hashes nicht immer eineindeutig sind, Kollisionen also vorkommen können.
Wenn Sie sich gerade fragen, wovon ich schreibe, hier und hier gibt es gute Informationen über Apples geplante CSAM-Erkennung.
Tatsächlich wurde mit Kritik nicht von allen souverän umgegangen.
Sie haben dann mitgeteilt, dass sie die Technologie nicht über den konkreten CSAM-Einsatz hinaus ausdehnen wollten, auch nicht auf Regierungsanforderungen hin.
Allerdings hat zumindest Australien genau das von Big Tech gefordert.
Und Apple konnte sich auch gut vorstellen, die Technologie, die u.a. auf dem Apple-Gerät laufen sollte, auch in Drittanbieter-Apps einzusetzen.
Niemand in der Zivilgesellschaft war glücklich mit diesen Plänen, NGOs liefen dagegen Sturm.
Mittlerweile soll Apple diese Pläne zurückgezogen haben und die Funktionalität nicht im kürzlich veröffentlichten iOS 15 eingebaut haben.
Das Apple-Mitarbeiter selbst der Meinung waren, dass ihre Plattform großartig zum Verbreiten von Child Porn geeignet sei, ist da fast nur eine skurile Anekdote.
7.3 Die Taliban und der Datenschutz
Ein weiteres Thema, welche viele Menschen weltweit sehr ratlos zurückgelassen hat, war die überraschende Machtübernahme der Taliban in Afghanistan. Ich möchte jetzt nicht auf das Überraschende eingehen und auch nicht über Politik diskutieren. Das wurde an anderer Stelle schon reichlich gemacht. Ich möchte nur über Datenschutz-Aspekte schreiben.
Zum einen warfen die Taliban Facebook die Einschränkung der Redefreiheit vor. Auch nicht schlecht und unerwartet.
Zum anderen bekamen sie ein riesen Geschenk von den abziehenden Truppen.
Als hätte nie jemand vor dem überbordenden Einsatz von Biometrie gewarnt.
Soziale Netze versuchten dann die Nutzer zu schützen.
Es gibt außerdem von NGOs entsprechende Leitfäden für Betroffene, um die Spuren zu verwischen. Schade, dass da trotz der Warnungen niemand vorher an mögliche Konsequenzen und Ausstiegsszenarien gedacht hat.
Apropos Biometrie: Selbst Thumbnails (Vorschaubilder) sind wahrscheinlich kein Schutz mehr im Internet. Apropos Biometrie und Internet, erinnert sich noch wer an Clearview AI?
Ach ja, und natürlich sind biometrische Systeme nicht überlistbar.
7.4 Preissteigerungen
Ist eigentlich irgendjemand überrascht, dass Microsoft die Preise für Microsoft 365 erhöht? So ist doch der übliche Weg, oder? Erst den Markt überrollen und wenn dann der Status der Alternativlosigkeit erreicht ist, einfach mal die Preise anziehen. So geht Kapitalismus.
Aber dafür sind da ja viele Features. Und das auf sicherer Basis. Apropos Azure und sicher…
Aber das ist ja nicht schlimm, denn laut dem Microsoft-Chef ist die Zukunft ja „passwordless“. Das hätte ich jetzt zwar anders verstanden, aber er muss es ja wissen, wie er das meint.
7.5 Trau, schau, wem
Warum Devices gefährlich für Rechner sein können, zeigt sich hier und hier schön… Gott sei Dank steckt ja kaum jemand Tastatur oder Maus an einen PC, oder?
7.6 Super Duper Secure Mode
Nachdem Microsoft ja schon extreme Veränderungen am Blue Screen of Death vor hat, wollen sie vielleicht auch an anderer Stelle kräftig umbauen und den „Super Duper Secure Mode“ im Browser Edge anbieten. Was das ist, fragen Sie? Nun ja, sie schalten erst mal testweise den Javascript-Compiler ab.
7.7 Glühwürmer-Attacke…
Hätten Sie erwartet, dass Klang aus der Power-LED abgeleitet werden kann? Nein? Ich auch nicht. Geht aber wohl…
7.8 Veranstaltungstipp – Popcorn am 16.10.2021
Nein, das Popcorn bekommen Sie nicht von uns. Aber vielleicht möchten Sie es sich mit einem Beutel voll gemütlich machen und beobachten, ob das hier zum Problem wird?
7.9 Lesetipp – End of the line for Uber
Kennen Sie Cory Doctorow? Ich durfte ihn vopr Jahren bei einer Veranstaltung in Berlin kennenlernen und kurz mit ihm sprechen. Ein intelligenter Mensch, der u.a. auch gute Bücher schreibt.
Oder „End of the line for Uber“. Wie so ziemlich alles von ihm lesenswert.
7.10 Astro
Ich beende mal meine Beiträge mit etwas süßem, einem Hund. Nicht irgendeinem Hund, nein, mit Astro, Amazons Überwachungshund. Oh, doch nicht so süß…