Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 01&02/2022)“ – die Jahresstarter-Ausgabe
Hier ist der 29. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 01&02/2022)“ – die Jahresstarter-Ausgabe.
Neues Jahr, gleiche Blog-Reihe. Nach verdienter Ruhephase beginnen wir das Jahr 2022 mit einer Doppelausgabe. Dafür ist sie auch ein wenig umfangreicher…
- Aufsichtsbehörden
- EDSA: Guideline zu data breaches final
- EDSA: Hilfestellung für TIA zu Indien, China und Rußland
- Europäischer Datenschutzbeauftragter: Empfehlungen zur Pseudonymisierung
- Europäischer Datenschutzbeauftragter: Sanktionierung des EP wegen unzulässigem Cookies-Einsatz
- Österreich: Einsatz von Google Analytics verletzt „Schrems II“
- LDI Niedersachsen: Prüfung von Windows 10
- Berlin: Einsatz des Videotools von Cisco Webex beanstandet
- LfD Bayern: 3G-Zutrittsregeln im Bay. öff. Dienst
- DSK: Konsultation zur Orientierungshilfe Telemedienanbieter
- Forum Privatheit: Benchmark zu den Datenschutzaufsichtsbehörden
- CNIL: Empfehlungen zu Art. 15 DS-GVO im Beschäftigungsverhältnis
- CNIL: Sanktion gegen Google und Facebook
- Analyse: Vollgas bei Bußgeldern?
- Europäischer Datenschutzbeauftragter: Europol soll mal löschen
- Bundeskartellamt: Missbrauch durch Google?
- BVerfG: „Bye, bye, Insta“
- Rechtsprechung
- LG Saarbrücken: Vorlage an den EuGH zu Schadenersatz
- VG Würzburg: Kein Auskunftsanspruch auf Handakten der Behörde in Steuerstrafverfahren
- FG München zum Auskunftsanspruch gegen das Finanzamt
- EuGH: Klage von WhatsApp gegen EDSA
- LAG Hessen: Immaterieller Schadensersatz bei rechtwidriger Überwachung durch Detektei
- LG Potsdam: Wer liest schon Datenschutzhinweise… ?
- EuGH: Vorlage des BAG zu Art. 9 Abs. 2 DS-GVO
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Digitale Souveränität
- Datentransfer und USA
- Podcast mit Ulrich Kelber
- Schuldrecht: Digitale Themen
- Mehr Cyberangriffe
- Geld machen mit Datenschutzverstößen – denen Anderer
- Sichere Währung durch Sicherheitssoftware – oder nicht?
- Forschungsgutachten zum Einwilligungsmanagement nach § 26 TTDSG
- Veranstaltungen
- LfDI BW: Zielsicher Informationen erhalten
- University College London: Clash of Jurisdiction – the EU-US Data Transfer Saga
- Daten-Dienstag: Europäische Einflüsse auf die Datenregulierung
- Vortrag zu ISO 27701
- EAID: EU-Datenstrategie – Welche Auswirkungen ergeben sich für den Datenschutz?
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Y2K22
- Cybercrime-as-a-service
- Mehr zu Telegram
- Warum copy’n’paste nicht immer gut ist
- Du sollst keine fremden USB-Sticks an die eigenen Rechner anstecken
- Ein kleines Update zu 1.4 der Jahresend-Ausgabe – CNIL: Ablehnungsanforderungen an Cookies
- (Ein letztes Mal?) Etwas zu REvil
- Umgang mit dem TTDSG
- Ortungsdienste auf dem iPhone richtig einstellen
- Faking an iPhone-Reboot
- Hacking im Weltraum
- Wenn das Internet zur Stolperfalle wird
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Guideline zu data breaches final
Die „Guidelines 01/2021 on Examples regarding Personal Data Breach Notification“ sind nun durch den EDSA nach der Konsultation auch veröffentlicht. Anhand einiger Beispiele werden Schutzmaßnahmen davor und danach sowie Empfehlungen zu Dokumentations-, Melde- und Benachrichtigungspflichten ausgesprochen. Es lohnt sich sicher, die Beispiele mit jeweils internen Vorgaben anzugleichen.
1.2 EDSA: Hilfestellung für TIA zu Indien, China und Rußland
Der Begriff „TIA“ für „Transfer Impact Assessment“ scheint sich verfestigt zu haben, obwohl er weder im Gesetzgebungsverfahren noch im Schrems-II-Urteil vorkommt. Sei´s drum: Wer sich mit der Umsetzung der Anforderungen des EuGH zum Drittstaatentransfer befasst, wird vor die Situation gestellt die Rechtssituation im Empfängerland „irgendwie“ bewerten zu müssen. Die zeitliche Spanne und der Behördenapparat, der der EU-Kommission für Angemessenheitsbeschlüssen zur Verfügung steht, fehlt bei Unternehmen, so dass die Aussagen aus einer Studie über die Situation in Indien, China und Rußland eine Hilfe sein mögen, auch wenn der EDSA keine Haftung für die Aussagen der Studie übernimmt.
1.3 Europäischer Datenschutzbeauftragter: Empfehlungen zur Pseudonymisierung
Anforderungen und Vorschläge zur Pseudonymisierung sind durch den EDPS veröffentlicht worden.
1.4 Europäischer Datenschutzbeauftragter: Sanktionierung des EP wegen unzulässigem Cookies-Einsatz
Der Europäische Datenschutzbeauftragte, der die Einhaltung datenschutzrechtlicher Vorgaben bei europäischen Einrichtungen überwacht, geht gegen den unzulässigen Einsatz von Cookies auf den Webseiten des europäischen Parlaments vor. Insbesondere der Einsatz von Cookies zur Nutzung von Google Analytics verstoße gegen das Schrems II-Urteil des EuGH. Auslöser war eine Beschwerde von noyb.
1.5 Österreich: Einsatz von Google Analytics verletzt „Schrems II“
Und auch in Österreich war eine Beschwerde Ausgangspunkt einer Entscheidung der Österreichischen Datenschutzbehörde, die nach Prüfung den Einsatz von Google Analytics untersagte. In dem Bescheid befasst sich die Behörde mit Fragen des Personenbezugs und des Drittstaatentransfers bei der Einbeziehung von Dienstleistern.
1.6 LDI Niedersachsen: Prüfung von Windows 10
Die LDI Niedersachsen prüfte den Einsatz von Windows 10 in der öffentlichen Verwaltung. Neben einem vorläufigen Bericht umfasst die Veröffentlichung auch ein Prüfschema.
1.7 Berlin: Einsatz des Videotools von Cisco Webex beanstandet
Die Freie Universität Berlin fühlte sich so frei für Online-Vorlesungen das Videokonferenzprodukt Cisco Webex einzusetzen. Wohl auf eine Beschwerde des Asta befasst sich die zuständige Datenschutzaufsichtsbehörde damit und kam zu dem Ergebnis, der Einsatz sei wegen der unzureichenden Regelung des Drittstaatentransfers (in die USA) zum Zeitpunkt der Prüfung unzulässig. Eine Untersagung sei aber damit noch nicht verbunden. Details sind nun über eine Anfrage bei FragdenStaat verfügbar.
1.8 LfD Bayern: 3G-Zutrittsregeln im Bay. öff. Dienst
Fast wöchentlich ändern sich die Vorgaben zur Pandemieeindämmung. Dies nur als Disclaimer die Hinweise des LfD Bayern immer unter möglicherweise wieder geänderten Vorgaben zu betrachten, wenn es darum geht, wie Behörden (in Bayern) Zugangsregelungen von Beschäftigten und Bürgern aus Datenschutzsicht handhaben sollten.
1.9 DSK: Konsultation zur Orientierungshilfe Telemedienanbieter
Die Datenschutzkonferenz hat ja bereits mit der Pressemeldung bei der Veröffentlichung der Orientierungshilfe für Telemedienanbieter angekündigt eine Konsultation dazu durchzuführen. Details sind dazu nun bekannt: Bis 15. März 2022 kann dazu Rückmeldung gegeben werden.
1.10 Forum Privatheit: Benchmark zu den Datenschutzaufsichtsbehörden
In einem globalen Benchmark werden die Aufsichtsbehörden einer Betrachtung in einer Veröffentlichung des Forums Privatheit unterzogen. Neben Ausführungen zu Aufgaben und Ausgestaltung sind dabei auch Darstellungen zu Bußgeldern enthalten, welche Verfahren bereits abgeschlossen sind oder welche noch offen. Es mag mein subjektiver Eindruck beim kursorischen Betrachten sein, dass manche Konzerne in den USA schneller zu einem Abschluss bei Verfahren bereit sind, während in Europa noch die Entscheidungen gerichtlich überprüft werden. Aber lesen Sie selbst.
1.11 CNIL: Empfehlungen zu Art. 15 DS-GVO im Beschäftigungsverhältnis
Die französische CNIL hat auf ihrer Webseite Empfehlungen zu Auskunftsbegehren (gemäß Art. 15 DS-GVO) insb. im Beschäftigungsverhältnis veröffentlicht. Zwar „nur“ auf Französisch, es gibt aber bereits Beiträge dazu – auf Deutsch*.
* Franks Anmerkung: Merci beaucoup!
1.12 CNIL: Sanktion gegen Google und Facebook
Grundlage für die Sanktion der französischen Datenschutzaufsicht gegen Google in Höhe von 150 Mio. Euro und gegen Facebook (jetzt Meta) in Höhe von 60 Mio. Euro beruht auf der Verletzung von Vorgaben, die auf der ePrivacy-Richtlinie beruhen und bei denen die Aufsicht unzureichende Cookiegestaltung moniert. Eine Zuständigkeitsregelung wie bei der DS-GVO gibt es dabei nicht, die z.B. eine zentrale Zuständigkeit wie einen „One-Stop-Shop“ nach Irland legen würde.
Und natürlich hat Google zu allem eine eigene Ansicht.
1.13 Analyse: Vollgas bei Bußgeldern?
In einem Fachkommentar wird dargelegt, dass es derzeit auf europäischer Ebene Bestrebungen gäbe einheitliche Vorgaben für die Bemessung von Bußgeldern zu schaffen. Dann wären auch die deutschen Aufsichtsbehörden daran gebunden. Anscheinend sollen die Bußgelder dann dadurch anziehen, was jetzt kein Aufruf sein soll sich jetzt noch erwischen zu lassen.
1.14 Europäischer Datenschutzbeauftragter: Europol soll mal löschen
Der Europäische Datenschutzbeauftragte beaufsichtigt europäische Einrichtungen wie Europol. Und stellt er fest, dass dort personenbezogene Daten unzulässig verarbeitet werden, kann er dies untersagen bzw. deren Löschung anordnen. Hat er jetzt auch getan. Und nicht wundern: Europäische Einrichtungen unterliegen nicht der DS-GVO – für sie gibt es eine eigene Regelung, mit gleichlautenden Prinzipien.
1.15 Bundeskartellamt: Missbrauch durch Google?
Wer hätte das gedacht? Das Bundeskartellamt stellt fest, dass der Konzern „Alphabet“ und die damit verbundenen Unternehmen wie Google eine überragende marktbeherrschende Stellung haben. Damit beginnt jetzt die Behörde konkrete, für den Wettbewerb schädliche Verhaltensweisen aufzugreifen. Na dann?
Franks Nachtrag: Na dann wünschen wir mal viel Erfolg…
1.16 BVerfG: „Bye, bye, Insta“
Was war das für ein Hallo, als das BVerfG zu seinem 70. Geburtstag im letzten Jahr seinen Instagramaccount eröffnete. Aber nun: Ende. Warum? Keine Ahnung, Mutmaßungen gibt es natürlich auch – aber vielleicht haben sie sich nur mal über die rechtlichen Grundlagen informiert. Wäre ja denkbar.
2 Rechtsprechung
2.1 LG Saarbrücken: Vorlage an den EuGH zu Schadenersatz
Wie bereits berichtet legt das LG Saarbrücken an den EuGH Fragen zum Schadenersatz nach der DS-GVO vor. Der genaue Wortlaut ist nun veröffentlicht. Auch hier geht es um die Erheblichkeit der Beeinträchtigung, aber auch um die Fragen, ob es relevant sei, durch wen der Rechtsverstoß verursacht wurde und ob bei der Bemessung die Kriterien, die für eine Sanktion zu berücksichtigen sind, auch Beachtung finden sollen.
2.2 VG Würzburg: Kein Auskunftsanspruch auf Handakten der Behörde in Steuerstrafverfahren
Das VG Würzburg entschied in einem Fall, dass die Handakten einer Bußgeld-, Steuerstraf- und Steuerfahndungsstelle eines Finanzamtes nicht einem Auskunftsanspruch unterliegen. Das Finanzamt hatte bezüglich der Einnahmen und Ausgaben eine andere Einschätzung als die betroffene Person, leitete ein Steuerstrafermittlungsverfahren ein und führte eine Außenprüfung durch. Der Kläger begehrte Akteneinsicht in Handakten beim Finanzamt. Das Finanzamt und nun auch das Gericht lehnten dies ab. Gemäß Art. 2 Abs. 2 lit. d DS-GVO findet die DS-GVO keine Anwendung auf Daten, die durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafverfolgung verarbeitet werden. Auch nach der Richtlinie „Polizei und Justiz“ besteht kein Anspruch, weil diese nicht unmittelbar gelte. In der Umsetzung dieser Richtlinie sind im BDSG Regelungen geschaffen (§ 57 Abs. 1 Satz 1 BDSG), die dem Kläger das Recht auf die Erteilung verschiedener Informationen hinsichtlich der von ihm verarbeiteten personenbezogenen Daten geben. Nach dem Wortlaut sei damit kein Recht auf Einsichtnahme in Akten verbunden. Geregelt werde nur ein Anspruch auf Auskunft im Sinne einer Zusammenstellung einer Übersicht darüber, ob und wenn ja welche personenbezogene Daten verarbeitet oder gespeichert sind. Dies widerspreche auch nicht der RL „Polizei und Justiz“, weil nach Art. 15 Abs. 1 Buchst. a und b dieser Richtlinie die Mitgliedstaaten Gesetzesmaßnahmen erlassen können, die gewährleisten, dass behördliche oder gerichtliche Untersuchungen, Ermittlungen oder Verfahren nicht behindert werden oder die Verhütung, Aufdeckung, Ermittlung oder Verfolgung von Straftaten oder die Strafvollstreckung nicht beeinträchtigt werden.
Eine andere Rechtsgrundlage für einen Anspruch auf Akteneinsicht in Handakten der Bußgeld- und Steuerstrafstelle oder der Steuerfahndungsstelle sei nicht ersichtlich.
2.3 FG München zum Auskunftsanspruch gegen das Finanzamt
In dem Urteil des FG München wird festgestellt, dass der datenschutzrechtliche Auskunftsanspruch grundsätzlich auch im Steuerverfahren gelte. Er gewähre aber nicht einen in das Ermessen gestellten Auskunftsanspruch über die vom Finanzamt verarbeiteten Daten. Er umfasst das Recht auf Ausdrucke oder online zur Verfügung gestellte Daten aus den Datenbanken des Finanzamts, insbesondere die „Grunddaten“ und die „eDaten“, bei den Festsetzungsdaten die Eingabedaten und Berechnungsergebnisse, die Festsetzungsauskunft, die Erhebungsübersicht und die Datenbank Rechtsbehelfe, sowie das Erhebungskonto. Zudem gewähre er keine Auskunft über Kontrollmaterial oder Verdachtsspuren, wie etwa BP-Meldungen, BP-Informationen, das Datenblatt Risikomanagementsystem, die „festsetzungsnahen Daten“, sowie Vermerke zur Entscheidungsvorbereitung und Entscheidungsdokumentation. Er umfasse grundsätzlich nicht das Recht auf Einsicht in die Steuerakte oder einzelne Verwaltungsdokumente oder Überlassung einer Kopie hiervon. Der Anspruch sei zeitlich auf die Daten nicht abgeschlossener Besteuerungszeiträume begrenzt.
Im Rahmen des Urteils befasst sich das Gericht ausführlich mit den Begrifflichkeiten des Personenbezugs und der manuelle oder (teil-) automatisierte Verarbeitung und stellte fest, dass soweit ersichtlich, die Rechtsprechung noch keine Gelegenheit hatte näher zur datenschutzrechtlichen Behandlung derart umfangreicher Aktensammlungen mit einer großen Zahl nicht weiter strukturierter Dokumentbündel, wie sie etwa die Steuerakten darstellen, Stellung zu nehmen. Das hat das FG München nun getan.
2.4 EuGH: Klage von WhatsApp gegen EDSA
Es war der erste Fall, bei der der Europäische Datenschutzausschuss über eine Entscheidung gemäß Art. 65 DS-GVO eine europäische Aufsichtsbehörde zu einem konkreten Vorgehen gegen einen Verantwortlichen veranlasste. Dies führte zu einer Sanktion gegen WhatsApp in Höhe von 225 Mio. Euro durch die irische Aufsicht. WhatsApp klagt nun dagegen und zwar gegen den Beschluss nach Art. 65 DS-GVO.
2.5 LAG Hessen: Immaterieller Schadensersatz bei rechtwidriger Überwachung durch Detektei
Der Sachverhalt ist etwas umfangreich und kompliziert. Ein Arbeitgeber engagiert eine Detektei, um klären zu lassen, ob ein Arbeitnehmer sich seine Arbeitsunfähigkeitsbescheinigungen erschlichen hat. Das LAG Hessen kam zu dem Ergebnis, dass die Observation den Kläger auch in seinem allgemeinen Persönlichkeitsrecht verletzte. Der Detektiv beobachtete ihn an sechs Tagen in seinem Privatleben (auf dem Balkon seiner Wohnung und im Garten). Einmal lief er ihm sogar bis in den Park hinterher. Auch wenn anlässlich der Observation keine Video- und Fotoaufnahmen des Klägers und seiner Kinder angefertigt wurden, hält die Kammer einen immateriellen Schadenersatz in Höhe von insgesamt 1500 Euro (je 250 Euro für jede der sechs Observationen) für angemessen. Dies ergäbe sich aus dem Gesichtspunkt der Genugtuung des Opfers sowie der Prävention.
Anlass der Observation war, dass der Prozessvertreter des Arbeitgebers meinte den Arbeitnehmer an einem Tag im Zug gesehen zu haben, an dem der Arbeitnehmer als arbeitsunfähig krankgeschrieben gewesen sei. Das Gericht war der Ansicht, es hätte sich in diesem Fall leichter klären lassen, indem er den Mann nur hätte ansprechen brauchen.
Leider befasst sich das Gericht nicht mit den Fragen der datenschutzrechtlichen Verantwortlichkeiten, die sich (manchem) bei dem Einsatz einer Detektei aufdrängen.
2.6 LG Potsdam: Wer liest schon Datenschutzhinweise… ?
Sie kennen vielleicht diese „Bauernfängertricks“, dass kleine und mittlere Unternehmen mit Hinweis auf irgendwelche Register gegen irrwitzige Summen verleitet werden ihre Kontaktdaten im Netz veröffentlichen zu lassen. So wohl auch hier. Das Unternehmen klagte dann und bekam Recht (Wucher und nicht transparente Darstellung der Preise – überraschende Klausel). Das Originelle daran ist die Begründung des Landgerichts Potsdam (Hervorhebungen durch mich):
„Weiterhin hat die Klägerin die Hinweise zur dieser Kostenpflicht bewusst in die unmittelbare Nähe zu den Hinweisen über das BDSG/die DSGVO gerückt. Der Zusatz BDSG/DSGVO führt, gerade wenn er wie hier als Einleitung zu einer hervorgehobenen Passage des „Kleingedruckten“ dient, nach der Erfahrung der Kammer vielfach dazu, dass der Leser eines Schriftstücks nicht mehr die gebotene Aufmerksamkeit walten lässt, die Passage vielmehr in der Annahme, es handle sich nur um Datenschutzhinweise, übergeht. Seit Einführung der DSGVO sind Kunden bei jedem Vertragsabschluss mit teilweise sehr umfangreichen Hinweisen zur Datenerhebung, -verarbeitung und -speicherung konfrontiert.
Die entsprechenden Hinweise/Vorschriften sind in aller Regel nicht verhandelbar, sondern werden den Kunden zur Kenntnis vorgelegt. Eine vertiefte Lektüre wird nicht erwartet und dürfte auch von kaum einem Kunden vorgenommen werden. Damit besteht eine objektiv hohe Wahrscheinlichkeit, dass ein erheblicher Teil der Adressaten den Text nicht tatsächlich zur Kenntnis nimmt. Gerade diesen Effekt macht sich die Klägerin zu Nutze, indem sie die Höhe der anfallenden Kosten in die unmittelbare Nähe zu den Ausführungen zu den Hinweisen über das BDSG/die DSGVO setzt. […]“
2.7 EuGH: Vorlage des BAG zu Art. 9 Abs. 2 DS-GVO
Die Vorlage des BAG an den EuGH zu Fragen des Art. 9 Abs. 2 DS-GVO und zu den Voraussetzungen eines immateriellen Schadenersatz sind zwischenzeitlich auch im Wortlaut veröffentlicht.
3 Gesetzgebung
3.1 Gedanken zum TTDSG
Ok, es ist kein Gesetzgebungsverfahren, aber das TTDSG ist neu und manches wirkt noch nicht ganz ausgereift, wie sich an diesen Überlegungen zeigt. Gegenüber wem ist nun die Einwilligung in die Trackingmaßnahmen zu erklären, bzw. wer wäre denn nachweispflichtig? Und muss auch über „Nicht-Cookies“ informiert werden?
3.2 EU-Kommission: Einschränkung der Betroffenenrechte zugunsten der IT-Sicherheit
„Ich mach mir die Welt, wie sie mir gefällt“, mag der einen oder dem anderen in den Sinn kommen, die/der den Beschluss „zur Festlegung interner Vorschriften über die Unterrichtung betroffener Personen und die Beschränkung bestimmter Rechte dieser Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten für die Zwecke der Sicherheit der Informations- und Kommunikationssysteme der Kommission“ liest. Sicherlich ist eine Einschränkung von Maßnahmen, die der Gewährleistung der IT-Sicherheit dient, diskussionswürdig, aber dann bitte für alle.
4 Künstliche Intelligenz und Ethik
4.1 Kein Patent durch KI
Ein Erfinder muss nach dem Europäischen Patentübereinkommen in einer Patentanmeldung ein Mensch sein. Eine Künstliche Intelligenz erfüllt diese Anforderung laut der Pressemeldung des Europäischen Patentamtes zu zwei Entscheidungen nicht.
4.2 Generative Adversarial Networks
Nur mal so als Beispiel, was ich im Netz fand, was einen erstaunen, aber auch etwas erschauern lässt, wenn man dann bedenkt, wie leicht auch dadurch Manipulationen und Falschnachrichten gesteuert werden können.
Franks Nachtrag: Woran erinnert mich das? Ach ja … hatten wir ja schon mal so ähnlich (siehe „This Person does not exist“.
5 Veröffentlichungen
5.1 Digitale Souveränität
Es ist eines der Buzzwörter des letzten Jahres und auch dieses Jahr wieder sicher vorne mit dabei. Bei Digitaler Souveränität fühlt sich jeder angesprochen, wer will sich schon etwas aufzwingen lassen?! Mit dem Begriff in der EU befasst sich eine Publikation der Bertelsmann-Stiftung vom Juli 2020, aber auch ein aktueller Beitrag eines Fachjournalisten und ein Fachbeitrag, der auch auf die grundsätzliche Thematik der Einwilligung eingeht.
5.2 Datentransfer und USA
Die Stiftung Neue Verantwortung hat sich in ihrer Publikation „Solving the transatlantic data dilemma“ mit den Auswirkungen des Schrems-II-Urteils befasst. Dabei formulieren sie auch Möglichkeiten einer Verbesserung.
5.3 Podcast mit Ulrich Kelber
Am 07.01.2022 erschien ein Podcast, in welchem sich der BfDI im Rahmen der Thematik „Jahrzehnt der Digitalisierung – Wie sich die Politik hinter dem Datenschutz versteckt“ äußern durfte.
5.4 Schuldrecht: Digitale Themen
Die Digitalisierung kriegt sie alle. Nun auch das BGB – zwar kein reines Datenschutz- oder IT-Sicherheitsthema, aber Ihr kennt das ja, da steht irgendwas mit Daten, da ist dann schon der Datenschutz zuständig. Denkste – reines Zivilrecht, dafür hat man dann Juristen als Expert:innen…
ABER, weil es dann doch auch spannend ist, ab wann z.B. ein fehlendes Update oder ein Patch auch zivilrechtlich relevant werden kann, hier entsprechende Hinweise. Einerseits auf eine Darstellung der Änderungen im BGB zum 01.01.2022 und auf einen Beitrag zur Aktualisierungspflicht nach § 327 lit. f BGB.
5.5 Mehr Cyberangriffe
Die Zentralstelle Cybercrime in Bamberg stellt nach Berichten zunehmende Hackerangriffe auf Unternehmen fest.
[Kleiner Spoiler: Am 26.04.2022 ist vorgesehen, dass die ZAC beim Daten-Dienstag des MfK Nürnberg aus ihrer Arbeit berichtet.]
5.6 Geld machen mit Datenschutzverstößen – denen Anderer
Wir hatten schon darauf hingewiesen, wie sich das Geschäftsmodell der Geltendmachung der Ansprüche aus Art. 82 DS-GVO entwickelt. Das scheint auch anderswo wahrgenommen zu werden, zumindest gibt es überzeugende Ausführungen dazu. Die Empfehlungen aus dem Beitrag wiederhole ich hier gerne: Unternehmen sollten jetzt ihre Datenverarbeitungen, Prozesse und Strukturen zur Umsetzung datenschutzrechtlicher Vorgaben gründlich daraufhin überprüfen, ob sie mögliche Angriffspunkte für Kläger liefern. Was jedenfalls dazu gehört, um Risiken von Datenschutzklagen zu minimieren: Checklisten und Ablaufpläne zur Reaktion auf Cyber-Attacken, Datenpannen und Datenschutzverstöße.
5.7 Sichere Währung durch Sicherheitssoftware – oder nicht?
Digitale Währung boomt. Und dazu braucht man Speicherplatz und wenn sich dies mit Sicherheitsmaßnahmen verbinden lässt, klingt das verlockend. Aber wahrscheinlich stellt man sich dann doch etwas anderes vor, als wenn Antivirensoftware laut dieser Meldung ungefragt andere Aktivitäten durchführt, oder?
Franks Nachtrag:
OK, nun hat mein Kollege diese Meldung gebracht, für mich war das auch definitiv ein Thema für diesen Blog-Beitrag, wenn auch nur als Update, denn über das Thema Crypto-Mining durch Antivirensoftware habe ich ja schon im Juni 2021 berichtet.
Neben NortonLifeLock ist neuerdings auch Avira beim dem Antivirussoftware-Schürf-Trend dabei. Als nächstes folgt dann vielleicht Avast, schließlich gehört dieser Virenscanner mittlerweile auch NortonLifeLock.
Hier gibt es nochmal eine detailierte Darstellung. Und natürlich lässt sich die Funktion (zumindest in Norton 360) nur schwer wieder loswerden.
5.8 Forschungsgutachten zum Einwilligungsmanagement nach § 26 TTDSG
Um die Umsetzbarkeit der PIMS aus § 26 TTDSG zu prüfen hat das BMWi ein Gutachten in Auftrag gegeben, welches nun vorliegt. Mal sehen, was daraus wird.
5.9 Veranstaltungen
5.9.1 LfDI BW: Zielsicher Informationen erhalten
18.01.2022, 16:00 – 18:00 Uhr, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink gibt Einblicke in das LIFG und zeigt auf, wie Bürger:innen einfach und direkt zu den Informationen kommen, die sie haben möchten. Nach einem Kurztrip durch das LIFG können die Teilnehmenden anschließend im direkten Austausch mit dem Landesbeauftragten diskutieren und Fragen vertiefen, Teilnahme kostenlos, Anmeldung erforderlich.
5.9.2 University College London: Clash of Jurisdiction – the EU-US Data Transfer Saga
18.01.2022, 18:00 – 19:15 Uhr, um was geht es bei der Thematik des Drittstaatentransfers in die USA? Was hat das „Schrems II“-Urteil des EuGH gebracht? Fragt nicht das Brötchen, hört dem Bäcker zu: Max Schrems in der Diskussion (auf Englisch), Teilnahme kostenlos, Anmeldung erforderlich.
5.9.3 Vortrag zu ISO 27701
25.01.2022, 18:00 – 20:00 Uhr, RAin Anna Cardillo informiert über die ISO 27001 im Rahmen der offenen Vorlesung an der Universität des Saarlandes, Teilnahme kostenlos, weitere Informationen und der Link zur Veranstaltung sind hier verfügbar (unter anderem auch Folien vergangener Vorträge zum Thema Datenschutz).
5.9.4 Daten-Dienstag: Europäische Einflüsse auf die Datenregulierung
25.01.2022, 19:00 – 20:30 Uhr, Referent ist Ralf Bendrath, der als politischer Referent bei der Fraktion Die Grünen / Europäische Freie Allianz im Europäischen Parlament tätig ist und sich mit der Wirkung der DS-GVO auf die aktuelle EU-Datenschutz-Gesetzgebung beschäftigt, Teilnahme kostenlos, Anmeldung erforderlich (bitte bis 21.01.2022, siehe unter dem Anmeldelink).
5.9.5 EAID: EU-Datenstrategie – Welche Auswirkungen ergeben sich für den Datenschutz?
27.01.2022, 18:00 – 19:30 Uhr, es ist vorgesehen, dass Renate Nikolay (Kabinettschefin von Vizepräsidentin Věra Jourová, EU-Kommission), Prof. Ulrich Kelber (BfDI), Alexandra Geese (MdEP, Schattenberichterstatterin zum DSA und zum AI Act), Thomas Zerdick (Bereichsleiter beim EDPS) und Klaus Müller (Vorstand des vzbv) zur genannten Frage diskutieren, Teilnahme kostenlos, Anmeldung erforderlich.
6 Gesellschaftspolitische Diskussionen
6.1 Wer traut noch Facebook?
Nach dieser Umfrage wohl 75% der US-Amerikaner nicht. Es scheint mittlerweile im Netz eh jeder zu machen, was ihm gefällt. Und bekommt man Zuckerberg nicht für ein Interview, bastelt man sich ihn einfach selbst, oder?
Franks Nachtrag: Ach ja, Facebook hat es aber auch nicht leicht: Da werden sie von der FTC mit einer Kartellklage belegt. Und dann weigert sich der Richter am zuständigen Gericht diese Klage abzuweisen, da die Chefin der FTC nach Facebooks Meinung befangen sei. Wenn Sie sich jetzt auch fragen, was genau die da in Facebooks Rechtsabteilung geraucht haben, können Sie sich hier weiter zu diesem Thema informieren.
Franks zweiter Nachtrag: Apropos Facebook, da habe ich dieser Tage einen spannenden ersten Teil einer Artikelserie gelesen: Facebooks Daten-Blowouts: Eine Verständnisbrücke Teil1. Ich bin gespannt auf den zweiten Teil.
6.2 Und wer traut diesem Smartphone?
Dass Smartphone kleine Überwachungsmaschinen sein können, versuchen wir immer wieder darzulegen, betrachteten dabei aber in der Regel Apps. Nun wird auch vor bestimmten Smartphones gewarnt.
6.3 Und wer will noch Auto fahren?
Vor allem, wenn eine der Personen auf den Namen Alexa hört? Der Automobilkonzern Stellantis möchte künftig mit Amazon kooperieren, gute Fahrt!
Franks Nachtrag: Alexa, Alexa, da war doch was? Ach ja, das… Na, da können sich die Opel-Fahrer ja bald auf spannende und hilfreiche Gespräche freuen.
6.4 Und weil es gut zu Misstrauen passt: Was tut sich bei der Luca-App?
Durch die Luca-App sollten Gesundheitsämter entlastet werden und die Infektionsketten durchbrochen, doch schnell wurden auch IT-Sicherheitsmängel zum Thema und die jeweiligen Ausschreibungen entsprachen oft nicht den Vergabevorgaben der Bundesländer. Nun wurde bekannt, dass auch die Strafverfolgungsbehörden ohne rechtliche Grundlage auf die Daten der Luca-App-Nutzer zugriffen*.
* Franks Anmerkung: Komisch, dabei soll laut diesem Bericht die Landesregierung Rheinland-Pfalz auf ihrer Website ausdrücklich damit werben, dass die anhand der Luca-App gewonnenen Daten nicht für die Strafverfolgung verwendet würden.
Franks Nachtrag: Ach, die Luca-App, die hatten wir schon oft… Es lohnt auch ein Blick in 7.2.
7 Sonstiges/Blick über den Tellerrand
7.1 Lernende Verwaltung
Zusammen mit einer Beratungsagentur wurde durch den Stifterverband eine Publikation zur „Lernenden Verwaltung“ erstellt. Die in der Publikation dargestellten Ergebnisse basieren auf einer im Juli und August 2021 online durchgeführten Befragung, an der sich 377 Unternehmen und 123 Behörden in Deutschland beteiligten. Befragt wurden leitende Angestellte und Personalverantwortliche zu ihren aktuellen Weiterbildungsstrukturen. Eine ähnliche Befragung wurde bereits im Jahr 2018 durchgeführt.
Als Ergebnis wurde u.a. festgestellt, dass die Beschäftigten weiter qualifiziert werden müssen, unter anderem zu Kompetenzen wie Lösungsfähigkeit und digitale Kollaboration.
7.2 Neujahrsvorsätze: App säubern, hier Klarna und Luca
Wieder mit guten Vorsätzen ins neue Jahr gestartet? Abnehmen, Sport usw.? Wie wäre es mal mit Datenminimierung? Einfach mal checken, welche Apps man hat, die man kaum nutzt oder die man hat, es sich aber nochmal überlegen sollte, wie z.B. bei Klarna oder der Luca-App. Und das Tolle an diesem Vorsatz: Kann man auch von Sofa aus machen!
8
8. Franks Zugabe
8.1 Y2K22
Das Jahr 2000 hat angerufen und droht mit Urheberrechtsklage wegen der Nutzung des Begriffs Jahr-2022-Problem.
Spaß beiseite, die älteren unter uns werden sich noch erinnern, wie zum Jahreswechsel 1999/2000 wegen des Jahr-2000-Problems (kurz Y2K-Problem) die Welt (nicht) unterging. Für allen anderen gibt es Wikipedia zum Nachlesen.
Und warum schreibe ich das? Weil nichts so gut ist, als dass es nicht auch noch mal als Neuauflage gebracht werden könnte. Und damit wären wir dann beim Y2K22-Problem.
Was genau ist das Y2K22-Problem? Na ja, einfach gesagt haben mal wieder Computer Probleme mit Datums- bzw. Zeitangaben. Hier können scheinbar konkret Datumsangaben ab dem 01.01.2022 nicht mehr in long-integer umgewandelt werden. Zumindest scheint das bei manchen Microsoft-Exchange-Servern der Fall gewesen zu sein. Zumindest wenn diese auch die MS-Antimaleware-Engine nutzten. Microsoft hat eine erste temporären Anleitung angeboten und dann einen Fix nachgeschoben. Wenn es nur das Exchange-Problem gewesen wäre, hätten alle mit den Augen gerollt und gesagt „Was ist denn nun bei Problemen mit Microsoft-Software besonders, braucht es dafür extra solch einen Namen wie Y2K22-Problem?“
Eine berechtigte Frage, aber das war es nicht nur. Es gab auch Österreicher, die gefroren haben bzw. kein Warmwasser hatten.
Und manche Honda-Fahrer scheinen nun auch den Y2K22-Bug zu kennen. Zitat aus der Quelle: „The Jalopnik inbox has been lit up with a number of reports about clocks and calendars in Honda cars getting stuck at a certain time in the year 2002.“
Und deswegen ist der Begriff (heutzutage nennen die coolen Kids das Hashtag) Y2K22 zu recht vergeben worden, schließlich haben wir hiermit schon drei vollkommen unabhängige Probleme in drei relativ unabhängigen Systemen, deren einzige Gemeinsamkeit wohl sein wird, dass Software oder in Hardware fest „verdrahtete“ Programme ein Datum- bzw. Zeitproblem haben. Das wird wohl nicht das letzte Mal gewesen sein, dass die Welt über solche Sünden der Urväter und -mütter der Software-Entwicklung stolpern wird.
Wenigstens scheint es dieses Mal keine wirklich schwerwiegenden Probleme gegeben zu haben.
8.2 Cybercrime-as-a-service
War ja klar, dass es auch dieses Angebot gibt. Laut dem aktuellen Cyber Threat Intelligence Report und dieser Quelle ist Cybercrime-as-a-service einer der großen Trends in der aktuellen Bedrohungslage.
8.3 Mehr zu Telegram
Ich hatte ja im Rahmen der Adventskalender-Aktion schon zu Telegram geschrieben, hier ist ein informatives Video (mit Transscript zum Nachlesen für Youtube-Verweigerer) vom c’t-Redakteur Jan-Keno Janssen aus der Reihe c’t3003: „Warum man Telegram für persönliche Kommunikation nicht benutzen sollte“.
8.4 Warum copy’n’paste nicht immer gut ist
Ich möchte jetzt nichts zu dem ehemaligen Bundesverteidigungsminister schreiben, es geht mir tatsächlich um copy und paste, also Texte an der einen Stellen kopieren und woanders wieder einfügen.
Das mache ich (u.a.) beim Erstellen dieses Blogbeitrages ständig. Aus Gründen bekomme ich die Texte von meinem Co-Autor als Textdokument und ich übertrage sie dann ins CMS der Webseite und ergänze dann um meine Anmerkungen und Nachträge sowie meine Zugabe (die Sie ja gerade scheinbar lesen). Da tippe ich ja vom Grundsatz her auch nichts ab, sondern übertrage die Texte und Links über die sogenannte Zwischenablage.
Das kann aber laut diesem Bericht mitunter eine gefährliche Vorgehensweise sein. Warum? Weil es boshaften Angreifern durch geschickt platzierte Scripte gelingen kann den Nutzern beim Kopieren von Texten, die diese zum Beispiel zum Beheben von Problemen in ein Terminal-Fenster einfügen wollen, ganz andere Texte (mithin also boshaften Code) unterzuschieben. Und da ist copy’n’paste für die Nutzer dann nicht gut.
8.5 Du sollst keine fremden USB-Sticks an die eigenen Rechner anstecken
Dieser Satz gehört zu den Mantra-mäßig wiederholten Aussagen bei jedem Security-Awareness-Vortrag. Und trotzdem scheint die Masche laut dem FBI immer noch zu funktionieren.
Um es mit Spock zu kommentieren: Faszinierend!
8.6 Ein kleines Update zu 1.4 der Jahresend-Ausgabe – CNIL: Ablehnungsanforderungen an Cookies
Tatsächlich nur die englische Version der verlinkten Seite auf der CNIL-Webseite, ich hatte mich ja über das alleinige Vorliegen des Textes in französischer Sprache beschwert.
8.7 (Ein letztes Mal?) Etwas zu REvil
Laut diesem Artikel sind die Mitglieder der REvil-Bande (über die wir schon öfter berichtet haben) in Rußland verhaftet worden. Vielleicht ist deren Geschichte damit jetzt tatsächlich am Ende?
8.8 Umgang mit dem TTDSG
Mike Kuketz testet u.a. immer mal wieder Apps und Webseiten auf ihr Datensendeverhalten. Im Dezember 2021 hatte er sich die Apps von ARD und ZDF angeschaut und war nicht angetan, da sie seiner Meinung nach u.a. gegen die Vorgaben des TTDSG verstoßen.
Sowohl ARD als auch ZDF haben auf seine geäußerte Kritik mittlerweile reagiert.
Insgesamt finde ich sowohl die ursprüngliche Analyse vom Dezember als auch die Reaktionen von ARD und ZDF lesenswert. Allerdings bin ich mehr bei Herrn Kuketz‘ Einschätzung, was die Strenge der Vorgaben des TTDSG zum Beispiel an die Erforderlichkeit angeht.
8.9 Ortungsdienste auf dem iPhone richtig einstellen
Ich persönlich nutze keine Ortungsdienste auf meinen Geräten (wundert Sie das jetzt?).
Wenn Sie aber ein iPhone Ihr Eigen nennen und die Ortungsdienste nutzen wollen, möchten Sie sich vielleicht die Anleitung von mobilsicher anschauen. Vielleicht gibt es ja noch Optimierungsbedarf?
8.10 Faking an iPhone-Reboot
Das ist auch nicht nett: Bisher war es immer mal eine gute Idee, ein Smartphone neu zu starten. Dann sollte nämlich üblicherweise (wenn nicht irgendwelche persistenten Speicher mit Schadsoftware korrumpiert sind, auch deswegen haben iOS-Geräte keine Speicherkarten) das Gerät wieder rein und frisch starten. Und Schadsoftware ist somit dann nicht mehr aktiv. Es sei denn, sie täuscht den Neustart nur vor.
8.11 Hacking im Weltraum
Die ESA hat einen Wertbewerb gestartet. Sie will wissen, wie angreifbar einer ihrer Satelliten im Orbit ist und bittet um Vorschläge, wie dieser gehackt werden könnte. Die besten Vorschläge werden ausprobiert. Die besten drei Teams dürfen einen Livehack auf einen echten Satellit probieren.
Ob die ESA jetzt deswegen kalte Füße bekommen hat? Was soll da auch schon schiefgehen, wenn ein einmal gestarteter Satellit aus der Ferne umprogrammiert werden kann?
Doch wo wir gerade vom Weltraum sprechen, nehmen wir uns einmal kurz die Zeit und schauen, wo sich das Webb-Teleskop gerade befindet.
8.12 Wenn das Internet zur Stolperfalle wird
Und zum Abschluss noch das hier:
Zum einen hat die Polizei einen gesuchten Mafioso in Spanien verhaftet. Wegen eines Google-Streetview-Bildes und einer Facebook-Seite. Nun ja, das Internet vergisst wohl doch nie…
Und zum anderen hat die Polizei in Polen einen gesuchten Mörder nach 20 Jahren verhaftet. Warum? Weil er bei einer Kontrolle der Einhaltung der Pandemie-Maßnahmen ohne Maske erwischt wurde. Da soll noch mal einer sagen, dass Masken nicht helfen.
(Ich gebe zu, der zweite Fall hatte nichts mit dem Internet per se zu tun, aber immerhin haben wir über das Internet davon erfahren…)