Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 14 bis 16/2022)“
Hier ist der 35. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 14 bis 16/2022)“.
- Aufsichtsbehörden
- EDSA zum Trans-Atlantic Data Privacy Framework
- BfDI: Konsultationsbericht zu KI bei Strafverfolgung
- BfDI: Veröffentlichung des Tätigkeitsberichts
- Hamburg: Veröffentlichung des Tätigkeitsberichts
- Aufsichtsbehörden zu Facebook Fanpages
- Frankreich: Weitere Bescheide gegen den Einsatz von Google Analytics
- BfDI: Pixi-Büchlein als Video
- EDPS: Rüge für Nutzung von M365, Azure und AWS
- Hamburg: Schwerpunktsetzung
- Österreich: Impfpflicht und Datenschutz
- Dänemark: Guidance in the use of cloud
- Dänemark: Bußgeld wegen unterbliebenen Löschungen
- EDPS: Tätigkeitsbericht
- LfD Niedersachsen: Auch Coronadaten unterliegen Löschpflicht
- Berlin: Hinweise zum Zenzus 2022
- Früher war alles besser… (Behörden, Vorbildfunktion und Facebook-Fanpages)
- Rechtsprechung
- EuGH: Anforderungen an Vorratsdatenspeicherung
- VG Köln: Warnung des BSI vor Kaspersky
- VG Düsseldorf: Kein Auskunftsanspruch auf Mitarbeitergespräche anderer
- EuGH: Vorlage zu Anforderungen an immateriellen Schadenersatzanspruch
- Rumänien: Anforderungen an Schulung der Beschäftigten
- OLG Nürnberg: Rechtsmissbräuchlicher Auskunftsanspruch
- OLG Frankfurt: Pflicht zur Herausgabe von Fahrzeugdaten
- OLG Hamm: Zugang einer Mail mit Anhang
- LG Frankfurt: Löschpflicht von Plattformen – Facebook (Meta)
- Österreich: Sanktion gegen Unternehmen – Klärung durch EuGH
- VG Ansbach: Videoüberwachung in Fitness-Studio
- AG Neuruppin: Schadenersatz bei Nichtentfernen eines Bildes von Webseite
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Consent-Banner bewerten
- Google will sich bessern?
- Connected Car in China – und bei einem deutschen Automobilhersteller
- IT-Compliance als Leitungsaufgabe
- M365: Grünes Licht in der Schweiz auf Basis des Risikomodells Rosenthals
- Anonymisieren – aber richtig!
- England: Gesundheitsdaten für Forschung und Analyse
- Microsoft legt kriminelle Botnetze lahm
- Navigator-App der Bahn AG und Datenschutz
- Speicherpanne bei Cloudanbieter
- Datenpanne in Spielzeugpark
- Speicherpanne bei Cloudanbieter
- Apple Pay analysiert zur Betrugsabwehr Daten
- Zugriff auf LinkedIn-Daten zu eigenen Zwecken
- Arbeitgeber als TK-Anbieter?
- Auswirkungen des TTDSG auf Webanalysen
- M365: Aufbewahren und Löschen in Teams
- Datenleck im Krieg
- Veranstaltungen
- Hinweis auf Veranstaltungsreihe zu Datenschutz und KI von der Universität Saarland
- MfK Nürnberg: Daten-Dienstag: Tatort Internet
- „digital vereint“: Veranstaltungsreihe
- Veranstaltungsreihe für Berliner Start-ups der Berliner Beauftragten für Datenschutz und Informationsfreiheit
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Von Pflege-Robotern, die Patienten überfahren
- „Patch-Management“ mal anders
- Google will ab 11. Mai 2022 keine Apps mehr zulassen, die heimlich Telefonate mitschneiden?
- Who watches the watchmen?
- Apples Nacktscanner, jetzt auch international
- Long Read zur NSO-Group
- Warum ich die iCloud so mag
- John Oliver on Data Brokers
- Ratgeber – Was sind eigentlich Metadaten?
- Dies und das
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA zum Trans-Atlantic Data Privacy Framework
Ich fühlte mich etwas an Karl Valentin erinnert, als ich die Pressemeldung des EDSA zum TADPF las: „Es ist zwar schon alles gesagt, aber noch nicht von jedem.“
Was sollen sie auch schon sagen: Es ist begrüßenswert, aber ohne genaue Textkenntnis ist eine Bewertung nicht möglich. Der EDSA hat ja dabei die explizite Aufgabe zur Abgabe einer Stellungnahme (Art. 70 Abs. 1 lit. s DS-GVO). Das wird dann sicher etwas detaillierter.
1.2 BfDI: Konsultationsbericht zu KI bei Strafverfolgung
Im letzten Jahr lud der BfDI ein zu seinem Thesenpapier bezüglich des Einsatzes von KI bei Strafverfolgungen Anmerkungen vorzulegen. Diese hat er nun ausgewertet und seinen Konsultationsbericht veröffentlicht. Es braucht nicht viel Phantasie, um Aussagen daraus auch auf andere Einsatzszenarien von KI zu projizieren.
1.3 BfDI: Veröffentlichung des Tätigkeitsberichts
In dem Tätigkeitsbericht des BfDI für 2021 nimmt natürlich die Pandemiethematik einen breiten Raum ein. Daneben wird aber auch über Beratungsleistungen, Konsultationen und Abhilfemaßnahmen berichtet. Interessant fand ich auch die Darstellung der verschiedenen Projekte zu Digitalen Identitäten und die Bewertung durch den BfDI (Ziffer 6.19).
1.4 Hamburg: Veröffentlichung des Tätigkeitsberichts
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) veröffentlichte seinen Tätigkeitsbericht für 2021. Natürlich lassen sich darin Aussagen zur Gestaltung von Consent-Banner finden (Ziffer 3.8) oder zum Einsatz der Suchmaschine von Google (Ziffer 3.10) finden. Er informiert aber z.B. auch über seine Beratungsleistung und seine Anforderungen an das Authentifizierungsverfahren einer „Beihilfe digital“-Lösung (Ziffer 6.1) oder an eine digitale Personalakte (Ziffer 6.2 sowie 6.3), wie die Möglichkeit der Absicherung mittels einer zwei-Faktor-Authentifizierung. Ebenso lässt sich unter Ziffer 6.4 die Diskussion um den ausreichenden Standard zur Einrichtung eines Nutzerkontos im Rahmen des Online-Zugangsgesetzes (OZG) für die EfA-Dienste (Einer für Alle) entnehmen. Der Bericht schließt mit statistischen Zahlen zum Aufgabengebiet und einem erfreulichen Engagement zu bildungspolitischen Aktivitäten des HmbBfDI.
1.5 Aufsichtsbehörden zu Facebook Fanpages
Nach und nach veröffentlichen immer mehr Aufsichtsbehörden, dass sie die ihnen unterstellte öffentliche Stellen zum Umgang mit personenbezogenen Daten und der Nutzung von Facebook Fanpages anschreiben. Neben denen des BfDI findet man Aussagen des LfDI BW, des LfD RLP, aus Sachsen und aus Hamburg. Gehen Sie einfach davon aus, dass es für alle Aufsichtsbehörden gilt.
1.6 Frankreich: Weitere Bescheide gegen den Einsatz von Google Analytics
Wie berichtet wird, hat die französische Datenschutzaufsicht drei weitere Verantwortliche auf einen datenschutzkonformen Einsatz von Google Analytics hingewiesen. Bemängelt wird der Transfer von personenbezogenen Daten in die USA ohne ausreichende Grundlagen.
1.7 BfDI: Pixi-Büchlein als Video
Nach dem großen Erfolg der Pixi-Büchlein, die der BfDI für die Zielgruppe der Kinder zum Datenschutz veröffentlichte, wurden diese nun auch als Video bereitgestellt. Wer sich unsicher ist, was „privat“ ist, sollte es sich ansehen. Der BfDI bündelt sein Engagement dazu unter www.bfdi.bund.de/kids.
1.8 EDPS: Rüge für Nutzung von M365, Azure und AWS
Der Europäische Datenschutzbeauftragte, zuständig als Aussicht über die Europäischen Einrichtungen, rügte die Nutzung von M365 durch Frontex (Europäischen Agentur für die Grenz- und Küstenwache). Zum Beispiel seien datenschutzkonforme Lösungen nicht in der Auswahl berücksichtigt worden und die Datenschutzprüfung bei M365 sei nicht ordnungsgemäß erfolgt, die Nutzung von Telemetriedaten durch Microsoft sei nicht vollständig erfasst worden. Frontex plane Microsoft 365, Microsoft Azure sowie Amazon Web Services (AWS) einzusetzen. M365 sei der erste Schritt, der komplette Umstieg ist bislang nicht erfolgt. Mehr Details dazu lesen Sie hier.
1.9 Hamburg: Schwerpunktsetzung
Wer sich für die geplante Schwerpunktsetzung der Hamburger Datenschutzaufsicht in der nächsten Zeit und für die dazu erforderliche Ressourcenausstattung interessiert, findet im Protokoll der Sitzung des Unterausschusses Datenschutz und Informationsfreiheit vom Dezember 2021 anlässlich der Vorstellung des Tätigkeitsberichts konkrete Aussagen.
1.10 Österreich: Impfpflicht und Datenschutz
Die Impflicht gegen Corona ist in Österreich auch erstmal vom Tisch. Trotzdem befasste sich die Stelle (ElGA GmbH – elektronische Gesundheitsakte), die das erforderliche Impfregister führen sollte, mit den datenschutzrechtlichen Anforderungen. Dabei erstellte sie auch eine Datenschutz-Folgenabschätzung und kam dabei bei dieser offenbar zu dem Ergebnis, dass damit ein hohes Risiko verbunden sei. Nun liegt diese DSFA laut den Medienberichten (Link auf Nachrichtensendung auf YouTube) bei der österreichischen Datenschutzbehörde. Sollte bei uns doch noch eine Impflicht mit Impfregister kommen, könnte es helfen im Gesetzgebungsverfahren an den Art. 35 Abs. 10 DS-GVO zu denken.
1.11 Dänemark: Guidance in the use of cloud
Mit Stand März 2022 veröffentlichte die dänische Datenschutzaufsicht ihren Leitfaden, der sich mit den Fragestellungen, was eine Cloud sei, mit den Anforderungen an die Benutzung, mit der Überprüfung des Dienstleisters und mit Fragen des Drittstaatentransfer befasst. Dem Datentransfer in die USA ist ein eigener Abschnitt gewidmet, ebenso, wie sich Firmen verhalten sollen, wenn Behörden aus einem Drittstaat den Zugriff verlangen.
1.12 Dänemark: Bußgeld wegen unterbliebenen Löschungen
In Dänemark fordert die Datenschutzaufsicht ein Bußgeld in Höhe von ca. 1,3 Mio. Euro gegen eine Bank, die für eine Vielzahl von Systemen kein Löschkonzept vorweisen konnte und eine Löschung weder manuell oder technisch durchführte.
1.13 Dänemark: Bußgeld wegen unterbliebenen Löschungen
Der europäische Datenschutzbeauftragte hat seinen Tätigkeitsbericht für das Jahr 2021 veröffentlicht. Auch wenn es dabei nur um die europäischen Einrichtungen geht, gelten für die auch die Anforderungen aus der entsprechenden Verordnung 2018/1725, die in den wesentlichen Aussagen mit den Aunforderungen aus der DS-GVO identisch sind. So hält der EDPS den Datentransfer in die USA bei einem Newsletter auf Basis einer expliziten Einwilligung für zulässig, wenn dabei die erforderlichen Informationen vorher mitgeteilt werden (Seite 73, Ziffer 2.7.2 – 2A). Eine schöne Darstellung des Themas gibt es auch hier.
1.14 LfD Niedersachsen: Auch Coronadaten unterliegen Löschpflicht
Besteht keine Rechtsgrundlage mehr sind Daten zu löschen. Das gilt auch für Daten, die im Rahmen der Infektionsschutzmaßnahmen erhoben wurden. Darauf weist die LfD Niedersachen hin und kündigt auch entsprechende Kontrollen an.
1.15 Berlin: Hinweise zum Zenzus 2022
Eine Volkzählung war die Basis eines Meilensteins im deutschen Datenschutz, der Definition der informationellen Selbstbestimmung im Urteil des Bundesverfassungsgerichts 1983. Auch wenn es jetzt eher Zenzus heisst, bestehen Bedenken und Unsicherheiten, zu denen es in Berlin jetzt Hinweise zum Verfahren und zum Ablauf aus Datenschutzsicht gibt. Sicher auch in anderen Bundesländern interessant.
1.16 Früher war alles besser… (Behörden, Vorbildfunktion und Facebook-Fanpages)
Zumindest habe ich es nicht so in Erinnerung, dass Behörden früher mit der Rechtsumsetzung nicht so – sagen wir mal – „individuell“ umgingen. Da in Deutschland auf die Möglichkeit des Bußgelds gegen öffentliche Stellen verzichtet wurde, können wir nun laut Berichten zusehen, ob es zu einem Verwaltungsakt und einer gerichtlichen Überprüfung kommt, wenn wie in Baden-Württemberg öffentliche Stellen entgegen den Hinweisen der zuständigen Datenschutzaufsicht an ihren Facebook-Fanpages festhalten. Ob die in dem Bericht zitierten öffentlichen Stellen tatsächlich keine rechtlichen Argumente haben, sondern sich nur „der Zweck heiligt die Mittel“-Formulierungen bedienen können, wird sich dann zeigen. Ungeachtet eines nicht möglichen Bußgeldes wären aber Ansprüche nach Art. 82 DS-GVO auch gegen öffentliche Stellen möglich.
2 Rechtsprechung
2.1 EuGH: Anforderungen an Vorratsdatenspeicherung
Der EuGH bestätigt, dass das Unionsrecht einer allgemeinen und unterschiedslosen Vorratsspeicherung von Verkehrs- und Standortdaten, die elektronische Kommunikationen betreffen, zur Bekämpfung schwerer Straftaten entgegenstehen. Im Rahmen eines Strafverfahrens wurde unzulässig auf Verkehrs- und Standortdaten einer Kommunikation als Beweismittel zurückgegriffen, die dann zu einer Verurteilung führten. Dagegen hat der Gerichtshof in Bestätigung seiner früheren Rechtsprechung als Zweites entschieden, dass das Unionsrecht Rechtsvorschriften der Mitgliedsstaaten nicht entgegensteht, die unter den in seinem Urteil genannten Voraussetzungen zur Bekämpfung schwerer Kriminalität und zur Verhütung schwerer Bedrohungen der öffentlichen Sicherheit
- anhand von Kategorien betroffener Personen oder mittels eines geografischen Kriteriums eine gezielte Vorratsspeicherung von Verkehrs- und Standortdaten vorsehen;
- eine allgemeine und unterschiedslose Vorratsspeicherung der IP-Adressen, die der Quelle einer Verbindung zugewiesen sind, vorsehen;
- eine allgemeine und unterschiedslose Vorratsspeicherung der die Identität der Nutzer elektronischer Kommunikationsmittel betreffenden Daten vorsehen;
- eine umgehende Sicherung (quick freeze) der Verkehrs- und Standortdaten vorsehen, die den Betreibern elektronischer Kommunikationsdienste zur Verfügung stehen.
Zu diesen einzelnen Punkten liefert der EuGH dann auch noch Klarstellungen in seinem Urteil.
2.2 VG Köln: Warnung des BSI vor Kaspersky
Das BSI warnte pauschal vor dem Einsatz von Produkten des russischen Herstellers Kaspersky (bekannt für z.B. Anti-Virensoftware). Diese Untersagung wurde nun gerichtlich überprüft. Das VG Köln gab einer Klage von Kaspersky allerdings nicht statt. Das Gericht führt dazu aus, dass der Gesetzgeber den Begriff der Sicherheitslücke, die das BSI zu einer Warnung berechtige, weit formuliert habe. Virenschutzsoftware erfülle aufgrund der weitreichenden Berechtigungen zu Eingriffen in das jeweilige Computersystem grundsätzlich alle Voraussetzungen für eine solche Sicherheitslücke. Dass ihr Einsatz dennoch empfohlen werde, beruhe allein auf dem hohen Maß an Vertrauen in die Zuverlässigkeit des Herstellers. Daher liege jedenfalls dann eine Sicherheitslücke vor, wenn das erforderliche hohe Maß an Vertrauen in den Hersteller nicht (mehr) gewährleistet sei. Diese Voraussetzungen sah das Gericht vor dem aktuellen Geschehen in der Ukraine und Russland als erfüllt an (detaillierter hier).
Franks Anmerkung: Da verweise ich doch noch mal hierhin… (Um nicht „Erster!“ zu sagen 😜)
2.3 VG Düsseldorf: Kein Auskunftsanspruch auf Mitarbeitergespräche anderer
Umfasst der Auskunftsanspruch nach Art. 15 DS-GVO auch Inhalte aus Mitarbeitergesprächen mit Kollegen, wenn dort über die betroffene Person gesprochen wird? Die Klägerin mutmaßt, dass sie bei einem Bewerbungsverfahren nicht berücksichtigt wurde, weil in ihrer Personalakte vermerkt gewesen sei, dass es mit wenigen Mitarbeitern in ihrem Team zu wiederkehrenden Meinungsverschiedenheiten kam. Auch wenn sich das Urteil des VG Düsseldorf hauptsächlich mit dem Beamtenrecht Nordrhein-Westfalens befasst, berücksichtigte das VG auch Ansprüche aus Art. 15 DS-GVO. Über Art. 15 Abs. 4 kam das Gericht dazu, dies zu verneinen (RN 21), das Recht auf eine Kopie werde eingeschränkt, wenn Rechte und Freiheiten anderer Personen beeinträchtigt werden. Dies sei hier der Fall, wenn eine Kopie des Protokolls über das Mitarbeitergespräch einer Kollegin herausgegeben werden würde. Sie hätte dann Einblick auch in personenbezogene Daten, die die Kollegin oder weitere Personen betreffen. Im Rahmen einer Abwägung aller Interessen sei ein solcher Eingriff nicht zu rechtfertigen, weil hier die Klägerin in anderer geeigneter Weise über die sie betreffenden personenbezogenen Daten informiert worden sei. Das Urteil wird auch hier schön besprochen.
2.4 EuGH: Vorlage zu Anforderungen an immateriellen Schadenersatzanspruch
Erneut kommt es in Gerichtsfällen auf die Auslegung der Anforderungen an einen immateriellen Schadenersatz an, so dass das Amtsgericht München diese Fragen dem EuGH vorlegt. Steht dabei eine Genugtuungs- oder Ausgleichspflicht im Vordergrund? Führen bei einer Bemessung nur vorsätzliche oder grob fahrlässige Datenschutzverletzungen als Beurteilung von Verursachungsbeiträgen zu zusätzlichem Gewicht? Soll ein immaterieller Schadensersatz als Strafcharakter interpretiert werden? In den Ausgangsfällen wurden die Daten von Wertpapierkunden abgezogen, darunter Klarnamen, Identitätsdaten, inkl. Kopie des Personalausweises. Ein Missbrauch der Daten war bislang nicht bekannt.
2.5 Rumänien: Anforderungen an Schulung der Beschäftigten
In einer Bank hatten drei Beschäftigte Daten der Kunden über WhatsApp weitergegeben. Darüber wurden diese Daten bekannt. Das allein ist schon berichtenswert, es soll ja immer noch Beschäftigte in Deutschland geben, die WhatsApp als zulässiges berufliches Kommunikationsmittel erachten. Die rumänische Datenschutzaufsicht verhängte hier ein Bußgeld in Höhe von 100.000 Euro, das nun auch von einem Gericht wegen des Verstoßes gegen Art. 32 Abs. 1 und 2 i.V.m. Art. 5 Abs. 1 lit. f DS-GVO bestätigt wurde. Zwar legte die Bank dar, dass sie entsprechende Schulungsmaßnahmen vorsieht. Das reichte aber Aufsicht und Gericht nicht, es wurde durch die Bank weder die tatsächliche Teilnahme des Personals an diesen Kursen noch die tatsächliche Anwendung einer Methode zur Überprüfung der Aneignung der Kenntnisse und Informationen nachgewiesen.
Die Gedankenlosigkeit, mit der die Mitarbeiter des Antragstellers gehandelt haben, indem sie die personenbezogenen Daten des Kunden der Bank und anschließend über die WhatsApp-Anwendung von einem zum anderen übermittelt haben, zeuge nicht nur von der mangelnden Kenntnis der Arbeitsverfahren in Bezug auf die Verarbeitung der personenbezogenen Daten, sondern insbesondere (und schwerwiegender) von ihrer Unfähigkeit die Daten, zu denen sie Zugang haben, als personenbezogene Daten zu identifizieren und zu klassifizieren, was einen akuten Mangel an effektivem Training zeige.
Obwohl die Bank Auszüge aus verschiedenen internen Verfahren vorgelegt hatte, habe sie daher zum einen weder nachgewiesen, dass die drei Mitarbeiter, die den Sicherheitsvorfall verursacht haben, tatsächlich geschult waren, noch dass sie die Kontroll- und Bewertungsmechanismen angewandt hätte, um sicherzustellen, dass sich ihre Mitarbeiter diese internen Vorschriften angeeignet hatten.
Unter diesen Umständen sind die von der Bank zum Nachweis der Durchführung der geeigneten technischen organisatorischen Maßnahmen vorgelegten Unterlagen nicht geeignet die Gewährleistung eines angemessenen Sicherheitsniveaus in Bezug auf die Fähigkeit, die Vertraulichkeit zu gewährleisten, sowie die Prüfung, Bewertung und regelmäßige Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu belegen.
2.6 OLG Nürnberg: Rechtsmissbräuchlicher Auskunftsanspruch
In einem Streit um zu Unrecht erhobene Versicherungsprämien begehrte der Kläger (u.a.) auch über einen Auskunftsanspruch Unterlagen, die ihm bereits schon einmal zugesandt wurden. Das OLG Nürnberg sieht auch über Art. 15 DS-GVO hierfür keine Rechtsgrundlage und wertet das Vverlangen als rechtsmissbräuchlich (ab RN 27).
Zweck des in Art. 15 DS-GVO normierten Auskunftsrechts sei es, der betroffenen Person problemlos und in angemessenen Abständen zu ermöglichen, sich der Verarbeitung der sie betreffenden personenbezogenen Daten bewusst zu werden und die Rechtmäßigkeit dieser Verarbeitung überprüfen zu können. Um ein solches Bewusstwerden zum Zweck einer Überprüfung der datenschutzrechtlichen Zulässigkeit der Verarbeitung personenbezogener Daten ginge es dem Kläger aber ersichtlich nicht. Sinn und Zweck der von ihm begehrten Auskunftserteilung sei vielmehr -– wie sich aus der Koppelung mit den unzulässigen Klageanträgen auf Feststellung und Zahlung zweifelsfrei ergebe -– ausschließlich die Überprüfung etwaiger von der Beklagten vorgenommener Prämienanpassungen wegen möglicher formeller Mängel nach § 203 Abs. 5 VVG. Eine solche Vorgehensweise sei vom Schutzzweck der DS-GVO aber nicht umfasst.
2.7 OLG Frankfurt: Pflicht zur Herausgabe von Fahrzeugdaten
Ein Ermittlungsrichter kann laut OLG Frankfurt einen Fahrzeughersteller verpflichten über in Echtzeit anfallende, ihm (hier im Rahmen des „Mercedes-me-connect“-Dienstes) auf einem Server zugängliche GPS-Standortdaten eines Kraftfahrzeugs Auskunft zu erteilen. Die Grundlage findet sich in § 100k StPO. Voraussetzung ist u.a., dass von jemand, der geschäftsmäßig eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt, von ihm dann Nutzungsdaten nach § 2 Abs. 2 Nr. 3 TTDSG erhoben werden dürfen, soweit dies für die Erforschung des Sachverhalts erforderlich ist und die Erhebung der Daten in einem angemessenen Verhältnis zur Bedeutung der Sache steht. Dies ist allerdings nur bei der Ermittlung bei bestimmten Straftaten zulässig. Eine kritische Betrachtung des Urteils finden Sie hier.
2.8 OLG Hamm: Zugang einer E-Mail mit Anhang
Wann gilt ein Abmahnschreiben, das per E-Mail versandt wird, als zugegangen? Im vorliegenden Fall wurde im Betreff nur ein Aktenzeichen aufgeführt und in der E-Mail um Beachtung der Anlage gebeten. Die Anlage enthielt das eigentliche Abmahnschreiben. Im Prozess ging es nun darum, wann dieses Abmahnschreiben zuging. Das OLG Hamm geht nun davon aus, dass im Hinblick darauf, dass wegen des Virenrisikos allgemein davor gewarnt wird, Anhänge von E-Mails unbekannter Absender zu öffnen, könne von dem Empfänger in einem solchen Fall nicht verlangt werden den Dateianhang zu öffnen. Es könne mithin im vorliegenden Fall dahinstehen, ob die in Rede stehenden E-Mails überhaupt im E-Mail-Postfach des Verfügungsbeklagten (z.B. im „Spam-Ordner“) eingegangen sind. Im Ergebnis sei das anwaltliche Abmahnschreiben dem Verfügungsbeklagten nicht zugegangen, er habe durch Vorlage seiner eidesstattlichen Versicherung jedenfalls glaubhaft gemacht, dass er von den beiden E-Mails des – ihm zuvor nicht bekannten – Prozessbevollmächtigten des Verfügungsklägers keine Kenntnis erlangt und dem Verfügungsbeklagten kann in diesem Zusammenhang insbesondere nicht der Vorwurf gemacht werden, er habe auf die Abmahnung des Verfügungsklägers nicht reagiert.
2.9 LG Frankfurt: Löschpflicht von Plattformen – Facebook (Meta)
Ein großer Erfolg für alle diejenigen, die durch Beleidigungen auf sozialen Netzwerken verunglimpft wurden/werden. Die Plattform Meta (Facebook) wurde verpflichtet rechtswidrige Inhalte konsequent und deutlich umfassender als bisher zu löschen. Betroffene können sich von nun an effektiver gegen digitale Verleumdungen wehren. Meta (Facebook) wurde durch das Urteil verpflichtet aktiv gegen wahrheitswidrige Darstellungen vorzugehen: Dies umfasst alle vorhandenen identischen, aber auch leicht abgewandelten, aber im Kern gleichen Postings. Mehr dazu auf dem YouTube-Channel des involvierten Rechtsanwalts und die Hintergründe dazu hier.
2.10 Österreich: Sanktion gegen Unternehmen – Klärung durch EuGH
Muss bei einer Strafe nach der DS-GVO gegen ein Unternehmen einer Leitungsperson bzw. einer natürlichen Person ein Fehlverhalten nachgewiesen werden oder reicht allein der Verstoß gegen datenschutzrechtliche Vorgaben aus? Das ist vereinfacht gesagt die Frage, die der EuGH klären muss. Und zwar nicht nur für die Frage des Bußgeldes gegen die Deutsche Wohnen in Berlin, sondern nun auch hinsichtlich des Bußgeldes gegen die Österreichische Post (18 Mio. Euro), nachdem der österreichische Verwaltungsgerichtshof das Verfahren bis zur Klärung aussetzte. Mehr Details mit Quellengabe finden Sie dazu hier.
2.11 VG Ansbach: Videoüberwachung in Fitness-Studio
Sie trainieren, schwitzen (oder schummeln) an den Geräten im Fitnessstudio. Der Betreiber verzeichnet Beschädigungen an der Einrichtung, Diebstähle von Kleingeräten, bekommt Beschwerden von Besucherinnen, sie seien belästigt worden und er installiert zur Vermeidung / Aufklärung dieser Vorfälle ein Videokamerasystem. Es folgt eine Beschwerde bei der Datenschutzaufsicht, die fordert nach Prüfung der Stellungnahme des Betreibers die Abschaltung. Der Betreiber lässt diese Aufforderung vom VG Ansbach überprüfen. Wie das VG Ansbach entschieden hat, lesen Sie hier.
Ein Fall wie aus dem Lehrbuch zu Interessensabwägung, Einwilligungsanforderungen und etwas formalen Anforderungen an Ermessenentscheidungen einer Behörde.
2.12 AG Neuruppin: Schadenersatz bei Nichtentfernen eines Bildes von Webseite
Eine Beschäftigte scheidet aus dem Unternehmen, ein Bild von ihr mit Namensangabe ist aber weiterhin auf der Webseite des früheren Arbeitgebers öffentlich zugänglich, der es trotz Aufforderung nicht entfernt. Entscheidung des AG Neuruppin: 1.000 Euro Schadensersatz, da der Arbeitgeber trotz des entsprechenden Begehrens der Klägerin über mehrere Monate hin deren Daten auf seiner Internetseite nicht gelöscht habe. Der Schadenersatzanspruch bestünde unabhängig von der Tatsache, dass die Klägerin keine immateriellen Beeinträchtigungen vorgetragen hat. Dieses sei nach Auffassung der Kammer auch nicht erforderlich, da Art. 82 DS-GVO eine Warn- und Abschreckungsfunktion beinhalte. Schließlich vermögen deswegen auch Argumente anderer Gerichte nicht zu überzeugen, dass ein Schadensersatzanspruch deswegen nicht auszusprechen sei, da einer „uferlosen“ Geltendmachung solcher Ansprüche“ entsprechend zu begegnen sei.
3 Gesetzgebung
3.1 Petition zur DS-GVO zum „Haushaltsprivileg“
Auf europäischer Ebene wird eine Petition zur Änderung der DS-GVO hinsichtlich der Verarbeitung personenbezogener Daten im privaten Bereich (Art. 2 Abs. 2 lit. c DS-GVO) behandelt. Nach der Stellungnahme der EU-Kommission scheint sie wenig Erfolg zu haben, weil danach z.B. die DSGVO es bereits jetzt schon nicht ausschließe mutmaßliche kriminelle Handlungen oder Bedrohungen an die Öffentlichkeit zu bringen.
3.2 EU-Kom: Initiative zu Fahrzeugdaten
Auf europäischer Ebene gibt es eine Initiative, die Meinungen und Stellungnahmen einholt, um sich einen Überblick zu verschaffen, welche Daten und Funktionen bei Fahrzeugen anfallen, die bei deren Benutzung generiert und gesammelt werden können. Diese Initiative möchte die Bedingungen für den Zugriff auf und die Nutzung solcher im Fahrzeug generierten Daten festlegen. Ziel sei es klare und wettbewerbsfreundliche EU-Vorschriften für Dienste zu ermöglichen, die auf dem Zugang zu Fahrzeugdaten beruhen, z. B.: Reparatur und Wartung, Fahrgemeinschaft, Mobilität als Dienstleistung und Versicherung. Die Konsultation ist bis 21. Juni 2022 befristet.
3.3 Zuständigkeit für TTDSG in Rheinland-Pfalz
Durch eine Änderung (§ 3a) im rheinland-pfälzischem Landesgesetz zu dem Staatsvertrag zur Modernisierung der Medienordnung in Deutschland wird die Datenschutzaufsicht Rheinland-Pfalz auch zuständige Aufsicht nach dem TTDSG, soweit keine anderweitige Zuständigkeit nach den §§ 29 und 30 TTDSG oder aus dem Abs. 2 des § 3a gegeben sind.
3.4 Referentenentwurf zum Hinweisgebergesetz
Das BMJ hat einen „Entwurf eines Gesetzes für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ veröffentlicht. Zu dem Entwurf wurde auch eine Verbändeanhörung gestartet, zu der man bis 11. Mai 2022 Rückmeldungen einreichen kann.
3.5 Europa: KI Act
Die Berichterstatter für die KI-Verordnung im EU-Parlament haben Berichten zufolge ihre Empfehlungen zusammengefasst. Das oft geforderte Aus für biometrische Massenüberwachung sei aber noch nicht dabei. Umstritten ist vor allem die Verwendung von KI für Predicting Policing, also die Vorhersage von polizeilichen Eingriffssituationen. Auch die Gesichtserkennung im öffentlichen Raum ist Gegenstand der inhaltlichen Diskussion.
3.6 Überlegungen zu BITCOIN-Verbot?
Nachhaltigkeitsdiskussionen um den Stromverbrauch scheinen nach dieser Meldung auf der politischen europäischen Schiene zu Überlegungen hinsichtlich der Bitcoin-Nutzung zu führen. Wer weiß, wozu das dann noch bei Blockchain-Lösungen führt.
4 Künstliche Intelligenz und Ethik
4.1 CNIL: Wie kann KI die DS-GVO einhalten?
Unter diesem Titel veröffentlichte die CNIL ihre Hinweise zum Einsatz Künstlicher Intelligenz, die neben der Wahl der richtigen Rechtsgrundlage auch Datenminimierung vorsehen.
4.2 Auswirkungen Künstlicher Intelligenz auf Arbeitswelt
Mit dieser Frage und inwieweit durch Künstliche Intelligenz Arbeitsplätze verloren gehen, befasst sich dieser Podcast, der ca. 43 Minuten dauert. Nette Idee, dabei Alexa einzusetzen, aber leider wird das Thema Vertraulichkeit bei manchen Leistungen, wie der Transkription von Sprachdateien, bei der Einbeziehung einer KI nicht behandelt.
4.3 KI malt Bilder nach Beschreibung
Das KI-Modell Dall-E 2 aus dem Hause OpenAI kann hochauflösende Bilder aus einer textlichen Beschreibung erstellen, im Beitrag gibt es dazu auch nette Beispiele wie einen Otter mit einem Perlenohrring.
5 Veröffentlichungen
5.1 Consent-Banner bewerten
Auf was muss ich achten, auf was kann ich achten, wenn mir Consent-Banner begegnen? Die bisherigen Veröffentlichungen richten sich in der Regel an die Verantwortlichen von Webseiten oder deren beratende Einheiten, hier geht es um den Webseiten-Besucher. Neben einführenden Erläuterungen zu den rechtlichen Grundlagen finden sich kommentierte Beispiele und schließlich Handlungsempfehlungen.
5.2 Google will sich bessern?
So zumindest, wenn man diesem Bericht folgt: Ein Leitfaden zu den Datenschutzeinstellungen im Chrome-Browser und ein Ablehnbutton auf dem Consent-Banner. Na, dann kann man beim Beraten zum Banner ja künftig auch mal sagen „Google macht es ja auch…“.
5.3 Connected Car in China – und bei einem deutschen Automobilhersteller
Der Beitrag stammt zwar bereits aus dem Jahr 2021, finde ihn aber weiterhin erwähnenswert, weil er aufzeigt, dass die Diskussion zur datenschutzrechtlichen Thematik zu Connected Car nicht auf Europa begrenzt ist, sondern auch in China Aspekte des Privacy Engineering behandelt werden. Mit dem Thema Connected Car und TTDSG befasst sich auch diese Ausgabe eines Podcasts (40 Min.).
5.4 IT-Compliance als Leitungsaufgabe
Zwar befasst sich diese Veröffentlichung schwerpunktmäßig mit Cybersicherheit in Krankenhäusern – aber die Kernaussagen treffen auf jede Einrichtung zu und nicht nur, wenn sie unter die Klassifizierung einer kritischen Infrastruktur fallen.
5.5 M365: Grünes Licht in der Schweiz auf Basis des Risikomodells Rosenthals
Das Risikomodell Rosenthals beurteilt das Restrisikos eines Foreign Lawful Access beim Gang in die Cloud, hier z.B. zum Cloud Act. Nun kam es in der Schweiz bei der Beurteilung des Einsatzes von M365, speziell Exchange Online und Teams, zum Einsatz. Man kann m.E.n. darüber diskutieren, ob, dies wirklich so alternativlos sei, wie unterstellt (vgl. die Infos z.B. über dataport und Phoenix hier im Blog). In einem interdisziplinären Workshop wurde dabei das Risiko für einen Behördenzugriff als sehr niedrig eingeschätzt (unter 1% innerhalb eines Beobachtungszeitraums von fünf Jahren). Als relevant hätte es die entscheidende Stelle erst bei einem Wert > 10 % angesehen. In die Bewertung flossen Datenschutzaspekte und Aspekte des Amtsgeheimnisses ein. Damit ein entschlossenes und fortdauerndes Überwachen sowie ein stetiges Beurteilen der Risiken sichergestellt wird, wurde die Stelle eines Cloud-Sicherheitsbeauftragten des Kantons Zürich geschaffen.
5.6 Anonymisieren – aber richtig!
Näher am Kunden! Am besten mit Beispielen, die ihm Rechnungen und andere Dokumente erläutern. Ärgerlich ist es dann aber, wenn die Unkenntlichmachung personenbezogener Daten dabei misslingt und sich über die im Netz hinterlegten pdf-Dateien Daten von realen Kunden rückverfolgen lassen. So passiert bei einigen Stromanbietern, wie hier berichtet wird. Wie man es richtig macht? Entweder gleich Vorlagen nehmen, die nie Echtdaten enthielten oder händisch schwärzen und wiederholt einscannen, dass die (vollständig) geschwärzten Stellen nicht mittels technischer Funktionen entfernt oder „überlistet“ werden können.
5.7 England: Gesundheitsdaten für Forschung und Analyse
Auch wenn sich die Betrachtung der Rechtslage auf England bezieht, lassen sich aus dieser Veröffentlichung „Better, Broader, Safer: Using Health Data for Research and Analysis“ des Gesundheitsministeriums auch Erkenntnisse ziehen, die außerhalb des Vereinigen Königreichs verwendet werden können.
5.8 Microsoft legt kriminelle Botnetze lahm
Eigenen Berichten zufolge unternahm Microsoft rechtliche und technische Schritte, um ein Botnetz lahmzulegen. Von diesem aus seien Angriffe auf medizinische Einrichtungen, Unternehmen und Schulen erfolgt.
5.9 Navigator-App der Bahn AG und Datenschutz
Was geht ab, bzw. an wen gehen die Daten? Dies untersuchte ein IT-Experte und ein Rechtsexperte bewertete die dabei entdeckten Datenspuren. Das Ergebnis halten sie für nicht rechtskonform. Die Bahn reagierte bislang zurückhaltend und bindet die für sie zuständige Aufsichtsbehörde zur Bewertung der betroffenen Einwilligungsbanner ein.
5.10 Speicherpanne bei Cloudanbieter
Berichten zufolge kam es bei einem fränkischen Cloudanbieter trotz redundanter Datenhaltung zum Verlust von 1500 Snapshots. Ursache sei der gleichzeitige Ausfall zweier HDDs gewesen.
5.11 Datenpanne in Spielzeugpark
Wer war in den letzten sieben Jahren in einem Spielzeug-Freizeitpark? Diese Informationen waren laut einer Meldung öffentlich zugänglich. Ursächlich sei die Einführung einer neuen Buchungssoftware gewesen, bei der Gästen ihre Buchungshistorie angeboten werde. Die entsprechen Meldung an die zuständige Datenschutzaufsicht sei erfolgt und bislang gehe man von einem geringen Risiko für die betroffenen Personen aus.
5.12 Datenschutz in bibliothekarischem und universitärem Kontext
Die Veranstaltung der CNI (Coalition for Networked Information) ist nun auf YouTube verfügbar. Das Thema war “The Privacy Landscape: Policy & Practice in the Library and University Contexts” und ist auch für interessierte Personen außerhalb der USA interessant.
5.13 Apple Pay analysiert zur Betrugsabwehr Daten
Sieh an, laut dieser Meldung analysiert Apple Pay zur Betrugsprävention Standort und Gerätedaten. Details scheinen noch nicht bekannt zu sein. Bei Käufen in den Online-Shops von Apple würde bereits aus Daten ein Gerätevertrauenswert ermittelt werden.
5.14 Zugriff auf LinkedIn-Daten zu eigenen Zwecken
Können öffentlich zugängliche Daten für andere Zwecke genutzt werden? In den USA wohl schon: Hier unterliegt Microsoft vorerst bezüglich seines Dienstes LinkedIn gegenüber einem Unternehmen, dass aus den öffentlichen Profilen die Daten für eigene Zwecke verwendet. Über eine Analyse der Angaben und des Verhaltens versucht gemäß Berichten diese Firma Teilnehmer zu erkennen, die bald ihren Arbeitsplatz wechseln könnten. Diese Mutmaßungen verkauft sie dann an Firmen wie eBay, Capital One und GoDaddy, die ihre Mitarbeiter vielleicht bei der Stange halten wollen (oder auch nicht?). Außerdem suche das Unternehmen nach Lücken bei Kenntnissen oder Fertigkeiten der Belegschaft seiner Kunden und empfiehlt entsprechende Fortbildungsmaßnahmen oder Neueinstellungen.
5.15 Arbeitgeber als TK-Anbieter?
Die Diskussion gab es schon vor dem TTDSG (schöne Darstellung hier) und leider gibt es sie immer noch: Wird ein Arbeitgeber zum TK-Anbieter, wenn er seine Beschäftigten telefonieren lässt oder welche Parameter würden dies verhindern? Unglücklicherweise hat der Gesetzgeber beim TTDSG Forderungen aus der Verbändeanhörung ignoriert hier als Gesetzgeber Klarheit zu schaffen.
5.16 Auswirkungen des TTDSG auf Webanalysen
Wer sich für diese Frage und die Nutzung für Onlinewerbung interessiert, wird bei diesem frei zugänglichen Fachbeitragzurück zum Inhaltsverzeichnis
5.17 M365: Aufbewahren und Löschen in Teams
Kann man nun oder kann man nicht? Microsoft selbst hat dazu seine Hinweise diese Woche aktualisiert. Nebenbei, Microsoft 365-Compliance heißt jetzt Microsoft Purview*.
* Franks Anmerkung: Und Raider heißt Twix? Ach, nee…
5.18 Datenleck im Krieg
Jetzt sind Datenpannen bzw. unbefugt veröffentliche Daten immer schon ein Ärgernis. Dass dies auch als Kriegswaffe eingesetzt werden kann, zeigt sich an der aktuellen Situation. Laut Berichten wurden russische Agenten enttarnt. Durch die Ukraine.
5.19 Veranstaltungen
5.19.1 Hinweis auf Veranstaltungsreihe zu Datenschutz und KI von der Universität Saarland
Die Universität Saarland bietet auch im Sommersemester wieder eine Seminarreihe zu Datenschutz und KI an. Mehr Infos dazu hier. Die bisherige Themenliste finden Sie hier.
5.19.2 MfK Nürnberg: Daten-Dienstag – Tatort Internet
26.04.2022, 19:00 – 20:30 Uhr: Welche Straftaten finden aktuell im Netz statt? Wie kann ich verhindern selbst Opfer zu werden? Der Leitende Oberstaatsanwalt bei der Zentralstelle Cybercrime Bayern gibt anhand von praktischen Beispielen einen Einblick, wie das Internet eben kein rechtsfreier Raum ist. Der Vortrag soll anhand von praktischen Beispielen einen Überblick über aktuelle Straftaten im Netz geben und dabei helfen nicht selbst Opfer zu werden. Denn effektive Strafverfolgung durch erfahrene Staatsanwälte kann durchaus verhindern, dass das Internet ein rechtsfreier Raum wird. Teilnahme kostenlos, Anmeldung erforderlich.
5.19.3 „digital vereint“: Veranstaltungsreihe
Die Landesarbeitsgemeinschaft der Freiwilligenagenturen/-Zentren und Koordinierungszentren Bürgerschaftlichen Engagements in Bayern verweist mit Förderung des Bayerischen Digital Ministeriums auf etliche Veranstaltungen für Vereine zu digitalen Fragestellungen. Manche der Veranstaltungen finden auch online statt, z.B.:
- 27.04.2022, 18:30 – 20:30 Uhr: Öffentlichkeitsarbeit im Verein: Homepage sicher gestalten
- 28.04.2022, 18:00 – 21:00 Uhr: Finanzen im Verein: Online-Fundraising
- 03.05.2022, 18:30 – 20:30 Uhr: Öffentlichkeitsarbeit im Verein: Soziale Netzwerke
5.19.4 Veranstaltungsreihe für Berliner Start-ups der Berliner Beauftragten für Datenschutz und Informationsfreiheit
Teilnahmeberechtigt sind Vertreter:innen (Gründer:innen, Inhaber:innen von Einzelunternehmen, Mitglieder der Geschäftsführung, Angestellte in thematisch relevanter Position, bei Vereinen auch Vorstandsmitglieder, keine Externen) von Berliner Start-Ups, Kleinstunternehmen sowie gemeinnützigen Vereinen. Unternehmen müssen eigenständige Unternehmen sein (d. h. weniger als 25 Prozent der Anteile werden von anderen als natürlichen Personen gehalten; das Unternehmen hält keine oder weniger als 25 Prozent der Anteile anderer Unternehmen); andernfalls wird erwartet, dass die Gesellschafter:innen auch für eine datenschutzrechtliche Beratung Mittel bereitstellen. Start-Ups müssen noch als Kleinunternehmen gelten, d. h. weinger als 50 Beschäftigte und weiniger als 10.000.000 Euro Umsatzerlöse oder Bilanzsumme aufweisen. „Berliner“ Unternehmen/Vereine sind solche, für die die Berliner Datenschutzaufsicht die allein zuständige oder federführende Aufsichtsbehörde ist. (Uff – dafür ist es kostenlos.)
Anmeldung ist jeweilig erforderlich, mehr dazu hier. Nun die Termine und Themen:
- 04.05.2022, 16:00 – 18:00 Uhr: Cookies, Consent und Co. – Die eigene Website richtig gestalten
- 02.06.2022, 11:00 – 12:00 Uhr: Finanzen im Verein – Online-Fundraising
- 08.07.2022, 11:00 – 13:00 Uhr: Öffentlichkeitsarbeit im Verein – Soziale Netzwerke
- 09.09.2022, 11:00 – 13:00 Uhr: Datenexporte – geht’s noch?
6 Gesellschaftspolitische Diskussionen
6.1 Gegenwart des Datenschutzes
Wer gern über den Tellerrand hinaus blickt, wird an diesem Beitrag seine Freude haben, der sich kritisch mit der derzeitigen Konzeption des Datenschutzrechts befasst und feststellt, dass der Datenschutz seine eigentlichen Ziele, den Schutz des Bürgers vor dem Staat, aus den Augen verloren habe und sich stattdessen auf Dokumentationsprozesse und Nachweispflichten der Unternehmen fokussiert.
6.2 Soziale Netzwerke untereinander
Es gibt viele, die sich bei der Begrifflichkeit der „Sozialen Netzwerke“ an dem Wort „sozial“ stören. Diese bekommen nun ein weiteres Argument aus den Berichten über absichtliche Geschäftsschädigungen untereinander. Demnach organisierte der Meta-Konzern eine Lobbyingkampagne, um die Videoplattform TikTok als „echte Bedrohung“ zu inszenieren. Besser wird das Image auch nicht, folgt man Berichten, dass bei Facebook Falschinformationen wiederholt Eingang in Facebooks Newsfeed fanden. Ursache sei ein Softwarefehler gewesen. Ich bin wohl nicht der Einzige, der Zweifel hat, ob Facebook seiner Verantwortung bei der Einführung von Meta auch gegenüber Minderjährigen gerecht werden wird.
6.3 Gesichtserkennung im Krieg
In Berichten wird ausgeführt, wie im Krieg in der Ukraine der Einsatz des Bilderdienstes Clearview AI benutzt wird, um Opfer zu identifizieren. Clearview steht immer wieder in der datenschutzrechtlichen Kritik, weil sie Bilder aus allen möglichen Quellen in ihre Datenbank aufnehmen und dafür in der Regel keine Rechtsgrundlage nachweisen können.
6.4 Metaverse: Marketing der Zukunft?
Sicherlich ist Metaverse und Marketing ein spannendes Thema für viele. Beachtet werden sollte aber, dass bisher die Umsetzung des aktuellen Geschäftsmodells von Facebook in Europa nicht als rechtskonform erachtet wird.
6.5 Barack Obama und die Fakenews
Obama hat vor einem Vortrag seine Quellen veröffentlicht – und auch er scheint es nun zum Thema zu machen, welch negativen Einfluss Fehlinformationen auf demokratische Strukturen haben. Und er hat dazu viele Quellen, wie den Report des Aspen Instituts und andere Veröffentlichungen aufgeführt. Dabei war gerade seine erste Wahl von der gezielten Nutzung sozialer Medien im Wahlkampf geprägt. Und auch der Wahlkampf 2016 wurde wesentlich durch Werbung in sozialen Medien wie Facebook etc. beeinflusst. Und auch jetzt werden im Ukrainekrieg Fakenews eingesetzt. Cui bono? Wem nutzt das? Berichten zufolge der russischen Führung.
Was das mit Datenschutz zu tun hat? Na ja, die Transparenz, wer welche Werbung / Information durch wen zugespielt bekommt, hat schon was damit zu tun. Oder wir nennen es einfach „Verbesserung des Nutzererlebnisses“, dann stimmen auch die zu, die hier bislang zögerten betroffenen Personen offenzulegen, wie deren Profil entsteht und aussieht.
6.6 Digitalisierung in der Schule (und nicht nur dort)
Wie können / sollen digitale Medien im Unterricht eingesetzt werden? Ein Beitrag in einer Wochenpublikation ist hier ziemlich resolut – nämlich eher gar nicht. Natürlich gab es gleich darauf eine Reaktion: Auf die richtige Dosis käme es an und eine schwarz-weiß-Betrachtung führe nicht weiter. Und natürlich sollen Schüler:innen und Schüler nicht nur „wischen“ lernen
Wie die Digitalisierung in der Schule bei uns im Regelfall umgesetzt wird, wird hier anschaulich formuliert: Wir digitalisieren zuerst das, was sich am einfachsten digitalisieren lässt, und nicht etwa das, was an bestimmten Zielen ausgerichtet am sinnvollsten wäre. Sicher leider nicht nur in der Schule.
7 Sonstiges/Blick über den Tellerrand
7.1 App für Ukrainer
Um sich leichter mit der deutschen Sprache zu befassen, ist eine Sprachenlernapp für Ukrainisch-Deutsch kostenfrei erhältlich. Sie findet sich hier.
7.2 Karriereberater und Datenschutzbeauftragte
„Marcel ist Jurist und Datenschutzbeauftragter – und hat es satt, immer nur zu streiten und der Bremser zu sein. Wie findet man Freude an einer Rolle, von der andere nur genervt sind?“
So beginnt ein Beitrag in einem Magazin, dessen Consent-Banner beim Online-Besuch mir schon oft den Eindruck bestätigte, dass Datenschutzbeauftragte dort nicht zu den bevorzugten Gesprächspartnern gehören.
Aber ist das wirklich so? Es sollte klar sein, dass DSB nur beraten, die Verantwortung für eine regelkonforme Umsetzung aber immer durch die Fachabteilung / das Management sicherzustellen ist. Wenn das erstmal geklärt ist, wird schnell klar, dass eine frühzeitige Einbeziehung das Risiko für Einzelne für die persönliche Haftung auch mit arbeitsrechtlichen Konsequenzen reduziert, bevor Gestaltungen, die sich nicht als rechtskonform erweisen, zu materiellen oder Reputationsschäden führen.
7.3 Reduzierte Smartphone-Nutzung verbessert Gesundheit
Eigentlich ist es jedem klar: Die Dosis macht es aus – und das gilt auch für die Nutzung technischer Hilfsmittel. Schön ist es aber, wenn man solche Erkenntnisse auch mit wissenschaftlichen Studien untermauern kann, wie hier in dieser Meldung berichtet wird.
7.4 Wissen Sie, was Ihre Kinder surfen?
Auf die von den Eltern unbemerkte Anbahnung von Kontakten pädophiler Erwachsener an Kinder über Videogames etc. weist die Polizei (mal wieder) hin. Sie empfiehlt nach dieser Meldung, dass insbesondere kleinere Kinder auch beim Surfen beaufsichtigt werden sollen. Wenn Sie Ihre Kinder dazu sensibilisieren wollen, könnten Sie auch auf diese Clips zurückgreifen, sei es zum Thema Sexting, Cybertreffen oder zur Nutzung des Smartphones.
8. Franks Zugabe
8.1 Von Pflege-Robotern, die Patienten überfahren
Und schon wieder zitiere ich ziemlich unverblümt eine Überschrift, weil sie aber auch zu gut ist. Und das Bild zum verlinkten Artikel. Das Thema des Artikels ist natürlich auch wichtig, aber schon das Bild und die Überschrift hatten mich überzeugt, dass ich den Artikel aufnehmen wollte. Wobei natürlich auch der name der gefundenen Schwachstelle im Originalbericht Klasse ist: Jekyllbot:5.
Worum es geht? Um Sicherheitslücken in – in bereits vielen Krankenhäusern weltweit eingesetzten – Robotern, die im schlimmsten Fall das Steuern aus der Ferne und somit theoretisch auch das Überfahren Unschuldiger ermöglichen können sollen.
8.2 „Patch-Management“ mal anders
Erinnern Sie sich noch an log4j? Im verlinkten Blogbeitrag schrieb ich, dass wir da wohl (laut wired) noch lange mit beschäftigt sein würden. Laut diesem Bericht scheint es in Frankfurt am Main Menschen zu geben, die deswegen nun tagtäglich die Parkhausfüllstände händisch erfassen, damit sie auf den Parkleitsystem-Tafeln angezeigt werden können. Und natürlich sind diese Daten nie richtig.
Warum händisch, fragen Sie sich? Weil das (zugegebenermaßen bereits vor knapp 30 Jahren eingeführte) Parkleitsystem die log4j-Sicherheitslücke enthält und wohl nicht reparierbar ist. Allerdings, beim Studieren des Artikels fällt auf, dass auch vor log4j bereits Daten händisch erfasst werden mussten, da das System halt ein wenig (um nicht zu sagen hoffnunglos) veraltet ist und nicht mehr erweitert werden kann. Die seit 2018 angestrebte umfassende Modernisierung des Parkleitsystems scheint auf jeden Fall noch nicht abgeschlossen. Und so gibt es nun diesen Job – Parkleitsystemtafelinhaltsaktualisierer (händisch). Auch ein schönes Beispiel für Digitalisierung.
8.3 Google will ab 11. Mai 2022 keine Apps mehr zulassen, die heimlich Telefonate mitschneiden?
Laut dem verlinkten Artikel will Google zum 11.05.2022 die Entwicklerregeln ändern, so dass diese nicht mehr eine Schnittstelle zur Barrierefreiheit dafür ausnutzen können, unerlaubt und unerkannt Telefonate mitzuschneiden.
Ich habe so viele Fragen!
Meine erste Frage (die allerdings meinem Unwissen entspringt): Wofür braucht es überhaupt solch eine Schnittstelle? Mir fällt (weil ich mich halt noch nie mit dieser Frage beschäftigt habe, ich naiver, privilegierter Mensch) kein Grund ein, warum das Mitschneiden von Telefonaten die Barrierefreiheit verbessert.
Meine zweite Frage: Warum wird es nur den Entwicklern von Dritt-Apps verboten, diese Schnittstelle so zu nutzen und warum nicht auch den Google-eigenen Apps? Don’t be evil ist ja nun schon länger her…
Meine dritte Frage (bis sechste Frage) nach Studium des Artikels: Und was ist mit den ganzen bereits installierten Apps? Genießen die nun Bestandsschutz? Werden die von Google aus der Ferne deinstalliert?
Und zum Abschluss meine letzte Frage zu diesem Thema: Wie verhält es sich eigentlich mit iPhones und Gespräche mitschneiden? Oder ist das tatsächlich mal ein Android-Alleinstellungsmerkmal?
8.4 Who watches the watchman?
Und wieder so eine Frage, an der der kulturelle Hintergrund aufgezeigt werden kann. Laut Wikipedia wird diese Frage Juvenal zugeschrieben, einem Satiriker aus dem ersten bis zweiten Jahrhundert neuer Zeitrechnung.
Allerdings wird im gleichen Wikipedia-Artikel dieses Zitat (u.a.) auch einer Star-Trek-Folge und einem Comic von Alan Moore zugeordnet.
Allgemein wird heutzutage mit dem Zitat die Frage verbunden, wer denn die Überwacher überwacht, damit diese nicht durch ihre Macht korrumpieren.
Wie kam ich drauf? Ach ja, beim Lesen des folgenden Artikels musste ich dran denken:
In diesem Artikel wird über zwei StartUps berichtet, die Überwachungsmethoden anbieten. Wie so oft ist die den StartUps zugrunde liegende Geschäftsidee eigentlich nichts besonderes (wie auch bei Clearview AI), erst die Dimension, in denen A6 (das Unternehmen, um welches es im Wesentlichen im verlinkten Artikel geht) agiert, erschreckt (ähnlich wie bei Clearview AI).
Und um auf das Eingangszitat zurück zu kommen, die Chuzpe, mit der sie ihr Produkt vermarkten. Sie haben es nämlich (mit interessanten Ergebnissen) auf die NSA und die CIA eingesetzt. Lesenswert.
Und übrigens, meine erste Berührung mit dem Zitat aus der Überschrift war der Alan-Moore-Comic Watchmen, einem geschätzten Werk in meiner kleinen aber feinen Comic-Sammlung.
8.5 Apples Nacktscanner, jetzt auch international
Apropos iPhone: Wir berichteten im Herbst des letzten Jahres ausführlich über Apples Pläne zur Einführung des sogenannten Nacktscanners, der CSAM-Erkennung.
Mit dieser will Apple durch lokales Scanning auf dem iPhone und Abgleich mit von zentraler Stelle bereitgestellter Samples Kindesmissbrauchsfotos auf den iPhones erkennen.
Die dafür notwendige Technologie wurde Ende des Jahres mit iOS 15.2 ausgerollt und in den USA auch im Dezember 2021 aktiv geschaltet.
Nun soll diese Funktionalität Berichten zufolge in weiteren Ländern auf den iPhones aktiviert werden. Ob und wann sie auch in Deutschland aktiviert wird und wann es automatische Meldungen von „Treffern“ geben soll, ist bislang unklar. Diese letzte Funktion war und ist es, die die größetn Sorgen bereitet. Diese automatische Meldung an Behörden, wenn beim Scannen unerwünschte Inhalte gefunden werden, könnte von Regierungen gegen die eigene Bevölkerung eingesetzt werden. Bisher gibt es diese Funktion in iOS noch in keinem Land. Hoffen wir mal, dass es so bleibt…
8.6 Long Read zur NSO-Group
Auch die NSO-Group war ja schon oft Thema im Blog. Hier ist ein langer und gut aufbereiteter Artikel des New Yorker. Falls Sie sich noch mal damit beschäftigen wollen.
Die Quelle, in der ich diesen Artikel gefunden habe, hat eine Kommentar-Funktion. Zwei Zitate aus den Kommentaren zum Artikel:
- „I’m wondering what a good solution is here?“
„Simple: Dont own a phone. Get out of town. Befriend a farmer while you can.“ - „Digital security has become hapless
Leaving unaware clients strapless
As security gurus preach hopeless
And cling on until they are jobless.“
Aber ein Untersuchungsausschuss des EU-Parlaments hat sich ja bereits mit Pegasus und anderen Spyware-Produkten beschäftigt. Manchmnal bringt das ja etwas.
8.7 Warum ich die iCloud so mag
Weil es immer wieder eine gute Idee ist, diese in Produkte zu integrieren. Vor allen Dingen, wenn es um Geld geht. Im verlinkten Artikel geht es auch noch um Crypto-Geld. Mein Bullshit-Bingo-Blatt füllt sich wieder gut…
8.8 John Oliver on Data Brokers
Ich schaue sehr gerne John Olivers „Last Week tonight with John Oliver“. Und hier ist mal wieder ein sehr sehenswertes Segment über Data Broker (bei Youtube). Die meisten von uns vermuten oder wissen die meisten enthaltenen Informationen bereits. Aber trotzdem ist es sehr gut dargestellt. Bis zum Schluss schauen, es lohnt sich!
8.9 Ratgeber – Was sind eigentlich Metadaten?
Viel mehr als den Link auf den Artikel von mobilsicher gibt es hier nicht. Falls Sie es mal zielgruppengerecht erklären wollen…
8.10 Dies und das
Damit dieser Blogbeitrag nun auch mal ein Ende hat, noch schnell dies und das:
- Cyberangriff, die erste (Disclaimer: Unter Firofox auf einem Mac öffnet sich das Bild, ist eine AVIF-Datei, ggf. Konvertierer installieren?)
- Cyberangriff, die zweite
- Apropos Digitalisierung: Datenreichtum in Baden (Österreich) – dbase? § 30 Abs. 5 DSG? Wtf?
- „Können Organisationen mit begrenzten Ressourcen digital souverän sein und trotzdem moderne Dienstleistungen anbieten? Es ist nicht trivial, aber die FSFE beweist, dass es möglich ist. Tauchen Sie mit uns in unsere Infrastruktur ein und erfahren Sie, wie wir all die verschiedenen Dienste innerhalb der FSFE betreiben und mit zahlreichen Herausforderungen umgehen. Eine Geschichte nicht nur für Technikfans.“
Hier der dazugehörige FSFE-Artikel, hier ein zusätzlicher Wiki-Eintrag der FSFE mit diversen Informationen zu den eingesetzten Tools – und btw: Ich bin gerade wirklich positiv angetan von der deepl.com-Übersetzung des Textes. Ich habe kein Wort geändert, ich hätte es genau so übersetzt. - Und passend dazu: Open-Source-Software: Zwischen Entwicklung und Philosophie