Frank Spaeing

„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 17&18/2022)“

Hier ist der 36. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 17&18/2022)“.

  1. Aufsichtsbehörden
    1. DSK: Online-Handel mit Gastzugang
    2. LfDI BW: Countdown für M365 an Schulen?
    3. BayLDA: „Apfelfahrten“ (Apple Kamerafahrten in Deutschland)
    4. LDA Brandenburg: Veröffentlichung Tätigkeitsbericht – verschoben
    5. CNIL: Anforderungen an Aufzeichnung eines Telefonats zur Vertragsdokumentation
    6. DSB Österreich: Wann wird Beschäftigter selbst zum Verantwortlichen?
    7. DSB Österreich: Umfang eines Auskunftsanspruchs gegen Rechtsnachfolger
    8. DSB Österreich: Einsatz eines GPS-Systems in Dienstfahrzeug
    9. EDSA: Absprachen zur Durchsetzung der DS-GVO
    10. EDPS: Nun über zwei Social-Media-Kanäle
    11. EDSA: Stellungnahme zum Data Act gemeinsam mit EDPS
    12. DSK: Forderung nach Beschäftigten-Datenschutzgesetz
    13. BfDI: Verhaltensregeln für Notare
    14. Rheinland-Pfalz: Tätigkeitsbericht veröffentlicht
    15. LfDI BW: Out of bubble experience
    16. Interview mit LfDI BW zu Digitalisierung und Bildung
    17. Berichte zu Diskussion um Adresshandel
    18. DSB Österreich: Risikobasierter Ansatz im Drittstaatentransfer?
    19. BKartA: Missbrauchsaufsicht für Meta (Facebook etc.)
  2. Rechtsprechung
    1. EuGH: Jetzt mit Livestreams!
    2. EuGH: Klagebefugnis von Verbraucherschutzverbänden
    3. EuGH: Rechtmäßigkeit des Art. 17 RL 2019/790 zum Urheberrechtsschutz durch Dienstanbieter
    4. EuGH: Deckelung von Abmahnkosten?
    5. EuGH: Mündliche Verhandlung zum Kartellverfahren gegen Meta (Facebook)
    6. BVerfG: Verdeckte Überwachung etc. nur eingeschränkt möglich
    7. OLG Zweibrücken: Beispiel für Computerbetrug
    8. VG Wiesbaden: GPS-Tracking im Logistikbereich
    9. OLG Frankfurt: Erfordernis des nicht-binären Geschlechts in Programmen / Formularen
    10. OVG NRW: Warnung vor Kaspersky durch BSI nicht rechtwidrig
    11. USA: Klage gegen Connected-Car-Dienstleister
  3. Gesetzgebung
    1. Europa: DSA – Digital Service Act
    2. Cloud Act
    3. Bayerisches Digitalgesetz
  4. Künstliche Intelligenz und Ethik
    1. Praxistipps zu Datenschutz und KI
    2. Was kann KI – Wenn dich deine Mikrowelle töten will
  5. Veröffentlichungen
    1. Microsofts Privacy-Report
    2. Sanktionen wegen des Einsatzes von M365 in Deutschland?
    3. Drittstaatentransfer – eine aktuelle Analyse
    4. TIA-Vorschlag durch Adobe – auch für Indien und USA
    5. Kann man Virenscannern trauen?
    6. Vorstudien zu vertrauenswürdiger IT ausgeschrieben
    7. Google data-privacy und erwartungskonformes Verhalten
    8. Zuständigkeit für Tesla
    9. Veranstaltungen
      1. DiGiBits: „Meine Daten im Netz: Datenkompetenz macht Schule“
  6. Gesellschaftspolitische Diskussionen
    1. Musk übernimmt Twitter
    2. Beschäftigtendatenschutz: Vertrauen ist gut, Kontrolle ist …?
    3. Nebenwirkung von Apples Datenschutzinitiative
    4. Weißt du, was Facebook mit deinen Daten macht?
    5. Wozu Geheimdienste?
  7. Sonstiges / Blick über den Tellerrand
    1. mobilsicher: Tests von Apotheken-Apps
    2. Von Twitter zu Mastodon
    3. Netzwerkvergabe der EU
    4. Neues Magazin zur digitalen Schule
    5. Fünf Gründe für Datenschutz
    6. Eine Information wird übertragen
  8. Franks Zugabe
    1. And the winner is … Die BigBrotherAwards 2022
    2. Smishing
    3. Quishing
    4. Beschlagnahme? Holy Crap…
    5. Und es hat (mal wieder) Zoom gemacht…
    6. Apropos Videokonferenzsysteme – Heute außerdem: Die-Mute-Funktion
    7. Und wieder mal die Deutsche Bahn…
    8. And. And. And. And. And.
    9. Safegraph „anonymisiert“ Daten
    10. Den Mund zu voll nehmen…
    11. Selbstversuch: Das passiert, wenn man einen Hacker auf sich selbst ansetzt
    12. Apropos unerwartetes Zuhören
    13. Haben Sie Ihr Smartphone die ganze Zeit falsch gehalten?



Wir wünschen eine gute Lektüre,

Rudi Kramer und Frank Spaeing

1 Aufsichtsbehörden

1.1 DSK: Online-Handel mit Gastzugang

In einem nunmehr veröffentlichten Beschluss spricht sich die Datenschutzkonferenz (DSK) dafür aus, dass im Online-Handel ein datenschutzkonformer Zugang angeboten werden müsse. Daran hat auch niemand Zweifel. Aber die DSK fordert, dass eine Pflicht, sich dafür als Kunde erst zu registrieren, nicht verlangt werden könne und daher ein entsprechender Gastzugang anzubieten sei. Sie begründet dies mit dem Gebot der Datenminimierung und stellt die Freiwilligkeit des Abschlusses einer Kundenregistrierung in Frage. Ferner geht sie davon aus, dass sowohl die Auswertung der Vertragshistorie für Werbezwecke wie auch die Speicherung von Informationen über Zahlungsmittel einer informierten Einwilligung bedürften. Natürlich werden solche Beschlüsse kritisch hinterfragt und ich zitiere hieraus den Satz „Von außen ist es schwer verständlich, warum die DSK sich dazu entschieden hat den Beschluss in der konkreten Form zu fassen.“

zurück zum Inhaltsverzeichnis

1.2 LfDI BW: Countdown für M365 an Schulen?

Staatliche Schulen in Baden-Württemberg sollten bis zu den Sommerferien auf eine Alternative umsteigen oder den Nachweis eines rechtskonformen Einsatzes bringen, fordert der LfDI BW. Zur Erinnerung: Umstritten ist in diesem Szenario der Drittstaatentransfer und die Nutzung von Telemetriedaten, insbesondere bei Kindern. Das Ganze ist ja nicht neu und irgendwie schon ausdiskutiert. Für alle, die dies verpasst haben, wird gleich wie bei einer Fortsetzungsgeschichte eine Art „was bisher geschah“ mitgeliefert. So verweist der LfDI in seiner Pressemeldung auch auf alternative Möglichkeiten zu Lernmanagementsystemen, wie etwa Moodle oder itslearning, oder das dabei integrierte Web-Konferenzsystems BigBlueButton, mit dem Videokonferenzen durchgeführt werden können. Welche seiner Abhilfebefugnisse nach Art. 58 Abs. 2 DS-GVO er wählen wird, wenn ein rechtskonformer Nachweis nicht gelingt und die Schulen unbelehrbar nicht auf Alternativen wechseln, lässt er offen. Wie bei jeder guten Fortsetzungsgeschichte wird es sicherlich nicht bei diesem Cliffhanger bleiben und weitere Folgen geben (Ich hoffe ja, es geht nicht aus wie bei Dalles und dem Duschen von Bobby Ewing – alle Leser:innen unter 50 Jahren fragen bitte ihre Eltern/Großelten).
Auch wenn datenschutzkonforme Einsatzmöglichkeiten, die auf die jeweilige Konfiguration abstellen, diskutiert werden, vergessen Sie bitte nicht, dass es bei Behörden eine Einschränkung bei der Anwendung des Art. 6 Abs. 1 lit. f DS-GVO gibt!

zurück zum Inhaltsverzeichnis

1.3 BayLDA: „Apfelfahrten“ (Apple Kamerafahrten in Deutschland)

Die Autos zur Aufnahme von Straßenansichten für einen Onlinedienst sind wieder unterwegs. Diesmal von und für Apple. Und das BayLDA hat dazu Hinweise und FAQs veröffentlicht. Zwar ist das BayLDA dafür aufgrund der „One-Stop-Shop-Regelung“ in der DS-GVO nicht zuständig, sondern die Datenschutzaufsicht in Irland, aber die deutsche Niederlassung hat ihren Sitz in Bayern. Das BayLDA wird daher jede Beschwerde an die irischen Kollegen weitergeben. In den Hinweisen finden sich Angaben zu rechtlichen Grundlagen und Widerspruchsmöglichkeiten. Laut den Angaben dort werden die Daten verschlüsselt in die USA übertragen, dort entschlüsselt und dann Gesichter und Nummernschilder verpixelt. Ausführungen zu der rechtlichen Bewertung dieses Drittstaatentransfers sind nicht enthalten – da kann man dann sicher die irische Datenschutzaufsicht fragen*. Die Fahrtroute hat Apple übrigens hier veröffentlich.

* Franks erste Anmerkung: Ähhhh…
** Franks zweite Anmerkung: Dann können Sie ja den Nathan Fillion machen 🤣 … Das geht schießlich nicht nur bei Google Maps.

zurück zum Inhaltsverzeichnis

1.4 LDA Brandenburg: Veröffentlichung Tätigkeitsbericht – verschoben

Die Vorstellung des Tätigkeitsberichts wurde kurzfristig aufgrund eines Coronafalles abgesagt. Dann verlängert sich unsere Vorfreude auf die wichtigsten datenschutzrechtlichen Themen, mit denen sich die Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg (LDA Brandenburg) im vergangenen Jahr befasst hat. Im Vordergrund stehen dabei laut Ankündigung informationstechnische Aspekte des Datenschutzes, wie die Umsetzung des Onlinezugangsgesetzes für ein datenschutzgerechtes Angebot digitaler Verwaltungsleistungen beispielhaft die Herausforderungen aufzeigt. Beschäftigt wurde sich auch mit der zur Unterstützung der Gesundheitsämter vorgesehenen Software SORMAS sowie dem zur Kontaktnachverfolgung eingesetzten Luca-System. Erste Ergebnisse einer Prüfung des Werbe-Trackings auf Webseiten sollen ebenso vorgestellt werden wie einige Beispiele aus den zahlreichen Meldungen von Datenschutzverletzungen.

zurück zum Inhaltsverzeichnis

1.5 CNIL: Anforderungen an Aufzeichnung eines Telefonats zur Vertragsdokumentation

Die Ausführungen der CNIL zu den Anforderungen an eine Aufzeichnung eines Telefonats zur Vertragsdokumentation sind auch bei uns grundsätzlich anwendbar, wenn es um das Erfordernis einer Registrierung geht, die Datenminimierung, den Zweck der Vertragserfüllung, die Informationspflichten, die Zugriffsbeschränkung und nicht zuletzt auch die Speicherfristen.

zurück zum Inhaltsverzeichnis

1.6 DSB Österreich: Wann wird Beschäftigter selbst zum Verantwortlichen?

Eine Mitarbeiterin nutzte eine Datenbank (hier Impfstatus) zu einer Abfrage in eigenem Interesse. Damit wurde sie nach Entscheidung der Datenschutzbehörde (Az: 2021-0.785.022 (D124.4309)) selbst zur Verantwortlichen nach Art. 4 Nr. 7 DS-GVO. Die Arbeitgeberin konnte vortragen, dass alle Beschäftigte zu Beginn des Dienstverhältnisses eine Geheimhaltungsvereinbarung samt Datenschutzerklärung unterzeichnen müssen. Auch seien die Zugriffe ohne ihr Wissen erfolgt und keine Ausdrucke angefertigt oder Daten an Dritte weitergeleitet worden. Die Datenschutzbehörde führt weiter aus, dass ein wirksames Kontrollsystem nicht die ständige Beaufsichtigung des Arbeitnehmers verlange, sodass keinerlei Anhaltspunkte vorlagen, dass die gegenständlichen Datenzugriffe durch mangelnde Kontrollmaßnahmen der Arbeitgeberin ermöglicht worden sind.

zurück zum Inhaltsverzeichnis

1.7 DSB Österreich: Umfang eines Auskunftsanspruchs gegen Rechtsnachfolger

Ich versuche mal den Sachverhalt kurz darzustellen. Ein Arzt übernimmt eine Praxis zusammen mit den Patientenakten des Vorgängers. Ein Patient, den er selbst noch nicht behandelt hat, stellt einen Auskunftsanspruch. In der u.a. händisch verfassten Behandlungsdokumentation befinden sich auch Karteikarten, die der Nachfolgearzt nicht lesen kann. Er übergab daher dem Patienten diese Karteikarten. Der Patient (des Vorgängerarztes!) beschwerte sich, es sei unterlassen worden die „unleserlichen Passagen“ auf den Karteikarten und die Abkürzungen zu erläutern. Des Weiteren sei die Auskunft unvollständig, da keine Daten zu einem Inhalationsgerät, das er als unverkäufliches Ärztemuster vom Vorgänger übernommen habe, enthalten seien.
Die Datenschutzbehörde wies die Beschwerde ab (Az: 2022-0.094.281 (D124.2499)), da das Begehren, im Rahmen der datenschutzrechtlichen Auskunft handschriftliche Aufzeichnungen zu Anamnese, Befundung und Diagnosestellung des Vorgängers zu „interpretieren“, jedenfalls überschießend sei. Bei einer derartigen, nachträglichen „Interpretation“ der handschriftlichen Karteikarten durch den Arztnachfolger – zumal wenn mangels Behandlungsvertrag keine eigene Befundung durch den Arztnachfolger selbst vorliegt – könnten auch für den Beschwerdeführer gesundheitsgefährdende Fehler unterlaufen, sodass die vom Patienten und Beschwerdeführer verlangte Transparenz im Sinne einer korrekten Interpretation handschriftlicher Notizen des Vorgängers durch einen Arztnachfolger weder möglich noch geboten sei. Der Nachfolgearzt habe durch Übermittlung der grundsätzlich technisch lesbaren und vom Vorgänger übernommenen Patientenkarteikarten seine Verpflichtungen im Sinne des Art. 12 Abs. 1 DSGVO und Art. 15 DSGVO erfüllt. Bezüglich der behaupteten Unvollständigkeit eines fehlenden Auskunftsteils zum Inhalationsgerät folgte die Datenschutzbehörde der glaubwürdigen Darlegung des Arztnachfolgers und wies die Beschwerde unter Verweis auf die bisherige Rechtsprechung ab, wonach bei der Auskunft auf die „verfügbaren Informationen“, im Sinne der tatsächlich zum Zeitpunkt des Stellens des Auskunftsbegehrens beim Verantwortlichen vorhandenen Informationen, abzustellen sei, keine nachträgliche Erhebungspflicht beim Verantwortlichen abgeleitet werden kann, die über die bei ihm verfügbaren Informationen hinausgehen.
Der Bescheid ist nicht rechtskräftig, da der Beschwerdeführer laut Datenschutzbehörde fristgerecht Bescheidbeschwerde einbrachte.

zurück zum Inhaltsverzeichnis

1.8 DSB Österreich: Einsatz eines GPS-Systems in Dienstfahrzeug

Der Beschwerdeführer war bei der Beschwerdegegnerin als Kundendiensttechniker angestellt. In diesem Zusammenhang wurde ihm ein Fahrzeug, in welches ein GPS-Gerät eingebaut war und welches er auch für private Fahrten nutzen durfte, zur Verfügung gestellt. Das Gerät wurde durch Start der Zündung des Fahrzeugs aktiviert und durch Ausschalten der Zündung deaktiviert. Zusätzlich befand sich im Fahrzeug ein Schalter, mit welchem das Gerät für private Fahrten deaktiviert werden konnte.
Die Datenschutzbehörde kam zu dem Ergebnis (Az: 2021-0.789.408 (D124.3940)), dass es an der Erforderlichkeit bzw. Verhältnismäßigkeit der Datenverarbeitung durch ein GPS-System mangelte. Zwar wurde nicht verkannt, dass das Tracking-System eine administrative Erleichterung und eine ökonomische Entlastung für die Beschwerdegegnerin darstellt, dies alleine vermag jedoch eine Berufung auf Art. 6 Abs. 1 lit. f DSGVO nicht zu rechtfertigen, da der Zweck auch durch mindere Mittel, welche eine geringere Datenverarbeitung mit sich bringen, erreicht werden könnte.
Ebenso erwies sich die Datenverarbeitung auf Basis von Art. 6 Abs. 1 lit. c DSGVO bzgl. der von der Beschwerdegegnerin vorgebrachten Bestimmungen des Arbeitszeitgesetzes als unzulässig.
Der Bescheid ist nicht rechtskräftig.

zurück zum Inhaltsverzeichnis

1.9 EDSA: Absprachen zur Durchsetzung der DS-GVO

Ein Vorwurf, den sich die Datenschutzaufsichtsbehörden immer wieder anhören dürfen, ist, dass sie die rechtlichen Vorgaben bzw. ihre Interpretation davon zu wenig durchsetzen. So haben sie nun auf europäischer Ebene ein weiteres Vorgehen vereinbart, wie sie ihre Zusammenarbeit zur Durchsetzung verbessern wollen.

zurück zum Inhaltsverzeichnis

1.10 EDPS: Nun über zwei Social-Media-Kanäle

Der Europäische Datenschutzbeauftragte kommuniziert nun über zwei neue Kanäle: ein Videoformat und über EU Voice.

zurück zum Inhaltsverzeichnis

1.11 EDSA: Stellungnahme zum Data Act gemeinsam mit EDPS

In einer gemeinsamen Stellungnahme haben der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte ihre Hinweise zum Data Act veröffentlicht. Natürlich wird der Erwartung Ausdruck verliehen, dass die DS-GVO und die Verarbeitung personenbezogener Daten dabei berücksichtigt wird. Sie äußern aber auch ihre tiefe Besorgnis über die Rechtmäßigkeit, Notwendigkeit und Verhältnismäßigkeit der Verpflichtung den öffentlichen Stellen der EU-Mitgliedstaaten und den Organen, Einrichtungen und sonstigen Stellen der EU im Falle eines „außergewöhnlichen Bedarfs“ Daten zur Verfügung zu stellen. Daher betonen sie, dass jede Einschränkung des Rechts auf Schutz personenbezogener Daten eine Rechtsgrundlage erfordert, die angemessen zugänglich und vorhersehbar ist. Hierzu fordern sie die beiden gesetzgebenden Organe nachdrücklich auf die Hypothesen eines Notfalls oder eines „außergewöhnlichen Bedarfs“ und der Frage, welche öffentlichen Stellen und EUI Daten anfordern können sollten, viel strenger zu definieren.
In Bezug auf die Durchsetzung begrüßen der EDSB und der EDSA die Benennung von Datenschutzaufsichtsbehörden als zuständige Behörden, die für die Überwachung der Anwendung des Datenschutzgesetzes zuständig sind, soweit der Schutz personenbezogener Daten betroffen ist. Der EDSB und der EDSA ersuchen das Parlament und den Rat nationale Datenschutzbehörden als koordinierende zuständige Behörden gemäß dem Datengesetz zu benennen.

zurück zum Inhaltsverzeichnis

1.12 DSK: Forderung nach Beschäftigten-Datenschutzgesetz

Die Datenschutzkonferenz hat sich in einer Entschließung für die Schaffung eines Beschäftigten-Datenschutzgesetzes ausgesprochen und dabei auch ihre inhaltlichen Erwartungen zu den Regelungen formuliert.

zurück zum Inhaltsverzeichnis

1.13 BfDI: Verhaltensregeln für Notare

Der BfDI informiert auf seiner Seite, dass er Verhaltensregeln für Notare genehmigt hat und verlinkt auch gleich darauf. Die genehmigten Verhaltensregeln stellen nach Ansicht des BfDI eine gelungene Präzisierung der technischen und organisatorischen Regelungen dar, die von Notarinnen und Notaren in Bezug auf die insbesondere elektronische Schriftgutverwaltung zu treffen sind. Bei den Verhaltensregeln für die Notarinnen und Notare handelt es sich um die ersten Verhaltensregeln aus dem öffentlichen Bereich überhaupt. Diese werden sicherlich noch hinsichtlich ihres Detaillierungsgrades zu Diskussionen führen.

zurück zum Inhaltsverzeichnis

1.14 Rheinland-Pfalz: Tätigkeitsbericht veröffentlicht

Die Datenschutzaufsicht Rheinland-Pfalz hat ihren Tätigkeitsbericht für das Jahr 2020 veröffentlicht. Neben den (erwartungskonformen) Ausführungen zum Umgang mit Daten in der Pandemie finden sich u.a. Aussagen zur Videoüberwachung, aber auch, dass die gesetzliche Regelung in § 11 StBerG zur Verantwortlichkeit des Steuerberaters die Anzahl der Anfragen diesbezüglich sehr zurückgehen ließ.

zurück zum Inhaltsverzeichnis

1.15 LfDI BW: Out of bubble experience

Der LfDI BW bietet ein von einem Künstler gestaltetes Logo an, das als Sticker verwendet werden kann. Der Slogen „Out of bubble experience“ soll darauf aufmerksam machen, dass wir uns auch mit Aspekten außerhalb unserer Wahrnehmungen beschäftigen sollen, die uns im Netz online prägen.

zurück zum Inhaltsverzeichnis

1.16 Interview mit LfDI BW zu Digitalisierung und Bildung

Die Aktivitäten des LfDI BW auch hinsichtlich des Einsatzes von Microsoft 365 finden bundesweit Aufmerksamkeit. So sind auch in diesem Interview anlässlich einer Bildungsmesse hierzu Aussagen zu finden. Aber auch grundsätzlich zur Vermittlung von Kompetenzen.

zurück zum Inhaltsverzeichnis

1.17 Berichte zu Diskussion um Adresshandel

Laut Medienberichten hält die Mehrzahl der deutschen Aufsichtsbehörden den gängigen Adresshandel unter der DS-GVO für unzulässig. Diesbezügliche Aktivitäten außer der Antwort auf eine Umfrage durch Journalisten sind aber noch nicht wahrnehmbar. Und wie so oft, gibt es auch andere rechtliche Einschätzungen.

zurück zum Inhaltsverzeichnis

1.18 DSB Österreich: Risikobasierter Ansatz im Drittstaatentransfer?

In einem Bescheid der österreichischen Datenschutzaufsichtsbehörde (DSB) äußert sie sich auch zu der Frage, ob auch im Drittstaatentransfer der risikobasierte Ansatz der DS-GVO zu berücksichtigen sei. Die DSB geht hier sehr restriktiv vor und begründet dies mit dem Wortlaut und der Systematik der DS-GVO. Das wird noch zu Diskussionen führen. Und vielleicht landet der aktuelle Fall dazu auch vor dem EuGH – zu wünschen wäre jedenfalls eine einheitliche Interpretation.

zurück zum Inhaltsverzeichnis

1.19 BKartA: Missbrauchsaufsicht für Meta (Facebook etc.)

Das Bundeskartellamt kündigt an von seiner Befugnis Gebrauch zu machen bei einem Unternehmen mit überragender marktübergreifender Bedeutung für den Wettbewerb die Instrumente der erweiterten Missbrauchsaufsicht anzuwenden, die der deutsche Gesetzgeber Anfang 2021 eingeführt hat. Meta ist ein international tätiger Digitalkonzern (Facebook – einschließlich des Messengers, Instagram und WhatsApp). Mit Features wie den „Stories“ oder den „Reels“ und Angeboten wie „Watch“ oder „Shops“ erweitere Meta sein Angebot fortlaufend. Als großes Zukunftsprojekt investiere Meta insbesondere in Hard- und Software für ein „Metaverse“, eine umfassende virtuelle 3D-Welt. Dafür habe Meta beispielsweise den 3D-Brillen- und Technologiehersteller Oculus (jetzt: Meta Quest) zugekauft. Die Dienste von Meta würden weltweit von über 3,5 Milliarden Menschen genutzt. Auch in Deutschland nutzen weite Teile der Bevölkerung die Meta-Dienste. Aufgrund der vielen Nutzenden und der Daten, über die Meta zu ihnen verfügt, ist das Unternehmen zugleich der führende Anbieter im Bereich von Social-Media-Werbung. Aus dieser finanziert sich das Unternehmen bislang nahezu ausschließlich. Im Jahr 2021 ist der Gewinn von Meta im Vergleich zum Vorjahr noch einmal um mehr als ein Drittel auf fast 40 Milliarden USD gestiegen.

zurück zum Inhaltsverzeichnis

2 Rechtsprechung

2.1 EuGH: Jetzt mit Livestreams!

Wie der EuGH bekanntgab, wird er künftig mündliche Verhandlungen, Urteilsverkündungen und Verlesungen von Schlussanträgen des Gerichtshofs als Streaming-Übertragung anbieten. Die Verkündung der Urteile des Gerichtshofs und die Verlesung der Schlussanträge der Generalanwälte werden auf der Website des Gerichtshofs live übertragen. Die Übertragung, die derzeit nur bei Rechtssachen erfolgt, die der Großen Kammer zugewiesen wurden, startet jeweils zu Beginn der Sitzungen entsprechend den im Gerichtskalender angegebenen Zeiten. Die mündlichen Verhandlungen in Rechtssachen der Großen Kammer des Gerichtshofs werden während einer Pilotphase von sechs Monaten grundsätzlich ebenfalls – zeitversetzt – übertragen. Die Sitzungen können entweder am selben Tag ab 14.30 Uhr (bei vormittags stattfindenden Sitzungen) oder am folgenden Tag ab 9.30 Uhr (bei nachmittags stattfindenden Sitzungen) verfolgt werden, sind jedoch anschließend nicht mehr abrufbar. Die Übertragungen sollen es den Bürgern ermöglichen die Sitzungen so zu verfolgen, als wären sie physisch anwesend. Die Verhandlungen werden daher simultan in die Sprachen verdolmetscht, die für den reibungslosen Ablauf der Sitzung erforderlich sind.

zurück zum Inhaltsverzeichnis

2.2 EuGH: Klagebefugnis von Verbraucherschutzverbänden

Die Verbraucherzentrale Bundesverband (vzbv) bemängelte eine Gestaltung von Facebook (Angebot eines Spiels). Der EuGH hatte nun zu entscheiden, ob der vzbv die Voraussetzungen erfüllt wettbewerbsrechtliche Verstöße zu monieren. Schon der Generalanwalt plädierte dafür, dass diese wettbewerbsrechtlichen Regelungen nicht in Widerspruch zu Art. 80 Abs. 2 DSGVO stehen, sondern in Komplementarität und Konvergenz des Rechts zum Schutz personenbezogener Daten mit anderen Rechtsgebieten, wie etwa dem Verbraucherschutzrecht und dem Wettbewerbsrecht. Auch der EuGH bestätigt, dass Verbraucherschutzverbände gegen Verletzungen des Schutzes personenbezogener Daten Verbandsklagen erheben können.

zurück zum Inhaltsverzeichnis

2.3 EuGH: Rechtmäßigkeit des Art. 17 RL 2019/790 zum Urheberrechtsschutz durch Dienstanbieter

Nach Art. 17 der Richtlinie 2019/790 über das Urheberrecht und die verwandten Schutzrechte im digitalen Binnenmarkt gilt der Grundsatz, dass die Diensteanbieter für das Teilen von Online-Inhalten (sogenanntes „Web 2.0“) unmittelbar haften, wenn Schutzgegenstände (Werke usw.) von den Nutzern ihrer Dienste rechtswidrig hochgeladen werden. Hierfür müssen die Dienstanbieter insbesondere gemäß Art. 17 die von den Nutzern hochgeladenen Inhalte aktiv überwachen, um das Hochladen von Schutzgegenständen zu verhindern, die die Rechteinhaber nicht über diese Dienste zugänglich machen wollen. Aus Polen kam eine Klage auf Nichtigerklärung von Art. 17. Durch Art. 17 würde die Freiheit der Meinungsäußerung und die Informationsfreiheit aus der Charta der Grundrechte der Europäischen Union verletzt. Der EuGH hat die Klage abgewiesen.
Bei Betrachtung aller Umstände kommt der EuGH zu dem Ergebnis, dass durch den Unionsgesetzgeber angemessenen Garantien vorgesehen wurden, um die Wahrung des Rechts der Nutzer dieser Dienste auf freie Meinungsäußerung und Informationsfreiheit und das angemessene Gleichgewicht zwischen diesem Recht und dem Recht des geistigen Eigentums sicherzustellen. Nichtsdestoweniger sei es Sache der Mitgliedstaaten, bei der Umsetzung von Art. 17 in ihr innerstaatliches Recht darauf zu achten, dass sie sich auf eine Auslegung dieser Bestimmung stützen, die es erlaubt ein angemessenes Gleichgewicht zwischen den verschiedenen durch die Charta geschützten Grundrechten sicherzustellen.
Damit folgte der EuGH im Ergebnis der Stellungnahme des Generalanwalts. Interessant ist dabei, dass die EU-Kommission nach Klageerhebung noch Erläuterungen zur Umsetzung des Art. 17 veröffentlichte.

zurück zum Inhaltsverzeichnis

2.4 EuGH: Deckelung von Abmahnkosten?

Ist eine Regelung eines Mitgliedsstaates europarechtskonform, wenn der Rechteinhaber dann u.U. auch auf seinen Kosten der Rechtsverfolgung „sitzen bleibt“? Das ist die Kernfrage des LG Saarbrücken, die der EuGH zu entscheiden hatte. Machen wir es kurz: Ja, die Kostenerstattungspflicht des Rechteverletzers kann rechtskonform eingeschränkt werden. Der Generalanwalt sah es bereits auch so. Zu den Auswirkungen hier ein Beitrag, der vor Urteil auf Basis der Stellungnahme des Generalanwalts veröffentlicht wurde.

zurück zum Inhaltsverzeichnis

2.5 EuGH: Mündliche Verhandlung zum Kartellverfahren gegen Meta (Facebook)

Am 10. Mai 2022 findet die mündliche Verhandlung der Vorlagefragen des OLG Düsseldorf statt. Dabei geht es u.a. darum, ob das Aufrufen von Seiten mit Inhalten, die einen Bezug zu Daten besonderer Kategorien gemäß Art. 9 Abs. 1 DS-GVO haben, als Verarbeitung gilt und welche Anforderungen an die Rechtsgrundlagen der Verarbeitung zu stellen sind. Dass Vorabentscheidungsersuchen des OLG Düsseldorf beruht auf den Aktivitäten des Bundeskartellamtes gegen Facebook (Meta).

zurück zum Inhaltsverzeichnis

2.6 2BVerfG: Verdeckte Überwachung etc. nur eingeschränkt möglich

Die Regelungen im Bayerischen Verfassungsgerichtsgesetz wurden als verfassungswidrig eingestuft. Grundsätzlich dürfen auch Verfassungsschutzorgane nur dann gegenüber Personen aktiv werden, wenn ein hinreichender verfassungsschutzspezifischer Aufklärungsbedarf besteht. Und dann hängen die Eingriffsbefugnisse auch von der Dringlichkeit der Beobachtungsbedürftigkeit ab. Der Gesetzgeber muss die Maßgaben zur jeweils erforderlichen Beobachtungsbedürftigkeit hinreichend bestimmt und normenklar regeln. Besondere Anforderungen bestehen, wenn Personen in die Überwachung einbezogen werden, die nicht selbst in der Bestrebung oder für die Bestrebung tätig sind. Eine Übermittlung an eine andere Behörde sei demnach auch nur zulässig, wenn diese Behörde auch selbst mit rechtsstaatlichen Mitteln zu diesen Erkenntnissen hätte kommen können. Auch eine Übermittlung ins Ausland kann nicht schrankenlos erfolgen. Bis Ende Juli 2023 muss der Gesetzgeber das nun anpassen, bis dahin wurde das Gesetz eingeschränkt. Das jetzt nur mal in meinen Worten: Vollständig lesen Sie das Urteil hier oder einen Bericht dazu dort.

Franks Nachtrag: Und Innenminister Herrmann sieht sich im Urteil bestätigt? Ja nee, is klar…

zurück zum Inhaltsverzeichnis

2.7 OLG Zweibrücken: Beispiel für Computerbetrug

Was ist Computerbetrug? Früher gab es nur Betrug (§ 263 StGB), dieser setzte eine „Irrtumserregung“ voraus und weil sich Maschinen nie täuschen, braucht es einen neuen Straftatbestand, der dann mit dem § 263a StGB auch eingeführt wurde. Beim OLG Zweibrücken gab es nun einen Fall, der dazu entschieden wurde. Und ich bringe ihn auch nur deshalb, weil er zeigt, wie schnell eine „kleine Manipulation“ auch um kleine Beträge zu einer Straftat werden kann. Wegen Computerbetrugs in Tateinheit (das heisst, dabei wurde auch eine zweite Strafbarkeitsnorm erfüllt) mit Fälschung beweiserheblicher Daten wurde jemand verurteilt, der eine zu einer pfandpflichtigen Einweggetränkeverpackung gehörenden Nummer (GTIN = Global Trade Item Number) zusammen mit dem Sicherheitssignet auf einem anderen Trägermedium aufbrachte, um dadurch die automatisiert erfolgende Erfassung in einem Einweg-Pfandautomaten zu manipulieren.

zurück zum Inhaltsverzeichnis

2.8 VG Wiesbaden: GPS-Tracking im Logistikbereich

Ein Unternehmen in der Logistikbranche setzt über eine SaaS-Cloud-Lösung eine GPS-Überwachung seiner Fahrzeuge ein. Dies ermöglichte auch eine Messung des Benzinverbrauchs sowie das Management des Fahrtenschreibers. Als Zwecke dafür wurden im Verzeichnis der Verarbeitungstätigkeiten angegeben bei Missbrauch und Diebstahl eingreifen zu können. Die Überwachung von Benzinverbrauch und Kraftstoffbestand in den Tanks diene der Erkennung von Kraftstoffdiebstahl. Außerdem wurden organisatorische Zwecke für die Ortung für Sonderabholungen benannt. Rechtsgrundlage seien neben einer Einwilligung der betroffenen Beschäftigten eine gesetzliche Verpflichtung zur Verwendung eines Fahrtenschreibers auch ein berechtigtes Interesse. Die zuständige Datenschutzaufsicht sah das anders, hält diese Verarbeitung für rechtswidrig, forderte Änderungen im Verzeichnis und die Durchführung einer Datenschutz-Folgenabschätzung. Das VG Wiesbaden bestätigte nun diese Bewertung. Eine Bewertung des Urteils finden Sie auch hier.

zurück zum Inhaltsverzeichnis

2.9 OLG Frankfurt: Erfordernis des nicht-binären Geschlechts in Programmen / Formularen

Das Urteil des LG Frankfurt gegen die Bahn AG legt der Bahn AG die Verpflichtung auf, es zu unterlassen die klagende Partei dadurch zu diskriminieren, dass bei der Nutzung von Angeboten der Bahn zwingend eine Anrede als Frau oder Herr angegeben werden muss. Gleiches gilt für Fahrkarten, Schreiben, Rechnungen, Werbung und gespeicherte personenbezogene Daten mit der Bezeichnung als Frau oder Herr. Die Berufung der Bahn gegen dieses Urteil wurde durch das OLG Frankfurt als unzulässig (Fristversäumnis) verworfen. Allerdings kann die Bahn AG noch innerhalb eines Monats Rechtsbeschwerde zum Bundesgerichtshof einlegen.

zurück zum Inhaltsverzeichnis

2.10 OVG NRW: Warnung vor Kaspersky durch BSI nicht rechtwidrig

Auch vor dem OVG NRW bekam das BSI Recht: Es durfte seine Warnung veröffentlichen. Die Warnung und Empfehlung sei nach § 7 Abs. 1 und 2 BSIG rechtmäßig. Die Vorschrift verlangt als Voraussetzung hinreichende Anhaltspunkte dafür, dass aufgrund einer Sicherheitslücke von einem Produkt Gefahren für die Sicherheit in der Informationstechnik ausgehen. Bei Virenschutzprogrammen bestünden schon aufgrund ihrer Funktionsweise Sicherheitslücken im Sinne des Gesetzes. In der Vergangenheit habe es zahlreiche Vorfälle bei allen Herstellern von Virenschutzprogrammen gegeben, in denen Fehlfunktionen IT-Systeme blockiert haben und Daten unbemerkt an den Hersteller übertragen worden seien. Nach den Erkenntnissen des BSI könne die systembedingte Berechtigung zum Zugriff auf die – eigentlich durch das Virenschutzprogramm zu schützende – IT-Infrastruktur für maliziöse Aktivitäten missbraucht werden. Es lägen nach den vom BSI zusammengetragenen Erkenntnissen auch hinreichende Anhaltspunkte dafür vor, dass durch die Nutzung der Virenschutzsoftware von Kaspersky derzeit eine Gefahr für die Sicherheit in der Informationstechnik besteht.

zurück zum Inhaltsverzeichnis

2.11 USA: Klage gegen Connected-Car-Dienstleister

Connected Car ist ein geflügelter Begriff für Datenverbindungen bei Mobilitätsanbietern. Doch was passiert da eigentlich? Das versucht eine Sammelklage in Kalifornien gegen einen Dienstleister gerichtlich klären zu lassen. Im Fokus sind dabei Telematik-Einrichtungen mit Funktionen wie die Erfassung von „Tracking“-Daten wie z.B. Standorten.

zurück zum Inhaltsverzeichnis

3 Gesetzgebung

3.1 Europa: DSA – Digital Service Act

Auf europäischer Ebene gibt es ein politisches Ergebnis im Ringen um den DSA, den Digital Service Act. Es fehlt noch die Ausformulierung des Ergebnisses, die formelle Zustimmung in den dafür vorgesehenen Entscheidungsorganen wie Parlament und Rat, dann die Übersetzung in die Sprachen der EU und die Veröffentlichung im Amtsblatt. In den Medien wird der Inhalt gerne als Digitales Gesetz gegen Hass und Fake-News beschrieben. Der DSA zielt darauf ab mehr Transparenz und Sorgfaltspflichten für Online-Dienste zu schaffen und somit den Verbraucherschutz und die Grundrechte online zu stärken. Je nach Größe und Art des Online-Dienstes gelten gesonderte Sorgfalts- und Transparenzverpflichtungen. So müssen Betreiber von Onlineplattformen bei gewissen Voraussetzungen selbst entscheiden, bei welchen Beiträgen die pure Meinungsfreiheit, wie auch überspitzte, aber rechtlich noch zulässige Formulierungen vom Netz genommen werden müssen. Natürlich bleibt auch dieses Ergebnis nicht von Kritik verschont.

zurück zum Inhaltsverzeichnis

3.2 Cloud Act

Keine Sorge, der Clarifying Lawful Overseas Use of Data Act 2018 (Cloud Act) gilt nach wie vor nur in den USA. Sie finden hier aber einen Artikel, der sich damit auseinandersetzt, was passieren kann, wenn ein bilaterales Abkommen zwischen USA und dem Vereinigten Königreich abgeschlossen wird, das unmittelbaren Zugriff auf Diensteanbieter im jeweils anderen Land ermöglicht. Das Abstract dazu lesen Sie hier.

zurück zum Inhaltsverzeichnis

3.3 Bayerisches Digitalgesetz

Das Bayerische Digitalgesetz ist noch im Gesetzgebungsverfahren. Die Speicherfrist von 12 Monaten in Art. 48 Abs. 2 Satz 1 für Protokolldaten, die beim Betrieb von Informationstechnik des Landes oder der an das Behördennetz angeschlossenen Stellen anfallen, soll auf Antrag der FDP auf 3 Monate reduziert werden. Mal sehen, was es dann noch wird.

zurück zum Inhaltsverzeichnis

4 Künstliche Intelligenz und Ethik

4.1 Praxistipps zu Datenschutz und KI

Auf die Seite rosenthal.ch hatte ich schon mal im Hinblick auf das Rosenthal-Modell im Drittstaatentransfer hingewiesen. Dort ist aktuell auch eine Publikation veröffentlicht, die sich in 12 Kapiteln mit der Thematik „Datenschutz und KI“ befasst, wobei hierbei KI in der Form der Mustererkennung umfasst wird. Die Ausführungen befassen sich mit Rechtsgründen, aber auch der Betrachtung des Einsatzes bei einem Auftragsverarbeiter und weiteren Aspekten der datenschutzrechtlichen Prüfung.

zurück zum Inhaltsverzeichnis

4.2 Was kann KI – Wenn dich deine Mikrowelle töten will

Eine etwas reißerische Überschrift, aber nach dem Bericht sicher nicht übertrieben. Ein brasilianischer YouTuber stattete seine Microwelle mit Künstlicher Intelligenz aus. Dann verlor er fast die Kontrolle.

zurück zum Inhaltsverzeichnis

5 Veröffentlichungen

5.1 Microsofts Privacy-Report

Microsoft hat seinen Datenschutzbericht Stand April 2022 veröffentlicht. Für den interessieren sich vor allem deren Kunden, die Argumente suchen, die sie Aufsichtsbehörden, Verbraucherschutzeinrichtungen und von der Verarbeitung betroffene Personen nennen können, wie der Einsatz rechtskonform gestaltet werden kann. Immerhin wurde danach das Datenschutz-Dashboard weltweit von ca. 26 Mio. Personen benutzt, in Deutschland von ca. 950.000. Es lassen sich in dem Bericht auch die Transparenzberichte im Anhang finden.

zurück zum Inhaltsverzeichnis

5.2 Sanktionen wegen des Einsatzes von M365 in Deutschland?

Die Kritik der deutschen Datenschutzaufsichtsbehörden hinsichtlich des Einsatzes von Microsoft 365 sind bekannt. Sie bezieht sich im Wesentlichen auf den Drittstaatentransfer und die Nutzung von Telemetriedaten durch Microsoft. Nicht durchgeführte Datenschutz-Folgenabschätzungen vor Einführung sind oft ein weiterer Schwachpunkt. Aber gab es deshalb jemals Sanktionen bzw. Abhilfemaßnahmen? Dies versucht eine Rechtsanwaltskanzlei herauszufinden, die darum bittet ihr solche Fälle zu melden.

zurück zum Inhaltsverzeichnis

5.3 Drittstaatentransfer – eine aktuelle Analyse

Ein sehr geschätzter Kollege erörtert in einem Podcast die Entwicklung der Rechtsprechung des EuGH zum Drittstaatentransfer und analysiert die daraus entstandenen aktuellen Anforderungen.

zurück zum Inhaltsverzeichnis

5.4 TIA-Vorschlag durch Adobe – auch für Indien und USA

TIA steht für Transfer Impact Assessment und so werden Prüfungen der Auswirkungen des Datentransfers in Drittstaaten genannt, für die kein Angemessenheitsbeschluss vorliegt. Natürlich ist das ein Riesenaufwand, gilt es doch abhängig von den personenbezogenen Daten, die davon betroffen sind, zu prüfen, welche Rechtslage in dem Empfängerland besteht und welche Risiken dadurch für die Rechte und Freiheiten der natürlichen Person entstehen können. Adobe hat so eine TIA nun veröffentlicht und zwar bezogen auf die Länder Armenia, Australien, Indien und USA. Natürlich ist damit keine Rechtsberatung verbunden, aber man kann selbst entscheiden, ob man sich daran orientieren kann und will.

zurück zum Inhaltsverzeichnis

5.5 Kann man Virenscannern trauen?

Verdächtige Dateien können auch in Online-Antivirenscanner hochgeladen werden. Diese prüfen dann, ob Malware enthalten ist und informieren dann u.U auch andere über diese neue Pattern. Manchmal geben sie dabei aber auch die Inhalte der zu prüfenden Datei weiter. Nicht nur nach diesem Bericht ist das nicht ideal.

zurück zum Inhaltsverzeichnis

5.6 Vorstudien zu vertrauenswürdiger IT ausgeschrieben

Wer mitwirken will Deutschlands digitale Souveränität zu stärken, wird sicher an den derzeit ausgeschriebenen fünf „Vorstudien zu vertrauenswürdiger IT“ Interesse haben. Hier gibt es weitere Informationen dazu.

zurück zum Inhaltsverzeichnis

5.7 Google data-privacy und erwartungskonformes Verhalten

Google veröffentlicht neue Privacy-Angaben zu Google Analytics und ändert seine Consent-Banner. War es bislang komplizierter seinen ablehnenden Willen zu äußern, fällt es diesmal leichter. Und die rechtlichen Vorgaben dazu beruhen nicht auf einer geänderten Vorgabe der Regulierungsbehörden, sondern deren Willen diesbezüglich auch Sanktionen zu verhängen, wie sich hier nachlesen lässt.
In diesen Zeiten, in denen sich so viel wandelt, ist es fast schon beruhigend, wenn sich Google auch irgendwie treu bleibt.

zurück zum Inhaltsverzeichnis

5.8 Zuständigkeit für Tesla

Wer aktuell für datenschutzrechtliche Themen bezüglich Tesla die Zuständigkeit hat, ergibt sich aus einer Antwort zu einer Anfrage in Niedersachsen: Demnach wäre Berlin dafür zuständig, die zentrale Aufsicht liegt aber gemäß der One-Stop-Shop-Regelung in der DS-GVO in den Niederlanden. Die Anfrage befasst sich auch mit den Auswirkungen einer Studie zur Datenverarbeitung bei der Nutzung eines dieser Fahrzeuge und den Ansichten der Landesregierung dazu.

zurück zum Inhaltsverzeichnis

5.9 Veranstaltungen

5.9.1 DiGiBits: „Meine Daten im Netz: Datenkompetenz macht Schule“

17.05.2022, 15:00 – 18:00 Uhr: Live vor Ort kommen Ulrich Kelber, BfDI, Dr. Carolin Wagner, bildungspolitische Sprecherin und Bundestagsabgeordnete der SPD sowie weitere Vertreter:innen aus Politik, Wirtschaft, Zivilgesellschaft und Bildungspraxis ins Gespräch. Digitale Workshops für Pädagog:innen vermitteln praxisnah Grundlagen der Datenkompetenz und zeigen auf, wie das Thema im Unterricht gefördert werden kann. Die Workshops werden mit und durch Kooperationspartner wie den KI-Campus und den BvD sowie in Zusammenarbeit mit Data-Kids gestaltet. Mehr Infos – auch zur Anmeldung – finden Sie hier.

zurück zum Inhaltsverzeichnis

6 Gesellschaftspolitische Diskussionen

6.1 Musk übernimmt Twitter

Das war eines der Themen der letzten Woche – Twitter wird von E. Musk übernommen. Manche schrieben, nun würde Twitter privatisiert – das war es aber vorher ja auch schon mit dem legitimen Ziel der Gewinnmaximierung. Also, was ändert sich tatsächlich? Das weiß irgendwie keiner. Trotzdem wird der Eigentümerwechsel kritisch beäugt und das Interesse an Alternativen – wie Mastodon – stieg (mehr dazu unter Ziffer 7.2).

zurück zum Inhaltsverzeichnis

6.2 Beschäftigtendatenschutz: Vertrauen ist gut, Kontrolle ist …?

Na ja, ob dieses Lenin zugeschriebene Zitat in jedem Fall immer passt, sei mal offengelassen. Der Einsatz digitaler Bürohilfsmittel ermöglicht jedenfalls oftmals eine Art von Kontrolle, die wohl nicht nur Diktaturen erfreuen würde, sondern auch manche Chefetage. Datenschutzrechtlich natürlich mehr als heikel, aber laut diesem Bericht lassen sich durch die Auswertung der digitalen Nutzung einzelner Tools Motivation und Kündigungsabsichten der Beschäftigten diagnostizieren.

zurück zum Inhaltsverzeichnis

6.3 Nebenwirkung von Apples Datenschutzinitiative

Welche Folgen bringt die Initiative von Apple beim Tracking Transparenz zu unterstützen? Wenn man einer Studie folgt, so verlagert sich das Tracking nach diesem Bericht auf andere technische Möglichkeiten wie Fingerprinting, das zwar in Nutzungsbedingungen auch untersagt werden, aber Verstöße würden nicht verfolgt werden. Zudem vermittle Apples Hinweisdialog den Eindruck, Tracking ließe sich vollständig abstellen, auch enthielten die seitens Apple vorgeschriebenen Datenschutz-Labels unzutreffende Angaben. Der beste Datenschutz bleibt eben immer noch Datenminimierung und nur die Apps runterladen, die man wirklich nutzt.

zurück zum Inhaltsverzeichnis

6.4 Weißt du, was Facebook mit deinen Daten macht?

Nein? Wie auch, Facebook scheint es ja selbst nicht zu wissen. Kennen Sie das Gefühl, wenn aus Vorurteilen Erfahrungswerte werden, wenn zum Beispiel ein Kuchen genauso lecker schmeckt, wie er aussieht? Manchmal gibt es aber auch Vorurteile, da erschrickt man dann richtig, wenn sie sich bewahrheiten. So scheint es fast hier. Nach diesem Beitrag, der sich auf ein geleaktes Dokument beruft, scheint Facebook die eigene Datenverarbeitung nicht (mehr?) unter Kontrolle zu haben.
Zitat aus dem Summary:

“We do not have an adequate level of control and explainability over how our systems use data, and thus we can’t confidently make controlled policy changes or external commitments such as “we will not use X data for Y purpose.” And yet, this is exactly what regulators expect us to do, increasing our risk of mistakes and misrepresentation.”

Da wird dann auch die Umsetzung der Informationspflicht in den Datenschutzinformationen und den Vereinbarungen zur gemeinsamen Verarbeitung zur Herausforderung – bzw. zur Grundlage aufsichtsrechtlichen Handelns oder Schadensersatzforderungen der betroffenen Personen.

zurück zum Inhaltsverzeichnis

6.5 Wozu Geheimdienste?

Das fragte ich mich bei der Lektüre dieses Beitrags. Erkenntnisse von nachrichtlichen Informationsdiensten über Truppenbewegungen, Verlegungen, Änderungen waren oft schon die ersten Informationen über bevorstehende militärische Operationen, wenn nicht gar kriegerischen Auseinandersetzungen. So bestand immer schon für Regierungen Interesse daran frühzeitig zu wissen, was sich da tut. Dies rechtfertigte oft teure Etats zum Aufbau und Unterhallt der entsprechenden Infrastruktur. Dass es auch billiger geht, zeigt ein 22-jähriger, der mittels Google Maps, Google Earth und anderer frei zugänglichen Tools russische Truppenbewegungen zur ukrainischen Grenze seit letztem Jahr lokalisiert.

zurück zum Inhaltsverzeichnis

7 Sonstiges/Blick über den Tellerrand

7.1 mobilsicher: Tests von Apotheken-Apps

Digitale Transformation auch für Dinge aus der Apotheke? Da für viele dies auch mit Vertrauen und nicht nur mit dem Preis zu tun hat, wurden gängige Apotheken-Apps durch mobilsicher getestet. Wer sich dafür interessiert, wem er dabei vertrauen kann, findet die Ergebnisse hier.

zurück zum Inhaltsverzeichnis

7.2 Von Twitter zu Mastodon

Um was geht es bei Mastodon, wie funktioniert das, wie mache ich das? Nach der Meldung des Erwerbs von Twitter durch Musk überlegen viele Twitter zu verlassen (aus welchen Gründen auch immer). Sie finden dazu Infos bei mobilsicher, im Kuketz-Blog, im Bildungslabor von Nele Hirsch, in einem Video auf Peertube und selbst der BfDI hat einen Newsletter mit einer Kurzanleitung und weiteren Links veröffentlicht. Aber denken Sie daran, dass der jeweilige Admin auch Zugriffsmöglichkeiten auf Ihre Inhalte hat, auch wenn Sie diese als Direktmessage senden.

zurück zum Inhaltsverzeichnis

7.3 Netzwerkvergabe der EU

Das kann noch Ärger geben. Die EU schreibt die Dienstleistungen für die Betreibung ihrer Kommunikationstechnik aus. Und vergibt dann an den aus ihrer Sicht passendsten Anbieter. Dumm, wenn das dann die belgische Tochter eines Unternehmens aus dem Vereinigen Königreich ist, welches ja gar kein EU-Mitglied mehr ist. Das finden einige aus ganz unterschiedlichen Gründen nicht witzig: Der unterlegene, bisherige Anbieter und diejenigen, die sich nicht sicher sind, wie sicher und vertraulich dann noch die Kommunikation bleiben wird. Mal sehen, wie es sich noch entwickelt.

zurück zum Inhaltsverzeichnis

7.4 Neues Magazin zur digitalen Schule

Die erste Ausgabe ist kostenlos verfügbar: Wer sich für digitale Bildung interessiert und Hinweise für Lehrerqualifizierung sucht und Beispiele, dass digitaler Unterricht mehr sein kann, als der Einsatz eines Beamers, findet hier ein paar Anregungen.

zurück zum Inhaltsverzeichnis

7.5 Fünf Gründe für Datenschutz

Was Datenschutz mit „Steuerklärung“ gemeinsam hat erfahren Sie hier. Wichtiger sind aber die anderen Informationen aus diesem Clip von mobilsicher, der auf YouTube in ca. 12 Minuten Infos bringt. U.a. auch mit der Luca-App als Beispiel.

zurück zum Inhaltsverzeichnis

7.6 Eine Information wird übertragen

Jetzt wird es fast schon sentimental: Diese Folge aus einer Zeit, als es nur drei Fernsehprogramme gab, kann ich Ihnen nicht vorenthalten.

zurück zum Inhaltsverzeichnis

8. Franks Zugabe

8.1 And the winner is … Die BigBrotherAwards 2022

Ich weiß gar nicht, seit wie vielen Jahren ich jetzt schon zu den BigBrotherAwards gehe. So auch am Freitag, dem 29.04.2022, zu den BigBrotherAwards 2022 live aus der alten Hechelei in Bielefeld*. Die Veranstaltung war gut, die Laudationes waren informativ, die Preise meiner Meinung nach verdient und es gab einen klaren Publikumsfavorit. Deswegen konnte ich mir oben auch das „Ähhhh…“ nicht verkneifen. Denn der Preis fürs Lebenswerk geht an die DPC (Data Protection Commission), vertreten durch ihre Chefin Helen Dixon, für ihre umfassende Sabotage des europäischen Datenschutzrechts (das war dann auch der Publikumsfavorit).
Weitere Preisträger im Jahr 2022 sind:

Wenn Sie mögen (und Zeit haben), können Sie sich die Veranstaltung auch als Video anschauen. Prof. Kelber lies es sich übrigens nicht nehmen und hat eine Grußbotschaft geschickt. Auch er ist anscheinend nicht ganz so zufrieden mit der Performance der irischen DPC. Diese finden Sie auch auf der Videoseite.

zurück zum Inhaltsverzeichnis

8.2 Smishing

Haben Sie auch schon so nervige SMS oder andere Textnachrichten bekommen, die Ihnen Informationen entlocken wollen? Das scheint nicht nur bei uns ein Problem zu sein.

zurück zum Inhaltsverzeichnis

8.3 Quishing

Wo wir doch gerade bei so schönen Worten sind, Quishing kennen Sie aber, oder?
Falls nicht hat die <kes> einen informativen Artikel für Sie.
Ich habe ja schon immer mal im Spaß mit Kolleg*innen und Bekannten darüber diskutiert, ob wir uns nicht alle dicke schwarze Filzstifte nehmen und QR-Codes auf Plakaten ändern wollen, um die Besucher der QR-Codes auf andere, vielleicht interessantere, Seiten zu lenken. Das haben wir natürlich nie gemacht…

zurück zum Inhaltsverzeichnis

8.4 Beschlagnahme? Holy Crap…

Ein US-Berufungsgericht hat kürzlich in einem Nebensatz die Meinung vertreten, dass es keine „Beschlagnahme“ sei, wenn die Behörden (z.B.) bei Apple anrufen und einen Snapshot von Cloud-Daten abgreifen. Begründung: Die machen ja bloß eine Kopie, die Nutzer können ja immer noch auf ihre Daten zugreifen.
Das ist deswegen wichtig, weil Beschlagnahme in den USA durch den 4. Verfassungszusatz besonders reguliert ist. Die Cops dürfen nicht einfach Dinge beschlagnahmen, sondern sie brauchen mindestens probable cause und einen Durchsuchungsbefehl. Wenn ein Cloud-Backup nicht mehr darunter fällt, dann können die Cops einfach routinemäßig von allen Leuten alle Cloud-Daten in Echtzeit als synchronisierte Kopie vorhalten.
Das ist erschreckend, um nicht furchtbar zu sagen, und betrifft offensichtlich nicht nur US-Amerikaner, sondern auch alle anderen Menschen mit Daten in Clouds von US-amerikanischen Anbietern. Na, das sieht ja gut aus für das TADPF

zurück zum Inhaltsverzeichnis

8.5 Und es hat (mal wieder) Zoom gemacht…

Wenn Sie Zoom nutzen, haben Sie diese Meldung hoffentlich wahrgenommen und entsprechend reagiert.

zurück zum Inhaltsverzeichnis

8.6 Apropos Videokonferenzsysteme – Heute außerdem: Die-Mute-Funktion

Laut Berichten muss das Muten eines Mikrofons nicht zwangsläufig heißen, dass kein Ton mehr Ihr Gerät verlässt bzw. niemand zuhört. Hier gibt es eine Studie passend dazu.
Schöne neue Welt, ich sags ja immer wieder…

zurück zum Inhaltsverzeichnis

8.7 Und wieder mal die Deutsche Bahn…

Die Navigator-App der Deutschen Bahn wurde ja in den letzten Wochen schon intensiver durchleuchtet.
Nun erhöht sich der Druck. Wenn mehrere einen offenen Brief schreiben… Und manche davon streibar und durchaus gewohnt sind kritikwürdiges Verhalten in der Öffentlichkeit zu präsentieren? Bin gespannt, wie das weiter geht. Die klagen ja auch gerne mal…
Aber „Kommen wir jetzt zu etwas völlig anderem“: Auch bei der BahnBonus-App scheint nicht alles Gold zu sein, was glänzt…

zurück zum Inhaltsverzeichnis

8.8 And. And. And. And. And.

Seien Sie froh, dass Sie diesen Blogbeitrag nicht in einem Google Doc lesen. Sonst würden Sie wohl auch Opfer dieses Bugs werden.

zurück zum Inhaltsverzeichnis

8.9 Safegraph „anonymisiert“ Daten

Klar, der Artikel ist aus den USA. Aber ich kann mir nicht vorstellen, dass die nicht auch in den EU tätig sind.
Auch Cory Doctoriv hat einen Artikel zum Thema veröffentlicht, der auch viele weiterführende Quellen enthält.
Gruselig, das alles.

zurück zum Inhaltsverzeichnis

8.10 Den Mund zu voll nehmen …

… kann peinlich sein, zumindest dann, wenn man dabei erwischt wird.

zurück zum Inhaltsverzeichnis

8.11 Selbstversuch: Das passiert, wenn man einen Hacker auf sich selbst ansetzt

Puh, mir wäre das ja nix…

zurück zum Inhaltsverzeichnis

8.12 Apropos unerwartetes Zuhören

Zumindest im Amazon Echo Smartspeaker Ecosystem scheint das öfter zu passieren, so zumindest die verlinkte Studie.
Hätte uns das doch nur jemand vorher gesagt…

zurück zum Inhaltsverzeichnis

8.13 Haben Sie Ihr Smartphone die ganze Zeit falsch gehalten?

Beenden wir doch diesen 36. Blogbeitrag mit etwas potentiell Positivem:
Vielleicht haben auch Sie Ihr Smartphone bis heute immer falsch gehalten? Falls ja, bietet der Artikel Alternativen, damit Sie nicht auch die dort genannten Beschwerden erleiden müssen.
Wer musste jetzt auch an diesen Werbespot von e-plus denken? „Wappen bis der Arzt kommt“… 🤣

zurück zum Inhaltsverzeichnis