Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 25/2021)“
Der achte Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 25/2021)“ ist da!
Trotz des Interludiums ist es wieder recht viel geworden.
- Aufsichtsbehörden
- Europäische Datenschutz-Aufsichtsbehörden zu KI
- Aktualisierte Orientierungshilfe der DSK zur E-Mail-Verschlüsselung
- Hessen: Hinweise zur Umsetzung Schrems II
- Luca im öffentlichen Bereich
- Unzulässigkeit anonymisierter Daten?
- Bußgeld bei Datenpanne mit Testdaten
- Noch´n Bußgeld: unzureichende Zusammenarbeit nach Art. 31 DS-GVO
- Prof. Caspar verabschiedet
- Interview mit der Berliner Beauftragten für Datenschutz und Informationsfreiheit
- Rechtsprechung
- Gesetzgebung
- Veröffentlichungen
- TTDSG
- Digitales Schulzeugnis
- Podcast Beschäftigtendatenschutz in der Pandemie
- Veranstaltungen
- 4.4.1 Surveillance capitalism – How to get back control of our data
- 4.4.2 Datenschutzverein in Liechtenstein: Umsetzung der Schrems-II-Entscheidung
- 4.4.3 Daten-Dienstag: Datenschutz in der Pandemie: u.a. Impfpass
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Nachtrag zu doctolib
- Western Digital My Book Live: Trennen Sie Ihre Festplatten vom Internet
- SmartMeter 101
- NFC Flaws Let Researchers Hack an ATM By Waving a Phone
- Der Bundesrat hat viele im Bundestag beschlossene Gesetze befürwortet…
- The Most Dangerous Censorship
- Google verschiebt Cookie-Blockade
- Inbox-Werbung bei Freemail-Diensten ist wie E-Mail-Werbung zu behandeln
- Erfolgreiche IFG-Anfrage 1 – die Termine der DSK im Jahr 2022
- Erfolgreiche IFG-Anfrage 2 – alle Ende April 2021 veröffentlichten Informationsmaterialien der DSK
- In Windows 11 ist MS Teams bereits enthalten?
- Banning Surveillance-Based Advertising
- Drei Jahre Kampf für den Datenschutz: noyb‘s Jahr 2020 im Rückblick
- EDRi network’s interactive Annual Report for 2020 is now live
- BSI legt seinen Bericht zum Digitalen Verbraucherschutz 2020 vor
- Zehntausende Schnelltestregistrierungen sollen zugänglich gewesen sein
- Peloton bricks its treadmills
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 Europäische Datenschutz-Aufsichtsbehörden zu KI
Der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EPDS) haben eine gemeinsame Stellungnahme zum Vorschlag der Europäischen Kommission für eine Verordnung zur Festlegung harmonisierter Regeln für künstliche Intelligenz (KI) abgegeben.
Beide begrüßen nachdrücklich das Ziel, die Nutzung von KI-Systemen in der Europäischen Union anzugehen, einschließlich der Nutzung von KI-Systemen durch EU-Organe, -Einrichtungen oder -Agenturen. Gleichzeitig sind der EDSB und der EDSB besorgt über den Ausschluss der internationalen Zusammenarbeit bei der Strafverfolgung aus dem Anwendungsbereich des Vorschlags. Der EDSA und der EDSB betonen auch die Notwendigkeit ausdrücklich klarzustellen, dass die bestehenden EU-Datenschutzvorschriften für jede Verarbeitung personenbezogener Daten gelten, die in den Anwendungsbereich des Entwurfs der KI-Verordnung fallen. Der risikobasierte Ansatz, der dem Vorschlag zugrunde liegt, wird begrüßt, beide sind jedoch der Ansicht, dass das Konzept des „Risikos für die Grundrechte“ an den EU-Datenschutzrahmen angepasst werden sollte. Der EDSA und der EDSB empfehlen auch gesellschaftliche Risiken für Personengruppen zu bewerten und zu mindern. Der EDSA und der EDSB sind außerdem der Ansicht, dass die Einhaltung der rechtlichen Verpflichtungen aus dem Unionsrecht – einschließlich des Schutzes personenbezogener Daten – eine Voraussetzung für den Markteintritt als CE-gekennzeichnetes Produkt sein sollte.
Angesichts der extrem hohen Risiken, die von der biometrischen Fernidentifizierung von Personen in öffentlich zugänglichen Räumen ausgehen, fordern der EDSA und der EDSB ein generelles Verbot des Einsatzes von KI zur automatisierten Erkennung menschlicher Merkmale in öffentlich zugänglichen Räumen, wie etwa durch Gesichtserkennung, der Analyse des Ganges, durch Fingerabdrücke, der DNA, der Stimme, durch Tastenanschläge und andere biometrische oder verhaltensbezogene Signale in jedem Kontext.
In ähnlicher Weise empfehlen der EDSA und der EDSB ein Verbot von KI-Systemen, die Biometrie verwenden, um Personen aufgrund von ethnischer Zugehörigkeit, Geschlecht, politischer oder sexueller Orientierung oder anderen Gründen, aus denen Diskriminierung gemäß Artikel 21 der Charta der Grundrechte verboten ist, in Gruppen einzuteilen.
Darüber hinaus sind der EDSA und der EDSB der Ansicht, dass der Einsatz von KI zum Ableiten von Emotionen einer natürlichen Person höchst unerwünscht ist und verboten werden sollte, außer in ganz bestimmten Fällen, wie etwa einigen Gesundheitszwecken, bei denen die Emotionserkennung des Patienten wichtig ist, und dass der Einsatz von KI für jede Art von Social Scoring verboten werden sollte.
Der BfDI, der an der Stellungnahme mitwirkte, fasst es in seiner Pressemeldung so zusammen: „KI muss dem Menschen dienen.“
Wenn ich dann Meldungen lese, dass in China eine Gesichtserkennung dafür sorgt, dass nur lächelnden Beschäftigten Zutritt gewährt wird, warte ich nur noch darauf, dass die üblichen Verdächtigen in Talkshows behaupten, der Datenschutz verhindere in Deutschland positive Stimmung am Arbeitsplatz.
Franks Nachtrag: Apropos KI und biometrische Daten / Fotos:
Wenn es so richtig dumm läuft, ordnen Algorhitmen selbstständig Bilder Inhalten zu. Das muss nicht immer gut gehen. Findet auch der Betroffene.
Franks Nachtrag zum Nachtrag: Stellen wir uns mal vor, mein Mit-Autor dieser regelmäßigen Blog-Serie würde egosurfen. Was würde er wohl finden?
Franks Nachtrag zum Nachtrag zum Nachtrag: Natürlich habe ich ihn vorher gefragt, bevor ich das verlinkt habe, ohne ihn hätte ich schließlich gar nichts davon gewusst. Wobei ich es dann tatsächlich bei Google gesucht habe, da er nur eine „analoge Kopie“ davon hatte (ein Bild des Deckblatts). Wir wollen ja eigentlich immer politisch korrekt suchen…
Franks Nachtrag zum Nachtrag zum Nachtrag zum Nachtrag*: Ernsthaft, wenn Sie egosurfen wollen (was Sie vielleicht regelmäßig machen sollten?), nutzen Sie auch den Platzhirsch – und alle anderen politisch inkorrekten Varianten von Suchmaschinen. Es hilft Ihnen ja nichts, wenn die datenschutzfreundlichen Suchmaschinen nichts „Schlimmes“ finden und Sie sich sicher fühlen, nur weil Sie sich der politisch inkorrekten Suche verweigern.
* Ja, ich habe bei diesem Aneinanderreihen Spaß…
1.2 Aktualisierte Orientierungshilfe der DSK zur E-Mail-Verschlüsselung
Die DSK hat ihre Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ überarbeitet. Auch diesmal wieder gegen die Stimmen der Aufsichtsbehörden aus Bayern. Hinsichtlich der Anforderungen an Daten, die einer berufsrechtlichen Verschwiegenheit unterliegen, wird darauf hingewiesen, dass auch hier angemessene Schutzmaßnahmen zu treffen sind. Für den durchgreifensten Schutz der Vertraulichkeit der Inhaltsdaten wird auf die Ende-zu-Ende-Verschlüsselung verwiesen, für den die DSK derzeit die Internet-Standards S/MIME (RFC 5751) und OpenPGP (RFC 4880) i.d.R. in Verbindung mit PGP/MIME (RFC 3156) empfiehlt. Die Orientierungshilfe enthält u.a. auch verschiedene Fallgruppen und Ausführungen zu den Anforderungen an die Verschlüsselungs- und Signaturverfahren.
1.3 Hessen: Hinweise zur Umsetzung Schrems II
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) informiert, dass er konkrete Schritte einleitet, um die Forderungen des EuGH zum Schutz der Grundrechte bei der Übertragung personenbezogener Daten durch Unternehmen und öffentliche Stellen in Drittstaaten mit unzureichendem Datenschutzniveau umzusetzen.
In einem ersten Schritt werden deshalb Unternehmen und öffentliche Stellen in Hessen darauf hingewiesen, dass ohne zusätzliche Schutzmaßnahmen ein Transfer von personenbezogenen Daten in Drittländer wie die USA nicht zulässig ist. Bei einfach umzusetzenden Verfahrensänderungen, bei denen schon jetzt funktional gleichwertige, datenschutzgerecht einsetzbare Alternativen existieren (wie zum Beispiel für den Einsatz von Videokonferenzsystemen) werden umgehende Umsetzungstätigkeiten von den datenverarbeitenden Stellen erwartet.
Wird Umsetzungsbedarf für komplexere Verfahren identifiziert, muss ein angemessener Fahrplan für die Umsetzung erstellt werden.
Der HBDI unterstützt diesen Umsetzungsprozess mit Hinweisen. Er wird bei seinem Vorgehen als Aufsichtsbehörde die dafür notwendigen Umsetzungszeiträume berücksichtigen. Dabei äußert sich der HBDI dahingehend, dass er darauf Rücksicht nehmen wird, wenn Datenverarbeitungen, für die es keine Möglichkeiten alternativer Gestaltung gibt, für die Erfüllung von Unternehmensfunktionen oder staatliche Aufgabenerfüllung unverzichtbar sind.
Aber im Zusammenhang mit Videokonferenzsystemen gäbe es bereits heute datenschutzkonforme Lösungen, auf die umgestiegen werden kann. Hinsichtlich des Einsatzes von Videokonferenzen stellt er dazu weitere Hilfen auf seiner Homepage bereit:
- Hinweis des HBDI zu Schrems II
- Allgemeine Informationen zu zusätzlichen Maßnahmen nach Schrems II
- Videokonferenzsysteme – Allgemein
- Videokonferenzsysteme – Entscheidungsebene
- Videokonferenzsysteme – Nutzungsebene
Die Bewertung der Anforderungen „unverzichtbare Erfüllung von Unternehmensfunktionen“ oder „unverzichtbar für die staatliche Aufgabenerfüllung“ ohne alternativer Gestaltungsmöglichkeit wird interessant werden.
1.4 Luca im öffentlichen Bereich
„My Name is Luka“ ist die erste Zeile des 1987 veröffentlichten melodiösen Songs Luka, der – hinter harmonischen Tönen versteckt – häusliche Gewalt zum Thema hatte.
Mit Luca befassen wir uns derzeit hinsichtlich der Anforderungen bei einer Kontaktnachverfolgung. Je nach Ausgestaltung der jeweiligen Verordnungen der Bundesländer sind dabei verschiedene Konzeptionen hinterlegt. Was man als öffentlich-rechtliche Stelle beim Einsatz von Luca in Bayern aus Datenschutzsicht beachten sollte, hat der Bayerische Landesbeauftragte für Datenschutz zusammengefasst. Bei der Verwendung für nicht-öffentliche Bereiche oder für öffentlich-rechtliche Stellen außerhalb Bayerns bitte entsprechende Anwendbarkeit der Empfehlungen im Abgleich mit den jeweiligen Verordnungen des jeweiligen Bundeslandes prüfen.
1.5 Unzulässigkeit anonymisierter Daten?
Im März schreckte mich eine Meldung doch etwas auf: Zu dem wichtigen Thema, wie Kinder bei Trennungen der Eltern belastet werden, dürfe eine Studie nicht veröffentlicht werden, weil die zugrundeliegenden Daten nicht verwendet werden dürfen – und der BfDI die Verwendung untersagte – aus Datenschutzgründen. Mehr war damals nicht zu erfahren. Nun wurde der damalige Bescheid veröffentlicht, der die Verarbeitung nach Art. 58 Abs. 2 DS-GVO einschränkte.
Aus dem Bescheid geht hervor, dass die Auseinandersetzung mit dieser Studie bis ins Jahr 2017 zurückreicht; der BfDI sich auch die Unterlagen zur Ausschreibung und zur Vergabe der Studie vorlegen ließ und auf diese Basis seine Meinungsbildung stützte.
Für die Studie wurden für ein Basismodul der Studie bei Kindern von getrenntlebenden Elternteilen medizinische / psychologische Daten erhoben und detaillierte Entwicklungs-/Persönlichkeitsprofile der betroffenen Kinder erstellt. Ergänzend wurde bei Kindern / Jugendlichen von 6 bis 18 Jahren ein Interview mittels eines Kinderfragebogens durchgeführt, der u.a. die Zufriedenheit des Kindes mit dem Umgang / Gerichtsverfahren / Jugendamtsverfahren und das Verhältnis zu den Elternteilen betrifft.
Die Bedenken des BfDI richten sich u.a. gegen die unzureichenden Einwilligungen (teilweise nur ein sorgerechtsberechtigter Elternteil) bei minderjährigen Kindern und ohne Einwilligung bezüglich der Daten der Elternteile, die über die jeweils anderen Elternteilen erhoben wurden.
Die frühzeitigen Hinweise des BfDI seien nicht berücksichtigt worden, so dass er von einer rechtswidrigen Erhebung / Verarbeitung ausgeht, auch seien Informationspflichten nicht beachtet worden (ob der Art. 14 Abs. 5 lit. b DS-GVO diskutiert wurde, ist nicht ersichtlich).
Richtig spannend wird es für mich erst bei der Bewertung der Konsequenzen daraus für die in der Studie zur Veröffentlichung vorgesehenen anonymisierten Daten. Der BfDI hält die Verwendung auch anonymisierter Daten für unzulässig, wenn bereits die Erhebung rechtswidrig gewesen sei bzw. die Verarbeitung der Rohdaten rechtswidrig gewesen sei (Begründung im Bescheid unter II. B. 3.).
Denn wenn bereits die Erhebung der Daten ohne Rechtsgrundlage erfolge, ist das auch für alle Verarbeitungen im Sinne des Art. 4 Nr. 2 DS-GVO wie beispielsweise Datenauswertungen, (…) und die Veröffentlichung jeglicher auf den rechtswidrigen Daten basierenden Ergebnisse der Fall. Dabei sei irrelevant, in welcher Form die finalen Ergebnisse vorliegen und ob diese anonymisiert sind. Denn als Produkt rechtswidriger Datenverarbeitungen seien auch die Ergebnisse rechtswidrig. Es sei zudem im Forschungsbereich die Regel, dass Forschungsergebnisse keine personenbezogenen Daten enthalten (s. § 27 Abs. 4 BDSG). Würde man die Veröffentlichung anonymisierter Forschungsergebnisse, die auf rechtswidrigen Datenverarbeitungen basieren, erlauben, bräuchte man im Forschungsbereich niemals eine wirksame Rechtsgrundlage und müsste sich auch sonst nicht an die Vorgaben der DS-GVO für rechtmäßige Datenverarbeitungen halten.
Dass er für eine Anonymisierung nur rechtmäßig erhobene personenbezogene Daten akzeptiert, hat der BfDI bereits in im Juni 2020 in seinem Positionspapier zur Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche dargelegt (unter Ziffer 4.1.3 am Ende).
Die Österreichische Datenschutzbehörde hatte sich 2018 in ihrem Fall, in dem sie eine Anonymisierung einer Löschung gleichsetzte, nicht zu der Thematik geäußert, ob die Frage der Rechtmäßigkeit der Erhebung der Daten für diese Bewertung relevant sei.
Es ist davon auszugehen, dass der nun veröffentlichte Bescheid rechtskräftig wurde, da er vom Januar 2021 stammt und dass die angesprochenen Rechtsfragen diesmal nicht gerichtlich behandelt werden: Wenn ich keine Früchte des vergifteten Baumes essen darf, muss ich dann nicht bei Früchten nachweisen können, von welchem Baum sie stammen? Wie lange bin ich dann bei anonymisierten Daten in der Nachweispflicht, dass die zugrunde liegenden Daten rechtskonform erhoben und verarbeitet wurden, wenn sich ein Fehler dabei laut BfDI auch auf die Verwendung anonymisierter Daten, d.h. Daten, die keiner natürlichen Person mehr zugeordnet werden können, auswirkt? Und wird dadurch nicht die Anonymisierung als solche gefährdet? Oder reicht eine Dokumentation des Prozesses auch ohne die konkreten Daten dafür aus?
1.6 Bußgeld bei Datenpanne mit Testdaten
In Norwegen wurde ein Bußgeld in Höhe von 125.000 Euro gegen einen Sportverband verhängt, weil im Rahmen der Testung einer Online-Lösung Echtdaten verwendet wurden, die dann für 87 Tage online frei zugänglich waren. Insgesamt waren 3,4 Mio. Personen betroffen, davon 486.447 Kinder im Alter von 3-17 Jahren. Die betroffenen Daten umfassten Name, Geschlecht, Geburtsdatum, Telefonnummer, Adresse und Bezug zur Organisation. So weit bekannt, gab es keinen unerlaubten Zugriff.
1.7 Noch´n Bußgeld: unzureichende Zusammenarbeit nach Art. 31 DS-GVO
Wegen Verstoß gegen Art. 31 DS-GVO wurde in Polen ein Bußgeld in Höhe von 5.000 Euro verhängt. Die Anforderungen des Art. 31 sind sehr pauschal gehalten: „Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.“ Trotzdem unterfällt er dem Bußgeldkatalog des Art. 83 Abs. 4 lit. a DS-GVO. In Deutschland gibt es dazu auch schon kritische Auseinandersetzungen. Letztendlich empfiehlt es sich die Aufsichtsbehörden immer ernst zu nehmen, was sich auch darin zeigen kann sich vor einer Beantwortung fachkundig beraten zu lassen.
1.8 Prof. Caspar verabschiedet
Der Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit Prof. Dr. Johannes Caspar wurde, nachdem seine Amtszeit endete, verabschiedet. Die oder der neue Datenschutzbeauftragte soll in der nächsten Bürgerschaftssitzung am 18. August 2021 gewählt werden.
1.9 Interview mit der Berliner Beauftragten für Datenschutz und Informationsfreiheit
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit wird diesen Sommer ihre Aufgabe nach einer Amtszeit beenden, blickt in einem Interview zurück auf ihre Amtszeit und geht dabei auch auf ihre Erfahrungen und Bewertungen z.B. bei Videokonferenzsystemen oder hinsichtlich der datenschutzrechtlichen Fragestellungen an Schulen ein. Auch beschreibt sie die Herausforderungen, die in den nächsten Jahren anstehen. Über die Nachfolge ist noch nicht entschieden.
2 Rechtsprechung
2.1 EuGH zu Art. 10 DS-GVO: Zählten Punkte in Flensburg auch dazu?
Nach der lettischen Straßenverkehrsregelung werden die Informationen über gegen Fahrzeugführer verhängte und in dem entsprechenden Register eingetragene Strafpunkte öffentlich zugänglich und werden von der Direktion für Straßenverkehrssicherheit jeder Person übermittelt, die dies beantragt, ohne dass diese Person ein besonderes Interesse am Erhalt dieser Informationen nachzuweisen hat, u. a. auch an Wirtschaftsteilnehmer zum Zweck der Weiterverwendung.
Das weiß ich nicht, weil ich in Lettland mit dem Auto verkehrswidrig unterwegs war, sondern weil ich das Urteil des EuGH gelesen habe, der diesen Sachverhalt prüfte und dabei zwei Dinge feststellte:
Zum einen, dass die Verarbeitung personenbezogener Daten über Strafpunkte eine „Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten“ darstellt, für die die DSGVO wegen der besonderen Sensibilität der betreffenden Daten einen erhöhten Schutz vorsieht.
Zum anderen sei die Übermittlung personenbezogener Daten über Strafpunkte auch keine Verarbeitung, die von der Ausnahme erfasst wird, wonach die DS-GVO auf Verarbeitungen personenbezogener Daten durch die zuständigen Behörden im Bereich des Strafrechts keine Anwendung findet. Der Gerichtshof stellt nämlich fest, dass die entsprechende Behörde bei der genannten Übermittlung nicht als eine solche „zuständige Behörde“ angesehen werden kann.
Relevanter für die Meisten dürfte der erste Teil sein, wonach der EuGH die Kriterien festgelegt, wann auch Ordnungswidrigkeiten als Straftat im Sinne des Art. 10 DS-GVO gewertet werden können.
Für die Beurteilung des strafrechtlichen Charakters einer Zuwiderhandlung seien drei Kriterien maßgeblich: Die rechtliche Einordnung der Zuwiderhandlung im innerstaatlichen Recht, die Art der Zuwiderhandlung und der Schweregrad der drohenden Sanktion.
Im Ergebnis kommt der EuGH dann dazu, dass die fraglichen Verkehrsverstöße unter den Begriff „Straftaten“ im Sinne der DS-GVO fallen, auch wenn diese im innerstaatlichen Recht nicht als „strafrechtliche“ Verstöße eingestuft werden. Der Charakter ergebe sich aber aus der Art der Zuwiderhandlung und insbesondere dem repressiven Zweck der Sanktion, die der Verstoß nach sich ziehen kann.
2.2 Werbung (nur) für Luca-App?
Angesichts niedriger Inzidenzen werden trotz zunehmender Verbreitung der Delta-Variante des Covid-19-Virus immer mehr Kontaktverfolgungsvorgaben bei Veranstaltung, Gasstätten etc. entfallen. Unabhängig davon ist die Luca-App natürlich nicht die einzige Möglichkeit, mit der man Kontaktverfolgungsvorgaben umsetzen kann. Dementsprechend ist es auch nur folgerichtig, wenn die Werbung zugunsten dieser App auf der Seite einer öffentlich-rechtlichen Einrichtung untersagt wurde. Und wer Bedenken hinsichtlich einer Maßnahme zur Umsetzung der Kontaktverfolgungsanforderungen hat, kann auf ein anderes System wechseln – und wenn dies seitens des Veranstalters oder der Gaststätte nicht unterstützt wird – die Prioritäten ggf. anders festlegen (zum Einsatz von Luca siehe auch Ziffer 1.4).
3 Gesetzgebung
3.1 „Staatstrojaner“
Die SPD, die bis auf 5 Abgeordnete der Einführung des „Staatstrojaners“ zugestimmt hat, scheint Berichten zufolge innerhalb der Fraktion Diskussionen zu diesem Thema zu führen. An dem Beschluss ändert dies zwar nichts, das BVerfG wird wohl eines Tages dazu entscheiden müssen.
3.2 Lizenzfreie Geodaten?
Open data ist ein Schlagwort, um Daten für und durch alle nutzbar zu machen. Bei Daten mit Personenbezug wird das problematisch, ohne Personenbezug weniger. Die Geodaten der Landesverwaltung Hessen sollen künftig kosten- und vor allem lizenzfrei öffentlich zur Verfügung stehen. Ab Februar 2022 sollen somit Luftbilder, Geländekarten und andere Geobasisinformationen online abrufbar sein. Unter anderem sollen für den derzeit noch kostenpflichtigen Immobilien-Preis-Kalkulator Hessen oder die Grundstücksmarktberichte die Gebühren entfallen.
Nachdem das VG Schwerin entschied, dass ein Immobilienbeweissicherungsgutachten auch von einem Auskunftsanspruch nach Art. 15 DS-GVO umfasst sein kann, selbst wenn sich aus dem Gutachten selbst kein Hinweis auf die natürliche Person ergibt, bietet diese Aktion sicherlich die Gelegenheit, dass sich eines Tages auch der EuGH wieder mit der Personenbeziehbarkeit von Daten befassen wird.
3.3 Datenschutzbeauftragter: Beispiel für Organisationsfragen
Eigentlich ist es fast schon ein Blick über den Tellerrand, denn wen interessiert schon wirklich die Verordnung 2018/1725*? In dieser werden die Datenschutzanforderungen für die Europäischen Einrichtungen geregelt, die durch die DS-GVO über Art. 2 Abs. 3 DS-GVO von der DS-GVO ausgenommen sind.
In einem Entwurf zum Beschluss des Rates zur Festlegung der „Durchführungsvorschriften über den Datenschutzbeauftragten des Rates, die Anwendung der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates und Beschränkungen der Rechte betroffener Personen im Rahmen der Wahrnehmung der Aufgaben des Datenschutzbeauftragten des Rates, und zur Aufhebung des Beschlusses 2004/644/EG des Rates“ sollen die Aufgaben, Pflichten und Befugnisse des Datenschutzbeauftragten des Rates und des GSR (DSB) konkretisiert werden.
Dabei werden auch Datenschutzkoordinatoren definiert (Art. 3 Nr. 6), deren Treffen durch den DSB organisiert und geleitet werden. In Art. 10 werden dann die Aufgaben und Auswahlkriterien für die Datenschutzkoordinatoren beschrieben. Im Übrigen wird neben dem Umgang mit den Rechten betroffener Personen in dieser Verordnung u.a. auch geregelt, wie die Aufgabenzuweisung an den DSB für das Führen des Verzeichnisses der Verarbeitungstätigkeiten erfolgt und wie der DSB bei Verletzungen des Schutzes personenbezogener Daten einzubeziehen ist.
Und bevor Missverständnisse entstehen: Dies sind keine zwingenden Regelungen für Einrichtungen, die der DS-GVO unterliegen, sondern Ausgestaltungen des Rates für die in seiner Verantwortung stehenden Einrichtungen. Gleichwohl können diese Regelungen eine Orientierung bieten für eigene Gestaltungen des Datenschutzmanagements innerhalb eines Unternehmens.
* Franks Nachtrag: Scheinbar uns?
4 Veröffentlichungen
4.1 TTDSG
Wir haben noch fast ein halbes Jahr Zeit, um uns auf die Anwendung des TTDSDG einzustellen. Einen ersten Überblick gibt die entsprechende Praxishilfe der GDD dazu.
4.2 Digitales Schulzeugnis
Ich habe den Eindruck, früher gab es ein Problem und es wurde eine passende Lösung dazu gesucht. Jetzt hat man eine technische Lösung und sucht sich ein Problem, dass zur Lösung passt. Dass dies nicht immer von Erfolg gekrönt sein mag, kann man bei der Blockchain beobachten. Was für Bitcoins noch passen mag, ist bei der Verwendung personenbezogener Daten dann schon fragwürdiger, solange rechtlichen Anforderungen wie Berichtigung und Löschung nicht gewährleistet sind.
Daran mag man denken, wenn man Meldungen liest, dass künftig Schulabgangszeugnisse über eine Blockchain bestätigt und hinterlegt werden sollen. Jetzt ist Zeugnisbetrug sicher nicht das Hauptproblem, das mir in den Sinn kommt, wenn ich nach typischen Urkundenfälschungen gefragt würde. Aber vielleicht werde ich deshalb auch nicht gefragt. Im Übrigen passt diese Info zu Berichten über die Blockchain-Strategie der Bundessregierung, die – sagen wir es wohlwollend* mit Formulierungen aus dem Umfeld der Auditoren wieder – noch Potentiale in der Umsetzung aufweist.
Franks Nachtrag: Ich behalte mir das Recht vor „I call bullshit“ zu sagen, wenn es nötig ist. Das passiert komischerweise bei Blockchain echt häufig…
4.3 Podcast Beschäftigtendatenschutz in der Pandemie
In diesem Podcast, der in der Reihe des 10.-Min.-Podcast angeboten wird und diesem Namen traditionell nicht gerecht wird, geht es um den Beschäftigtendatenschutz in der Pandemie. In den 13:50 Min. werden u.a. Fragen zum HomeOffice (dessen „Pflicht“ zum 30.06.2021 endet), aber auch das Betriebsrätemodernisierungsgesetz mit dem Verhältnis Betriebsrat / DSB behandelt.
4.4 Veranstaltungen
4.4.1 Surveillance capitalism – How to get back control of our data
28.06.2021, starting 7:30 p.m., a webinar event with Shoshana Zuboff and Max Schrems, after a keynote on “Surveillance Capitalism” by inspiring speaker Shoshana Zuboff we will debate current developments and ways out of the dependency of the big tech giants together with the renowned data lawyer Max Schrems, registration neccesary.
4.4.2 Datenschutzverein in Liechtenstein: Umsetzung der Schrems-II-Entscheidung
29.06.2021, 18:30 – 19:30 Uhr, Dr. Jens Ambrock, Leiter der Taskforce Schrems II der deutschen Bundesländer wird zum Thema „Umsetzung der Schrems-II-Entscheidung und neue Standardvertragsklauseln der EU-Kommission“ referieren, Teilnahme kostenlos, Anmeldung erforderlich.
4.4.3 Daten-Dienstag: Datenschutz in der Pandemie: u.a. Impfpass
29.06.2021, 19:00 – 20:30 Uhr, das BayLDA informiert in der Reihe „Daten-Dienstag – Privatheit im Netz“ zu den Datenschutzfragen in Pandemiezeiten und zum Impfnachweis, Teilnahme kostenlos, Anmeldung erforderlich.
5 Gesellschaftspolitische Diskussionen
5.1 Schulen, Videokonferenzen und Petition für MS 365
Bisher konnten sich deutsche Kultusministerien erfolgreich gegen die Vermutung wehren, als Speerspitze der digitalen Lehre und Ausstattung zu gelten. Und alle haben ihre Lektion aus dem Geschichtsunterricht gelernt, dass man früher auch gerne mal den Überbringer einer schlechten Nachricht bestrafte. So ist es fast schon erwartungskonform, dass nun in Hessen der Datenschutzaufsicht Vorwürfe gemacht werden, weil eine weitere Duldung von MS Teams nur bis Schuljahresende vorgesehen ist.
Dabei ist es leicht, in einer Petition* Pragmatismus zu fordern, wenn das Versagen an anderer Stelle liegt: Laut Bericht brauchte die Verwaltung von November 2020 bis April 2021, um eine entsprechende Ausschreibung auf den Weg zu bringen. Auch in einem anderen Bundesland geht es um MS Teams: Schülerinnen und Schüler versuchen über eine Petition weiterhin ein Videosystem nutzen zu können, bei dem die zuständige Datenschutzaufsicht auch in mehreren Runden mit dem Hersteller keine Änderungen erreichen konnte, die sie zufriedengestellt hätte. Irgendwie nehme ich dieses Problem in anderen europäischen Ländern nicht so wahr.
* Franks Nachtrag: Falls sie jemand zeichnen möchte, ich habe da mal gestartpaged. Allerdings verlinke ich auf die Pro- und Contraseite der Petition. Da wird auch gut diskutiert…
5.2 Messengernutzung
Dieses Frühjahr gab es scheinbar eine größere Migrationsbewegung weg von WhatsApp, nachdem die Diskussion um die Änderung der Nutzungsbedingungen weite Kreise zog. Nach Berichten installierten zwar viele Personen alternativen Messenger auf ihr SmartPhone, nutzen aber WhatsApp munter weiter. Falls sich jemand angesprochen fühlt: Das Runterladen von besseren Systemen nutzt nichts, das Anwenden ist das Geheimnis!
Franks Nachtrag: Ich gehe in meiner Aussage sogar noch einen Schritt weiter:
Einen weiteren Messenger (oder mehrere) zu installieren bringt aus Datenschutzsicht nur dann Vorteile, wenn dieser auch aktiv und (so) intensiv (wie sonst beim anderen auch üblich) genutzt wird und dafür die Nutzung des abzulösenden Messengers so weit wie möglich eingeschränkt wird.
5.3 Trau, schau, wem
Alle behaupten in ihren Datenschutzerklärungen:
„Datenschutz ist uns wichtig, hat höchste Priorität und wir klären Euch auf, was wir mit Euren personenbezogenen Daten machen.“
Das bietet in der Regel die Basis einer Entscheidung, ob man/frau diesem Partner traut und Daten weitergibt. Es gibt auch eine Reihe von Produkten, die für ihre Umsetzung datenschutzrechtlicher Anforderungen bekannt sind und immer wieder als Alternative zu marktbeherrschenden Anbietern genannt werden*. Umso irritierender ist es, wenn Untersuchungen zeigen, dass z.B. eine als datenschutzfreundlich beworbene Suchmaschine dann noch Tracker zulässt, ohne dies deutlich zu machen.
* Franks erster Nachtrag: Stimmt, die habe ich auch schon beworben… Wobei es im konkreten Fall um eine Browser-App (für Android und iOS verfügbar, getestet wurde die Android-Variante) und nicht um die Suchmaschine geht. Aber der Anspruch ist schon, dass es datenschutzfreundlich zugeht bei DuckDuckGo.
Franks zweiter Nachtrag: Auch DuckDuckGos Replik kann nicht wirklich überzeugen…
Franks dritter Nachtrag: Nun sitze ich schon so lange an der Erstellung dieses Blogbeitrages (ich war heute familiär und durchs gute Wetter abgelenkt), dass es mittlerweile eine direkte Stellungnahme von DuckDockGo an Herrn Kuketz gegeben hat. Und siehe da, so liest es sich schon fast verständlich. Was mal wieder zeigt, dass manche Sachen erst dann richtig gesagt sind, wenn sie endlich richtig (in diesem fall direkt) gesagt sind. Auch wenn es mehrere Anläufe braucht. So ist die Aussage zumindest nachvollziehbar.
6 Sonstiges/Blick über den Tellerrand
6.1 Klageandrohung in Niederlanden gegen TikTok
In den Niederlanden wird eine Klage gegen TikTok angekündigt wegen der unzulässigen Verarbeitung der Daten von Kindern. Gemäß dem Bericht könnte es teuer werden, da der Verbraucherschutzverband von 1,6 Mrd. Euro ausgeht. Warten wir´s mal ab.
7. Franks Zugabe
7.1 Nachtrag zu doctolib
In unserem Interludium dieser Woche war doctolib schon Thema. Und es gibt immer noch mehr zu berichten (leider ist das ein kostenpflichtiger Bericht, aber es gibt zumindest einen Podcast, in dem Teile davon gebracht werden sowie einen Facbook-Post der Autorin vom 23.06.2021).
Außerdem hat sie in dieser Tweet_Reihe darüber geschrieben.
Und damit es auch auffällt, ein wenig räumlich getrennt:
Die Berliner Aufsichtsbehörde schaut sich gerade auch doctolib an…
7.2 Western Digital My Book Live: Trennen Sie Ihre Festplatten vom Internet
Daten auf Festplatten der WD-Baureihe My Book Live werden von extern gelöscht und durch fremde Passwörter unzugänglich gemacht.
Oha.
Weltweit (hier ein kleiner Auszug der Betroffenen, diejenigen, die sich in der wd.com-Community dazu austauschen)!
Was kann da geraten werden? Keine Netzwerkfestplatten mit dem Internet verbinden / aus dem Internet verfügbar machen? Keine Geräte kaufen, die nur wenige Jahre mit Sicherheitspdates versorgt werden? Keine wichtigen Daten nur in einem Netzwerklaufwerk sichern?
Wie heißt es so schön in einem der knapp 490 Beiträge der wd.com-Community? Ein NAS ist keine vollständige Backup-Lösung.
Wir sollten wahrscheinlich alle unsere Backup-Strategien überdenken, gerade auch im privaten Bereich.
Und: Auch wenn die Preise attraktiv sind, im geschäftlichen Einsatz haben solche Geräte wahrlich nichts zu suchen!
7.3 SmartMeter 101
SmartMeter sind ja unter anderem die Zauberwaffe in der Energiewende. Nun ja, da trifft es sich ja gut, wenn dabei auch alles sicher und geschützt ist. Nicht, dass es bei uns ähnlich zugeht, wie in den USA. Ein friendly Hacker hat ermittelt*, dass zumindest in dem stark eingegrenzten Gebiet, welches er betracht hat,** es schon auffiel, welche SmartMeter in Texas im großen Blackout Anfang des Jahres nicht ausgeschaltet wurden.
Beim Blick über den Tellerrand habe ich auch noch dieses Video vom gleichen Menschen gefunden: Whoa! Ich hoffe jetzt aber sehr, dass bei uns kein Windows 7 in den Collectoren verbaut wird / wurde…
Übrigens, da der Titel, der auf „101“ endet, ja eine gewissen Form der Fotbildung suggeriert, der nette Mensch hat seine Erkenntnisse in einem Wiki veröffentlicht. Viel Spaß beim Nachlesen und -vollziehen des spannenden Themas Reverse Engineering.
* Franks Nachtrag: Den Artikel gibt es übrigens auch mit sehr viel weniger Tracking und Werbung.
** Franks zweiter Nachtrag: Beide Videos sind sehenswert.
7.4 NFC Flaws Let Researchers Hack an ATM By Waving* a Phone
Wollen Sie ATMs hacken? Scheint einfach zu sein…
* Franks Nachtrag: Woran muss ich da nur denken? Ach ja, daran 😉
7.5 Der Bundesrat hat viele im Bundestag beschlossene Gesetze befürwortet…
135 Tagesordnungspunkte. Ich hoffe, die haben sich bei allen Punkten inhaltlich intensiv auseinandergesetzt, bevor sie zugestimmt oder abgelehnt haben. Geht ja schließlich nicht um etwas kontrovers Diskutiertes oder so…
Dieser Artikel lässt anderes vermuten.
Nun ja, so ist das halt im Endspurt und wenn zeitgleich für Ablenkung gesorgt ist.
7.6 The Most Dangerous Censorship
Der erste echte Beitrag nach der Ankündigung von Edward Snowden. Lesenswert.
7.7 Google verschiebt Cookie-Blockade
Nachdem Apple vorgelegt hatte, wollte Google eigentlich auch Tracking-Cookies einschränken.
Das soll wohl nun noch dauern. Berichten zufolge wird es wohl erst 2023 werden, bevor es mit der Privacy Sandbox losgeht.
Es scheint also schwieriger zu sein so etwas einzuführen, wenn die Einnahmen im überwiegenden Maße von Werbung abhängen. Wer hätte das erwartet…
7.8 Inbox-Werbung bei Freemail-Diensten ist wie E-Mail-Werbung zu behandeln
Apropos Werbung: Der Generalanwalt am EuGH hat am 24.06.2021 seine Schlussanträge in der Rechtssache C-102/20 vorgestellt.
Sollte der EuGH der Begründung des GA folgen, dürfte Inbox-Werbung in Zukunft nur mit vorheriger Einwilligung angezeigt werden.
Wer sich für die Hintergründe interessiert, kann sich hier ausführlicher informieren*.
* Franks Nachtrag: Dem Kollegen Kramer liegen mehr die juristischen, mir mehr die technischen Themen, deswegen ist mein Beitrag eher kurz und knapp. Aber die Quelle stellt es verständlich dar.
7.9 Erfolgreiche IFG-Anfrage 1 – die Termine der DSK im Jahr 2022
Fragen Sie mich bitte nicht, warum diese Termine nicht auf der Seite der DSK veröffentlicht werden. Aber wenn sie Sie interessieren, können Sie dank einer erfolgreichen Anfrage nach dem IFG hier nachschauen.
7.10 Erfolgreiche IFG-Anfrage 2 – alle Ende April 2021 veröffentlichten Informationsmaterialien der DSK
Da der anfragende Kollege (siehe 7.9*) gründlich war, hat er auch noch nach einer Liste sämtlicher Informationsmaterialien der deutschen #Datenschutz-aufsichtsbehörden mit Stand vom 28.04.2021 gefragt. Und sie bekommen**.
* Franks Nachtrag. Ok, ich gebe zu, der Link war jetzt vielleicht überflüssig…
** Franks zweiter Nachtrag: Warum fehlt Bremen?
7.11 In Windows 11 ist MS Teams bereits enthalten?
Entgegen der Ankündigung aus dem Jahr 2014 „Windows 10 ist die letzte Major-Version von Windows“ wird es eine Version Windows 11 geben*.
Das Windows 11 MS Teams enthalten soll ist zum einen folgerichtig (aus Microsofts Sicht, da es der momentan populärste Dienst ist), zum anderen aber auch zumindest kontrovers zu sehen (und da gebe ich mir in meinen Formulierungen schon echt Mühe), da zumindest in Europa, oder wenigstens in Deutschland, na ja, ziemlich sicher aber in Hessen (siehe 1.3) es eher problematisch ist MS Teams einzusetzen.
Wer denkt jetzt auch an die erfolgreiche Internet Explorer Integration ab Windows 95?
* Franks Nachtrag: Ob das der Grund ist? Dann müsste es jetzt eigentlich Windows 12 werden 😉
7.12 Banning Surveillance-Based Advertising
Bruce Schneier berichtet von dem (mit seinen Worten) fantastischen Bericht des Norwegian Consumer Council mit dem Titel Time to Ban Surveillance-Based Advertising. Ich kann ihm da nur voll in seiner Einschätzung zustimmen.
Er hat auch den begleitenden offenen Brief unterschrieben. Die Deutsche Vereinigung für Datenschutz e.V. (DVD)* auch.
* Franks Nachtrag: In deren Vorstand ich aktiv bin. Wir sind schon seit längerem an dem Thema dran.
7.13 Drei Jahre Kampf für den Datenschutz: noyb‘s Jahr 2020 im Rückblick
noyb berichtet davon, dass sie sich nach zwei Jahren des Aufbauens und Organisierens im Jahr 2020 endlich voll und ganz auf ihre juristische Arbeit und Durchsetzungsstrategie konzentrieren konnten. Das haben wir schon gemerkt. Weiter so!
Franks Nachtrag: Ich kannte den GDPRhub bisher noch nicht. Sie?
7.14 EDRi network’s interactive Annual Report for 2020 is now live
Apropos kämpfen für Bürgerrechte und Datenschutz: Auch EDRi hat den Jahresbericht 2020 veröffentlicht. Einmal als PDF-Version, einmal interaktiv.
7.15 BSI legt seinen Bericht zum Digitalen Verbraucherschutz 2020 vor
Apropos Berichte: Auch das BSI hat einen Bericht veröffentlicht – den Bericht zum Digitalen Verbraucherschutz 2020.
7.16 Zehntausende Schnelltestregistrierungen sollen zugänglich gewesen sein
Da ist es ja mal nur gut, dass es die Testcenter dieses Unternehmens (inklusive der Daten) nicht mehr gibt und manche Verantwortlichen zur Rechenschaft gezogen worden sind. Hier gehts zum Artikel…
7.17 Peloton bricks its treadmills
Peloton hatten wir ja auch schon… Im vorliegenden Artikel lässt sich Cory Doctorov ausführlich über den geduldeten Missbrauch von Copyright, Patenten und Cybersecurity aus.
Immerhin nutzen sie eine Sicherheitslücke (durch die Menschen zu Schaden kamen) bei verkauften Laufbändern, um diese (da sie mit dem Internet verbunden sind) bei den Kunden abzuschalten und den Kunden anzubietendie Laufbänder bei Abschluss eines monatlichen Abos wieder zu aktivieren. Dann allerdings sicher.
Weil neuerdings Sicherheitspatches nur gegen monatliche Gebühren erhältlich sind?
Ob das Western Digital schon gehört hat?
Hier geht es zum lesenswerten Artikel.