Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 29/2021)“
Unser zwölfter Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 29/2021)“ ist da!
Bevor Sie den Beitrag lesen, hier ein kurzer Hinweis in eigener Sache:
Auch für uns beginnt jetzt die Sommerurlaubszeit, deswegen rechnen Sie bitte bis Mitte September damit, dass die nächsten Blog-Beiträge ggf. später veröffentlicht werden, kürzer sind oder ganz ausfallen. Wir versuchen unsere Prioritäten angemessen zu setzen, und da kann es passieren, dass diese Blog-Reihe ab und zu niedriger prioirisiert wird. Auf jeden Fall wünschen wir Ihnen einen guten Sommer…
- Aufsichtsbehörden
- EDSA: Guidelines 02/2021 für digitale Sprachassistenten
- EDSA: Guidelines 04/2021 on codes of conduct as tools for transfers
- Litauen: Anforderungen an die Akkreditierung einer Zertifizierungsstelle
- LDI NRW: Prüfungsstufen bei Drittstaatentransfer
- Niedersachsen: Einsatz von Office 365 weiter kritisch
- Italien: Bußgeld wegen unzulässiger Übermittlung durch fehlerhafte Software
- Niederlande: Bußgeld wegen unzureichender Transparenz gegen TikTok
- Aufsicht über Aufsicht?
- Datenschutzaufsicht in Irland
- Rechtsprechung
- Gesetzgebung
- Veröffentlichungen
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 EDSA: Guidelines 02/2021 für digitale Sprachassistenten
In seinen Guidelines für digitale Sprachassistenten befasst sich der EDSA u.a. mit den rechtlichen Rahmenbedingungen und den Anforderungen an die Transparenz von digitalen Sprachassistenten. Aber auch die Verbesserung durch Machine-Learning, die Zweckbestimmung, die Verarbeitung besonderer Kategorien und die Sicherstellung der Betroffenenrechte werden behandelt.
1.2 EDSA: Guidelines 04/2021 on codes of conduct as tools for transfers
Inwieweit können über Verhaltensregeln die Anforderungen an den Drittstaatentransfer erfüllt werden? Dies versucht der EDSA in seinen Guidelines 04/2021 on codes of conduct as tools for transfers zu beantworten. Diese wurden nun für das Konsultationsverfahren veröffentlicht und Rückmeldungen können bis zum 1. Oktober eingereicht werden.
1.3 Litauen: Anforderungen an die Akkreditierung einer Zertifizierungsstelle
Der Europäische Datenschutzausschuss hat seine Stellungnahme zu den Anforderungen ein die Akkreditierung einer Zertifizierungsstelle in Litauen veröffentlicht: “Opinion 25/2021 on the draft decision of the competent supervisory authority of Lithuania regarding the approval of the requirements for accreditation of a certification body pursuant to Article 43.3 (GDPR)”.
1.4 LDI NRW: Prüfungsstufen bei Drittstaatentransfer
Die Umwälzungen durch Schrems II und die Veröffentlichungen der neuen Standarddatenschutzklauseln durch die EU-Kommission lassen leicht den Überblick verlieren, an was bei einem Drittstaatentransfer zu denken ist. Dabei hilft einem nun die Darstellung der Prüfungsstufen durch die LDI NRW über eine systematische Prüfung festzustellen, bei welcher Stufe man stolpert oder ob man heil durchkommt. Allerdings fehlt auch nicht der Hinweis, dass datenverarbeitende Stellen erst nach sorgfältiger Abwägung für den jeweiligen Einzelfall entscheiden sollten, ob sie Dienste in Anspruch nehmen, bei denen Datenübermittlungen in Drittländer stattfinden (können). Es sei zu beachten, dass „Dienstleister*innen unter Umständen Übermittlungen für Backups, zur Wartung oder für Servicezwecke vorsehen, die der datenverarbeitenden Stelle nicht oder nicht ausreichend transparent gemacht werden.“ Zudem könne sich die Rechtsprechung des EuGHs möglicherweise noch auf weitere Angemessenheitsbeschlüsse der EU-Kommission auswirken.
1.5 Niedersachsen: Einsatz von Office 365 weiter kritisch
In einer Pressemeldung stellt die LDI Niedersachsen klar, dass es entgegen anders lautenden Berichten bislang keine Anordnung oder Untersagung der Nutzung von Offcie 365 durch sie gegeben habe. Problematisch seien die Auftragsverarbeitungsverträge von Microsoft, die dem Einsatz von Office 365 zugrunde liegen, sowie die Übertragung von Telemetriedaten im Hintergrund, für die es nach derzeitigem Stand keine Rechtsgrundlage gäbe. Die Datenschutzkonferenz habe bereits zahlreiche Gespräche mit Microsoft geführt, um die bestehenden rechtlichen Probleme zu lösen. Auch wenn die LDI Niedersachsen derzeit aufgrund der beschriebenen Gesamtsituation von einem Einsatz von Office 365 nach wie vor aus datenschutzrechtlicher Sicht nur dringend abraten könne, hoffe sie, dass Microsoft die Gesprächsangebote der Datenschutzkonferenz nutze und die erforderlichen Nachbesserungen umsetzt, um seinen Kundinnen und Kunden einen rechtskonformen Betrieb seines Produktes zu erleichtern.
Und natürlich gibt es bei Juristen meist mehr als eine Meinung. Letztendlich gibt es bei der Bewertung des Einsatzes einer Software etliche Faktoren die zu berücksichtigen sind, wie Version der Software und der jeweiligen vertraglichen Unterlagen, die zugrunde gelegt werden, so dass sich auch gleich Widerspruch zu pauschalen Aussagen regte. Es bleibt m.E.n. letztendlich nur diese Empfehlung:
Wer Produkte einsetzt, die derzeit so diskutiert werden wie Office 365, sollte sich intensiv mit den Aussagen der Aufsichtsbehörden befassen und die Gründe für seine Entscheidung ausreichend dokumentieren.
1.6 Italien: Bußgeld wegen unzulässiger Übermittlung durch fehlerhafte Software
In Italien gab es ein Bußgeld in Höhe von 150.000 Euro gegen ein Unternehmen, dass aufgrund einer fehlerhaften Software Gesundheitsdaten entgegen dem Wunsch der Patienten an deren Hausärzte versandte. Wie die anschließende Untersuchung ergab, sei die Datenpanne durch einen Softwaredefekt verursacht worden. Die medizinischen Mitarbeiter des Bußgeldempfängers hatten den Wunsch der Patienten den betreffenden Bericht nicht an ihren Hausarzt zu übermitteln korrekt im Krankenhausinformationssystem eingetragen, das Programm hatte die Kennzeichnungen allerdings nicht übernommen.
Nach der DS-GVO kann Adressat einer Sanktion der Aufsichtsbehörde nur der Verantwortliche oder Auftragsverarbeiter sein, Hersteller werden über Art. 25 DS-GVO nur „ermutigt“ datenschutzkonforme Produkte anzubieten.
1.7 Niederlande: Bußgeld wegen unzureichender Transparenz gegen TikTok
Gegen TikTok gab es ein Bußgeld in Höhe von 750.000 Euro, weil die Informationen an jüngere Kinder nur in Englisch angeboten wurden und damit die Vorgaben der DS-GVO nach einer angemessenen, zielgruppengerechten Information über die Verarbeitung nicht erfüllt wurden. Weil TikTok damals noch keine Niederlassung innerhalb der EU hatte, konnte die niederländische Aufsicht hier selbst agieren. Mittlerweile hat TikTok einen Sitz in Irland, so dass nun für weitere Beschwerden etc. die irische Aufsicht zuständig ist*.
* Franks Nachtrag: Na, dann wird es ab jetzt ja alles besser beim Datenschutz bei TikTok, bei der durchsetzungsstarken Aufsichtsbehörde…
1.8 Aufsicht über Aufsicht?
noyb stellt in einem Beitrag dar, welche Beschwerden durch die NGO wann wo eingereicht wurden und beklagt die schleppende Bearbeitung durch die Datenschutzaufsichtsbehörden.
1.9 Datenschutzaufsicht in Irland
Dass es Unzufriedenheiten mit der Durchsetzung datenschutzrechtlicher Anforderungen durch die Datenschutzaufsicht in Irland gibt, ist kein Geheimnis. Dass letztendlich davon auch die großen IT-Unternehmen profitieren, die hier den Sitz ihrer europäischen Töchter wählen, auch nicht. Umso spannender wird es sein, welche Konsequenzen die irische Politik aus den Erkenntnissen eines Berichts des Rechtsausschusses des irischen Parlaments ableitet, der nun veröffentlicht wurde. Um das bestehende Recht durchzusetzen, werden Maßnahmen empfohlen, die u.a. Verbesserungen bei Organisationsstrukturen, bei der Ausstattung mit qualifiziertem Personal und bei Entscheidungswegen umfassen.
2 Rechtsprechung
2.1 BVerfG zu Sicherheitslücken in informationstechnischen Systemen
Das Bundesverfassungsgericht (BVerfG) hat es wieder geschafft einen Beschluss zu fassen, der zu Diskussionen einlädt:
Es ging um die staatliche Nutzung von IT-Sicherheitslücken, die den Herstellern von Soft- und Hardware noch unbekannt sind (sogenannte Zero-Day-Schwachstellen).
Die Beschwerdeführer machten geltend, über eine Regelung in § 54 Abs. 2 PolG BW (Überwachung und Aufzeichnung der Telekommunikation darf ohne Wissen der betroffenen Person – „Quellen -Telekommunikationsüberwachnung“ – Quellen-TKÜ) würde die grundrechtlich gewährleistete Vertraulichkeit und Integrität informationstechnischer Systeme verletzt, weil die Behörden danach kein Interesse hätten die ihnen bekannten Schwachstellen an die Hersteller zu melden, da sie diese Sicherheitslücken für eine Infiltration informationstechnischer Systeme zur durch § 54 Abs. 2 PolG BW gestatteten Quellen-TKÜ nutzen könnten. Ohne eine Meldung an den Hersteller bestünden aber die IT-Sicherheitslücken und die damit verbundenen Gefahren, insbesondere eines Angriffs von dritter Seite auf informationstechnische Systeme, fort. Das Land habe versäumt die zwingend gebotenen Begleitregelungen für ein Schwachstellen-Management zu schaffen, das insbesondere die Verwendung von Sicherheitslücken verbieten müsse, die dem Hersteller des betreffenden Systems nicht bekannt seien. Selbst wenn man eine Ausnutzung von Zero-Day-Lücken nicht für schlechthin mit der staatlichen Schutzpflicht unvereinbar halte, müsse jedenfalls ein Verwaltungsverfahren zur Bewertung von IT-Sicherheitslücken im Einzelfall geschaffen werden.
Das BVerfG nahm die Verfassungsbeschwerden nicht an, weil es die Voraussetzungen dafür als nicht erfüllt ansah, es äußerte sich aber trotzdem inhaltlich dazu. So treffe in der hier zu beurteilenden Konstellation, in der die Behörden von einer Sicherheitslücke wissen, die der Hersteller nicht kennt, den Staat eine konkrete grundrechtliche Schutzpflicht. Er müsse zum Schutz der Nutzerinnen und Nutzer informationstechnischer Systeme vor Angriffen Dritter auf diese Systeme beitragen.
Die konkrete staatliche Schutzpflicht beruhe darauf, dass die Betroffenen sich selbst nicht schützen können, während die Behörde Kenntnis von der Sicherheitslücke habe, wie auch auf dem hohen Gefährdungs- und Schädigungspotential solcher IT-Sicherheitslücken. Zum einen sei die informationelle Selbstbestimmung bedroht, weil sich mit dem Zugang zu den Daten der Nutzerin oder des Nutzers weitgehende Kenntnisse über persönlichkeitsrelevante Informationen gewinnen lassen. Zum anderen haben Sicherheitslücken ein über die Offenbarung persönlichkeitsrelevanter Informationen weit hinaus gehendes Schädigungspotenzial, weil Dritte, die über Sicherheitslücken in das informationstechnische System eindringen und dieses manipulieren, Abläufe unterschiedlichster Art – etwa im betrieblichen Bereich und im Handel – zum Schaden der Betroffenen stören können. Mit dem Risiko der Infiltration durch Dritte sei so auch eine besondere Erpressungsgefahr verbunden.
Die Schutzpflicht schließe hier eine Verpflichtung des Gesetzgebers ein den Umgang der Polizeibehörden mit solchen IT-Sicherheitslücken zu regeln. Die Quellen-TKÜ durch Nutzung unerkannter Sicherheitslücken sei zwar für sich genommen nicht von vornherein verfassungsrechtlich unzulässig, wenn auch wegen der Gefahren für die Sicherheit informationstechnischer Systeme erhöhte Rechtfertigungsanforderungen gelten. Es bestehe auch kein grundrechtlicher Anspruch auf die Verpflichtung der Behörde jede unerkannte IT-Sicherheitslücke sofort und unbedingt dem Hersteller zu melden. Die grundrechtliche Schutzpflicht verlangt jedoch eine Regelung darüber, wie die Behörde den Zielkonflikt zwischen dem Schutz informationstechnischer Systeme vor Angriffen Dritter mittels unbekannter IT-Sicherheitslücken einerseits und der Offenhaltung solcher Lücken zur Ermöglichung einer der Gefahrenabwehr dienenden Quellen-TKÜ andererseits grundrechtskonform aufzulösen hat.
In den bisherigen Bewertungen wird entweder kritisiert, dass damit alle IT-Systeme mit dem Risiko belegt werden, dass staatlicherseits bekannte Sicherheitslücken nicht beseitigt werden und damit das Netz grundsätzlich unsicherer wird, andererseits wird auch die Aussage begrüßt, dass der Staat zum Schutz der Systeme verpflichtet sei, und dies stelle bereits einen Erfolg dar*.
Das Wissen, dass über bekannte Lücken nicht informiert wird, ist nicht beruhigend und wird sicher nicht als vertrauensbildende Maßnahme für digitale Transformationen wirken. Kann auch sein, dass sich nun manche auch an Reaktionen wie damals nach den Veröffentlichungen durch Edward Snowden erinnern.
* Franks Nachtrag: Nicht alle sind der Meinung, dass das ein Erfolg ist… Zumindest einer trauert dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme nach.
2.2 EuGH: Vorlage zu Vertragsgestaltung von Facebook
Der österreichische Oberste Gerichtshof hat dem Europäischen Gerichtshof ein Verfahren zur Klärung vorgelegt, inwieweit die vertragliche Gestaltung von Facebook rechtskonform zur DS-GVO sei. Bis zur DS-GVO hatte Facebook seine Verarbeitung auf die Einwilligung der Nutzer gestützt, danach wird dies nun über Vertrag geregelt. Dabei wird der EuGH beurteilen müssen, inwieweit bei solchen Gestaltungen auch Analysen und Verarbeitungen von besonderen Kategorien von Daten wie Gesundheitsdaten oder sexuelle Orientierung umfasst sind und ob diese Gestaltung ausreicht ein „Zahlen durch Daten“ zu gestalten. Aufmerksamkeit bekommt das Verfahren allein schon durch den Kläger, Max Schrems. Laut der Stellungnahme auf der Webseite seiner Anwältin* gehe es konkret auch darum, dass Facebook für sein personalisiertes Werbesystem keine Einwilligung brauche, vielmehr sei die Werbung eine „bestellte Leistung“ des Kunden und sei daher zu Vertragszwecken „erforderlich“**. Der EuGH würde nun klären, ob eine solche Umgehung zulässig ist.
* Franks erster Nachtrag: Bin ich der einzige, der deren Cookie-Hinweis als nicht ganz konform mit der u.a. auch von noyb geforderten Linie empfindet?
** Franks zweiter Nachtrag: Warum muss ich nur gerade an den Satz denken, dass wenn ich nicht der Kunde bin, ich dann wohl das Produkt bin? Welchen Kunden Facebook da wohl meint? Sicher nicht Max Schrems…
3 Gesetzgebung
3.1 Inkrafttreten des Datennutzungsgesetzes
Seit 23. Juli 2021 gilt das Gesetz für die Nutzung von Daten des öffentlichen Sektors (Datennutzungsgesetz – DNG). Erklärtes Ziel der Bundesregierung ist es einen einheitlichen standardmäßig offenen Zugang zu öffentlichen Daten zu schaffen („Open by default“). So soll zum einen die Wirtschaft, Zivilgesellschaft, Verwaltung sowie Wissenschaft und Forschung gefördert, zum anderen jedoch auch das Verwaltungshandeln effizienter gestaltet und transparenter werden. Es ist damit ein Baustein in der Open-Data-Strategie der Bundesregierung. Weitere Informationen zum DNG und eine Bewertung finden Sie hier.
4 Veröffentlichungen
4.1 Anforderungen an E-Mail-Kommunikation
Über die Seite mail-sicherheit.jetzt finden sich Informationen zur Umsetzung der Anforderungen der Aufsichtsbehörde an die E-Mail-Kommunikation – und vieles mehr. Hinweise zu Maßnahmen und Hintergründen, künftig auch Tests, geben Anleitungen, die zu einem sicheren E-Mail-Verkehr beitragen.
4.2 Auskunft – Weigerung?
Ab wann kann sich ein Verantwortlicher weigern eine Auskunft zu erteilen? Damit befasst sich ein Beitrag, wann ein Antrag offenkundig so unbegründet oder exzessiv sei, dass der Verantwortliche entweder ein angemessenes Entgelt verlangen oder sich weigern könne aufgrund des Antrags tätig zu werden. Dabei werden Aussagen der britischen Aufsichtsbehörde ICO zugrunde gelegt. Auch der Bayerische LfD hatte sich schon mal mit der Thematik befasst.
4.3 Pegasus
Es schlug hohe Wellen: Es gibt Software, die unbemerkt auf Geräten eingespielt werden kann und auf alle denkbaren Daten zugreift und das Gerät entsprechend „bedienen“ kann. Was schon länger bekannt bzw. befürchtet wurde, ist nun, nachdem Journalisten betroffen sind, eine Meldung, die auch weitere Berufsgruppen aufschreckt*. Meldungen, dass auch der Hersteller der Software Pegasus mit IT-Sicherheitsproblem zu kämpfen hätte, sind ein schwacher und vor allem kurzsichtiger Trost, wenn auch Edward Snowden von dem Ausmaß überrascht ist. Die bisherige Entwicklung findet sich hier zusammengefasst.
* Franks Nachtrag: Ist doch alles nicht so schlimm: NSO Group CEO says law-abiding citizens have ’nothing to be afraid of‘. Ich glaube, ich habe mich schon mal zu der Aussage „Aber ich habe doch nichts zu verbergen“ geäußert. Einfach tief durch- und diesen Quatsch wegatmen…
4.4 WHO-Bericht zu Ethik und AI für Gesundheit
Die NGO Privacy International (PI) hat sich den Bericht der WHO zu Ethics and governance of artificial intelligence for health genauer angesehen. In der Bewertung kommt PI zu dem Ergebnis, dass der Bericht versucht einen Menschenrechtsrahmen für den Einsatz von KI im Gesundheitswesen zu entwickeln und er erkennt die Risiken und Grenzen von KI an. Es müsse nach Ansicht von PI jedoch noch mehr gemacht werden als die Annahme in Frage zu stellen, dass KI zwangsläufig zu positiven Ergebnissen führt.
4.5 Veranstaltungen
Nächste Woche ist wohl wieder nichts. Zumindest haben wir keine Veranstaltungen rechtzeitig genug gefunden…
5 Gesellschaftspolitische Diskussionen
5.1 Schule und Digitalisierung
Die pandemiebedingten Maßnahmen wie Distanzunterricht zeigten es deutlich: Neben den bereits lange auch offiziell bekannten Defiziten in der Infrastruktur der Netzabdeckung in Deutschland sind Schulen (und andere Bildungseinrichtungen) unzulänglich auf digitale Möglichkeiten und Anforderungen eingestellt. Es ist nicht auszuschließen, dass nach den Sommerferien ebenfalls wieder pandemiebedingt bei der Bevölkerungsgruppe der ungeimpften Schülerinnen und Schülern Distanzunterricht erforderlich werden kann. Die GEW hat nun veröffentlicht, was aus ihrer Sicht als 5-Punkte-Programm zum Gesundheitsschutz an Schulen umgesetzt werden sollte wie z.B. flächendeckend eine datenschutzkonforme digitale Infrastruktur zu schaffen und IT-Systemadministratoren einzustellen. Zudem müssten die Länder Sofortmaßnahmen zur digitalen Fortbildung der Lehrkräfte anbieten.
5.2 Hochwasser und Datenschutz
Bei der Warnung vor Unwetterlagen geht es nicht um personenbezogene Daten, sondern darum die Bevölkerung auf drohende Ereignisse hinzuweisen und konkrete Maßnahmen zu empfehlen. Dass die Regenmassen zur Katastrophe wurden, hat viele Ursachen, dass die Folgen so dramatisch wurden, hat auch eine Ursache, dass viele nicht rechtzeitig genug gewarnt wurden, um Leib und Leben zu schützen und evtl. sogar noch wichtige Unterlagen oder Erinnerungsstücke in Sicherheit bringen zu können.
Das Systemversagen wird nun (hoffentlich) baldmöglichst aufgearbeitet. Selbst die Unzulänglichkeiten des „Warntages“ im letzten Jahr, die für jeden wahrnehmbar waren, führten zu keiner Verbesserung. Jetzt erinnert sich die Politik wieder daran, dass es bereits jahrzehntealte Technik gibt, wie Cell Broadcast, mit der einfache Textnachrichten ohne App-Erfordernis und unabhängig von Betriebssystemen auf Mobilfunktelefonen eingespielt werden können*.
So kann man sich einreden, dass die Flutkatastrophe zumindest etwas Sinnvolles bewirkt: Die Diskussion um Verbesserungen bei der Digitalisierung und auch die Berücksichtigung derer Grenzen. Und fast dachte ich, es schiene so, als dass diese Diskussion um die Information vor Ereignissen sachlich geführt wird, ohne dass wieder irgendein Depp die Ursache allen Übels im Datenschutz sieht – schon werde ich eines Besseren belehrt.
* Franks Nachtrag: Wobei es scheinbar so ganz so einfach nicht ist, da – obwohl prinzipiell möglich – im Detail die Probleme stecken können. Und sei es nur, dass es in Deutschland für die Provider wohl keine klaren (gesetzlichen) Vorgaben zu diesen Funktionen gab, als die Netze von Mobilfunk-Generation zu Mobilfunk-Generation modernisiert wurden.
Hier zwei kritische Beiträge zum Cell-Broadcast (also nicht kritisch zur Technik sondern zur Umsetzung) mit interessanten Details (u.a., dass es Cell-Broadcast bei allen deutschen Providern zumindest schon mal gab) sowie ein technischer Beitrag, der natürlich auch nicht an (berechtigter) Kritik spart.
6 Sonstiges/Blick über den Tellerrand
6.1 Wie ehrlich sind App-Anbieter?
Bei iOS muss bei den Apps für Apple in den Hinweisen auch zu den datenschutzrechtlichen Verarbeitungen veröffentlichen. In einem ca. 10-minütigen Video zeigt mobilsicher.de, was sie bei der Prüfung von 25 Apps festgestellt haben. Zunächst wird erklärt, welche Aussagen getroffen werden und dann werden Apps getestet. Von den 25 Apps gab es nur bei vier Beanstandungen, dass die Information nicht zur (soweit nachvollziehbaren) Verarbeitung passt. Unterhalb des YouTube-Videos gibt es weitere Infos und Links.
7. Franks Zugabe
7.1 Apropos Pegasus
Über Pegasus haben wir ja schon berichtet. Aber Pegasus ist natürlich nur ein (zugegebenermaßen gerade prominenter) Vertreter der Zero-Day-Exploits- und Spyware-Industrie. Ein anderer Vertreter ist zum Beispiel Candiru.
7.2 Apropos Sicherheitslücken
Wenn Sie den Überblick verloren haben, welche Sicherheitslücken denn gerade so am Schlimmsten sind: Hier ist eine gute Übersicht. Im Artikel werden auch die am meisten ausgenutzten Sicherheitslücken benannt. Natürlich nicht top-aktuell, aber immerhin.
7.3 The Inevitable Weaponization of App Data Is Here
In den USA ist ein Mitglied der US-Bischofskonferenz zurückgetreten. So weit, so nicht wirklich relevant für uns. Oder vieleicht doch?
Berichten zufolge ist der Bischof durch eine Webseite einer katholischen Veröffentlichung auf Substack als homosexuell geoutet worden. Auch das ist noch nicht relevant für uns, oder?
Aber wie haben sie das gemacht? Dazu führt ein Artikel auf vice.com (bei denen ich meine Überschrift entliehen habe) aus. Sie haben einfach die in der App gesammelten Daten (In diesem Fall die von grindr.com, war da nicht schon mal etwas? Ach ja…), die „anonym“ weiterverwendet werden, durch geschickte Analyse und Anreicherung mit anderen Daten einer Person, dem oben genannten Bischof, zuordnen können. Und das war es dann mit der Anonymität. Natürlich ohne sein Einverständnis. Das gab es ja bei uns auch schon… schon vor langer Zeit.
Nur mit dem Unterschied, dass der damals Outende die Geouteten kannte und im „echten Leben“ (im Gegensatz zum „virtuellen Leben“, mit dem wir uns ja hier ab und zu beschäftigen) von ihrer sexuellen Ausrichtung Kenntnis erlangt hatte.
Heutzutage reichen bereits irgendwie erlangte Datensätze (vielleicht in einem Leak*?) einer populären App und die bereits erwähnte geschickte Anreicherung dieser Daten um weitere Daten, die man mit genügend Zeit (und ggf. auch ein wenig Geld) im Internet beziehen kann, um Personen zu identifizieren. Da gibt es eine ganze Industrie, die damit scheinbar gut Geld verdient.
Aber auch hier hätte es bekannt sein können, dass es diese Möglichkeiten gibt, wenn doch sogar die NSA davor gewarnt hat.
* Franks Nachtrag: Mehr dazu wohl in dem nächsten Blog-Beitrag…
7.4 Wann wohl der nächste Tätigkeitsbericht einer Aufsichtsbehörde für den Datenschutz vorliegt?
In unserer Blogreihe weisen wir ja regelmäßig auf die Veröffentlichung diverser Tätigkeitsberichte der zuständigen Aufsichtsbehörden hin und zitieren auch gerne aus diesen. Dieses gelingt durch intensives Beobachten der Webseiten der jeweiligen Aufsichtsbehörden und Studium diverser Newsletter oder RSS-Feeds.
Oder Sie melden sich für den neuen Infodienst der Stiftung Datenschutz an, die Anfang 2019 die Aufgabe des Bereitstellens des Internetportals Zentralarchiv für Tätigkeitsberichte des Bundes- und der Landesdatenschutzbeauftragten und der Aufsichtsbehörden für den Datenschutz – ZAfTDa von der Technischen Hochschule Mittelhessen übernommen hat, die diesen Dienst bereits seit dem Jahr 2009 angeboten hatte.
Hier finden Sie nicht nur alle Tätigkeitsberichte aller deutschen LfD und Landesaufsichtsbehörden sondern auch die des BfDI, des Europäischen DSB, des EDSA und der Artikel-29-Gruppe, aktuell also 619 Berichte.
Außerdem werden hier auch Tätigkeitsberichte der evangelischen und der katholischen Datenschutzaufsichten bereitgestellt, wie auch einzelne Berichte der Datenschutzaufsicht für den SWR. Aber weder die Tätigkeitsberichte der Kirchen noch die der Rundfunkanstalten scheinen vollständig vorzuliegen.
Warum eigentlich nicht?
7.5 Cybersecurity – Und noch ’ne Druckerlücke…
Ooops, it happenend again:
Dieses Mal sind Laser-Drucker von HP (und Samsung und Xerox) betroffen. Hier kann nachgeschaut werden, welche Druckermodelle von HP betroffen sind. Und heise.de hat das Thema auch noch einmal übersichtlich dargestellt.
Es muss nicht extra erwähnt werden, dass diese Lücke bereits nach 16 Jahren (sic!) entdeckt wurde, oder?
7.6 Cybersecurity – Windows Defender
Windows Defender schützt per Default Windows-Systeme. Sagt Microsoft. Wovor, fragen Sie?
Na, vor so Bedrohungen wie DeCSS. Das DeCSS aus dem Jahr 1999, fragen Sie?, Ja, das DeCSS.
Jetzt bitte alle Windows-10-User einmal gemeinsam sicherer fühlen!
7.7 Cybersecurity – Und noch ’nen Nightmare
Obwohl die PrintNightmares noch nicht wirklich alle erledigt sind, gibt uns Microsoft gleich den nächsten Nightmare:
Dieser nennt sich HiveNightmare und bei diesem geht es um das Auslesen der Windows-Passwort-Datenbank in Windows 10 und 11.
Na, dann mal gute Nacht…