Frank Spaeing

„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 47/2021)“

Hier ist der 24. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 47/2021)“.

  1. Aufsichtsbehörden
    1. Corona, Datenschutz und Sie
    2. EDPB: Statement on the Digital Services Package and Data Strategy
    3. LfDI BW: Preisträger des ICON-Wettbewerbs zu den Informationspflichten
    4. Wechsel der Spitze der sächsischen Datenschutzaufsicht
    5. Polen: Bußgeld bei Verlust über Postversand
    6. Anzeige gegen irische Datenschutzaufsicht
    7. Fälle der vorherigen Konsultation nach Art. 36
    8. DSK zum Verzicht auf TOM
  2. Rechtsprechung
    1. EuGH: Anforderungen an Werbung in E-Mails
    2. LG Karlsruhe: Verträge mit Ladestationen
  3. Gesetzgebung
    1. TTDSG – Anwendung ab 01.12.2021
    2. Koalitionsvertrag „Mehr Fortschritt wagen“
    3. Europa: Digital Services Act
    4. Whistleblowerrichtlinie
  4. Künstliche Intelligenz und Ethik
    1. Datenschutzrechtliche Anforderungen an KI
    2. GAIP: Global Partnership of Artificial Intelligence
  5. Veröffentlichungen
    1. DSFA bei MS365 für KM BW durch PWC
    2. Versteckte Kameras mit Handy suchen
    3. IAPP: TIA (Tranfer Impact Assessment)
    4. Gutachten zu Datenschutz- und Wettbewerbsrecht
    5. BVDW: Leitfaden Tools zu Dienstleistern für Datenschutz-Compliance
    6. Veranstaltungen
      1. „Datenschutz im Ehrenamt“: Videokonferenzen
      2. Hochschule der Medien, Stuttgart: Ein märchenhafter Abend – die zeitgenössische Bedeutung aus den unterschiedlichen Perspektiven der digitalen Ethik, des Rechts auf Privatsphäre und der Kunst
  6. Gesellschaftspolitische Diskussionen
    1. Microtargeting
    2. Facebook Überwachung
    3. WhatsApp: Neue Bedingungen
  7. Sonstiges / Blick über den Tellerrand
    1. 5. Auflage Lehrerhandout „Datenschutz geht zur Schule“
  8. Franks Zugabe
    1. „Daten, die vom E-Roller fallen“
    2. Empfehlungen zur Abwehr von Desinformation im Internet
    3. to VPN or not to VPN?
    4. CERT-Bund warnt vor Zombie-Exchange-Servern
    5. Fahren Sie Tesla? Oder besser gesagt, würden Sie gerne?
    6. iPhone orten, wenn es aus ist?! So behalten Sie die Kontrolle
    7. Apropos Apple, apropos NSO-Group
    8. “Crypto” Means “Cryptography,” not “Cryptocurrency”



Wir wünschen eine gute Lektüre,

Rudi Kramer und Frank Spaeing

1 Aufsichtsbehörden

1.1 Corona, Datenschutz und Sie

Laufend neuen Vorgaben, die sich auch auf die Datenverarbeitung und deren Dokumentation auswirken. Natürlich bekommn Sie alles mit und haben auch schon einiges, wenn nicht gar alles umgesetzt, daher sehen Sie dies nur als Zusammenfassung. Das BayLDA hat seine FAQ aktualisiert (Stand 23.11.2021). Das BMAS hat auch seine FAQ-Liste angepasst. Und wer noch eine Info nach Art. 13 DS-GVO über die damit zusammenhängende Datenverarbeitung formulieren „möchte“, findet hier ein Muster oder da Hinweise zur Dokumentation.

Übrigens, wussten Sie, dass Sie bei einer (roten) Warnung über die Corina-Warn-App einen kostenlosen PCR-Test bekommt können (soweit verfügbar) – so zumindest nach der Info zur Corona-Warn-App (dort die Frage: „Habe ich durch eine Warnmeldung in der App ein Recht auf einen Coronatest?“).

zurück zum Inhaltsverzeichnis

1.2 EDPB: Statement on the Digital Services Package and Data Strategy

Im Rahmen seiner letzten Sitzung veröffentlichte der EDSA auch seine Stellungnahme zu den aktuellen Gesetzesvorhaben der EU-Kommission wie dem Digital Services Act (DSA), dem Digital Markets Act (DMA), dem Data Governance Act (DGA) and the “Regulation on a European approach for Artificial Intelligence (AIR)“.

zurück zum Inhaltsverzeichnis

1.3 LfDI BW: Preisträger des ICON-Wettbewerbs zu den Informationspflichten

Die Preisträger der Ausschreibung des LfDI BW wurden bei der Herbstkonferenz des LfDI BW, des BayLDA und des BvD präsentiert. Sie werden auch auf der Homepage des LfDI BW präsentiert, zumindest wurde dies angekündigt.

zurück zum Inhaltsverzeichnis

1.4 Wechsel der Spitze der sächsischen Datenschutzaufsicht

Laut Berichten ist die Nachfolge des zum Jahresende aus dem Amt scheidenden Sächsischen Datenschutzbeauftragten entschieden.

zurück zum Inhaltsverzeichnis

1.5 Polen: Bußgeld bei Verlust über Postversand

Weil eine Bank nicht ordnungsgemäß über den Verlust von Postsendungen mit personenbezogenen Daten informierte, bekam sie in Polen ein Bußgeld in Höhe von 80.000 Euro.

zurück zum Inhaltsverzeichnis

1.6 Anzeige gegen irische Datenschutzaufsicht

Der Eindruck drängte sich schon länger auf: Zwischen der irischen Datenschutzaufsicht und einem österreichischen Datenschutzaktivisten wird es wohl keine innige Freundschaft mehr geben. Nun wurde die irische Datenschutzaufsicht nach seinen eigenen Angaben von ihm bei der Korruptionsstaatsanwaltschaft angezeigt. Auslöser war das Verlangen der Aufsicht nur noch über Beschwerden mit ihm und seiner Organisation zu reden, wenn vorher eine Vertraulichkeitsvereinbarung unterzeichnet würde. Die Anzeige erfolgte in Österreich.
Wobei ich mich schon immer fragte, ob man zum Datenschutzaktivisten wird, wenn man seine Rechte wahrnimmt. Wenn ich bei grün über die Straße gehe, bin ich dann ein Verkehrsaktivist? Ich dachte, da sei ich einfach Fußgänger?

zurück zum Inhaltsverzeichnis

1.7 Fälle der vorherigen Konsultation nach Art. 36

Es ist nicht neu, nur bekam ich es diese Woche wieder zwischen die Finger und mir ist bislang kein Fall in Deutschland bekannt, dass ein Verantwortlicher sich an seine Aufsichtsbehörde wendet und das Verfahren zur vorherigen Konsultation nach Art. 36 DS-GVO einleitet. Aber aus Felix Austria sind mir zwei Fälle bekannt:
In dem einen Verfahren zur Konsultation hat sich bereits in der DSFA ergeben, dass das Risiko auf ein geringes Maß reduziert werden kann, es ging um die Überwachung von Zufahrtsstraßen zu einem Wirtschaftspark durch Videokameras.
Auch in einem anderen Verfahren der vorherigen Konsultation hat die Aufsichtsbehörde festgestellt, dass durch die ergriffenen Maßnahmen das Risiko hinreichend durch getroffene Maßnahmen eingedämmt sei, so dass eine vorherige Konsultation nicht erforderlich sei. Der Verantwortliche beabsichtige eine „Anpralldetektion bei Brücken“ zur Erkennung und Video-Dokumentation von Schadensfällen – die durch den Zusammenprall eines Fahrzeugs mit einer Brücke der Verantwortlichen verursacht werden – zu errichten. In seiner Datenschutz-Folgenabschätzung kam er zu dem Ergebnis, dass hinsichtlich der beurteilten Verarbeitungstätigkeit ein hohes (Rest-)Risiko verbleibe bzw. nicht ausgeschlossen werden könne.

zurück zum Inhaltsverzeichnis

1.8 DSK zum Verzicht auf TOM

(Franks Nachtrag, da erst nach dem Redaktionsschluss eingegengen):
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 24.11.2021 einen Beschluss zur „Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO auf ausdrücklichen Wunsch betroffener Personen“ gefasst. Es war ein Mehrheitsbeschluss mit einer Gegenstimme.
Das erwartbare Ergebnis: Es ist grundsätzlich nicht möglich per Einwilligung des Betroffenen als Verantwortlicher die TOM abzusenken bzw. nichtanzuwenden.

zurück zum Inhaltsverzeichnis

2 Rechtsprechung

2.1 EuGH: Anforderungen an Werbung in E-Mails

Welche Voraussetzungen sind zu beachten, wenn in einem E-Mail-Account Werbebotschaften in einem kostenfreien E-Mail-Dienst platziert werden? Das OLG hielt das nicht für Werbung, der BGH wollte dies vom EuGH geklärt haben und der EuGH entschied: Es ist Werbung und ohne Einwilligung geht gar nichts. Rechtliche Grundlage dafür ist übrigens die Richtlinie 2002/58, die auch die Basis für das TTDSG bildet. Manchmal passt das Timing, um die angemessene Aufmerksamkeit zu bekommen.

zurück zum Inhaltsverzeichnis

2.2 LG Karlsruhe: Verträge mit Ladestationen

Die Elektromobilität nimmt zu und damit auch die Bereitstellung von Ladesäulen. Dazu gibt es dann rechtliche Regelungen des Anbieters und hinsichtlich der Inanspruchnahme durch Verbraucher dann auch Streit um einige Formulierungen. Warum ich hier das bringe? Weil ich dabei auch nicht gleich an die Regelungen zum elektronischen Rechtsverkehr gedacht hätte, wie es das LG Karlsruhe in seinem Urteil berücksichtigt.

zurück zum Inhaltsverzeichnis

3 Gesetzgebung

3.1 TTDSG – Anwendung ab 01.12.2021

Mit der Umsetzung im TTDSG regelt der Gesetzgeber die datenschutzrechtlichen Anforderungen des Telekommunikationsrechts und des Telemedienrechts. Wer jetzt noch nichts getan ist, sollte dies schleunigst tun und sich beraten lassen oder die bestehenden virtuellen Info-Möglichkeiten nutzen (ganz so überraschend kam das TTDSG ja nun doch nicht).
Wir haben hier ja auch auf etliche (Online)-Veranstaltungen oder Praxisratgeber hingewiesen. Es finden sich auch andere empfehlenswerte Angebote im Netz. Übrigens wird Mitte Dezember noch eine entsprechende Orientierungshilfe der DSK dazu erwartet. Wenn jetzt der Eindruck aufkommt, dann könne man/frau ja noch warten: Überlegen Sie es sich nochmal. Datenschutzaufsichtsbehörden sind das eine, Wettbewerber, Verbraucherschutzverbände oder nur interessierte Bürger, die das zunehmende Aufkommen von Beschwerdetools nutzen, das andere. Aber ich verstehe auch die, die bisher gewartet haben: Diamanten entstehen auch unter Druck.

zurück zum Inhaltsverzeichnis

3.2 Koalitionsvertrag „Mehr Fortschritt wagen“

Natürlich ist das kein Gesetz, aber irgendwie muss ich ja auch was dazu schreiben. Aber aus den Erfahrungen der letzten Jahre mit Koalitionsverträgen: Das wird auch nicht alles umgesetzt. Trotzdem klingt es spannend. Lesen könnn Sie den Koalitionsvertrag u.a. hier, Zusammenfassungen gibt es auch schon, für die digitalen Themen mit der Datenschutzbrille empfehle ich das hier.

zurück zum Inhaltsverzeichnis

3.3 Europa: Digital Services Act

Nicht aus den Augen verlieren: Der DSA zur Plattformregulierung gewinnt an Kontur. Details finden Sie in den Berichten hier und dort. Dabei geht es auch um die Regulierung von „Dark Patterns“, also der manipulativen Gestaltung von Einwilligungsfeldern durch die Plattformen.

zurück zum Inhaltsverzeichnis

3.4 Whistleblowerrichtlinie

Damit es Ihnen nicht so geht wie vielleicht beim TTDSG, hier auch wieder rechtzeitig der Hinweis: Da kommt was – es wird zwar nicht die Masse betreffen, aber wissen sollte man es: Eine EU-Richtlinie muss in nationales Recht umgesetzt werden, Deutschland schafft es wieder mal nicht rechtzeitig bis zum 21.12.2021, ein Gesetz wird aber kommen. Um was es genau geht, können Sie z.B. hier lesen.

zurück zum Inhaltsverzeichnis

4 Künstliche Intelligenz und Ethik

4.1 Datenschutzrechtliche Anforderungen an KI

Hier ein Hinweis auf einen schöne Darstellung zu den datenschutzrechtlichen Aspekten bei dem Einsatz von KI.

zurück zum Inhaltsverzeichnis

4.2 GAIP: Global Partnership of Artificial Intelligence

Die einzelnen Vorträge der Veranstaltung vom November sind nun online gestellt.

zurück zum Inhaltsverzeichnis

5 Veröffentlichungen

5.1 DSFA bei MS365 für KM BW durch PWC

Ausgeschrieben heißt das: Datenschutz-Folgenabschätzung beim Einsatz von MS365 in Schulen durch das Kultusministerium Baden-Württemberg, erstellt durch PWC. Veröffentlicht wurde es über eine Anfrage bei „Frag-den-Staat“. Zwar sind Stellen, die der Geheimhaltung (?) unterliegen geschwärzt, wie die Ausführungen zu den Rechtsgrundlagen. Wer sich dafür aber interessiert, muss sich mit den Ausführgen dazu bei der Muster-Info nach Art. 13 DS-GVO begnügen. Und um die Vorfreude wieder zu dämpfen: Die DSFA ist aus dem Jahr 2020, sie bietet aber doch etwas mehr als Rechtshistorie – zumindest das Wissen nicht überrascht zu werden. Wer etwas Aktuelleres zu MS365 sucht, kann sich diesen Beitrag ansehen, wie MS365 rechtskonform eingesetzt werden könnte.

zurück zum Inhaltsverzeichnis

5.2 Versteckte Kameras mit Handy suchen

James Bond hatte Q, um mit technischen Finessen seine Aufträge erfüllen zu können. Ihnen reichen schon ein Smartphone, eine App und meine Tipps: Hier gibt es Hinweise auf eine App, die durch das Ausnutzen eines Sensors, der für Augmented Reality verwendet wird, es damit ermöglicht, versteckte Kameralinsen mit einer Trefferrate von 88,9 % zu erkennen.

zurück zum Inhaltsverzeichnis

5.3 IAPP: TIA (Tranfer Impact Assessment)

Aus dem Land, dem der EuGH ein unzureichendes Datenschutzniveau bescheinigt hat, kommt mit der IAPP eine Organisation, die auch Lösungsvorschläge präsentiert. Hier eine Vorlage, um die Prüfung des Drittstaatentransfers durchzuführen und zu dokumentieren … die müssen es ja wissen.

zurück zum Inhaltsverzeichnis

5.4 Gutachten zu Datenschutz- und Wettbewerbsrecht

In einem ausführlichen Gutachten im Auftrag des Verbraucherzentrale Bundesverband werden die Synergien zwischen Wettbewerbsrecht und Datenschutzrecht betrachtet. Wahrscheinlich um internationalen Anforderungen gerecht zu werden, nennt man es dann „Synergies between data protection law and competition law“. Ist aber trotzdem lesenswert.

zurück zum Inhaltsverzeichnis

5.5 BVDW: Leitfaden Tools zu Dienstleistern für Datenschutz-Compliance

Der Bundesverband Digitale Wirtschaft (BVDW) e.V. hat einen Leitfaden zu Dienstleistern und Tools für Datenschutz-Compliance veröffentlicht*. Anlass war die die Erweiterung des Transparency & Consent Frameworks (TCF) des IAB Europe (allein dabei komme ich aus dem Grinsen nicht mehr raus). Dabei wirken nicht nur drohende rechtliche Konsequenzen, sondern auch der Anspruch die Entscheidungen der Nutzer zu respektieren, auf die Motivation ein. Zu wissen, welche 1st- und 3rd-Party-Aktivitäten bei der Ausspielung von Werbung auf einem digitalen Angebot stattfinden, sei essenziell. Daher wurden zehn Anbieter auf zweiundzwanzig Kriterien hin untersucht und die Ergebnisse unter dem Titel „Dienstleister zur Sicherstellung eines datenschutzkonformen Digital Advertising“ zur Verfügung gestellt.

* Franks Nachtrag: Sie bleiben sich treu. Den Leitfaden gibt es nur gegen Daten 😉

zurück zum Inhaltsverzeichnis

5.6 Veranstaltungen

5.6.1 „Datenschutz im Ehrenamt“: Videokonferenzen

29.11.2021, 19:00 – 20:00 Uhr, welche Kriterien sind bei der Auswahl von Videokonferenzlösungen zu berücksichtigen, sowohl die Rechtsprechung des EuGH zu internationalen Datentransfers, als auch auf die gesetzlichen Neuerungen durch das TTDSG werden behandelt, Anmeldung erforderlich.

5.6.2 Hochschule der Medien, Stuttgart: Ein märchenhafter Abend – die zeitgenössische Bedeutung aus den unterschiedlichen Perspektiven der digitalen Ethik, des Rechts auf Privatsphäre und der Kunst

16.12.2021, 18:30 Uhr, Online-Veranstaltung in Zusammenarbeit mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) und der Jungen Staatsoper Stuttgart, das passende Märchenbuch gibt es digital dazu, Anmeldung erforderlich.

zurück zum Inhaltsverzeichnis

6 Gesellschaftspolitische Diskussionen

6.1 Microtargeting

Was passiert eigentlich online und wie finanzieren sich viele Angebote? Was innerhalb einer Minute weltweit im Netz passiert wird jährlich ermittelt und anschaulich dargestellt, dabei werden die gängigsten Anwendungen (aus westlicher Sicht) berücksichtigt. Was im Hintergrund dabei passiert und wie sich der Verkauf von Werbeanzeigen im Netz gestaltet, wurde im Europäischen Parlament nachvollziehbar erläutert. Der Protagonist dieser Vorstellung wurde nun auch einer breiteren Öffentlichkeit vorgestellt. Es ist nicht auszuschließen, dass die Regulatorik hier doch noch zuschlägt, gilt Microtargeting aufgrund des Einsatzes auch zu politischen Botschaften als eine Ursache der informationspolitischen Verwerfung der Gesellschaften, was sich auch am Beispiel des Brexit nachvollziehen ließ.

zurück zum Inhaltsverzeichnis

6.2 Facebook Überwachung

Facebook kämpft gegen Überwachung? Was muss passieren, dass ich diese Nachricht lesen darf? Klar, Überwachung und Profilbildung findet durch andere statt, hier durch die Polizei, die Fake Accounts zur Analyse und mit dem Einsatz von Software auch Verbrechen vorhersagen will. Nach alldem, was durch eine Whistleblowerin in den letzten Wochen über Facebook bekannt wurde, mag man es kaum glauben, dass es dort sogar eine Rechtsabteilung für Bürgerrechte geben soll.

zurück zum Inhaltsverzeichnis

6.3 WhatsApp: Neue Bedingungen

Ich wurde schon gefragt, bringst du was zu den geänderten Nutzungsbedingungen von WhatsApp? Nö, ist mir mittlerweile zu blöd. Es gibt Messangerangebote mit weniger Problematiken.

Franks Anmerkung: So say we all! Hier werden Alternativen verglichen…

zurück zum Inhaltsverzeichnis

7 Sonstiges/Blick über den Tellerrand

7.1 5. Auflage Lehrerhandout „Datenschutz geht zur Schule“

Begleitend zur Arbeit der Initiative „Datenschutz geht zur Schule“, die ehrenamtlich Impulse zur Sensibilisierung von Kindern und Jugendlichen im Umgang mit personenbezogenen Daten an Schulen anbietet, ist nun in der 5. Auflage ein Lehrerhandout erschienen. Das gemeinsame Projekt der Initiativen „Datenschutz geht zur Schule“, klicksafe und dem Förderpartner DATEV-Stiftung Zukunft ermöglicht es Lehrkräften aus dem knapp 230 Seiten starken Handbuch selbständig Einzelaspekte des Datenschutzes in ihrem Unterricht einzusetzen. Das Lehrerhandout steht bei der Initiative „Datenschutz geht zur Schule“ sowie auf der Website von klicksafe kostenfrei als PDF-Download zur Verfügung.

zurück zum Inhaltsverzeichnis

8. Franks Zugabe

8.1 „Daten, die vom E-Roller fallen“

Allein schon wegen der Überschrift lohnt sich meiner Meinung nach der Artikel bei mobilsicher. Natürlich auch wegen des Inhalts. Und last but not least auch wegen des letzten Satzes, quasi dem Fazit des Artikels: „Aus unserer Sicht bleibt da nur: Fahrrad fahren.“

zurück zum Inhaltsverzeichnis

8.2 Empfehlungen zur Abwehr von Desinformation im Internet

Passend zum Beitrag in 6.1 habe ich noch einen Artikel, der sich mit Desinformation auseinandersetzt. Lesenswert.

zurück zum Inhaltsverzeichnis

8.3 to VPN or not to VPN?

VPN sind aus der geschäftlich genutzten IT kaum wegzudenken. Umso bedauerlicher, wenn die dazugehörige VPN-Software zum Problem wird, wie das FBI warnt.
Apropos VPN, apropos Warnung: Auch im privaten Umfeld sollen VPN-Zugänge ihre Berechtigung haben, meist um die eigene Herkunft zu verschleiern. Da hilft es aber definitiv, wenn ein seriöser Anbieter gewählt wird. Hier ein Bericht über ein paar Anbieter, die das wohl nicht sind…

zurück zum Inhaltsverzeichnis

8.4 CERT-Bund warnt vor Zombie-Exchange-Servern

Und noch ein Beitrag, bei dem allein schon die Überschrift schon wieder dafür sorgt, dass ich ihn lesen möchte … Uff, da gibt es aber echt viele veraltete Mailserver da draußen.

zurück zum Inhaltsverzeichnis

8.5 Fahren Sie Tesla? Oder besser gesagt, würden Sie gerne?

Laut Berichten war das letzten Freitag wohl nicht so einfach, zumindest dann nicht, wenn die Fahrer ihren Tesla über die entsprechende App starten wollten. Ein schönes Beispiel dafür, dass die Zentralisierung über „die Cloud“ nicht zwangsläufig immer die beste Lösung sein muss, um es mal ganz vorsichtig und höflich auszudrücken…

zurück zum Inhaltsverzeichnis

8.6 iPhone orten, wenn es aus ist?! So behalten Sie die Kontrolle

Und noch ein Beitrag, der manche wohl eher unruhig werden lässt. Also, anschauen und ggf. anders konfigurieren, Ihr iPhone!

zurück zum Inhaltsverzeichnis

8.7 Apropos Apple, apropos NSO-Group

Ein neuartiges Konzept, welches Apple da verfolgt: Sie verklagen die NSO-Group anstelle all der geschädigten iPhone-Nutzer, deren Smartphones mit deren Spyware infiziert wurde.

Und warum apropos NSO-Group?
Israels Verteidigungsministerium hat die Exportliste für Cyberwaffen von 102 auf 37 Länder zusammengestrichen. Dummerweise darf die NSO-Group immer noch nach Deutschland exportieren, gut fürs BKA, schlecht für uns?

zurück zum Inhaltsverzeichnis

8.8 “Crypto” Means “Cryptography,” not “Cryptocurrency”

Danke Blockchain-People. Und auch solch ein T-Shirt würde ich tragen…

zurück zum Inhaltsverzeichnis