Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 50&51/2021)“, die Weihnachtsedition
Hier ist der 27. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 50&51/2021)“, die Weihnachtsedition
- Aufsichtsbehörden
- Log4shell: Dranbleiben
- DSK: Anwendungshilfe zu Beschäftigtendaten in der Pandemie
- DSK Orientierungshilfe Telemedien
- Auftragsverarbeitung bei E-Mail?
- DSK: Beschluss zu Telemetriefunktionen beim Einsatz von Windows 10 Enterprise
- Zusammenarbeit der Aufsichtsbehörden
- Hessen: Anforderungen an soziale Netzwerke
- Neue DSB in Sachsen
- Rechtsprechung
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Staatliche Cybersicherheitsarchitektur
- Überwachung und Facebook
- Open Source stärkt Wirtschaft und technologische Unabhängigkeit
- Panne zum Fest der Liebe
- Veranstaltungen
- Schulungsangebote der LDI Niedersachsen
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
- Cybersecurity – Neues rund um Pegasius und Co.
- Cybersecurity – Zoom-Client nach Common Criteria zertifiziert
- Cybersecurity – Passend zum Fest: 150 Open-Source-Sicherheitswerkzeuge
- Cybercrime – Das hat dann mal nicht geklappt
- Automatisiserte Entscheidungsfindung – Nicht immer eine gute Idee…
- Vierte noyb-Adventslesung – a deeper dive in
- Smart Toys – Passend zum Fest: Vernetztes Spielzeug
- Auskunftsersuchen und E-Mobilität
- Long Read – Opinion on the Passenger Name Record CJEU case
- Massive Sicherheitslücke im zentralen österreichischen Corona-Register legte Daten offen
- 40 Jahre Datenschutzbewegung
Wir wünschen eine gute Lektüre und eine besinnliche Weihnachtszeit!
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 Log4shell: Dranbleiben
Immer wieder kommen nun Meldungen, wie Lücken ausgenutzt werden* und auch Hinweise zu dann aktualisierten Patches**. Daher schauen Sie am Besten immer wieder auf den einschlägigen Seiten nach. Das BayLDA z.B. kennzeichnet seine Handreichung dazu mit dem jeweiligen Datum***.
* Franks Anmerkungen: Hier wäre mal die eine oder andere, hier noch eine dritte (aus Belgien) und eine vierte (ein Wurm).
** Franks weitere Anmerkungen: Wie heißt es so schön? Nach dem Patch ist vor dem Patch…
*** Und noch eine Anmerkung: So wie auch das BSI.
Franks Nachtrag: Laut wired werden wir wohl noch lange an log4j dranbleiben dürfen…
Franks zweiter Nachtrag: Und auch Weihnachten soll dieses Jahr dadurch spannend werden.
Franks dritter Nachtrag: Genug betroffene Systeme gibt es ja.
Franks vierter Nachtrag: Wenigstens ist Ingenuity nicht betroffen (siehe „December 16, 2021, Update“). Aber sollte man der NASA nicht mal erklären, dass Security through Obscurity auch nicht der beste Ansatz ist?
Franks fünfter Nachtrag: Blöd übrigens, wenn ein Programm zum Checken auf Verletzlichkeit durch log4j selbst als Sicherheitsrisiko markiert wird.
Franks sechster Nachtrag: Wenn Sie diesen gesamten Beitrag und auch noch 5.3 Open Source stärkt Wirtschaft und technologische Unabhängigkeit gelesen haben, freut Sie vielleicht diese Meldung. Ich bin zwar immer noch nur mäßig optimistisch, aber…
1.2 DSK: Anwendungshilfe zu Beschäftigtendaten in der Pandemie
Was darf ich mit Beschäftigtendaten, was muss ich mit Beschäftigtendaten im Zusammenhang mit der Pandemie machen? Zu diesen Fragen hat die DSK eine Anwendungshilfe „Häufige Fragestellungen nebst Antworten zur Verarbeitung von Beschäftigtendaten im Zusammenhang mit der Corona-Pandemie“ veröffentlicht.
1.3 DSK Orientierungshilfe Telemedien
Alle die sich bereits mit der Umsetzung der Anforderungen des TTDSG befasst haben, können nun mit der „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021“ prüfen, ob die eigene Einschätzung mit derjenigen der DSK übereinstimmt. Alle anderen können sich nun gleich daran orientieren. Wie aus der Pressemitteilung dazu hervorgeht, will die DSK dazu noch ein Konsultationsverfahren durchführen, Näheres gibt sie im Januar bekannt. Eine Betrachtung der Orientierungshilfe findet sich hier.
Der LfD Bayern ergänzt für seinen Zuständigkeitsbereich mit einer eigenen Ausgabe einer Orientierungshilfe zum TTDSG.
1.4 Auftragsverarbeitung bei E-Mail?
Brauche ich bei einem E-Mail-Dienstleister eine Vereinbarung zur Auftragsverarbeitung? Die einen sagen so, die anderen so und die DSK äußert sich später dazu. Hier eine schöne Darstellung anlässlich einer Anfrage an Frag den Staat.
1.5 DSK: Beschluss zu Telemetriefunktionen beim Einsatz von Windows 10 Enterprise
Die DSK hat sich Windows 10 Enterprise in der Version 1909 genauer angesehen und die Erkenntnisse in einem Beschluss veröffentlicht. Basis war auch eine Studie des BSI. Als Konsequenzen für Verantwortliche wird u.a. darauf hingewiesen, dass Verantwortliche den Nachweis für die Rechtmäßigkeit etwaiger Übermittlungen personenbezogener Daten an Microsoft erbringen oder die Übermittlung personenbezogener Daten unterbinden müssen. Zur Unterbindung der Übermittlung personenbezogener Telemetriedaten haben die Verantwortlichen beim Einsatz der Enterprise-Edition die Telemetriestufe Security zu nutzen und mittels vertraglicher, technischer oder organisatorischer Maßnahmen (z. B. durch eine Filterung der Internetzugriffe von Windows-10-Systemen über eine entsprechende Infrastruktur) sicherzustellen, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet.
Auch sollte Windows 10 in allen angebotenen Editionen die Möglichkeit bieten die Telemetriedatenverarbeitung durch Konfiguration zu deaktivieren. Dazu und zu den in den Labor-Untersuchungen der DSK und der SiSyPHus-Studie des BSI aufgezeigten verbliebenen Unwägbarkeiten würden die Datenschutzaufsichtsbehörden das weitere Gespräch mit Microsoft führen.
Franks Nachtrag: Da hatte ja mal beim Benennen der Studie jemand richtig Humor beim BSI. Chapeau!
1.6 Zusammenarbeit der Aufsichtsbehörden
Dass sich Aufsichtsbehörden manchmal nicht einig sind oder unterschiedliche Sichtweisen haben, ist nach deren Ansicht kein Versagen, sondern ein Zeichen, dass die DS-GVO funktioniere.
1.7 Hessen: Anforderungen an soziale Netzwerke
Welche Anforderungen stellt eine Aufsichtsbehörde an soziale Netzwerke? Dies beantwortet Prof. Roßnagel in einem Betrag einer Zeitung.
1.8 Neue DSB in Sachsen
Ab 1. Januar 2022 übernimmt Dr. Julia Hundert die Aufgaben als Sächsische Datenschutzbeauftragte.
2 Rechtsprechung
2.1 Schadenersatz für Opfer eines Datenlecks
Was kann schon bei einem Datenleck passieren – Meldung an die Aufsichtsbehörde und Benachrichtigung der Betroffenen, oder?
Wenn das Urteil aus diesem Fall rechtkräftig wird, kommt das dicke Ende oft noch im Nachgang.
Hier ging es um ein Datenleck, bei dem Daten wie Namen und dazugehörige Ausweis- und Steueridentifikationsnummern, Mail-Adressen und Ausweiskopien etc. abhanden gekommen waren und ins Darknet gestellt wurden. Ein Betroffener klagte und bekam nun 2.500 Euro Schadensersatz zugesprochen. Dummerweise waren damals ca. 33.000 Personen betroffen, die nun auch noch Forderungen aufstellen könnten.
Das Urteil hat aber auch noch einen anderen Aspekt: Unternehmen und Organsiationen wie dieses Unternehmen bieten Opfern von Datenlecks an schnell und unverbindlich zu helfen und z.B. gegen eine Beteiligung am Schadensersatz die rechtliche Vertretung zu organisieren. Vielleicht hilft das im einen oder anderen Fall doch über wirksame Schutzmaßnahmen nachzudenken. Datenschutzaufsichtsbehörden sind bei dem Thema Schadensersatz übrigens nicht beteiligt.
2.2 BAG zum Auskunftsanspruch
Für die Beklagten ist das sicher schon ein vorgezogenes Weihnachten – mal sehen, ob es das auch bleibt, wenn das ausformulierte Urteil veröffentlicht ist. Nach Informationen der Beklagtenseite sind laut BAG von einem Auskunftsanspruch nach Art. 15 DS-GVO keine E-Mails etc. umfasst. Die Vorinstanz, das LAG Baden-Württemberg, sah dies noch anders.
2.3 LG Saarbrücken: Vorlage zum EuGH zu Art. 82 DS-GVO
Immer wieder gibt es Unklarheiten zur Auslegung der Regelungen zum Schadensersatz nach Art. 82 DS-GVO. Nun legt das LG Saarbrücken dem EuGH einige Fragen zur Klärung vor.
2.4 Klärung der Anforderungen des Art. 91 DS-GVO vor EuGH?
In einem Verfahren vor dem VG Hannover besteht die Chance, dass einige Fragen zur Anwendbarkeit und den Voraussetzungen des Art. 91 DS-GVO dem EuGH vorgelegt werden. Letztendlich scheint derzeit jede Glaubensgemeinschaft zu glauben, dass sie ihre eigene Datenschutzrecht inkl. Aufsicht bilden könne. Mehr dazu hier.
3 Gesetzgebung
3.1 EU-Kommission: Angemessenheitsbeschluss für Republik Korea
Der Angemessenheitsbeschluss der EU-Kommission für die Republik Korea wurde nun veröffentlicht.
Was das bedeutet, hat eine Kanzlei hier kompetent zusammenfasst.
3.2 Verzicht auf Vorratsdatenspeicherung?
Jahrelang ging es zwischen Gesetzgebung und Rechtsprechung hin- und her: Regelungen zur anlasslosen Speicherung von Metadaten der Kommunikation wurden jedes Mal durch Gerichte auf nationaler oder europäischer Ebene für unzulässig erklärt. In einem Interview wird der neue Bundesjustizminister nun zitiert, er wolle diese aus dem Gesetz streichen lassen.
Franks Nachtrag: Zeit wäre es. Allerdings bin ich erst mal nur mäßig optimistisch. Ich lasse mich aber in diesen Zusammenhang gerne positiv überraschen!
3.3 Neues Datenschutzrecht in den Vereinigten Arabischen Emiraten
Wir erinnern uns, wie es als Erfolg gefeiert wurde, dass über das Marktortprinzip der DS-GVO ein „playing level field“ der Anbieter geschaffen wurde, dass weltweit gleiche Bedingungen herrschen, wenn Daten von Europäern verarbeitet werden. Nun gab es in den Vereinigen Arabischen Emiraten eine große Gesetzesreform, bei der allerlei Regelungen neu gestaltet wurden, u.a. aucb der Datenschutz:
„The Personal Data Protection Law constitutes an integrated framework to ensure the confidentiality of information and protect the privacy of community members by providing proper governance for optimal data management and protection, in addition to defining the rights and duties of all concerned parties.
The provisions of the law apply to the processing of personal data, whether all or part of it through electronic systems, inside or outside the country.
The law prohibits the processing of personal data without the consent of its owner, with the exception of some cases in which the processing is necessary to protect the public interest, or that the processing is related to the personal data that has become available and known to all by an act of the data owner, or that the processing is necessary to carry out any of the legal procedures and rights.
The law defines the controls for the processing of personal data and the general obligations of companies that have personal data and defines their obligations to secure personal data and maintain its confidentiality and privacy.
It also defines the rights and cases in which the owner has the right to request correction of inaccurate personal data, restrict or stop the processing of personal data. The law sets out the requirements for the cross-border transfer and sharing of personal data for processing purposes.“
Was heisst das nun für Unternehmen, die Daten der Bürger der Vereinigten Arabischen Emirate auch außerhalb des Landes verarbeiten? Wo kein Kläger, da kein Richter?
Franks Nachtrag: Ist eigentlich die Position einer Ankündigung innerhalb einer Liste von Ankündigungen ein Maßstab für die Wichtigkeit der jeweiligen Ankündigung?
4 Künstliche Intelligenz und Ethik
4.1 Datenschutz und Künstliche Intelligenz
Mit der Thematik „Datenschutz und Künstliche Intelligenz“ befasste sich der Datentag der Stiftung Datenschutz, die nun auch Folien und Aufzeichnungen der Vorträge auf ihrer Webseite veröffentlichte.
4.2 Möglichkeiten der KI
Was kann eine KI alles? Schafft sie es auch neue Vermutungen und Theoreme aufzustellen, die bisher als Domäne menschlicher Intuition galten? Wen das interessiert: Bitte hier weiterlesen.
4.3 BNetzA: Künstliche Intelligenz mit viel Potenzial im Netzbereich
„KI bietet in den Netzsektoren zahlreiche Einsatzfelder und große Wertschöpfungspotenziale. Der Einsatz von KI insbesondere zur Qualitätsverbesserung und Effizienzsteigerung ermöglicht auch große Chancen für mehr Nachhaltigkeit in den Netzsektoren. Es gilt die aktuelle Dynamik zu nutzen und die richtigen Weichenstellungen in regulatorischer Hinsicht zu treffen“.
Wer dazu mehr wissen oder die Aussage des Vizepräsidenten der BNetzA einfach nachprüfen will, kommt um den Bericht der BNetzA zur KI in den Netzsektoren nicht herum. Er enthält erste Ergebnisse aus einer Konsultation zum Einsatz von KI in den Netzsektoren Telekommunikation, Elektrizität, Gas, Post und Eisenbahnen.
5 Veröffentlichungen
5.1 Staatliche Cybersicherheitsarchitektur
Wer Wimmelbilder mag, ist im Bereich Sicherheitsarchitektur gut aufgehoben. Beispiel gefällig? Hier die Darstellung der staatlichen Sicherheitsarchitektur in Deutschland. Durch die förderale Struktur wird es nicht einfach und in 2022 könnte man sich überlegen die Darstellung als Übung gegen Demenz mit Legesteinen anzubieten, bei der die Zuständigkeiten nach kurzem Einprägen korrekt gelegt werden müssen.
5.2 Überwachung und Facebook
Facebook duldet keine Überwachung – durch andere. Das war zumindest mein erster Gedanke bei dem Bericht über die Warnungen durch Facebook (und Meta) über die Ausspähung von Accounts.
5.3 Open Source stärkt Wirtschaft und technologische Unabhängigkeit
Es ist sicherlich keine Überraschung, wenn eine Open Source Business Alliance im Einsatz von Open Source viele Vorteile entdeckt. Es passt aber in die Zeit, wenn alle von „Digitaler Souveränität“ sprechen und bezogen auf Technologieeinsatz Open Source hier dann tatsächliche eine Antwortmöglichkeit bietet. Aber eben auch zu Fragen des Drittstaatentransfers. Auffällig ist auch das Mission Statement eines Sovereign Tech Fund, der durch das BMWi unterstützt wird:
„Die Entwicklung, Verbesserung und Instandhaltung von Offenen Digitalen Basistechnologien soll durch einen Sovereign Tech Fund unterstützt werden. Das Ziel ist die nachhaltige Stärkung des Open-Source-Ökosystems, mit einem Fokus auf Sicherheit, Resilienz, technologischer Vielfalt und auf die Menschen hinter den Projekten.“
5.4 Panne zum Fest der Liebe
Datenlecks scheinen Konjunktur zu haben. Ob das Datenleck bei einem Erotikversandhändler vor dem Fest der Liebe auf Begeisterung stößt, sei dahingestellt. Vor dem Hintergrund der Entscheidung zum Schadenersatz bei Datenpannen und anlässlich einiger Sicherheitsmeldungen, empfiehlt sich dann doch auch die Überprüfung eingerichteter Sicherheitsmaßnahmen und Patches auf Aktualität.
5.5 Veranstaltungen
5.5.1 Schulungsangebote der LDI Niedersachsen
Für das Jahr 2022 hat die LDI Niedersachsen ihr Schulungsangebot veröffentlicht. Natürlich finden diese online statt.
6 Gesellschaftspolitische Diskussionen
6.1 Zertifizierungen für Lernsoftware?
Da wurde ich hellhörig: Zertifizierungen für Software? Etwa nach Art. 25 Abs. 3 der DS-GVO? Das geht dann wieder nicht aus dem Beitrag hervor, in dem auch von Gütesiegel gesprochen wird. Schön, dass es scheinbar künftig im Bildungsbereich auch objektive Kriterien bei der Auswahl gibt, die IT-Sicherheits- und Datenschutzaspekte berücksichtigen lassen.
7 Sonstiges/Blick über den Tellerrand
7.1 Adventslesung mit noyb
Weil´s zur Jahreszeit passt und weil der BfDI für nächstes Jahr Maßnahmen gegenüber Behörden ankündigte, die noch einen Facebook-Account nutzen und auch die anderen Aufsichtsbehörden bei Beschwerden tätig werden, hier auch was zu Facebook. Wie geht Facebook mit den Anforderungen des Drittstaatentransfers um?* BfDI und die jeweils zuständige Aufsichtsbehörde diskutieren wahrscheinlich nicht über die Auslegung des EuGH zu Gemeinsamer Verantwortlichkeit und zum Drittstaatentransfer, sie setzen diese Rechtsprechung dann nur um.
* Franks Nachtrag: Hey, das war meine Meldung…
8. Franks Zugabe
8.1 Cybersecurity – Neues rund um Pegasius und Co.
Angefangen haben die Überlegungen zu diesem Beitrag mit dem Lesen des Kommentars von Jürgen Schmid auf heise.de zu Pegasus, den er passend mit „Leider geil: …“ überschrieb. Darin erläutert er, wie perfide die Konstrukteure Exploits ausnutzen. Atemberaubend. Denn jemand hat es durch Ausnutzen eines sehr alten Fehlers im Kompressionsverfahren namens JBIG2 aus Fax-Zeiten geschafft im Buffer Overflow einen virtuellen Computer zu bauen, auf dem dann erst der eigentliche Exploit lief. Wenn diese Kreativität doch nur auf sinnvolle Ziele gelenkt worden wäre…
Unabhängig davon ist die NSO-Group mittlerweile auf den Status eines Pariahs gestuft worden, sie haben nämlich Kunden bedient, die die Software gegen Bedienstete des US State Department eingesetzt haben. Ups…
Und nicht nur das ist schlecht fürs Geschäft, nein es gibt mittlerweile auch ernsthafte Konkurrenz: Intellexa, the so-called ‚Star Alliance of spyware‘.
Tja, und die vertreiben Predator. Wer jetzt an den Film denkt, hat zwar früher(TM) gute Filme geschaut, liegt aber trotzdem falsch.
Predator nutzt auf dem iPhone die Apple Kurzbefehle. Entdeckt wurde die Software auf den iPhones zweier Ägypter (eines exilierten Politikers und einer auf Anonymität hoffenden TV-Persönlichkeit). Und hier schließt sich wieder der Kreis, denn das iPhones des Exil-Politikers war sowohl mit Predator als auch mit Pegasus infiziert.
Das einzig Gute für uns (iPhone-Nutzer)? Mit iOS 14.8 wurde die ausgenutzte Sicherheitslücke, die Pegasus nutzt, behoben. Wer sich für die genaue Analyse des oben beschriebenen, leider geilen, Exploits interessiert, möchte vielleicht bei Googles Project Zero nachlesen.
8.2 Cybersecurity – Zoom-Client nach Common Criteria zertifiziert
Berichten zufolge hat der Zoom-Client in der Versionm 5.6.6 die Common-Criteria-Zertifizierung des BSI bestanden und das Zertifikat bekommen. Die Bewertung der Berliner Datenschutzaufsicht wird deswegen immer noch nicht grün…
Derweil bietet Microsoft bei Teams immerhin teilweise Ende-zu-Ende-Verschlüsselung an. Zumindest für Einzelanrufe soll das manchmal klappen. Na dann. Und als Bonusfeature schalteten sie (zumindest zeitweise) die Notruffunktion auf Android-Smartphones aus.
8.3 Cybersecurity – Passend zum Fest: 150 Open-Source-Sicherheitswerkzeuge
Geschenke, Geschenke, heute gibts Geschenke. Na ja, nicht von uns, aber zumindest etwas Ähnliches:
Wir sind beim genossenschaftlich organisierten US-amerikanischen Fortbildungsinstitut SANS fündig geworden, dieses veröffentlicht Sicherheitswerkzeuge für Incident Response, Cloud-Security und mehr. Hier geht es direkt zur Liste, hier zum begleitenden Artikel von iX.
Bei der Gelegenheit, ich hatte ja schon im letzten Blogbeitrag Hintergrundinformationen zu Telegram aus dem Open-Source-Adventskalender von heise.de verlinkt, das würde ich gerne noch ergänzen mit Hintergrundinformationen zum Messenger Signal und zum Elements-Messenger bzw. zum Matrix-Protokoll. Beide kommen auch aus dem Open-Source-Adventskalender, den ich insgesamt durchaus interessant fand.
Und achten Sie immer schön auf aktuelle Software (wir hatten das ja auch schon in diesem Blog-Beitrag), denn zu Weihnachten soll es unruhig werden.
8.4 Cybercrime – Das hat dann mal nicht geklappt
Ein Sony-Angestellter hatte sich in Japan gedacht, wenn die doch so viel Geld hin- und herüberweisen, da müsste ich doch etwas von abzwacken können. Und nachdem er das getan hatte, hat er die knapp 150 Mio. Dollar gleich in Bitcoins umgewandelt, denn dann ist das Geld ja weg und niemand kommt dran und weiß auch nicht, wem es gehört.
Wie sich herausstellte, lag er mit dieser Einschätzung falsch. Das FBI hat a) Sony unterstützt und b) scheinbar auch das Geld wieder zurückgegeben, nachdem sie die Bitcoins bekommen und Zugriff auf den Privatschlüssel des Wallets erlangt hatten.
Was sind die Lehren aus dieser Geschichte? Crime doesn’t pay? Das FBI gibt Geld zurück? Oder der weihnachtliche Spirit war bei der Arbeit?
Suchen Sie es sich aus…
Franks Nachtrag (ja, ich mache das immer noch): Apropos Bitcoins – Die Sparkassen haben da auch etwas vor…. Warum muss ich schon wieder an Bingo denken?
8.5 Automatisiserte Entscheidungsfindung – Nicht immer eine gute Idee…
Die automatisierte Entscheidungsfindung ist ja eines der „heißen Themen“ der DS-GVO. Die Betroffenen haben gemäß Art. 22 DS-GVO das Recht, dass sie nicht ausschließlich auf Grundlage einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen werden.
Wenn es aber scheinbar doch passiert, die Verantwortlichen denken, dass das eine gute Idee ist?
Dann geht es ihnen entweder wie der Schufa, oder es geht ihnen so wie Amazon bzw. Airbnb.
noyb hat gegen beide Unternehmen Beschwerde bei der jeweils zuständigen Aufsichtsbehörde eingelegt.
Amazon hat eine Beschwerde bei der Luxemburgischen Datenschutzaufsicht kassiert, da sie im E-Recruiting ihrer Crowdworking-Plattform www.mturk.com scheinbar ausschließlich auf automatisierte Einzeflfallentscheidungen, die sie aus Gründen des Geheimnisschutzes auch nicht begründen wollen, setzen.
Meine Gedanken dazu: Das ist a) schlecht fürs Image und kann b) teuer werden.
Airbnb hat eine Beschwerde beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz bekommen, da sie Bewertungen der Hosts automatisiert ohne Angabe von Gründen und „endgültig“ haben löschen lassen und im konkreten Einzelfall auch nach anderthalb Jahren noch keine Auskunft zum Vorgang erteilt haben.
Drücken wir die Daumen, dass zu Gunsten der Beschwerdeführerin und ähnlich offensiv wie bereits gegen Amazon entschieden wird…
8.6 Vierte noyb-Adventslesung – a deeper dive in
Nachdem mir Kollege Kramer die eigentliche Meldung ja bereits weggenommen hat, führe ich Sie tiefer in den Kaninchen-Bau:
Zum einen empfehle ich Ihnen die weiterführende Lektüre zu Facebooks TIA bzw. man die Entscheidungen des EuGH in drei Schritten ignoriert. Darin enthalten weitere sehenswerte Videos und Erläuterungen.
Zum anderen möchte ich aus dem Original-Beitrag zur vierten Adventslesung ausdrücklich auf den Beitrag von John Oliver zu SLAPP-Suits hinweisen. Extrem sehenswert (wie eigentlich fast alles von John Olivers Show Last Week Tonight), aber tatsächlich leider nur bei Youtube. Knapp über 26 Minuten, die „well spent“ sind…
8.7 Smart Toys – Passend zum Fest: Vernetztes Spielzeug
Apropos Weihnachten:
Ich hoffe, Sie haben daran gedacht, dass vernetzte Spielzeuge nicht immer eine gute Idee sind.
Die EU hat es auf jeden Fall gemerkt, zumindest der Binnenmarkt-Ausschuss im EU-Parlament.
Die Bundesnetzagentur hat übrigens auch im Jahr 2021 wieder drei vernetzte Spielzeuge als „verbotene Sendeanlage“ eingestuft.
Da sollte also immer genügend Aufwand in die Auswahl gesteckt werden.
8.8 Auskunftsersuchen und E-Mobilität
Ok, die Überschrift verspricht vielleicht mehr, als dieser Beitrag hält. Aber egal.
Als Skoda-Fahrer fand ich diesen Erfahrungsbericht interessant. Und ich freue mich auf die nächste c’t-Ausgabe.
8.9 Long Read – Opinion on the Passenger Name Record CJEU case
Da der Titel schon sehr viel zum Inhalt sagt, hier nur noch ein paar Links:
Die volle Studie, das 26-seitige Management-Summary (nicht umsonst nenne ich es long-read) und die Seite, auf der alles zu finden ist. Ich gebe zu, dass ich bisher noch nicht das lange Papier gelesen habe. Aber es kommen ja (hoffentlich) noch ruhige Tage…
8.10 Massive Sicherheitslücke im zentralen österreichischen Corona-Register legte Daten offen
Das ist „zwar nur“ in Österreich passiert, aber ich würde meine Hand nicht dafür ins Feuer legen wollen, dass Vergleichbares nicht auch in Deutschland passieren kann oder bereits passiert ist.
Mein erster Gedanke, als ich mich darüber informiert hatte, war übrigens „Der Sub vom Sub vom Sub … arbeitet auf Privatrechnern?“.
Wie ich finde, immer eine gute Idee bei sensiblen Daten wie denjenigen, die im Zusammenhang mit der Pandemie stehen!
8.11 40 Jahre Datenschutzbewegung
Und zum Ausklang ein Beitrag von digitalcourage, in dem Rena Tangens aus ihrer Perspektive (mehr als) 40 Jahre Datenschutzbewegung Revue passieren lässt. Durchaus informativ, das.