|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
|
Hamburg, den 01. September 2024
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:
|
- Datenschutz und Inkassounternehmen
- Geblitzt werden mit dem Firmenwagen
- Telegram-Messenger
- Aktuelles aus dem Datenschutz
|
1. Datenschutz und Inkassounternehmen
Ich darf diesen Fall eines Kunden anonymisiert veröffentlichen. Ich erhielt einen Anruf mit der Frage: "Dürfen die meine Daten eigentlich so lange speichern?" Dahinter verbarg sich ein sehr interessanter Fall.
|
Einer meiner Kunden hatte sich im Jahr 2000 im Streit mit einem Partner von diesem getrennt. Ohne sein Wissen gab es noch offene Telefonrechnungen, für welche er persönlich haftete. Hierüber wurde er seitens eines Inkassounternehmens im Jahr 2002 informiert. Die Abrechnung des Inkassounternehmens hatte eine Doppel- und Falschberechnung. Der Saldo wurde seitens meines Kunden um ca. EUR 450,00 reduziert und beglichen. Das Inkassounternehmen forderte auch die EUR 450,00. Dem wurde 2022 widersprochen und das Klageverfahren gefordert. Hiernach hörte mein Kunde nie wieder von der Sache. 22 Jahre später, man kann es kaum glauben, wandte sich das Inkassounternehmen erneut an meinen Kunden und forderte mit Zinsen und Zinseszinsen nun gut EUR 2.600 ein. Unterlagen besitzt mein Kunde inzwischen nicht mehr in der Sache.
|
Eine Forderung verjährt in der Regel nach 3 Jahren, wenn man kein Anerkenntnis der Schuld unterschrieben hat. Dieses versteckt sich oft in Raten- oder sonstigen Vereinbarungen mit Inkassounternehmen. Mein Tipp wäre: Nie etwas unbedacht von einem Inkassounternehmen unterschreiben. Unabhängig der Frage einer Verjährung stellt sich aber auch die Frage nach einer Verwirkung. Wenn das Inkassounternehmen 22 Jahre den Betrag nicht eingefordert hat, kann der Gläubiger davon ausgehen, dass dieses nicht mehr erfolgt und sich dahingehend einstellen. Eine Verwirkung ist hier anzunehmen und kann dem Eintreiben der Forderung entgegen gehalten werden. Ich möchte aber den Datenschutzaspekt betrachten.
|
In diesem Fall hatte das Inkassounternehmen die Forderung gekauft. Der Telefonanbieter hatte alle personenbezogenen Daten nach Ablauf gesetzlicher Aufbewahrungsfristen gelöscht. Das Inkassounternehmen hatte im Jahr 2002 das Eintreiben der Forderung eingestellt. Die Buchhaltungspflichten zwingen dazu, nicht eintreibbare Forderungen abzuschreiben. Die gesetzlichen Aufbewahrungsfristen von 6 und 10 Jahren, je nach Art der Unterlagen sind bereits abgelaufen. Die Unterlagen hätten aus diesem Grund gelöscht werden müssen. Das Inkassounternehmen könnte aber, auf der Grundlage eines berechtigten Interesses, die Unterlagen auch darüber hinaus, bis zu 30 Jahre aufbewahren, um die Ansprüche noch geltend zu machen.
|
Ein berechtigtes Interesse kann aber eigentlich nur dann begründet werden, wenn tatsächlich noch die rechtlichen Voraussetzungen bestehen, die Forderung überhaupt eintreiben zu können. Durch Verjährung und Verwirkung ist dieses nach 22 Jahren nicht mehr der Fall. Das Inkassounternehmen setzt vielmehr darauf, dass der Gläubiger aus Unkenntnis der Rechtslage und Angst vor einem Inkassoverfahren eine Zahlung leistet. Fraglich ist, ob man hiermit ein berechtigtes Interesse begründen kann. Präzedenzfälle hierzu gibt es nicht. In meiner persönlichen Auffassung, hätten die Unterlagen daher bereits nach 6 und soweit Jahresabschlussrelevant nach 10 Jahren gelöscht werden müssen, da keine Handlungen zur Einbringung der Forderung nach 2002 mehr getätigt wurden. Der Fall wird vor die Aufsichtsbehörde gehen und ich bin gespannt, wie man dieses dort sieht.
|
2. Geblitzt werden mit dem Firmenwagen
Es ist kaum zu glauben, aber selbst beim Geblitzt werden, können sich heutzutage Datenschutz-Fragen stellen. Das Verwaltungsgericht Berlin hatte dazu einen interessanten Fall. Die Polizei blitzte ein Auto, welches innerorts die Höchstgeschwindigkeit um 30 km/h überschritten hatte. Halter war ein Unternehmen. Das Unternehmen bestritt den Verstoß und machte keine Angaben zur Fahrer*in, was erlaubt ist. Weitere Ermittlungen zur Feststellung der Fahrer*in seitens der Ermittlungsbehörden wurden nicht geführt. Stattdessen wurde ein Fahrtenbuch auferlegt. Hiergegen klagte das Unternehmen vor dem Verwaltungsgericht.
|
Der Richter vor dem Verwaltungsgericht sah sich die Akte an und benutzte dann seinen Kopf. Er machte die Überlegung, dass ein sehr teurer Audi Quattro wohl von der Geschäftsführung gefahren wird, googelte das Unternehmen, guckte im Impressum wer Geschäftsführer ist, googelte diesen Namen und fand das öffentliche XING Konto des Mannes, das auch ein Bild beinhaltete. Das Bild war ohne Zweifel das des Fahrers auf dem Blitzerfoto. Somit war die Identität ermittelt. Manche Dinge lassen sich heutzutage recht einfach herausfinden. Der Richter hat dann das Fahrtenbuch gekippt, aber ebenso entschieden, dass eine Behörde alle zumutbaren Möglichkeiten zur Ermittlung einer Person durchführen muss und in diesem Fall auch "Googeln" des Geschäftsführers dazugehört hätte, um den ordentlichen Ermittlungsgrundsatz zu erfüllen.
|
Und jetzt natürlich die Frage: Verstößt es gegen den Datenschutz oder gegen irgendwelche Persönlichkeitsrechte des Geschäftsführers, wenn man diesen einfach googelt und sein XING Konto für eine Ermittlung seiner Identität in einem Verkehrsdelikt heranzieht? Diese Frage führt unweigerlich zur darüber stehenden, grundsätzlichen Frage: Sollen Polizei und Staatsanwaltschaft mit Foto-Rückwärtssuche arbeiten dürfen und auch soziale Medien für Ermittlungen durchsuchen dürfen? In den USA ist das gang und gebe. In Europa tut man sich teilweise schwerer damit und wiegt die Persönlichkeitsrechte natürlicher Personen höher. Es kommt auf die schwere der Straftat an und die Verhältnismäßigkeit des Mittels. Daneben auch darauf, ob man in Informationen der Öffentlichkeitssphäre sucht oder in welchen, die zum geschützten Bereich einer Person gehören.
|
In der Abwägung obigen Falls sollte die Nutzung des öffentlich zugänglichen Bildes in einem XING-Konto zur Ermittlung der Identität in einem Verkehrsdelikt als verhältnismäßig einzuschätzen zu sein. Die Ansichten hierzu sind aber umstritten und diese Ermittlungs-methode sollte vom Gesetzgeber geregelt werden. Tatsächlich wird dieses in der Politik auch derzeit sehr komplex diskutiert. Ich bin gespannt, was irgendwann mal als Verordnung oder Gesetz dabei herrauskommt.
|
3. Telegram-Messenger
Ich erzähle die Geschichte zu Telegram in Kurzform: Ein Pawel Durow, seinerzeit russischer Staatsbürger in Russland, und sein Bruder hatten den Messenger 2013 gegründet. Sie hatten in Russland auch bereits sowas wie das "russische Facebook" ins Leben gerufen, waren dort recht bekannt und auch reich geworden. Der russische Staat hat sie dann drangsaliert und sie mussten ihr Facebook-Äquivalent an diesen verkaufen. Auch auf Telegram wollte der Staat zugreifen. Diesem entzog sich Durow nebst Telegram aber und begab sich ins Ausland. Berlin, London, Singapur, San Francisco und am Ende Dubai. Man kann so einen Dienst quasi von überall betreiben. Zeitweilig war es unbekannt, wo Durow sich genau aufhält und wer Telegram nun wirklich betreibt. Irgendwie ist letzteres das auch immer noch. Und wie genau Durow die französische Staatsbürgerschaft erhalten hat, ist auch eine Frage, zu der es diverse Antworten gibt.
|
Inhaltlich ging es Durow darum, dass Telegram die "Freie Meinungsäußerung" leben soll. Seine Umsetzung davon ist, dass jeder alles machen darf, was er will. Auch dann, wenn es illegal ist. Das ist die Kritik an Telegram, die redliche Demokraten haben. Es werden dort verbotene sexualisierte und sonstige Inhalte ausgetauscht, Terroranschläge geplant, Hass und Hetzte verbreitet etc. Niemand greift ein. Ob wirklich jede Kommunikation auch end-to-end verschlüsselt ist, weiß ebenso niemand wirklich. Was wer mitlesen kann, ist ein Geheimnis der Telegram-Betreibenden, von denen niemand so genau weiß, wer sie sind und wo in der Welt sie sitzen.
|
Durow reiste Ende August nach Paris. Er war vorher in Aserbaidschan gewesen, hatte dort Hunger bekommen und wollte mal in Frankreich essen. Am Flughafen in Paris wurde er sofort verhaftet. Der Haftbefehl war eigentlich bekannt. Er hätte es kommen sehen können, aber sah es nicht kommen. Wie dem such sei: Ihm wird vorgeworfen mit Telegram illegale Inhalte, insbesondere die Verbreitung von Kinderpornografie zu begünstigen. Nun sitzt er im Gefängnis und Telegram läuft trotzdem irgendwo durch irgendwen weiter.
|
Das brisante daran ist, dass nun etwas Panik in Russland herrscht. Telegram ist nämlich das eigentlich einzige Kommunikationsmittel der russischen Armee im Ukrainekrieg. Man befürchtet nun, dass Durow sich frei kaufen wird, indem er Zugangsschlüssel zu Telegram preisgibt und westliche Geheimdienste die Kommunikation der russischen Armee lesen können. Wenn Sie mich fragen: Das klingt alles wie eine Geschichte aus einem Kindergraten.
|
4. Aktuelles aus dem Datenschutz
Die bekannte Youtuberin "Lena" wurde nach TV-Recherchen damit konfrontiert, dass sie in einem Sexvideo zu sehen sei. Bis dato wusste die Youtuberin nichts davon, denn sie hatte nie ein solches Video gedreht, geschweige denn veröffentlicht. Sie wurde mit Hilfe von KI in dieses Video hineingebaut. Es war ihr Gesicht, aber nicht ihr, nur ein ähnlicher Körper. Dieses ist leider kein Einzelfall mehr. Neben KI generierten pornografischen Videos und Bildern sind unaufgefordert erhaltene Dick-Pics und die unerlaubte Veröffentlichung von Nacktaufnahmen im Internet eine fast alltäglich Straftat. Inzwischen wird jede zweite Frau in der EU Opfer digitaler sexueller Gewalt. Ansätze dieses Problem irgendwie in den Griff zu bekommen, sind nicht in Sicht. Derartige Straftaten nehmen derzeit dynamisch zu. Alles deutet leider daraufhin, dass dieses auch in den kommenden Jahren so weitergehen wird. Ein ganz schwieriges Feld mit einem sehr großen psychosozialen Risiko für betroffene Personen.
|
Fakes gibt es aber nicht nur per Bild und Video. Ein hochrangiger Manager eines Automobilherstellers wurde durch KI getäuscht und nahm zuerst an einem Chat und dann einem Telefonat mit dem Ferrari-Chef Benedetto Vigna teil. Es war aber nicht der Ferrari-Chef, sondern nur ein KI-Fake von Cyberkriminellen, die an sensible Informationen kommen wollten. Der Manager erkannte erst im weiterführenden Gesprächsverlauf Unstimmigkeiten und wurde misstrauisch. Er fragte nach einer Buchempfehlung, die er jüngst vom Ferrari-Chef erhalten hatte. Daraufhin beendeten die Kriminellen das Gespräch.
|
Zunehmend werden KI-Tools auch zu Zwecken betrieblicher Organisation eingesetzt, eingeschlossen der Organisation des Personals. Eine Studie der Friedrich-Ebert-Stiftung berichtet über zunehmende Kontrolle von Mitarbeiter*innen durch KI-Tools in der Arbeitswelt. Dieses vor allem in Branchen wie Gastronomie, Call-Centern Gesundheitswesen oder Verkauf. Hierbei sind wir in Deutschland noch weit von japanischen Verhältnissen entfernt, wo Mimik und Gestik von Mitarbeiter*innen per KI überwacht werden. Dennoch sollte man diese Entwicklung genau beobachten und breit diskutieren, wie weit man Kontrollmethoden in der Arbeitswelt gut heißen will.
|
KI gibt es auch in Bayern, obwohl man so viel Innovation mit der CSU gewöhnlich gar nicht in Verbindung bringen würde. In Essenbach steht die erste KI-Ampel Deutschlands. Die KI ist dabei so ausgerichtet, dass Sicherheit deutlich vor Verkehrsfluss geht. Fußgänger und Radfahrer werden bevorzugt. Das Pilotprojekt soll nach einem Jahr ausgewertet werden. Bisher ist bekannt, dass es bei den Autofahrern nicht gut ankommt und diese durch den hintenan gestellten Verkehrsfluss der Autos sehr ungehalten werden.
|
Zu KI noch kurz diese Zahl aus den USA, von der ich glaube, dass sie in Deutschland nicht wesentlich anders ist. ChatGPT wir danach so genutzt: 21% für kreative Arbeiten, 18% für das Generieren von Hausaufgaben, 17% für Suchanfragen und 15% für Aufgaben im Rahmen von Erwerbsarbeit. Die "18% zum Generieren von Hausaufgaben" sollten unseren Schulbehörden ein Wink sein. Jede Lehrkraft geht mit KI und deren Nutzung durch Schüler*innen im Rahmen der pädagogischen Eigenverantwortung nach Gutdünken um, scheint mir persönlich nicht der richtige Ansatz zu sein.
|
Die Socialmedia Plattform X, vormals Twitter, die nun Elon Musk gehört, nutzt die Posts und Kommentare der Nutzer*innen für das Training der Hauseigenen KI namens "Grok". Dieses ohne vorherige Einwilligung der Nutzer*innen. Es gibt lediglich ein Opt-Out hierfür in den Einstellungen. Die Nutzung ist standardmäßig aktiviert und es erfolgt auch keine Information der Nutzer*innen hierüber. Das verstößt natürlich gegen die DS-GVO und auch gegen den DSA. Die EU-Aufsicht hat inzwischen diverse Verfahren gegen die Plattform X in der Mache.
|
23% der Internetnutzer*innen in Deutschland, so das BSI, kennen inzwischen die Möglichkeit sich passwortlos mit Hilfe eines Passkeys anzumelden. Nur 11% nutzen diese Möglichkeit tatsächlich. Passkeys sind eine sichere und gleichzeitig einfache Alternative zu Passwörtern. Ich kann diese Methode der Anmeldung nur empfehlen.
|
Im Bereich des Phishings geht es weiter hoch her. Inzwischen besitzen Internetnutzer*innen im Durchschnitt 78 Online-Konten. Die Cyberkriminellen wollen natürlich an diese Zugangsdaten kommen, um dann Betrug zu begehen. Hierbei sind auch Passwortmanager ein beliebtes Ziel der Cyberkriminellen geworden. Die Nutzung und Sicherheit von Passwortmanagern ist daher ein wichtiges Thema geworden. Ich werde mich dem demnächst mal vertieft in einem Newsletter widmen.
|
Eine recht kreative Phishing-Mache läuft gerade in Niedersachsen, und zwar Offline. Die Cyberkriminellen verschicken echte Briefe per Post, die von der Deutschen Bank oder der Commerzbank zu sein scheinen. Man merkt als Laie die Fälschung nicht. Darin enthalten ist ein QR-Code, der zur Anmeldung auf einer Phishing-Seite führt. Wer sich anmeldet, hat dann den Cyberkriminellen Zugang zu seinem Konto verschafft, dass diese dann auch ganz schnell abräumen.
|
Die neue BfDI hat ein Konsultationsverfahren für einen Prüfkatalog zur datenschutz-konformen Nutzung von Messenger-Diensten eröffnet. Jeder darf seine Anmerkungen zum Katalog geben. Allerdings ist dieser Katalog 263 Seiten lang, die man vorher lesen müsste. Es ist dieses Jahr mit Sicherheit inzwischen das dreizigste Dokument dieser Länge, das man mal so eben lesen müsste. Wer bitte schafft das?
|
|
Und ganz zum Schluss: Auch in den Vereinten Nationen gibt es inzwischen einen Ausschuss für Cybercrime. Dieser Ausschuss hat gerade ein UN-Cybercrime-Abkommen einstimmig angenommen. Drei Jahre wurde verhandelt und was Sie jetzt irritieren wird: Initiiert wurde diese Idee eines Cybercrime-Abkommens von China und Russland. Nicht irritieren wird Sie dann der Teil, dass das Abkommen neben der Bekämpfung von Cyberkriminalität auch für die Überwachung und Bekämpfung von kritischem Journalismus missbraucht werden sollte. Dieser Teil wurde wurde nachgebessert und der Schutz von Menschenrechten gestärkt. Deswegen stimmten nun auch die europäischen Länder zu.
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Für den nächsten Newsletter habe ich Datenschutzrechte von Minderjährigen und die neu geschaffene Stelle des KidD zur Umsetzung des Digital Service Act und des DDG auf meiner Liste.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter (DSB)
IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
|
|
|
|
|
|
|
