|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
|
Hamburg, den 02. Oktober 2023
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:
|
- Die EU-Kommission ernennt Torwächter
- BSI-Magazin "Mit mehr Sicherheit"
- Aktuelles aus dem Datenschutz
|
1. Die EU-Kommission ernennt Torwächter
Wenn man die Englische Übersetzung "Gatekeeper" nimmt, dann klingt das nicht nur schräg, sondern irgendwie nach einem neuen Teil von Harry Potter. Vermutlich trifft es das auch und zukünftig spielt die EU-Kommission mit den großen Internetkonzernen Quidditch. Man fault sich gegenseitig und wer gewinnt, entscheidet mehr oder weniger dieser goldene Snitch nach seinem eigenen Willen. Aber lassen wir den Sarkasmus.
|
Zu Torwächtern wurden die Konzerne Alphabet, Amazon, Apple, ByteDance (TikTok), Meta und Microsoft ernannt. Tatsächlich nicht die Konzerne als solche, sondern einige ihrer Anwendungen, nämlich die folgenden:
|
- Die sozialen Netzwerke TikTok, Facebook, Instagram und LinkedIn
- Der Messenger-Dienst WhatsApp
- Der Videodienst YouTube
- Die Plattformen Google Maps, Google Play, Google Shopping, Amazon Marketplace, Apple App Store und Meta Marketplace
- Die Werbedienste von Google, Amazon und Meta
- Die Webbrowser Chrome und Safari
- Die Betriebssysteme Android, IOS und Windows
Das war es auch schon. Ferner wurde mitgeteilt, dass Gmail, Outlook und der Samsung Internetbrowser nicht als Torwächter eingestuft werden. Es gibt jetzt weitere Markt-untersuchungen und im Februar 2024 werden dann vermutlich noch mehr Torwächter ernannt. Torwächter werden nur zweimal im Jahr, Februar und September, ernannt, vermutlich damit es mehr Faszination hat.
|
Es ist schwierig sich bei dem Thema mit etwas Sarkasmus zurückzuhalten, aber was bedeutet "Torwächter" konkret: Nach dem "Digital Markets Act" der EU können, vereinfacht ausgedrückt, Anwendungen, die eine sehr große Marktmacht und beherrschende Stellung haben, als Torwächter eingestuft werden. Diese Einstufung ist jetzt für die oben genannten Anwendungen geschehen. Und ebenso vereinfacht ausgedrückt, sind diese Anwendungen bzw. ihre Betreiber damit verpflichtet von nun an sich an ein Fairplay mit Verbrauchern und kleineren Konkurrenten zu halten. Und das wird der spannende Punkt, denn wir wissen alle aus der Erfahrung der letzten 20 Jahre, dass Fairplay bei den Internetriesen nicht wirklich zur Firmenstrategie gehört. Man stellt sich zwar gerne als moralisch und sozial dar, aber in der Praxis geht es nur darum Geld zu verdienen und man lässt dabei jedes Fairplay in den Geschäftspraktiken beiseite. Wird es jetzt anders laufen? Es drohen jedenfalls die üblichen hohen Strafen, die wir auch aus dem Datenschutz kennen, wenn es nicht anders wird.
|
WhatsApp hat zum Beispiel bereits angekündigt seinen Dienst auch für andere Messenger zu öffnen und Schnittstellen zur Verfügung zu stellen. Betroffen sind von diesem Fairplay aber vor allem Werbung und Suchmaschinen. Es ist Torwächtern nicht mehr erlaubt eigene Produkte oder Leistungen bevorzugt vor anderen Anbietern zu platzieren. Und die Algorithmen, nach denen diese Ausspielungen erfolgen, müssen transparent gemacht werden. Ein anderer Punkt ist der, dass die Nachverfolgung von Verbrauchern außerhalb der eigenen Plattform, nur noch mit deren ausdrücklicher Einwilligung erfolgen darf. Re-Marketing wird also erheblich beschnitten. Dieses würde auch den Datenschutz voranbringen.
|
Die Torwächter haben jetzt 6 Monate Zeit, die Vorgaben umzusetzen. Sein wir gespannt. Ich persönlich glaube ja nicht, dass es viel mehr als nur Makulatur wird. Vermutlich findet man neue technische und juristische Modelle, die Regeln einzuhalten, ohne dass man die Regeln einhält, wie wir es aus der Vergangenheit nur zu gut kennen.
|
2. BSI-Magazin "Mit mehr Sicherheit"
Ich will diesen Abschnitt kurz halten. Das BSI (Bundesamt für Sicherheit in der Informations-technik) bringt zweimal im Jahr ein Magazin "Mit Sicherheit" heraus. Man kann es sich kostenlos zuschicken lassen. Die Bestellung ist hier möglich: BSI Magazin kostenlos bestellen
|
Der Schwerpunkt der letzten Ausgabe liegt auf digitalem Verbraucherschutz. Daneben werden eine Vielzahl gesellschaftlich sehr interessanter Themen behandelt. Es geht zum Beispiel und mal wieder um Cybersicherheit im Gesundheitswesen. Ein ganz wichtiges Themenfeld, wo Deutschland wirklich nicht glänzt. Daneben gibt es einen sehr interessanten Artikel über das nationale Cyber-Abwehrzentrum und wer alles darin involviert ist. Man lernt eine Vielzahl an Institutionen (und Abkürzungen) kennen, die man zuvor noch nie gehört hat. Auch die Thematik "Sicheres digitales Zentralbankgeld" wird vom BSI mit begleitet. In der Zukunft wird alles digital sein, auch unser Geld. Der Schein in der Tasche ist nicht die Zukunft, auch wenn das vielen Angst macht.
|
Besonders interessant war für mich ein Artikel zu den Risiken von Quantencomputing. Ich finde dieses Thema ja physikalisch einfach spannend. In der Digitalisierung wird eine Information in einem eindeutigen Zustand gespeichert. Sie hat entweder diesen Zustand (1) oder eben nicht (0). Im Quantencomputing kann eine Information 1 oder 0 oder jeden beliebigen Zustand dazwischen haben. Diese zu verstehen, ist eine Herausforderung für den Kopf. Herausforderung hin oder her: Wir müssen davon ausgehen, dass in 20 bis 25 Jahren Quantencomputing das Mittel der Wahl zur Datenverarbeitung sein wird. Damit können Rechenoperationen, die heutzutage mit einem Super-Computer 2 Jahre dauern, dann unter 2 Stunden vollbracht werden. So toll und faszinierend es klingt, es bringt auch erhebliche Sicherheits- und Datenschutzprobleme mit sich.
|
Lange rede kurzer Sinn: Ich wollte hier einmal für das kostenlose Abo des BSI-Magazins werben und kann es für Interessierte an IT-Sicherheit nur empfehlen.
|
3. Aktuelles aus dem Datenschutz
Es sei zuerst nochmal darauf hingewiesen, dass, wer intern einen Datenschutzbeauftragten im Unternehmen bestellt, dieser ein Sonderkündigungsrecht genießt. Das gilt auch dann, wenn mehrere Datenschutzbeauftragte bestellt werden, zum Beispiel noch ein stell-vertretender Datenschutzbeauftragter. Auch dieser genießt dann ein Sonderkündigungsrecht, unabhängig davon, ob Art, Umfang und Größe des Unternehmens die Bestellung erforderlich machen.
|
In eigener Sache berichte ich mal von einem Anruf einer, der Stimme nach älteren Dame, die eigentlich die Aufsichtsbehörde sprechen wollte. Nachdem ich ihr erklärt hatte, dass ich leider nicht die Aufsichtsbehörde bin, wollte sie von mir recht energisch wissen, warum ich nicht die Aufsichtsbehörde bin. Tja, warum bin ich das eigentlich nicht? Es würde vieles einfacher machen...
|
Die EU-Kommission hat die Regulierung von KI erst einmal "auf Eis gelegt". Grund hierfür, wen wundert es, war Deutschland. Ins Detail gehe ich mal nicht, aber dass unsere Innenministerin, Frau Faeser von der SPD, die sozialdemokratischen Werte bei diesem Thema besonders würdigt, kann man nicht gerade sagen. In jedem Fall wird mit dem Vormarsch von KI auch das Thema "Verwendung personenbezogener Daten durch KI" immer wichtiger. Man darf die diesbezüglichen Gefahren nicht unterschätzen. Aktuell sehr passend zu dieser Thematik ist ein relativ neuer Chatbot von Google namens "Google Bard". Dieser hat offensichtlich eine Fehlprogrammierung und macht private Chats öffentlich. Mehr dazu kann man bei Dr. DSGVO Klaus Meffert lesen.
|
Mal wieder in die Schlagzeilen geraten ist Microsoft. Dieses Mal mit einem erfolgreichen Hacker-Angriff auf die Microsoft-Cloud. Der Angriff wird einer Chinesischen Gruppe "Storm-0558" zugeschrieben. Ziel waren 25 größere, zum Teil mit der Regierung in Verbindung stehende Organisationen. Der Zugriff erfolgte über einen Signaturschlüssel, der vermutlich bereits bei einer technischen Panne im Jahr 2021 erbeutet wurde. Der Angriff wurde nach einem Tag erkannt und unterbunden. Dennoch wurden sehr sensible Daten erbeutet und der Umfang des Schadens kann nicht genau abgeschätzt werden. In Frage steht jetzt die Sicherheit der Microsoft-Cloud. Wer mehr dazu lesen will: Hackerangriff auf Microsoft
|
Laut dem BSI wurde erstmals in Deutschland wegen eines Cyber-Angriffs der Katastrophen-fall ausgerufen, dieses in einem Landkreis in Sachsen-Anhalt. 207 Tage lang standen Systeme für die Abwicklung von bürgernahen Dienstleistungen nicht oder nur eingeschränkt zur Verfügung. Dieses betraf u.a. die Auszahlung oder Bearbeitung von Elterngeld, Sozialgeldern, KFZ-Zulassungen etc. Wer mehr angstmachende Zahlen zu solchen Pannen sehen will, findet diese auf einer einseitigen Grafik des BSI: Die Lage der IT-Sicherheit in Deutschland
|
Es muss nicht immer nur um das Internet gehen: Die Bundesnetzagentur hat im Jahr 2023 bisher gut 6.000 Telefonnummern wegen Betrugs deaktiviert. Diese Nummern wurden zum Beispiel für den sogenannten "Enkeltrick" und ähnliche Maschen missbraucht. Hierbei zeigt sich vermehrt der Einsatz von KI, mit deren Hilfe die Stimmen von Angehörigen täuschend echt nachgeahmt werden. Ein sehr sehr beängstigender Trend.
|
Absurd wird es hier: Der Datenschutz wird ja schon immer als Entschuldigung für alles mögliche herangezogen, das man nicht machen will oder nicht schafft zu vollbringen. Jetzt gibt es einen neuen Trend, dass man den Datenschutz dazu missbraucht an Kundentermine zu Verkaufszwecken zu kommen. Diese Masche geht so: Dienstleister schicken ihren Kunden Änderungen von AGBs, Einwilligungen zur Datenerhebung oder ähnliches, aber schreiben dazu, dass aus Datenschutzgründen die Unterzeichnung nur in einem persönlichen Termin, den man hierfür vereinbaren muss, möglich ist und ein Rückschicken der unterschriebenen Erklärungen per Post oder E-Mail aus rechtlichen Gründen nicht zulässig ist. - Sowas ist natürlich QUATSCH!!! Es geht nur darum an einen Termin zu kommen, um in diesem dann den Kunden etwas zu verkaufen. Mit Datenschutz hat das nichts zu tun.
|
Ein Urteil, welches Fragen aufwirft, hat das OLG Hamm gefällt. Eine Nutzerin von Facebook ging bei einem Schadenersatz-Prozess leer aus, weil sie ihren immateriellen Schaden nicht hinreichend belegen konnte. Das Gefühl allein geschädigt zu sein, reichte dem Gericht nicht aus. Der EuGH und andere OLGs sahen das bisher anders. Also was gilt jetzt bei Schadensersatz? Diese Frage bleibt spannend und derzeit ist es wohl etwas davon abhängig, zu welchen Gerichtsbezirk man gehört.
|
Ein anderes interessantes Urteil kommt aus Thüringen. Ein großes Unternehmen wurde Opfer einer Ransomware-Attacke und verlangte den entstandenen Schaden von der hierfür abgeschlossenen Cyber-Versicherung ersetzt. Die Versicherung trat einfach vom Vertrag zurück und machte unwahrheitsgemäße Angaben bei Vertragsabschluss durch den Versicherungsnehmer geltend. Man hatte im Vertrag angekreuzt, dass man Sicherheits-updates ohne schuldhaftes Zögern tätigt. Das muss man bei diesen Versicherungen immer ankreuzen. Nun hatten die Mehrzahl der Server das letzte aktuellste Sicherheitsupdate, einige noch nicht. Ja, wie schnell muss man sein oder vielmehr: Wie schnell kann man mit sowas sein? Jedenfalls hat die Versicherung am Ende, aufgrund anderer Umstände, die diese Kausalität zwischen Sicherheitsupdates und Angriff widerlegen, zahlen müssen. Dennoch zeigt der Fall, dass man mit diesen Cyber-Versicherungen im Schadensfall meistens im Regen steht.
|
Norwegen ist nicht in der EU, aber gehört dem EWR an und hat rechtlich damit einen etwas anderen Status. Auf dieser Grundlage hat Norwegen selbst festgestellt (ohne die irische Behörde), dass der Meta-Konzern (also Facebook) ohne Zustimmung personenbezogene Daten für den Verkauf von Reklameplätzen auswertet. Dafür haben Sie eine Strafe von täglich 1 Million norwegischer Kronen ausgesprochen. Das sind EUR 87.000, was Meta aus der Portokasse bezahlt. Dennoch scheint Meta ziemlich genervt. Meta hat sich mit Händen und Füssen juristisch gewährt, aber die norwegischen Gerichte haben alle Einwände von Meta einfach so abgelehnt. So ein Pech auch für Zuckerberg.
|
Im Datenschutz gibt es eine "Berlin Group". So nennt man die "IWGDPT". Das steht für "Internationale Arbeitsgruppe für Datenschutz in der Technologie". Wir deutschen haben den Vorsitz, sprich offiziell Herr Professor Kelber, also der BfDI, und man befasst sich dort derzeit mit Smart Cities. Hierzu wurde ein Arbeitspapier entworfen. Die Thematik ist recht komplex und keinesfalls unwichtig. Smart Cities sind wünschenswerte Modelle, die einen unmittelbaren Nutzen für Menschen haben. Smart Cities aber auch datenschutzkonform zu gestallten, so dass hierfür notwendige erhobene, auch personenbezogene Daten nicht zu einer Überwachung oder anderen rechtswidrigen Handlung genutzt werden, ist ein sehr wichtiger Aspekt in der Entwicklung von Modellen für Smart Cities. Der BfDI ist immer auch einer unserer obersten Verbraucher- und Demokratieschützer.
|
Über eine Sicherheitslücke in der Anwendung Lastpass, die Kryptowährung verwaltet, wurden seit 2022 über 35 Millionen USD an Krypto-Vermögen gestohlen. Wer es näher wissen will, kann es bei Golem nachlesen.
|
|
Was ist sonst noch so los? Die Bafin ist nach einem Hackerangriff nicht mehr erreichbar gewesen. Die Deutsche Leasing hat (mal wieder) einen Datendiebstahl durch Hacker festgestellt. Ransomware wurde via Cisco-VPN (auch das ist möglich) verbreitet. AVM Schließt eine Sicherheitslücke bei der Fritbox. Apple schließt Zero-Day Lücken im IOS und macOS. Google hat wichtige Sicherheitsupdates für Android bereitgestellt, die auch kritische Lücken schließen sollen. Es ist also alles wie immer in der Welt. Der ganz normal Wahnsinn!
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter werde ich mich einmal mit dem schwierigen Thema "Auskunft gegenüber der Polizei" befassen. Derartige Fälle kommen in der Praxis immer häufiger vor und sind teils skurril. Und ein weiteres Thema wird "Datenschutz in Autos" sein. Hier gibt es eine ebenso skurrile Entwicklung, über die man mal sprechen muss.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter (DSB)
IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
|
|
|
|
|
|
|
