Lothar Symanofsky
Gregor Wortberg
Was ist in der KW 35 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
- Kooperation des 1. FSV Mainz 05 e.V. mit dem Landesdatenschutzbeauftragten
- HmbBfDI zieht Zwischenbilanz
- Bußgeld gegen Uber Technologies wegen Datenübermittlung in die USA
- Datensparsamkeit beim Online-Einkauf: Gastbestellungen in Online-Shops
- Umgang mit sensiblen daten beim FBI
- Neue KI-Funktionen für Google Geminis
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/290-millionen-euro-bussgeld-gegen-uber-datenschutz-news-kw-35-2024
#TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge: Herzlich willkommen zum Datenschutztalk, eurem wöchentlichen Datenschutz ab, Mein Name ist Lothar Sumanowski. Mein Name ist Gregor Wortberg. Gemeinsam schauen wir, wie in jeder Woche auf die Ergebnisse des Datenschutzes zurück und wie immer behalten wir bei der Migosenz die News während der Woche im Blick. Um uns und euch hier auf dem Laufenden zu halten, Heute ist Freitag, der dreißigste Achte zweitausendvierundzwanzig, unser Redaktionsschluss war wie immer um zehn Uhr. Lieber Gregor, was hat es auf deine Liste in dieser Woche geschafft. Ja Leute, ich habe drei Themen diese Woche mitgebracht, die es auf meine Liste geschafft haben. Einmal eine Kooperation zwischen dem ersten FSV Mainz 05 und dem Landes Datenschutzbeauftragten in Rheinland-Pfalz, dann Hintergründe zu den 290 Millionen Euro hohen Bußgeld gegen Uber und dass, US-Justizministerium rügt das FBI. Was steht bei dir an? Wow Ich hänge noch am FBI. Ich habe auch drei Themen mitgebracht. Zum einen eine Zwischenbilanz des Hamburger Datenschutzbeauftragten nach den ersten sieben Monaten diesen Jahres. Dann eine Aussage zur Datensparsamkeit. Beim online Einkauf sowie zur letzten Meldung äh geht es um neue KI-Funktionen für Google Jim Ice. Schieß los. Wunderbar, ich wollte gerade sagen, dann starten wir nochmal rein. Ähm passend zum Start in die neue Bundesligasaison am letzten Wochenende hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit halt äh Rheinland-Pfalz, ähm Dieter Kugelmann, erneut auf die bereits seit 2021 laufende Kooperation mit dem Bundesligisten erster FSV Mainz null fünf aufmerksam gemacht. Das Projekt null fünfer Klassenzimmer, so wer jetzt beim Vereinsnamen aufgepasst hat. Ihr kennt den Zusammenhang. Äh richtet sich an Schülerinnen und Schüler ab der 5. Klasse und trainiert diese auch noch mal, um in der Fußballsprache zu bleiben, unter anderem in der digitalen Selbstverteidigung. Es gehe um Sensibilisierung der Jugendlichen und Aufmerksamkeit für sie unmittelbar betreffende Vorgänge, zu denen eben auch die selbstbestimmte Nutzung von Apps gehören, so Professor Doktor Kugelmann. In der Pressemitteilung hieß es übrigens auch noch äh eine Verteidigung sei wichtig, nicht nur im Fußball Es hört nicht auf mit den Wortspielen in dieser Fressemeldung, wunderbar. Seit Herbst 2021 wurden schon mehr als 20 Workshops für rund 500 Schülerinnen und Schüler dargestellt und das zeigt halt unterm Strich, dass man äh seine Position als Unternehmen in der Gesellschaft nutzen kann und vielleicht auch sollte, Themen, die außerhalb des klassischen Geschäftsbereichs zu liegen, zu platzieren junge Menschen, aber vielleicht auch junge Angestellte und Azubis für diese auch zu sensibilisieren und seine Rolle da gerecht zu werden. Hört sich sehr, sehr gut an. Also das tatsächlich eine sehr, sehr wirkungsvolle Marketingabteilung bei denen, ne? Mainz null fünf, Projekt null fünf, Fünferklassen, also das hagelt ja nur so von Zusammenhängen. Das ist. Ich muss ja jetzt muss ja nur noch sportlich laufen. Laufen aber mal Spaß beiseite. Ich finde das sehr gut, ne, weil es äh Fußballer, die werden ja oftmals auch gescholten, nicht als Paradebeispiel oder als Vorbild für die junge Generation zu gelten, ne, wenn man mal so in die äh Geschichte zurückblickt, aber gerade in dem Aspekt, die Ja, die Selbstverteidigung, die digitale und den sinnvollen und und selbstbestimmten Umgang mit eigenen Daten zu trainieren. Das steht dem Verein sehr, sehr gut. Schöne Aktion. Genau, finde ich auch. Wir gehen nach Hamburg. Der hamburgische Datenschutzbeauftragte zieht eine Zwischenbilanz und zwar für die ersten sieben Monate des Jahres zwanzig vierundzwanzig, indem er uns einen Überblick über die Verstöße gegen die Datenschutzgrundverordnung in seinem Umfeld bericht und auch über Bußgelderaussagen macht. Insgesamt wurden äh in diesem Jahr Bußgelder in Höhe von 130.000 Euro verhängt. Was als Zahl erstmal so hinzunehmen ist. Allerdings interessant ist es, sich mal die Vielfältigkeit der Themenfelder anzuschauen, in denen diese Verstöße stattgefunden Da wurden unter anderem Verletzungen bei den Löschfristen festgestellt beziehungsweise Fehler im Entsorgungskonzept, Technische Sicherheitslücken wurden aufgedeckt, auch verspinnen Auskünfte gegenüber Betroffenen ähm Artikel fünfzehn, DSGVO, aber auch deutlich verspätete Meldung von Pannen wurden sanktioniert und auch Bußgelder wurden ausgesprochen gegen Polizeibeamte, die dienstliche Datenbank abfragen zu privaten Zwecken genutz, Also summa summarum ist die Behörde sehr, sehr umfassend äh und divers in den Themen unterwegs. Es wurden ja fast alle Datenschutzdisziplinen, die in dem Bereich relevant sein könnten, behandelt. Ist, dass die Anzahl der Verfahren gestiegen ist, ne, also von Januar bis Juli wurden in diesem Jahr 14 Ordnungswidrigkeiten abgewickelt im gesamten letzten Jahr waren. Informationen dazu verlinken wir in unseren Shownotes sowie auch den Link auf die Nachricht auf der Seite des Hamburgischen Datenschutz. Machen wir weiter mit der Titelmeldung gegen das US-amerikanische Fahrdienstunternehmen Uber, welches ja insbesondere für die Personenbeförderung oder auch als Lieferdienst für Essens bekannt ist, wurde durch die niederländische Datenschutzaufsichtsbehörde ein Bußgeld über 290 Millionen Euro ausgesprochen. Kern des sind Übermittlungen von Fahrerdaten in die USA Zu Grunde liegen den Ermittlungen der Behörde allerdings Beschwerden von mehr als 1700 französischen Uber-Fahrerinnen und Fahrern bei einer französischen Menschenrechtsorganisation, da die europäische Obergesellschaft in Amsterdam sitzt hat die französische Aufsichtsbehörde das Verfahren in die Niederlande übergeben und in der Pressemeldung des EDP, also des europäischen Datenschutzausschusses heißt es, dass durch die niederländische Aufsichtsbehörde festgestellt worden sei, dass Uber unter anderem sensible Daten von Fahrern. Aus Europa sammle und auf Servern in den USA speichere. Konkret seien Daten an die Uberzentrale übermittelt worden Dabei handelt es sich, wie auch schon umfangreiche Dinge, also Kontodaten und Taxilizenzen, aber halt auch Standortdaten, Fotos, Zahlungsdaten, Ausweispapiere und in einigen Fällen sogar auch strafrechtliche und medizinische Datenerfahrer Vielleicht äh wenn man mal geblitzt worden ist oder sonstiges Fehlverhalten, was da festgestellt wurde. Das Ganze sei über einen Zeitraum von mehr als zwei Jahren erfolgt Und die Übermittlung habe dabei ohne weitere Maßnahmen stattgefunden, was zu einem unzureichenden Schutz der Daten geführt habe. Insbesondere habe Uber seit 2021 keine EU-Standardvertragsklausel mehr für den Transfeier verwendet. Seit Ende zweitausenddreiundzwanzig. Füße, die Übermittlungen dann wieder auf dem EU-US-Darter-Privacy Framework, Bis 2tausendeinund2, obwohl das Privacy Sheet ja schon 220 gekippt wurde, hat man sich immer noch darauf gestützt. Ist auch irgendwie schön, Also da wurden keine weiteren Maßnahmen ergriffen, was leider nicht hervorgeht aus den vorliegenden Pressemitteilungen. Selbst von dem EDP oder von den Niederländern, was Uber dann genau mit den Daten in den USA gemacht hat ähm oder welche Auswertungen da gefahren wurden, sind. Das geht ja leider nicht draus hervor. Es ist nicht das erste Bußgeld von Uber, deswegen ist es wahrscheinlich jetzt auch so teuer geworden, zwei0achtzehn, wurden schon mal 600.000 Euro verhängt in 2023 zehn Millionen Euro und dann müssen natürlich der nächste logische Schritt zweihundertneunzig. Übrigens, wenn man sich mal an den 4 Prozent orientiert, sind es null Komma acht vier Prozent. Unternehmensumsatz von circa 34,5 Milliarden Euro im Vorjahr. Eigentlich ein Schnäppchen. Günstig weggekommen quasi, fast so günstig wie Uberfahren, weiß ich nicht. Aber da sieht man halt auch, ne? Also auch im eigenen Unternehmen, äh ganz klar. Gucken, äh welche Dienstleister man einsetzt und egal ob jetzt in den USA oder in äh anderen Drittstaaten ansässig sind und Daten dann dorthin auch übermittelt werden, dass man da natürlich auch die geeigneten Maßnahmen trifft Standardvertragsklauseln ab, stieß aber natürlich auch die technischen und organisatorischen Maßnahmen nicht außer Ach. Auf jeden Fall, ne? Und ich glaube, es ist immer eine sehr, sehr gute Idee, wenn man sich an der gängigen und gültigen Rechtsprechung orientiert, ne? Also Shrems zwei, äh Srems eins äh, hat ja nicht umsonst so hohe Wellen geschlagen, ne? Also das ist wirklich angebracht, sich mal die Verträge anzuschauen und dann auch mal vorausschauend die Verträge abzuschließen. Ne, selbst wenn jetzt Unternehmen im DPF äh registriert sind kann’s auch eine sehr, sehr gute Idee sein, mit der SC, aber auch nochmal in die Tia, vielleicht nicht so umfangreich äh und so weiter einzusteigen, aber in Anbetracht der Bußgelder, der Höhen, die hier ähm verhängt worden sind, Macht’s, glaube ich, Sinn, ne? Ja, zudem auch noch einen Blick zu behalten, dass sich vielleicht auch Dokumente mal ändern. Wie jetzt bei den SICCs im Jahr 2tausendeinund2, obwohl da natürlich Übergangsfristen bekannt geworden sind, aber die muss man auch im Blick behalten dann, ne? Ja. Absolut. Okay, wir kommen zur nächsten Meldung. Es geht um die Datensparsamkeit beim Online-Einkauf. Hierbei um das Thema der Gastbestellung. Wir sind dazu in Rheinland-Pfalz und zwar nach einer Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informations Rheinland-Pfalz wurde von dieser Behörde im August, also äh noch in diesem Monat eine Informationskampagne gestartet und zwar mit der Zielgruppe. Rheinlandpfälzischen Online-Shops. Im Vorfeld wurden über 100 Unternehmen stichprobenartig auf das Vorhandensein von Gastzugängen in ihren Onlineshops überprüft. Und bei 13 Unternehmen sind Mängel festgestellt worden und entsprechend mit Informationsschreiben auf die Bereitstellung von Gastzugängen für den Bestellvorgang hingewiesen Was hat man damit bezweckt? Es sollte hier durch eine Sensibilisierung des Verantwortlichen erreicht werden und dadurch eine Reduzierung von Datenschutzverstößen in diesem Bereich, Landesbeauftragte des Landes Professor Doktor Dieter Kugelmann sieht die Notwendigkeit gleichwertiger Gastzugänge parallel zur Möglichkeit der Anlage eines Kundenkontos als notwendigen Entscheidungsspielraum für Bürgerinnen und Bürger. Er sagt dazu, Zitat, Kundinnen und Kunden müssen frei entscheiden können, ob sie ihre Daten beim Onlineshop hinterlegen möchten. Oder auch nicht. Und weiter, im Kern geht es um die Sicherung der Entscheidungsfreiheit in der digitalen Welt Das ist bis hierhin sehr einleuchtend äh und logisch und, kann dann auch unterstreichen, glaube ich, an der Stelle. Aber in diesem Zusammenhang fällt mir noch ein weiteres Urteil des Landgerichts Hamburg ein, äh das im Einzelfall im Februar diesen Jahres anders lautend entschieden hat. Zeichen hierzu verlinken wir ebenfalls in den Shownotes. Die Verbraucherzentrale hatte äh im Februar gegen einen Onlinehändler in Hamburg geklagt, weil dieser den Gastzugang nicht angeboten hat. Diese Onlinehändler hat das damit begründet, dass es sich bei seinem Angebot um einen Platz handelt, wo er zum einen seinen eigene Produkte vertreibt, aber auch einen Marktplatz zur Verfügung stellt, auf der verschiedene Händler außerhalb seines Geltungsbereiches ähm Waren anbieten und verkaufen. Es seitdem nach erforderlich einzelnen Transaktionen zwischen den verschiedenen Teilnehmern dieser Geschäfte nachzuvollziehen im Sinne von Retouren oder Gewährleistungen Der Händler in Hamburg hatte hierzu auch mit dem hamburgischen Datenschutzbeauftragten kooperiert und die Komplexität des Geschäftsmodells äh dargestellt und das Landgericht Hamburg konnte diese Argumente nachvollziehen und hat im Februar geurteilt, dass hinreichende Gründe für die verpflichtende Anlage eines Kundenkontos vorliegen Das Gericht sah keine Verpflichtung zum Gastzugang durch die deutlichen Vorteile für den Händler. Also man kann sich ja vorstellen, wenn äh tausende Transaktionen laufen, dass es da schon sinnvoll ist, genau die Vertragspartner herauszufinden Hinzu kommt noch, und das war glaube ich auch sehr ausschlaggebend für das Urteil ist das äh auch angemessene technische und organisatorische Maßnahmen definiert wurden und ein wirksames Löschkonzept angeboten wurde. Das heißt. Selbst wenn ich gezwungen war, ein Kundenkonto anzulegen und war damit im Nachgang nicht mehr einverstanden, konnte ich es auch sofort löschen. Darüber hinaus ähm wurde auch eine Datensparsamkeit bei den Kundenkonten festgestellt. Es wurde lediglich die Kundennummer mit hinzugenommen bei der Anlage des Kundenkontos Also als Fazit kann man ruhig festhalten, dass die Argumentation der Aufsicht in Rheinland-Pfalz durchaus nachvollziehbar und logisch ist, aber ich glaube, das lohnt sich immer in die Einzelfallbetrachtung zu gehen, ne. Das Hamburger Urteil, Es lohnt sich auch, sich das mal anzuschauen. Hier wurden ebenfalls nachvollziehbare Gründe in dieser Einzelfallbetrachtung für das Kundenkonto gefunden. Darüber hinaus kann es auch eine gute Idee sein, die Datenschutzaufsicht bei Konzeptionierung schon vorab zu konsultieren, zu involvieren, so wie es das Vorgehen der Hamburger Onlinehändler gezeigt. Ja gerade den letzten Punkt sollte man vielleicht auch einfach mal nutzen oder häufiger nutzen als Unternehmen, wenn man potenziell sensible Daten kritische Datenvorgänge geplant, dass man einfach mal nachfragt, ne, wie sieht’s denn aus, finde ich sehr gut. Laut einem Bericht von Heise, um einen harten Themencut zu führen, wurden bei Untersuchung des US-Justizministeriums schwerwiegende Mängel des FBI im Umgang mit. Kriminalfällen festgestellt. Fehlende oder nicht funktionierende Sicherheitskameras ermöglichten unbefugten Zugriff auf im Rahmen von Ermittlungen durch das FBI gesammelten sensiblen Daten. Wahrscheinlich die Asservatenkammer zu sein, ich weiß es nicht. Ähm es sei festgestellt worden, dass die derzeitigen Maßnahmen, Strategien zum Erfassen, Lagern und Entsorgen von elektronischen Speichermedien, Nicht überzeugen konnten. Dies betrifft auch das fehlende Labeln von Datenträgern mit Daten, die nationale Sicherheitsinformationen enthielten. Dementsprechend könnten sich unbefugte Zutritt verschärfen und auf Top Secret Informationen zugreifen. Dem FBI wurde seitens des Ministerium empfohlen im Umgang mit solchen Datenträgern zu optimieren Ja, warum ist das relevant für uns als, Internetdatenschutzbeauftragte oder in der Datenschutzberatung, da gibt’s mehrere Brücken, ne, also natürlich erstmal vielleicht auch im Kontext der USA geeignete Maßnahmen zu treffen bei Drittstaatentransfers, also wie jetzt zum Beispiel jetzt in die USA, ähm hinsichtlich der Verschlüsselung et cetera, dass selbst wenn mal eine Kontrolle erfolgt, der Schutz der Daten dann auch gewährleistet ist, aber natürlich auch Regelungen zu treffen im Umgang mit Datenträgern. Ganz grundsätzlich, ne? Ähm Schutz von Ports, Schutz von USB-Sticks, falls sie noch genutzt werden sollten oder halt externen Festplatten oder auch einfach dann Laptops und deren Festplatten Da gibt’s viele Ebenen, äh die wir als Unternehmen dann zu beachten haben und wo der Datenschutz dann auch eine große Rolle spielt. Wir kommen zu meiner letzten Meldung und zwar geht es hierbei um Google mit seinen neuen KI-Funktionen für Google Germanize. Google hat zwei neue Funktionen für den äh KI-Assistenten angekündigt. Das ist zum einen Gems, Hierbei handelt es sich um äh Zitat, personalisierte Versionen von, die als Expertensystem für vom Nutzer vorgegebene Themen fungieren können Das heißt, es ist ein teambasierter Chatbot, der vom äh oder Chatbot, die vom Anwender gespeichert werden können und ähm es können hierbei Zwecke und Ziele auch, gepromptet werden. Das Zweite ist imagin. Imagen in der Version drei ist ein KI Bildgenerator, es gab schon mal, also Image 1 und zwei. Jetzt kommt drei. Ähm also die letzte Version wurde eingestellt, weil Google, Zitat, Ungenauigkeiten in der KI äh festgestellt hat, Die neue Version Forden Imagean ist in der Lage, Bilder von Personen auch zu erstellen, allerdings, deutlichen Einschränkungen, ja so ist es nicht möglich eine Darstellung zu erzeugen von bekannten Personen, können keine Gewalttaten oder sexuelle Handlungen dargestellt werden. Imagin drei kann aus wenigen geprompteten Worten KI-Bilder erzeugen und das auf Wunsch in verschiedenen Stilen. Ist er prompt ausführlicher formuliert, soll die Ergebnisse besser zu den Vorgaben passen Und nach wie vor werden die Bilder mit einem KI-Wasserzeichen versehen, um sie eindeutiger als KI generiertes Image auch zu identifizieren. Drei und Image sind aber zunächst nicht vollständig in der kostenlosen App verfügbar, thematische Chatbots und ein neuer Bildgenerator mit KI werden von Google zu hinzugefügt ja Fazit gefühlt wird das KI-Angebot jetzt in dem Fall hier von Google immer breiter, schneller, komfortabler und ich glaube, es wird auch sehr akzeptierter und auch Ich kann mir auch gut vorstellen, dass Mitarbeitende im Unternehmen haben das Ganze auch einfordern mittlerweile, ne. Wenn ich mir mal so eine Blindgeneratormaschine vorstelle, die äh hat er schon deutlichen Nutzen in Marketingabteilung oder überall da, wo Bilder erzeugt werden. Das heißt, der Einzug von solchen Funktionalitäten sind in der geschäftlichen Praxis immer relevanter. Und die Entwicklung zeigt, dass es auch eine gute Idee ist, sich als Unternehmen mit der Anwendung zu beschäftigen und auch zu beschäftigen im Sinne von Regelungen. Das zum einen dem Datenschutz hilft, ne? Was prompte ich da, was generiere ich da? Und auch der Datensicherheit im Unternehmen, ne. Gibt es ähm Dinge, die unters äh intellektual Popety fallen, was nicht unbedingt geteilt werden soll? Gibt es sonstige Betriebs- und Geschäftsgeheimnisse? Und vor allem äh eine Regelung auf eine Sicherheit für den Mitarbeitenden, ne? Dass ich ein sicheres Gefühl habe bei der Anwendung von von solchen Systemen. Ich glaube, es wird langsam Zeit für. Ja und auf den Zug sollte man auch aufspringen, glaube ich, als Unternehmen sich da Gedanken zuzumachen persönliche Notiz vielleicht noch einmal. Ich finde es dann auch richtig gut, dass bei so KI dann jetzt ein Wasserzeichen drin ist, weil wenn man sich die Qualität anschaut und die Entwicklung anschaut, was das im letzten Jahr anderthalb Jahren als genommen hat, ist das schon sehr gut, wenn das gekennzeich. Ne? Also wie wie qualitativ hochwertig die Bilder sind. Ja Gregor, es sieht so aus, als ob wir fertig sind. Wir sind durch. Ja, ich habe auch nix mehr auf der Liste stehen, genau. Wir sind durch. Ja. Ja, ihr Lieben, ähm uns bleibt dann nur noch euch ein schönes Wochenende zu wünschen, wenn ihr den Podcast heute noch hört. Falls ihr das Anfang nächster Woche macht, wünschen wir euch einen guten Start in die Woche, In den September, das Jahr geht rum, ne, ist irre. Erschreckend, ja. Hast du schon alle Weihnachtsgeschenke zusammen? Man muss langsam. Ich ich fahre mal mit meinem Wunschzettel an. Gut, dass du sagst. Richtig. Ja Gregor, herzlichen Dank. Es hat mega viel Spaß gemacht mit dir, wie immer. Mit dir auch. Vielen Dank. Danke und äh ja, in dem Sinne euch eine gute Zeit. Bis demnächst.
