Bußgeld gegen Virenschutzanbieter Avast- Datenschutz News KW 10/2024

Moderation:

Was ist in der KW 10 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• In seiner Entscheidung präzisiert das Gericht den Begriff der „personenbezogenen Daten“ und den Bereich der Verantwortlichen nach der DSGVO im Zusammenhang mit IAB
• Schadensersatz: Europol muss von Ermittlung Betroffenen entschädigen (EuGH, Urteil vom 05.03.2024 – C‑755/21)
• Auskunftsersuchen welches dazu dienen soll, Beschäftigte der verantwortlichen Stelle zu diskreditieren, ist rechtsmissbräuchlich (FG Köln, Urteil vom 14.12.2023, Az. 2 K 129/20)
• Drohnenbefliegungen zur Messung von Wohngrundstücken im Auftrag einer Gemeinde unzulässig, VGH München, Entscheidung vom 15.02.2024, Az. 4 CE 23.2267
• Spanische Aufsicht untersagt Worldcoin, Kryptowährungsanbieter, die Verarbeitung personenbezogener Daten
• Bußgeld gegen Avast, den Anbieter von Antivirussoftware

Empfehlungen und Lesetipps:

• BSI weist auf gängige Sicherheitslücken bei Steuererklärungsapps hin
• CNIL Pressemitteilung

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/edsa-startet-initiabußgeld-gegen-virenschutzanbieter-avast-datenschutz-news-kw-10/2024

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Herzlich willkommen zum Datenschutztalk, ihrem wöchentlichen Datenschutz ab, Heute ist Freitag, der 8. März unserer Redaktionsschluss war heute schon um 9 Uhr und mein Name ist David Schmidt, Und ich freue mich sehr, eine kleine Premiere hier bei uns ankündigen zu dürfen, die wir nämlich heute feiern. Mir gegenüber steht nämlich keine gänzlich neue Kollegin, aber eine neue Sprecherin für unsere Datenschutz-News, nämlich die Natalia Wosniak. Hallo Natalia. Hallo David. Ja freut mich sehr, dass du uns äh unterstützt. Ähm unser Team wird dadurch etwas größer, das kann nie schaden und ähm, Ich bin sehr gespannt darauf, mit dir heute zusammen das allererste Mal den Podcast einzusprechen. Mir geht es genauso. Ich bin genauso gespannt und ich muss sagen, auch ein bisschen aufgeregt. Das bin ich aber auch immer und das gehört auch dazu. Das ist auch irgendwie das Schöne daran. Ähm wir haben heute auch wieder einen bunten Blumenstrauß an Themen mitgebracht. Ähm welche sind es denn bei dir Natalia? Okay, also ich habe heute drei tolle Themen mitgebracht. Zum einen ein EuGH-Urteil zum Anbieter des TCF Cookie Banners. Dann habe ich ein Urteil des Finanzgerichts Köln, wo es um eine Rechtsmissbräuchliche Auskunft geht, beziehungsweise ein Auskunftsersuchen und ich habe ähm die Authentifizierung per Iris Can bei einem Kryptowährungsanbieter. Und natürlich im Nachgang noch ein Lesetipp. Hm, das klingt spannend und ähm wir haben heute wieder einige Urteile dabei, sehe ich. Das ist ja in den letzten Wochen nicht immer der Fall gewesen. Ähm du hast welche, ich habe welche, nämlich einmal ein Urteil des Europäischen Gerichtshof zur Kausalität beim Schadenersatz, dann ein Urteil zur Zulässigkeit von Drohnflügen. Ich habe ein Bußgeld mitgebracht, dass gegen den Virenschutzanbieter Awast verhängt wurde und einen Lesetipp habe ich auch im Gepäck. So, ich habe zunächst ein Urteil des EuGH vom Donnerstag, also von gestern, mitgebracht, Aktenzeichen C minus sechshundertvier Schrägstrich zweiundzwanzig, Daran hat sich der EuGH mit dem Thema der Datenverarbeitung bei personalisierter Werbung konkret bei Nutzung von TCF Concent Bannern beschäftigt. Hintergrund ist, dass die belgische Datenschutzbehörde zwanzig zweiundzwanzig ähm unter anderem das TCF Modell für unzulässig erklärt hatte, Und auch ein Bußgeld verhängt hatte gegen IAB mit der Begründung, sie sei verantwortlicher nach der DSGVO. Vielleicht erstmal die Klärung von ein paar ähm ja Begrifflichkeiten IAB, ist interactive Büro, also ein Organisation, die Werbeunternehmen auf europäischer Ebene vertritt, IAB bietet einen Cookie-Banner, einen eigenen Cookie-Banner, eine Content Management Plattform CMP. Ähm, Mit dieser Plattform können auf der Webseite die, Einwilligung zur Verarbeitung personenbezogener Daten von Nutzen äh von von Nutzern eingeholt werden. Ähm die AB hat dazu, Für dieses für diese für diesen Cookie-Banner, für diesen eigenen Cookie-Banner das Transparency and Concent Fame Work, also TCF, entwickelt, um so, Ja, ein ein Rahmen zu schaffen, mit dem die personalisierte Werbung ähm im Einklang mit der DSGVO angezeigt werden. Kann so bei jedenfalls zumindest der Plan. Ähm die CMP, also die Concent Management Plattform, der Cookie Banner von EAB funktioniert so, dass die Präferenzen der Websitennutzer, also die Der Stand der erteilten oder nicht erteilten Einwilligungen in einem String, einem PC Strink Also eine Zeichenfolge kodiert und gespeichert wird. Und nun zum EuGH-Urteil. Ähm der EuGH hat nun nämlich entschieden, dass dieser, TC String, ein personenbezogenes Datum ist, weil anhand, der in dem String enthaltenen Informationen könne ein Nutzerprofil erstellt werden und die betreffende Person identifiziert werden. Hier insbesondere durch Zuordnung zu IP-Adresse des genutzten Gerätes. Das ist die eine Aussage aus dem EuGH-Urteil. Darüber hinaus hat der EuGH auch entschieden, dass IAB Europe Als gemeinsam Verantwortlicher im Sinne der DSGVO anzusehen ist. Das ist etwas, wo sich die IAB bisher so ein bisschen ähm gesträubt hatte. Ähm, Begründung dafür ist, dass die Organisation, Einfluss auf die Verarbeitungen personenbezogene Daten zu nehmen Scheine. Wenn sie eben diese Einwilligungspräferenzen, Der Nutzer in dem TC-String speichere. Allerdings setzt der EuGH dieser Verantwortlichkeit auch eine Grenze, denn nach der Speicherung der Einwilligungspräferenzen sei ihr nur noch dann verantwortlich, Wenn sie nachweislich auch auch Einfluss auf die Weiterverarbeitung der Daten hat. Von daher ähm gemeinsame Verantwortlichkeit ja, aber ab einem bestimmten Punkt nur noch unter nur noch eine Verantwortlichkeit unter ja, weiteren Voraussetzungen, nämlich, bei vorhandenem Einfluss auf die Weiterverarbeitung. Das Urteil ist ähm so spannend es jetzt tatsächlich ist und solange es auch erwartet wurde, tatsächlich ein Zwischenschritt zur weiteren Bewertung des TCF durch die belgische Aufsichtsbehörde. Insofern bleibt jetzt erstmal abzuwarten, Ja ähm welche Schlüsse die Aufsichtsbehörde daraus zieht und äh welche Auswirkungen das für die Erklärung ähm haben wird äh ob der TCF-Banner zulässig oder vielleicht nicht mehr zulässig ist. Spannend. Ja, sehr spannend und das äh unterstreicht auch noch mal, dass man bei der Auswahl ähm des Anbieters für sein Consent Management auf seiner Webseite genau hinschauen sollte, weil ähm die gibt es ja, Mittlerweile auch wie Sand am Meer und man möchte damit ja eigentlich, Risiko reduzieren, nämlich erreichen, dass die Einwilligung rechtskonform eingeholt werden. Ähm man muss aber aufpassen, dass dort nicht eine neue, offene Flanke sich ergibt nämlich eben durch diese gemeinsame Verantwortlichkeit, also, nicht nur schauen, was man für Cookies einsetzt und was die für Daten sammeln, sondern auch schauen, ob das Consent Management-Tool selbst personenbezogene Daten sammelt. Und wer für diese Verarbeitung dann verantwortlich ist. Genau richtig, Es gibt leider oder es gibt ähm glücklicherweise viele Content Management Plattform Plattformen viele Cookie Banner, viele Anbieter von Cookie Bannern und auch da gibt es natürlich auch die, dunkleren, die schwarzen, die ähm nicht ganz so weißen Schafe. Es gibt Cookie Banner, die die Anforderung sehr gut umsetzen. Welche, die es vielleicht ein bisschen weniger gut umsetzen, von daher auch da offene Flanken. Mhm. Ähm ich mache weiter beim Europäischen Gerichtshof. Ähm ebenfalls druckfrisch, ebenfalls Gestern äh veröffentlicht und in meinem Urteil hat ähm der EuGH entschieden, dass Europol einen ähm Slowakischen Geschäftsmann, Wegen eines Datenschutzverstoßes 2000 Euro Schadenersatz zahlen muss. Der Betroffene wurde beschuldigt, ein Doppelmord an einem Journalisten und dessen Verlobten in Auftrag gegeben zu haben, dass zuständige slowakische Gericht sprach ihn aber dafür frei. In den vorausgegangenen Ermittlungen arbeitete Europol gemeinsam mit den slowakischen Behörden zusammen. Und äh konkret hatte Europol Daten auf zwei Mobiltelefonen des Betroffenen an die slowakischen Behörden übermittelt. Unglücklicherweise, man weiß nicht genau wie gerieten diese Daten dann aber irgendwie in die Hände der Presse, Grund dafür war, dass die Tom insgesamt unzulänglich waren, auf welcher Seite ist ähm wie gesagt, nicht ganz bekannt äh und konnte auch nicht abschließend geklärt werden. Die Presse veröffentlichte, Dann aufgezeichnete Telefongespräche, intime Telefongespräche zwischen den Betroffenen und seiner Freundin, woraufhin der Betroffene, auf 100.000 Euro Schadenersatz gegen Europol vor dem Europäischen Gericht klagte. Das Europäische Gericht, wie es die Klage aber ab, weil der Betroffene kein Beweis dafür erbracht hatte, dass ein Kausalzusammenhang, Zwischen den behaupteten Schaden und dem Verhalten von Europol besteht, Denn es war ja gerade unklar, ob jetzt Europol für das Leck verantwortlich war oder ob die slowakischen Behörden für das Leck verantwortlich waren. Das Verfahren ging dann aber in die nächste Instanz zum Europäischen Gerichtshof. Und der EuGH kam jetzt zu dem Ergebnis, dass der Betroffene nicht nachweisen müsse, die widerrechtliche Verarbeitung, äh Europol und nicht den slowakischen Behörden zuzurechnen ist. Die 100.000 Euro wurden den Betroffenen hier dann am Ende aber nicht zugesprochen. Immerhin 2000 Euro jedoch Schadenersatz muss Europol an den Betroffenen bezahlen und ähm ich glaube mit der Kausalität beim Schadenersatz wurde sich in der Vergangenheit grade vom Europäischen Gerichtshof noch nicht ganz so viel beschäftigt ähm deswegen kann ich empfehlen, da mal reinzulesen. Es ist ein bisschen verstrickt. Es ist ein recht langes Urteil. Ähm ist auch viel Europarecht drin, weil wir eben, Europol als europäische Behörde drin haben. Ähm da wurde auch drüber gestritten, wie die dann letzten Endes mit der nationalen slowakischen Behörde zu interagieren hat. Ähm aber dieses Thema der Kausalitätskette ist meines Erachtens noch nicht so ausgiebig vom EuGH, beleuchtet worden. Deswegen lohnt sich da mal reinzuschauen. Ich finde das sehr spannend, gerade wenn man sich überlegt, ähm ursprüngliche Klageforderung hunderttausend, die dann 200 geworden ist. Das finde ich zeigt so ein bisschen wie, Ja, wie viel Wert, Der Schaden bei dem Einzelnen wie wie hoch der geschätzt wird durch die Gerichte, aber auch den Punkt mit der Kausalität, finde ich, ähm ist vielleicht auch für einige andere Verfahren relevant, äh, Dass da die Anforderung ähm anscheinend hier an an an die Nachweispflicht des Klägers nicht doch nicht so hoch sind wie wie man das vielleicht denken würde. Ja ist ja auch eine Herausforderung für den Kläger, diese Kausalität nachzuweisen. Eigentlich ist es ein ein im Zivilrecht ähm, Ja geltender Grundsatz. Wenn ich als Kläger das nicht nachweisen kann, weil die ähm Belege für für ein Verschulden, Auf der anderen Seite liegen bei der anderen Partei und nicht gar keine Möglichkeit habe, hier einen Nachweis zu führen, dann müsste natürlich die andere Partei irgendwo sich exkulpieren und dann wiederum sagen, okay, ich hab’s halt eben nicht verschuldet. Von daher so ein bisschen auch nachvollziehbar das Urteil. Ja, ich habe ein weiteres Urteil vom. Finanzgericht Köln, ein Urteil vom zehn4ten Dezember dreiundzwanzig. Ähm hier geht’s um den Auskunftsanspruch, Es ist ein Thema, was ähm immer wieder aufkommt, aber hier um die Grenzen des Auskunftsanspruchs. Das heißt, um Rechtsmissbräuchliches Verhalten zum Sachverhalt. Ähm hier geht es um eine Klage einer Gesellschaft, die Mandanten in deutschen Besteuerungsverfahren betreut. Diese Gesellschaft hatte vor, Wer Klageerhebung Auskunft von den Beklagten einer Finanzverwaltung äh begehrt. Und Auskunft begehrt, in welchen Akten persönliche Daten von ihr im Hause der Beklagten geführt werden und zu welchem Zweck dieser verarbeitet würden. Überklagte, hatte daher im Vorfeld auf die Auskunft Ähm ob das Auskunftsersuchen reagiert und hat bereits vor Klagererhebung eine Grunddatenübersicht bereitgestellt, sowie die bekanntgegebene Steuerbescheide der letzten Jahre. Dies war für die Klägerin nicht ausreichend, sodass die Klägerin eben die Klage erhoben hatte. Interessant an der Klage sind die Ausführungen des Geschäftsführers der Klägerin. Dieser benutzt Wörter wie Kampf gegen die Behörden, Willkür hat auch schon diverse Strafanzeigen äh zuletzt auch gegen Richter ähm eingelegt mit der Behauptung ähm er müsste ein Krieg der Verwaltung gegen sich ergehen lassen und Kampfhandlungen der Verwaltung gegen sich, Ähm ja, gefallen lassen. Ähm auch hat er auch die Aussage getroffen, es sei allgemein bekannt, dass der Beklagte zu ihr, der Klägerin, haufenweise, geheim dosierst nach schäbiger Gestapomanier vorliegen habe, so dass dementsprechend natürlich die erteilte Auskunft nicht ausreichend sei und äh deswegen die Klage hier auch gerechtfertigt seien. Ja, nun hat das Gericht die Klage abgewiesen. Zum einen. Kein Rechtsschutzbedürfnis, da die begehrten Auskünfte bereits nach Ansicht des Gerichts erteilt worden sind. Zum anderen sei die Klage auch rechtsmissbräuchlich, Da der Kläger die Klage als persönlichen Rachefeldzug nutze so die Wertung des Gerichts. Nach ähm ja Meinung des Gerichts, geht es dem Kläger hier darum Beschäftigte der Finanzverwaltung, aber auch der Justiz und der namentliche Nennung öffentlich zu diskreditieren, Und ähm ja, dies ergibt sich auch daraus, dass der Träger beziehungsweise der Geschäftsführer, der Klägerin, bereits Internetseiten betreibt und äh auch schon vorbereitet hat, um dort die Namen der Beteiligten Beschäftigten, anzugeben und damit eben öffentlich zu machen. Neuerdings äh ist ist der Geschäftsführer der Klägerin, wo sie sogar auch dazu übergegangen, im Strafanzeigen ähm gegen Richter und gegen die Beschäftigten einzureichen. Insofern ähm sehen wir hier tatsächlich eine Grenze des Auskunftsrechts. Nämlich die Rechtsmissbräuchlichkeit. Äh hier in dem Fall eines persönlichen Rachefeldzugs ähm Und ich denke, meine persönliche Meinung, ich jetzt glaube ich, genauso gemacht, weil ähm, Ich habe mir das Urteil heute durchgelesen und äh Sachlichkeit war dort auf Seiten der Klägerin, ich sage mal, diplomatisch in Teile nicht gegeben. Das ist äh sehr diplomatisch formuliert und ich stimme dem Ergebnis 1 zu 1 zu. Also ich ich kriege gleich Muskelkater vom Kopf schütteln, Ja aber schön, dass das auch gedeckelt wird und gerade bei der Rechtsmissbräuchlichkeit muss das meines Erachtens auch konsequent gedeckelt werden, weil ähm das Auskunftsrecht ist eigentlich so eine schöne Sache und ähm wir wollen einfach nicht. Das für solche Zwecke missbraucht wird, ähm einfach nur um andere zu nerven, andere zu ärgern oder sogar noch einen Schritt weiter, wie du gesagt hast, um andere Personen dann sogar zu diskreditieren. Und ich glaube, es kommt wirklich auf den Zweck. Dann begehre ich Auskunft weicht ähm da ein datenschutzrechtliches Ansinnen habe oder möchte ich das einfach nur missbrauchen zweckentfremden für, Ja, so wie hier einen persönlichen Rachefeldzug. Von daher die Richter haben finde ich gut, gut erkannt und auch ähm ja, gut argumentiert auch, wobei das auch in dem Fall gar nicht so schwer war, das zu argumentieren. Ja, was hast du mitgebracht, David. Ja, ich mache weiter in Bayern beim Bayerischen Verwaltungsgerichtshof. Dieser musste sich mit der Zulässigkeit von Drohnenbefliegung, von. Wohngrundstücken zwecks Geschossflächenermittlung befassen, Das äh klingt erstmal sehr nach Beamtendeutsch. Ich erkläre mal kurz den zugrunde liegenden Fall. Hier hatte eine bayerische Gemeinde ähm und zwar die Gemeinde Sankt Veit, Drohnen über Wohngrundstücke fliegen lassen, um Gebühren für Entwässerungen zu berechnen. Dagegen wehrte sich eine betroffene Person und führte an, dass es für die Verarbeitung der Daten zu diesem Zweck Keine hinreichende Rechtsgrundlage gebe, insbesondere weil die Gemeinde keine Einwilligung eingeholt hat. Ja die Gemeinde Sankt Wald berief sich auf eine Rechtsgrundlage aus dem bayerischen Datenschutzgesetz. Genauer gesagt auf Artikel vier, Absatz eins, den ich einmal vorlese, die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle, ist unbeschadet sonstiger Bestimmungen zulässig. Wenn sie zur Erfüllung einer ihr obliegenden Aufgabe erforderlich ist, Also sehr, sehr allgemein gehalten und zwar zu allgemein. Das war hier die Einschätzung des Gerichts. Dieses kam nämlich zu dem Ergebnis, dass diese Vorschrift nicht bestimmt genug ist und sich daraus der Drohneneinsatz zu diesem besonderen Zweck nicht ableiten lässt. Vielmehr braucht es für die Verarbeitung nach dem Urteil eine spezielle Rechtsgrundlage, die dann geschaffen werden müsste. Und der Betroffene hatte somit Erfolg und die Drohnflüge müssen erst einmal unterlassen werden. Ob eine extra geschaffene Rechtsgrundlage, mit der DSGVO und der Subsidiarität dann vereinbar wäre, liest das Gericht bewusst offen. Das wäre aber meines Erachtens auch noch mal eine ganz spannende Frage. Die man in einem wesentlich weitergehenden Diskurs wahrscheinlich beleuchten müsste. Ähm ja grade, Behörden beziehungsweise Gesetzgeber haben ja durch die DSGVO auch eindeutige Leitplanken bekommen. Was in einem Gesetz als Verarbeitungsgrundlage bestimmt werden darf und, Was nicht und ja obsotronenflüge möglich sind, ne? Spannende Frage, oder? Spannende Frage. Vor allem, ich finde das immer wieder schön. Die Technik schreitet ja voran und wir versuchen ja diesen Fortschritt der Technik in das Gesetz irgendwo oder irgendwo unter das Gesetz, was wir haben, zu subsumieren und kommen da auch irgendwo langsam manchmal, An die Grenzen, weil ähm, An viele Sachen wird der Gesetzgeber natürlich nicht gedacht haben, wenn es das äh damals noch gar nicht gab, so einen Drohnenüberflug, also wo ich’s heute jetzt gerade gehört habe von dir, also ich bekomme auch gleich Nackenschmerzen vom Kopfschütteln. Er ist natürlich der Spagat, der dann immer irgendwie gelingen muss zwischen einer ähm Norm, die bestimmt genug ist und wie du sagst, aber auch Technologie offen, um zukünftige Entwicklungen gegebenenfalls auch abzudecken. Aber das Schöne daran ist, finde ich, wir sehen, dass die Behörden oder war der der öffentliche Dienst tatsächlich auch mit der Zeit geht und auch selber Technologie offen ist und auch offen für für neue Ideen. Ja, das äh auf jeden Fall ein Ansatz, den ich noch nicht so kannte. Gar nicht. Ich habe einen anderen neuen Ansatz mitgebracht aus Spanien, auch zum Thema neue Technologien und zwar, Gibt es in Spanien ein Projekt Wordcoin Dass ein universelles Grundeinkommen auf Basis einer Kryptowährung verspricht. Dieses Projekt stößt nun leider auf oder leider oder glücklicherweise, wie man sieht, ähm jedenfalls stößt es auf Widerstand. Wie Heise diese Woche berichtet, hat die spanische Datenschutzbehörde AEPD Nun ähm eine einstweilige Verfügung ähm eingereicht. Dass das Projekt keine personenbezogene Daten mehr erheben und verarbeiten darf und dass alle bereits gesammelten Daten zu sperren sind. Dieser Verfügung äh oder diese einstweilige Anordnung gilt jetzt erst mal oder soll die Sperre jetzt erst mal für drei Monate aufrecht erhalten. Hintergrund sind ähm an sich mehrere Beschwerden der Nutzer, unter anderem, weil diese ähm über die Datenverarbeitung unzureichend informiert wurden, weil Daten von Minderjährigen erfasst werden. Und äh weil ein Widerruf von Einwilligungen verhindert werde. Was ich aber persönlich als besonders brisant an dem An dem ähm World Coin Projekt finde ist, dass jeder, der am World Coin partizipieren möchte, sich äh zuvor persönlich mit einem Augenscanner, quasi davor setzen muss, eine Handy-App installieren muss und seine Iris von ähm ja von diesem Augenscanner einscannen lassen muss. Das heißt, äh das Projekt hat im Hintergrund eine biometrische Datenbank aufgebaut. Ja, wo dann die, Daten aller Nutzer hinterlegt sind und äh das eben auch ähm zur Authentifizierungszwecken verwendet werden soll. Es, Da wohl. Na ja, einige Experten ähm beziehungsweise einige Stimmen in die Literatur. Die Befürchtungen laut werden lassen, dass so zu einer Massenüberwachungssystem werden könnte. Was daran ist, da dran ist ähm, Können wir da natürlich jetzt nicht sagen. Allerdings äh hat in Deutschland das zuständige bayerische Landesamt für Datenschutzaufsicht auch Eine Datenschutzrechtliche Prüfung eingeleitet nach Heise, nach Informationen von Heise. Wir werden also schauen, was draus wird und gegebenenfalls wieder berichten. Ja ich Mich würde ja auch interessieren, vielleicht kann mich da ja eine Zuhörerin oder ein Zuhörer ja hellen, wie denn überhaupt der Stand der Technik bei Iriscans ist und äh wie sicher das Ganze ist. Also Wir haben kurz im ähm Vorhinein drüber gesprochen. Die Iris ist natürlich äh einzigartig, aber die Systeme müssen natürlich auch dementsprechend funktionieren. Wir wissen ja, dass es beim äh Daumen und auch bei der Gesichtserkennung immer wieder Schwächen gibt und für mich ist so, Dieses Thema IR-Scannen irgendwie immer noch aus James-Bond-Filmen und ich weiß halt nicht, wie gut das in der Realität funktioniert. Würde mich tatsächlich mal interessieren. Mich ebenfalls, Und äh vom Gefühl her müssten natürlich wir sprechen von einer biometrischen Datenbank, also von besonders sensiblen Daten nach Artikel neun. Das heißt vom Gefühl her müssten natürlich die technischen und organisatorischen Maßnahmen in einem eher sehr hohen Bereich liegen. Also da dürfte nicht gestudert werden, weil es ist, wie gesagt, eine sehr sensible Datenbank. Dann komme ich zu unserem Titelthema für heute ähm und zwar dem schon angesprochenen Bußgeld gegen Avast. Ähm ich hoffe, ich spreche das richtig aus. Ich weiß gar nicht, wie’s ausgesprochen wird. Ähm ich meine jedenfalls den Anbieter von Antivirus-Software. Dieser wurde in den USA durch die Federal Trade Commission, Verurteilt ein Bußgeld in Höhe von umgerechnet rund 15 Millionen Euro zu bezahlen. Äh was bietet nicht nur klassische Antivirus-Software, sondern auch Software an, die Nutzer vor Online-Tracking schützen soll? Und unglücklicherweise ähm sammelt diese Software aber Selbstinformationen Über das Surfverhalten der Nutzer und ähm Abas hat diese Informationen dann an andere Unternehmen weiterverkauft. Darunter waren unter anderem Beratungs, Investment, Datenanalyse und Marketingfirmen sowie Delta Broker. Und eine Einwilligung wurde hierzu nicht eingeholt. Die Informationen waren dabei, den spezifischen Personen zuordnenbar und wurden nicht wie von Avas behauptet wurde, nur in anonymisierter und aggregierter Form weitergegeben. Und das fand die FTC verständlicherweise nicht so lustig und verhängte deshalb das genannte Bußgeld Neben der Strafzahlung untersagte die FDC Avast auch die Daten, Weiter zu sammeln und zu Werbezwecken andere zu verkaufen. Außerdem müssen sage und schreibe acht Peter Bites an Daten, welche bis 2020 gesammelt wurden, jetzt gelöscht werden. Wow das da denke ich direkt daran, man holt sich jemanden oder ein ein ein Dienst auf seinen Laptop äh um einen Schutz, Gegen Angriffe, gegen Viren und und alles andere, was da so kreucht und fleucht im Internet zu holen und macht damit irgendwie eine andere Flanke auf, die man die so schön tipp, tipp, tipp, tipp, tipp heimlich dahinter. Ja, ein wieder die Daten abfließen lässt, ohne dass man’s weiß. Er hat so eine gewisse Analogie zu den Content Management-Tools. Ja, ach ja, ein schönes Thema. Ein schönes Thema und unsere Lesetipps haben auch schöne Themen, wenn ich das äh richtig sehe. Welchen Lesetipp hast du denn mitgebracht? Ja, ich habe äh Lesetipp und zwar ähm das Bundesamt für Sicherheit, In der Informationstechnik, also BSI, hat ähm eine Reihe von Steuererklärungs-Apps, Für Smartphones und Tablets untersucht der Hintergrund ist, dass es da auch eine Umfrage gab, dass die äh, Nutzer vermehrt oder dass die die Menschen vermehrt ähm Software für ihre Steuererklärungen nutzen und die Apps dementsprechend immer beliebter werden und das hat den BSI eben dazu ähm veranlasst diese Studie durchzuführen und äh, Ähm dabei wurden einige mögliche Schwachstellen identifiziert, auf die die Verbraucher bei der Wahl der eigenen Software bitte achten soll. Ähm da die da da die Apps natürlich auch mit sensiblen Daten gefüttert werden, mit denen, die für die Steuererklärung relevant sind. Insofern ein, ja, vielleicht mal Ein Tipp äh ein Lesetipp vor der nächsten Steuererklärung. Ja und das steht ja jetzt auch bei einigen ähm wieder an Ähm mein Lesetipp kommt von der Knülle von der französischen Datenschutzbehörde und ähm ist eine aktuelle Pressemitteilung, Ähm dort drin wird kritisiert, dass die meisten Studien zu den wirtschaftlichen Auswirkungen der Datenschutzgrundverordnung sich auf die Kosten konzentrieren, ohne den Nutzen, für die Unternehmen und die Gesellschaft ausreichend zu messen. Ja ich würde sagen, das ist ja immer dieses dieses ähm, Präventionsparadoxen, ne, wo würden wir stehen, wenn wir einen anderen Weg eingeschlagen hätten, da kann man nur Glaskugel lesen, aber gerade dieser Ansatz, der wird von der Knil kritisiert. Es werden auch noch mal ein paar Asp genannt, ähm was die Datenschutzgrundverordnung alles verbessert hat, auch wie der Gesetzgeber aus der Datenschutzgrundverordnung, schon gelernt hat und das Ganze kann auf der Webseite der Knall, nachgelesen werden, ähm wer dem französischen nicht so mächtig ist. Was auch mich betrifft, der kann das Ganze einfach auf Deutsch übersetzen mit der Übersetzungsapp seiner Wahl hat bei mir hervorragend funktioniert. Schön, dass es Apps gibt. Nee, aber ich finde das tatsächlich auch schön, dass dieser diese Aspekt was positiv ist an, haben Datenschutz an der Umsetzung von Datenschutzvorgaben, dass das wirklich mal so ein bisschen ins rechte Licht gerückt wird, weil das ist das, was viele vielleicht zu sehr vergessen und es ist auch immer unsere Beratungspraxis, dass wir den Kunden auch immer sagen, ähm, Datenschutz ist eben kein Verhinderer, sein Datenschutz nutzt dem Unternehmen und den Beschäftigten und den Kunden. Es ist eigentlich was Gutes und etwas, was das Unternehmen und alle voranbringt. Also wirklich Datenschutz als Möglichkeit. Das ähm Wäre dann das Wort zum Sonntag und und passt ganz gut zum Ende, finde ich. Ähm und damit würden wir uns dann auch verabschieden. Natalia herzlichen Dank für deine allererste Folge. Ich finde, du hast das ganz großartig gemacht. War gar nicht so schlimm, oder? Nein, ähm aber ein paar Mal verhaspelt habe ich mich ja doch schon, ne? Zwischendurch hier und da, aber nee, alles in einem hat wirklich Spaß gemacht. Das Verhaspeln, das haben wir ja alle und das äh macht es ja auch authentisch. Wir wollen auch authentisch bleiben und freuen uns, wenn Sie uns auch in der nächsten Woche wieder zuhören. Bis dahin, Vielen Dank und alles Gute. Auf bald.