Zum Inhalt springen

Bußgeld wegen Google Analytics – Datenschutz News KW 27/2023

    Der Datenschutz Talk KW 27
    Moderation:
    avatar
    David Schmidt
    avatar
    Gregor Wortberg

    Was ist in der KW 27 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
    Wir geben einen kurzen Überblick der aktuellen Themen:

    • Eine Million Euro Bußgeld wegen Google Analytics
    • Geänderte Nutzungsbedingungen bei Google erlauben KI-Training
    • Data Protection Framework: USA soll Geheimdienstrichtlinien angepasst haben
    • EuGH: BKartA darf DSGVO-Verstöße prüfen (EuGH, Urteil vom 04.07.2023 – C-252/21)
    • Politische Einigung zum Data Act
    • „PUR-Abo-Modelle“ zulässig: Niedersachsen legt Ergebnisse zur Prüfung von Medienwebseiten vor
    • Automatisierter Angriff durch Sicherheitslücke in Microsoft Teams möglich

    Empfehlungen & Lesetipps:

    Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

    Twitter: https://twitter.com/DS_Talk

    Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
    (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

    Instagram: https://www.instagram.com/datenschutztalk_podcast/

    Folge hier kommentieren: https://migosens.de/bussgeld-wegen-google-analytics-datenschutz-news-kw-27-2023

    TeamDatenschutz #TeamInfoSec #DSTalk

    Transkript zur Folge: Wie ist es? Ist es das Motto von Google? Können wir den ja mal vorschlagen? Okay, wir wollen ja keine Marketingarbeit machen. Herzlich willkommen zum Datenschutz-Talk, Ihrem Podcast für die Themen Datenschutz und Informationssicherheit. Freitag, der 7. Juli und wir begrüßen sie wieder ganz herzlich zu einer neuen Folge unseres Podcasts. Redaktionsschluss war wie gewohnt um zehn Uhr. Mein Name ist David Schmidt und letzte Woche war er mir zugeschaltet, heute steht er mir live und in Farbe gegenüber. Herzlich willkommen Gregor. Hallo David. Was sind heute unsere Themen? Ja, wir haben wieder eine wunderbare Mischung für unsere Hörerinnen und Hörer zusammengestellt, wie ich finde. Ich habe folgende vier Themen mitgebracht und zwar gibt’s einen Millionen Bußgeld. Wegen der Nutzung von Google Analytics in Schweden, Neuigkeiten zum EUS Datum Protection Framework habe ich mitgebracht, ebenso gibt’s Neuigkeiten zum Data Act und eine Sicherheitslücke im Microswift Teams wurde aufgedeckt. Das hört sich spannend an. Ich habe drei Themen mitgebracht. Einmal schauen wir auf die neuen, Auf die neue Datenschutzrichtlinie von Google, dann sprechen wir über das EuGH-Urteil zu Zuständigkeit des Bundeskartellamts für den Datenschutz. Dann schauen wir gemeinsam auf das Prüfergebnis der Aufsichtsbehörde aus Niedersachsen zur sogenannten Pur-Abo-Modellen. Dann würde ich auch noch einen Lesetipp nachreichen. Wunderbar, dann lass uns mal direkt gerne reinstarten und dann schauen wir uns mal das schwedische Bußgeld an, die Emi, die, schwedische Datenschutzbehörde. Ich habe mich wir haben uns ja gerade geeinigt, dass ich’s nicht versuchen, unser mit unserem skandinavisch-schwedisch und äh diese Abkürzung. Besser ist das. Das ist noch ausbaufähig. Glaube, da kann man sich nur mit blamieren, deswegen steigen wir da mal so ein. Im Jahr 220 reichte Neub die Datenschutz, Organisation von Max Schrems. 1 Beschwerden bei europäischen Aufsichtsbehörden gegen Unternehmen ein, die Google oder Facebook Dienste auf deren, Webseite einsetzen und dieses Bußgeld ist in Folge einer solchen Beschwerde, ausgesprochen wurden. Konkret ist es aber so, dass ähm aufgrund dieser Beschwerden die schwedische Aufsichtsbehörde vier Unternehmen, untersucht hat bezüglich der Übermittlung personenbezogener Daten in die Vereinigten Staaten von Amerika. Welche im Zusammenhang mit der Nutzung von Google Analytics natürlich auch passiert. Alle vier Unternehmen haben den Transfer in die drittstaaten, auf die Standardvertragsklauseln gestützt, aber im Zuge der Untersuchung ist rausgekommen, dass keines dieser Unternehmen ausreichende, technischen, ergotorischen Maßnahmen eingesetzt hat, beziehungsweise gar keine. Welche dann natürlich auch an Zugriff auf die personenbezogene Daten durch übers Geheimdienst hätten verhindern können. Emi äh hat dann ein, Bußgeld von in Höhe von 12 Millionen Schweden äh schwedischen Kronen gegen Tele 2 verhängt. Das sind dann diese eine Million Euro in etwa und, Das wurde ausgesprochen, weil Tele zwei halt gar keine. Weiteren Tom implementiert hat. 3hunderttausendäh schwedische Kronen, circa 25.000 Euro wurde gegen ein weiteres Unternehmen ausgesprochen. Die haben halt nicht ausreichende Tom äh implementiert. Gegen zwei weitere Unternehmen hat die schwedische Aufsichtsbehörde quasi die, Unterlassung der Nutzung von Google Analytics ausgesprochen. Also in Summe wurden wurde dreimal die Nutzung untersagt. Bei der Tele zwei, die die Millionenstrafe bekommen hat, äh ist das nicht notwendig, die hatte zweitausenddreiundzwanzig, Nutzung schon aus eigenem Antrieb quasi abgestellt. Ein bisschen gucken, wie man’s einordnet, ne? Das sind alles Einzelfallentscheidungen, deswegen bin ich da gerade im Detail auch noch mal drauf eingegangen, wer jetzt hier aufgrund welcher Maßnahmen welche Höhe der Strafe quasi bekommen hat. Es ist leider eine Meldung nicht ganz ersichtlich natürlich, welche, Tom die einzelnen Unternehmen jetzt konkret getroffen haben. Deswegen weiß ich nicht, ob da jetzt eine Grundsatzwirkung nochmal mit einhergeht, dadurch dass die Details jetzt nicht so ganz bekannt sind, Wichtig ist grundsätzlich natürlich geeignete Tom zu implementieren. Muss man nochmal gucken ähm man sollte als Unternehmen natürlich da seine Tom auch regelmäßig prüfen, insbesondere vor dem Hintergrund, dass ja jetzt zum ersten Juli äh Universal Analytics, also die alte Nutzungsweise von Google Analytics, keine neuen Daten mehr sammelt und Google Analytics vier implementiert wurde und in dem Zusammenhang sind diese natürlich dann auch noch mal neu zu bewerten und für die Zukunft, natürlich vielleicht auch nochmal andere Auswirkungen dann haben, ne wie mit solchen Tonnen dann umzugehen ist. Ja die Generallösung gibt es da so schnell nicht. Ähm wir bleiben bei Google und gehen zur gleichnamigen Suchmaschine über. Diese wurden jetzt nämlich die Nutzungsbedingungen und die Datenschutzrichtlinie geändert. In der neuen Version der Datenschutzrichtlinie macht Google klar, dass alle öffentlich zugänglichen Daten auch für das Training der eigenen KI-Modelle genutzt werden, dürfen und könnten. Bisher enthielten die Bestimmungen noch keinen Passus zum Thema KI, Persönliche Meinung, eine bloße Ergänzung eines entsprechenden Absatzes dürfte hier wohl nicht reichen, um das ganze Datenschutzrechtlich zu legitimieren. Da muss schon noch etwas mehr in Richtung Einwilligung oder berechtigtes Interesse kommen. Aber bis auf Weiteres gilt hier wohl erstmal, wo kein Kläger da auch kein Richter. Ist es das Motto von Google? So, das, was. Können wir den ja mal vorschlagen? Okay, wir wollen ja keine Marketingarbeit machen. So das, was mich spontan dazu einfiel. Wie eingangs erwähnt, ähm habe ich Neuigkeiten mitgebracht zum Data Protection Framework. Und zwar ähm hat es eine Veröffentlichung, eine Pressemitteilung der US-Handelsministerin Gina Raymondo an diesem Montag, den 3. Juli, gegeben, und in dieser heißt es dass die USA quasi nach eigenen Angaben startklar für ein neues Abkommen mit der EU zum vereinfachten Transferpersonen beziehungsweise Daten sind. Vereinigten Staaten, so heißt es, hätten ihre Verpflichtung zur Umsetzung des EU-US-Datenschutz. Dato Protection Frameworks ähm quasi erfüllt und ähm das Ganze ist dann natürlich in Folge zu sehen, der, Im März 2022 von Joe Biden und Ursula von der Leyen angekündigten Übereinkunft, Und ähm das stelle dann den Höhepunkt einer monatelang bedeutsamen Zusammenarbeit zwischen beiden Seiten da. Das wurde dann nochmal drin wunderbar äh hervorgehoben. Darin spiegelte sich auch das äh Engagement für die Erleichterung von Datenströmen zwischen den jeweiligen Gerichtsbarkeiten unter Wahrung individueller Rechte wieder. Mit Verweis auf die Order äh vierzehn null sechsundachtzig das Oktober, 222 wird in der Pressemitteilung dann halt auch bestätigt, dass die US-Geheimdienstliche Richtlinien und Vorgehensweisen angepasst hätten und die Städten Schutzmaßnahmen, auf die jetzt nicht weiter eingegangen wird seien ein wichtiger Schritt in die Richtung eines Angemessenheitsbeschlusses für das EUS Starter Protection Framework. Folglich liegt derweil ähm nun wieder im Feld der EU-Kommission kann man sagen und ähm ja, wahrscheinlich bald die nächsten Schritte geben, über die wir dann berichten können, ne, dass es dann vielleicht auch äh zeitnah dann verabschiedet wird. Kritik ist natürlich auch schon da. Hat sich gemeldet in Werks-Rems und äh hat moniert, dass äh das, quasi dritte Rahmenwerk, äh was ist was ist dann ja auch darstellt den ersten beiden schon strukturell sehr deutlich entsprechen würde und sehr wahrscheinlich sei, dass der EuGH das dann wieder einkassieren würde. Mal sehen, sind wir mal gespannt, wie’s da weitergeht. Das bleibt abzuwarten. Also ich würde die äh Standardvertragsklausel auch nicht zu weit wegräumen. Muss mal vorsichtig zu informieren. Ah ich lasse mich gern positiv überraschen. Im Hinterkopf behalten, meinst du? Wir. Dann kommen wir schon zum Urteil des Europäischen Gerichtshofs aus dieser Woche äh Dienstag ist es glaube ich ähm ergangen, Darüber wurde ja auch schon in äh eigentlich allen einschlägigen Medien berichtet. Wir wollen das Ganze aber natürlich nochmal aus unserer Sicht, beleuchten. Der EuGH hat entschieden, dass eine Nationale Wettbewerbsbehörde im Rahmen der Prüfung, ob ein Unternehmen eine marktbeherrschende Stellung missbraucht. Grundsätzlich auch, DSGVO Verstöße prüfen und feststellen darf. Hintergrund war eine Beschwerde von Meta gegen das Bundeskartellamt, Bundeskartellamt hatte Meter untersagt, Nutzerdaten aus den verschiedenen Plattformen, Instagram, Facebook und so weiter zu verknüpfen aufgrund Wettbewerb rechtlicher Verstöße, die damit einhergehen würden. Meter legte beim Oberlandesgericht Düsseldorf gegen die Anordnung Beschwerde ein und argumentierte unter anderem, dass dies eine datenschutzrechtliche und keine wettbewerbsrechtliche Frage sei und dass deshalb die Kartellbehörde gar nicht zuständig wäre. Gerichtlichte die Zuständigkeitsfrage dem Europäischen Gerichtshof vor und der EuGH kam jetzt zu der Entscheidung, dass auch Behörden der Mitglied, im Rahmen ihres Aufsichtsauftrags datenschutzrechtliche Aspekte berücksichtigen dürfen. Das Ganze wurde aber an bestimmte Voraussetzungen geknüpft, die jetzt in dem konkreten Fall vom OLG Düsseldorf nochmal geprüft werden müssen. Es geht dabei darum, ob der hier vermutete, mögliche Missbrauch einer beherrschenden Marktstellung konkret, möglichen Verstößen gegen den Datenschutz, ähm konkret mit möglichen Verstößen, die in den Datenschutz verknüpft ist. Und ist das nicht der Fall, dann ist laut EuGH die Datenschutzbehörde und nicht die Kartellbehörde zuständig. Zudem besteht laut EuGH auch eine Pflicht zur Zusammenarbeit mit den Datenschutzbehörden, Das heißt, die Kartellbehörde ist verpflichtet, bereits ergangene Untersuchungen und Bewertungen der Datenschutzbehörden zu berücksichtigen, soweit es solche gab. Wenn dies der Fall ist, dann ähm darf nicht von der Bewertung der Datenschutzbehörde abgewichen werden, Wenn es in die eigentliche wettbewerbsrechtliche Bewertung geht, Die Entscheidung finde ich ganz gut differenziert und auch sehr nachvollziehbar. Klar, nicht so schön, wenn die eine Behörde hü sagt und die andere hot. Ich denke, dass das OLG hier die Voraussetzung als erfüllt ansehen wird. Spannend ist dann, was auf Meta in Sachen Sanktionen zukommen könnte. Im Wettbewerbsrecht sind ja eh nicht wie im Datenschutz auch nicht ganz billig. Ja danke für die Einordnung. Ich mache mal weiter mit dem Data-Act. Haben wir auch schon häufiger mal drüber berichtet, Ähm und ähm da hat es nun eine politische Einigung gegeben zwischen den EU-Mitgliedsstaaten, dem EU-Parlament. Äh die haben sich dann jetzt quasi auf die Ausgestaltung des Datacts geeinigt. Das hat die EU-Kommission in einer Pressemitteilung auch noch mal begrüßt. Der Data-Act, wie es in der Pressemitteilung so schön heißt, zielt er darauf ab, die Datenwirtschaft in der EU anzukurbeln er soll ja auch sicherstellen, dass die Vorteile der digitalen Revolution alle zuguten kommen, finde ich. Wunderbar formuliert und vielleicht nochmal kurz zum Inhalt äh unter anderem sollen die Rechte von Verbrauchern, Unternehmen in Bezug auf die Daten gestärkt werden, die bei der Nutzung digitaler Geräte, wie zum Beispiel ein Fitness entstehen, äh KMUs ähm sollen durch die Maßnahmen des DateX in ihre Verhandlungsposition am digitalen Markt gestärkt werden und außerdem sollen Behörden im Katastrophenfall ja auch Daten von Unternehmen zugreifen können. Schwer abzusehen sind da natürlich noch so ein bisschen die Folgen fürs Datenschutzrecht. Letzten Endes waren eigentlich, Sonst wäre ja keine Beeinträchtigung der DSGVO. Was sind da jetzt die nächsten Schritte? Ähm die politische Einigung muss nun jetzt auch noch mal von beiden Seiten förmlich genehmigt werden und ähm nach der. Öffentlichung und nach den Krafttretung wird der Data-Act um zwanzig Monate, Später dann anwendbar sein, also voraussichtlich dann im Jahr 2025 vollends quasi zur Geltung kommen. Freuen uns drauf. Wir freuen uns drauf und für weitere Informationen machen wir natürlich nochmal ein bisschen Eigenwerbung und äh verweisen auf die Themenfolge mit Maximilian Herrmann zur europäischen Datenstrategie. In welcher die verschiedenen Acts, also Digital Markets Act Digital Services Ac Governance Act, Data Act, AI Acty Verordnung, Nist zwei Richtlinien, alle nochmal aufgearbeitet und erörtert werden, ist sehr, sehr zu empfehlen. Ja, ist schon eine Welle an Acts, die da auf uns zurollt, aber wie gesagt, wir freuen uns drauf, auch wenn ähm in der Praxis natürlich ganz viele neue Fragen da auf uns zukommen werden, gerade was die Schnittpunkte zum Datenschutz betrifft. Dann ähm schauen wir nach Niedersachsen. Dort hat die Datenschutzaufsicht die Prüfung von fünf Medienunternehmen in Bezug auf den Einsatz von Cookies und Nutzer-Tracking zu Werbezwecken abgeschlossen. War Teil einer bundesweiten Prüfung, die ähm in anderen Ländern noch im Gange ist. Das Prüfungsergebnis aus Niedersachsen wurde jetzt aber in einer Pressemitteilung zusammengefasst. Hintergrund war hier die Implementierung sogenannter Pur-Abo-Modelle. Modelle, bei denen der Leser vor die Wahl gestellt wird, entweder in das Tracking einzuwilligen und quasi mit seinen Daten für die Inhalte zu bezahlen oder für eine Nutzung ohne Tracking mit Geld zu bezahlen. Das Ergebnis lautet, dass alle geprüften Webseiten nicht den rechtlichen Anforderungen für den Einsatz von Cookies und anderen Schwächen Tracking, Technologien entsprachen, Teilweise fanden sich auf Webseiten äh über die keine wirksame Datenschutzrechtlichen Einwilligungen der Nutzer eingeholt worden waren. Dass unter anderem, weil die Benner irreführend in ihrer Gestaltung waren, sodass die Einwilligungen nicht freiwillig waren und die Informationen, seien zum Teil auch unzureichend und wenig differenziert gewesen. Über diese Defizite wurden die betroffenen Medienunternehmen in umfassenden Auswertungsschreiben informiert und es wurde ihnen die Möglichkeit gegeben zu geplanten Aufsichtsbehördlichen Maßnahmen Stellung zu geben. Grundlage für die Prüfungen waren die Änderungen mit dem Inkrafttreten des ähm TTDSG, so wie der vermehrte Einsatz von Pur-Abo-Modellen. Zu beiden Aspekten gab es Veröffentlichungen der DSK, die darin enthaltenen Bewertungen wurden für die Prüfung zugrunde gelegt, Die kann man auch noch mal nachlesen, die sind im Netz auch frei zugänglich. Das ist einmal der Beschluss der DSK zu pur-Abo-Modellen und natürlich die Orientierungshilfe für Telemedienanbieter, über die wir hier auch schon des Öfteren im Podcast gesprochen haben. Ja, ich ich nehme ja das Stichwort frei abrufbar auf. Es ist mal wieder eine schlechte Überleitung, die ich mal wieder, Die darf auch nicht fehlen, auch nicht in dieser Woche. Ähm und zwar frei abrufbar im Netz bei GitHub ist äh nämlich auch eine Schadsoftware, der sogenannte Team, Teams Fischer. Ähm für alle die, die angeln wollen, ähm ist so ein bisschen noch schlechter. Ähm, Phishing äh bekommen wir nämlich gleich zu. Letzten Endes geht’s nämlich darum, dass über diese Schwachstelle Angreife in Teams Nutzern unterjubeln können und ähm dieses Tool, dieser Teamsfischer macht diese diese Möglichkeit, nämlich auch recht einfach, Zwar ist es so, dass obwohl man von äh jetzt außerhalb der eigenen Organisation stammt, ermöglicht die Lücke, dass Marway direkt in, direkt als ausführbare und anklickbare Datei im Chat angezeigt wird und nicht mehr als externer Link. Also ich kann es angeschrieben werden von einem dritten und, Chat sieht’s ganz normal für mich aus, dass ich einfach wie regulär auch eine Datei zugeschickt bekommen habe und die Sicherheitslücke ermöglicht quasi, die Warnmeldung von Teams, die ja sonst normalerweise bei Nachrichten von außerhalb der Organisation. Mich angezeigt werden ähm zu umgehen, dass diese gar nicht angezeigt wird, Somit ist es für den für den Empfänger, für die Empfängerin auf den ersten Blick gar nicht so wirklich ersichtlich, dass äh dass mir da vielleicht Unheil droht. Ähm wie schon gesagt, die ähm Software steht auf GitTup ähm zum Download bereit und scheint dann auch recht unkompliziert, In der Anwendung zu sein letzten Endes ermöglicht sie eine ja quasi das automatisierte Versenden von Massenteams, Nachrichten mit Anhang. Anhang ist dann die Schadsoftware, die muss man dann auch selber zur Verfügung stellen und ich hatte es jetzt gerade schon mal gesagt, wie das Ganze funktioniert, also die der Teams Fischer erstellt quasi eine Gruppennachricht. Indem er die Zieladresse zweimal verwendet und dadurch wird dann quasi diese Warnmeldung deaktiviert und der Empfänger merkt’s nicht, dass das von außerhalb kommt. Auf Anfrage von Heise Online äh hat er auch schon von Microsoft reagiert und äh gesagt, dass der Bericht bekannt ist und ähm letzten Endes ja auch festgestellt, dass es da ganz, ganz klar um Social Engineering, also Phishing geht, deswegen Teams Fischer. Ähm um da auch erfolgreich zu sein und Microsoft, affellierte auch erstmal an den sensiblen Umgang im Nutzen mit Teams und dem Öffnen von Anhängen. Da ist momentan noch keine Lösung gibt, äh um das einfach Vorsicht geboten sei und äh ob da jetzt am kommenden Patch Dan-Update zu der äh Lücke äh, kommen wird, um diese dann zu schließen, nach der Pressesprecher erst mal offen gelassen. Also folglich natürlich bei einer Offensicherheitslücke, umso mehr sensibel sein, was das Öffnen von Daten von Anhängen angeht, wie man sowieso schon ist, ähm aber da nochmal der besondere Hinweis auf eine offene Sicherheitslücke. Ja äh vielen Dank Gregor. Wärst du dann bereit für unseren heute einzigen Lesetipp? Das ist der Mindeststandard des BSI zur Protokollierung und der Diktion von Cyberangriffen. Der wurde jetzt in der aktualisierten Version zwei Punkt null veröffentlicht und dieser enthält organisatorische und technische Anforderungen zur Erfassung von Protokoll und Protokollierungsdaten, um Cyberangriffe auf die Bundesverwaltung frühzeitig zu erkennen. Ich denke, was da drin steht, dürfte aber auch für die Privatwirtschaft, für jeden IT-Administrator, interessant sein, deswegen lohnt es sich auf jeden Fall hier einmal nachzulesen. Dann ähm werden wir durch für heute mit unseren Themen. Wir, bedanken uns ganz herzlich für ihre Unterstützung, ähm vor allem auch für die Unterstützung aus unserer internen Reaktion. Wir freuen uns natürlich wie immer über Feedback und Anregungen und hören uns dann, in der nächsten Woche hoffentlich wieder. Bis dahin, tschau.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Das könnte Sie auch interessieren

    migosens DS-Talk

    530 Millionen Euro Bußgeld gegen TikTok – DS News KW 19/2025

    Cover Themenfolge NIS2 in aller Kürze - Stephan Auge

    NIS2-Pflichten für Unternehmen: Das musst du wissen – Stephan Auge im Datenschutz Talk

    eBay plant KI-Training mit Nutzerdaten – DS News KW 18/2025

    Jede fünfte Website verstößt gegen Datenschutzvorgaben- DS News KW 17/2025