Bußgelder gegen Yahoo und andere – Datenschutz News KW 03/2024

Moderation:

Was ist in der KW 03 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• CNIL verhängt Bußgeld gegen französisches Fintech (Délibération SAN-2023-023 du 29 décembre 2023)
• Isländische Aufsichtsbehörde zur Videoüberwachung in Umkleiden
• Mangelnder Datenschutz in WhatsApp
• BfDI will nicht länger auf Abschluss des WhatsApp-Verfahrens warten
• Sicherheitsleck in in Ivantis VPN-Software
• Millionenstrafe gegen Yahoo

Empfehlungen & Lesetipps:

• Die Ausführungen der EDSA zur Benennung und Stellung der Datenschutzbeauftragten finden Sie hier
• Neues Open Source Tool für die Überprüfung von Webseiten veröffentlicht

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/bußgelder-gegen-yahoo-und-andere-datenschutz-news-kw-03-2024

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Herzlich willkommen zum Datenschutztalk, Ihrem Podcast für die Themen Datenschutz und Informationssicherheit. Heute ist Freitag, der neunzehnte Januar zwanzig vierundzwanzig. Und äh ich begrüße Sie wieder ganz herzlich zu einer neuen Ausgabe unseres Podcasts. Redaktionsschluss war wie gewohnt um zehn Uhr. Mein Name ist David Schmidt und bei mir ist mein lieber Kollege Gregor Wortberg. Hallo David. Hi Gregor, ich will gar nicht lange schnacken, welche Themen hast du denn äh heute mitgebracht? Ja, das Jahr ist ja schon wieder irgendwie 3 Wochen alt, ne, das Neue und äh ein paar Themen habe ich auch dabei. Bußgelder habe ich mitgebracht, die Knüll war sehr aktiv, also die französische Aufsichtsbehörde. Ähm und da trage ich, Zwei Bußgelder heute vor und Datenschutz bei WhatsApp ist auch mal wieder ein Thema. Darf nicht fehlen. Darüber hinaus, Ein Lesetipp oder vielmehr eine Nutzungsempfehlung. Ja, das klingt spannend. Bei mir sind es heute nur zwei Themen. Wir schauen ähm einmal nach Island. Schaue mir gar nicht so oft hin, finde ich, hat man gar nicht so auf dem Schirm und dann äh gibt’s eine Sicherheitslücke in einer VPN-Software, über die ich berichten möchte. Und ich habe dann auch noch einen Lesetipp, der dann mein drittes Thema wäre. Ja so, dann starten wir mal direkt rein und zwar mit dem ersten Bußgeld aus Frankreich, die Knie. Also die französische Datenschutzaufsichtsbehörde, hat jetzt am 11. Januar ein äh Bußgeld veröffentlicht gegen das Unternehmen aus äh Frankreich. Das ist ein Anbieter, ähm mit dem man online bezahlen kann. Ne? Also über eine App oder übers Internet, ist ja bekannt, gibt durchaus auch noch andere größere Anbieter, wollen wir jetzt keine Werbung für machen. Auf jeden Fall ähm ist das äh Bußgeld im Kontext der Cookie-Werbung, Und der und den damit äh gehenden Speicherfristen ausgesprochen werden. Also die haben mit anderen Worten alles falsch gemacht, was man so falsch machen kann. In dem Zusammenhang. Unter anderem wurde die Speicherdauer von den Daten, die erhoben wurden auf gute zehn Jahre festgelegt und Accountdaten wurden, selbst wenn sie gelöscht wurden, unbefristet gespeichert Darüber hinaus äh wo die betroffenen Informationen ähm nicht korrekt umgesetzt beziehungsweise war zum Teil auch einfach fehlend und ähm obwohl es äh eigene internationale Zielgruppe war, war das alles in Französisch gehalten und nichts auf Englisch zu finden. Ja, ist natürlich auch nicht so wunderbar, deswegen äh neben technischen Organisatorischen Maßnahmen, also der um verschlüsselten Speicherung von 50.000 Passwörtern ähm sind so zwei, drei andere kleinere Sachen noch schiefgelaufen, hundert 5tausend Euro, du musst das Unternehmen jetzt letzten Endes bezahlen. Klingt gerechtfertigt bei der Liste. Auf jeden Fall einmal alles mitgenommen, was geht. Sehr schön. Ähm da machen wir weiter in Island. Ich habe ja schon gesagt, hat man gar nicht so auf dem Schirm zumindest, wenn’s um die DSGVO geht, aber ähm die gilt natürlich auch in Island, weil Island zum europäischen Wirtschaftsraum gehört Und da wurde jetzt ein Bußgeld verhängt gegen ein großes Unterhaltungszentrum. Genauer gesagt gegen den Betreiber dieses Zentrums den Namen versuche ich nicht auszusprechen. Da wäre ich jetzt aber neugierig. Ja der kann dann nachgelesen werden. Ähm mein Isländisch ist tatsächlich etwas eingerostet, deswegen möchte ich das hier nicht versuchen. Ähm, Dieses Zentrum befindet sich auf jeden Fall in der Hauptstadt, in Reyky, und die isländische Behörde hatte ermittelt wegen Videoüberwachung in Umkleiden und Aufenthaltsräumen. Dabei wurde festgestellt, dass unter anderem auch Jugendliche beim Umziehen und Schlafen während eines Sportturniers überwacht wurden Zudem wurde festgestellt, dass in den Räumlichkeiten auch Massenimpfungen gegen Covid-19 stattgefunden haben und diese aufgezeichnet wurden. Und die Untersuchung ergaben, dass der Verantwortliche diese Videoüberwachung, Nicht mittels einer Interessenabwägung legitimiert hat. Also er hat keine tatsächliche Interessenabwägung durchgeführt und dokumentiert. Äh weder im Allgemeinen noch im, Bezug auf die speziellen Veranstaltungen, die in diesen Räumlichkeiten stattgefunden haben. Das Bußgeld beläuft sich oft umgerechnet circa 25.000 Euro. Ich finde das ehrlich gesagt noch ein bisschen wenig. Also vor allem wegen dieser Impfungsgeschichte. Ich würde da schon von Gesundheitsdaten ausgehen wollen und da kommt ja das berechtigte Interesse aus meiner Sicht gar nicht in Frage als Rechtsgrundlage, egal ob man dazu jetzt eine dokumentierte Abwägung durchgeführt hat oder eben nicht. Ja sollte man sich mal gut Gedanken drum mal machen, ob man filmt und warum überhaupt, ne, in dem Zusammenhang auch noch mal die Frage in so einer Sporteinrichtung, ja auch im Umkleidebereich äh brauchen wir nicht, ne. Und wichtig vielleicht halt auch noch mal, ähm dass man das natürlich immer ähm erneut auch prüfen muss, ne? Also wenn man da eine Überwachung durchführt, die äh für eine Veranstaltung legitim sein kann, ähm muss sie das dann für eine andere äh nicht mehr unbedingt sein, insbesondere, wenn einer da sowas wie Impfung Stattfinden. Ganz genau. Ist auch wichtig, dass immer im Weg zu behalten. Ähm mit meiner nächsten äh Meldung schlechte Überleitung im Blick behalten wollen wir auch natürlich wieder WhatsApp. Das darf nicht fehlen. Es tut mir leid. Entschuldigen. Ähm und zwar ist es vielleicht äh auch eine Richtung ähm eine kleine Meldung in in Hinblick Sensibilisierung äh äh in Sicherheitsforscher hat jetzt auch nochmal herausgefunden ähm dass es eine, Sicherheitslücke gibt, die eigentlich bei Design, also durch äh durch WhatsApp beziehungsweise Meta ähm implementiert ist. Ähm diese ist erlaubt, dass, 3. möglich ist, also ob sie jetzt bei mir im Telefon drin sind oder nicht oder wenn ich sie sogar blockiert habe ähm meine mit meinem Account verknüpften Geräte auszulesen beziehungsweise die Information, die Geräteinformation. Das ist ja Nutzerinnen und Nutzern, möglich, denn das eigene den eigenen WhatsApp bekam, auf dem Handy mit vier weiteren Geräten zu verknüpfen, also dass ich WhatsApp auch aufm PC oder aufm Tablet oder so weiter, ähm und so weiter nutzen kann und diese Informationen können dann ausgelesen werden, ne? Dadurch kann ich jetzt natürlich, schon feststellen, okay jetzt ähm Änderungen gegeben in, gesäten guten Neues dazu genommen und das können natürlich potenzielle Angreifer auch ausnutzen. Hintergrund ist allerdings ähm wohl die Funktionsweise der Ende zu Ende Verschlüsselung. Die ich ja äh zwischen zwei Geräten ähm durch abscannen eines Kotfeldes oder so einer Matrix ähm ja letzten Endes äh sicherstellen kann und da muss das andere Gerät ja auch wissen, welche, äh mit meinem Account verknüpft sind, um auch in diesem Kontext die Verschlüsselung sicherzustellen. Das sagt halt auch Meta, die haben recht abweisend auf den Bericht reagiert. Dass es sich da halt auch einfach nicht um Implementierungsfehler handle, sondern einfach die Art und Weise, wie das Ganze funktioniert, ähm aber trotzdem, Ich denke, eine interessante Meldung, um das darüber einfach nur mal zu sensibilisieren, dass sowas halt auch einfach recht unkompliziert über den Webclient ähm von WhatsApp äh abgerufen werden kann. Ergänzend ähm äh vielleicht zu dem Thema, wo ich gerade so bei WhatsApp äh bin, auch noch mal die. Aufforderung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit ähm in einer auf der Webseite ähm der Behörde veröffentlichen Kurzmeldung ähm und zwar fordert da das BFTI, dass die offengebliebenen Fragestellungen des Verfahrens, welches die DPC, also die da irische Datenschutzaufsichtsbehörde vor gut einem Jahr äh noch offen gelassen hat in dem Beschluss gegen WhatsApp, jetzt auch äh bitte beantworten äh möge. Kurz zusammengefasst ist die DPC eine Entschluss der des europäischen Datenschutzausschusses gefolgt und hatte festgestellt, dass WhatsApp in unzulässiger Weise ähm Daten von den Nutzerinnen, Nutzern zu zwecken der Serviceverbesserung und der Sicherheit verarbeitet. In eine abschließende Bewertung steht halt noch aus, ob die auf den Beschluss seitens WhatsApp betroffenen Maßnahmen hinreichend sind. Und auch umgesetzt wurden ähm und, damit natürlich auch irgendwo die Schlussfolgen, ob der Dienst auch datenschutzkonform genutzt werden kann überhaupt und ähm ebenso ausstehend ist die halt sind die Ergebnisse der ähm Untersuchung der irischen Aufsicht, welche durch den aufgetragen wurde, ob diese Daten halt auch für Marketingzwecke mit verbundenen Unternehmen, also Facebook und dem Meta-Konzern dann halt auch geteilt und verarbeitet wurden und das dann halt überhaupt im Einklang mit der DSGVO steht. Vielleicht ist das Bußgeld da ein kleiner Fingerzeig aus dem letzten Jahr, aber ähm, Sind wir mal gespannt, was die DPC dann auf die Fragen antwortet. Das Landesamt für Verfassungsschutz Baden-Württemberg waren vor Angriffen auf VPN-Produkte des Herstellers Ivanti. Die VPN-Lösung von Ivanti sei in den Bereichen Politik, Wirtschaft und Forschung weit verbreitet und es gibt Aktuell zwei Sicherheitslücken, die Cyberkriminelle ausnutzen. Damit ist es möglich, die Authentifizierung zu umgehen und sich Zugriff auf Geräte und Netzwerke zu verschaffen. Das kann dann wiederum dazu führen, dass Dateien verändert werden, Dateien gelöscht werden oder sogar Passwörter eingesehen werden können. Auch das Keyloging, also die Übermittlung von Tastatureingaben sei damit möglich. Und über die andere Schwachstelle können kriminelle Schadsoftware in Systeme einschleusen. Ob es schon Patches dazu gibt, ähm weiß ich leider nicht. Habe ich nicht herausfinden können. Admins sollten das auf jeden Fall prüfen und gegebenenfalls darüber nachdenken, den Tunnel erst einmal zu deaktivieren. Augen auf quasi. Genau, mein nächstes Bußgeld äh ich hatte es angekündigt, die äh französische Aufsichtsbehörde es aktiv gewesen äh betrifft das US-Unternehmen Yao. Kennt der ein oder andere vielleicht noch aus den Nullerjahren, ähm war zumindest zu der Zeit wesentlich präsenter und ich glaube auch im wesentlicher äh, Wettbewerber von Google, nur das hat er sich jetzt, ja, ich glaube, der Wettbewerb wurde da entschieden mittlerweile, äh konkret betroffen von dem Bußgeld. Ähm, sind sowohl die Webseite Punkt com als auch der E-Maildienst und zwar ganz interessant ähm einerseits ähm ob bei der Gestaltung der Webseite betreffend ist es so, dass es schon wohl einen Cookie-Banner gibt und ich kann auch äh den Einsatz quasi verneinen und verweigern. Allerdings werden dann trotzdem rund 20 Werbecookies gesetzt. Ist äh vielleicht auch ein kleiner Fehler äh in der Programmierung da. Es äh wird dort auf jeden Fall durchgezogen, ob so ein Fehler ist. Äh ist vielleicht aber auch noch mal in Frage zu stellen, wenn man sich die Vorgehensweise von Yahoo äh anbelangt, was äh das E-Mail äh Konto, anbelangt, weil ähm Nutzer des Dienstes äh aufgefordert worden sind, auch eine Einwilligung in das Setzen von Cookies abzugeben. Allerdings war diese mir so ganz freiwillig, weil die Alternative wäre gewesen, wenn ich verweigere, dass ich mein E-Mail-Konto nicht mehr nutzen kann, Kann man mal machen. Ähm die Aufsichtsbehörde stellt auch nochmal hervor, dass es per se ja nicht illegal sei, äh die Nutzung von Diensten mit dem Setzen von Cookies zu verknüpfen, aber in der Ausgestaltung ist das natürlich ein bisschen schwierig und halt äh nicht möglich, ähm weil schon allein die Freiwilligkeit äh der Einwilligung dann natürlich massiv in Frage steht. Und ähm ja es ist natürlich äh, Soll man dazu sagen, macht halt schon fast ein bisschen als Datenschützer macht’s einen fast so ein bisschen sprachlos, so ne? Entweder Werbung oder du du kannst es hier gar nicht mehr benutzen. Ist schon eine schwierige Geschichte. Dementsprechend äh, Finde ich auch die die Höhe des Bußgeldes wunderbar, zehn Millionen Euro aus Jahuta berappen. Haben sie sich verdient, wie ich denke. Denke ich auch, ja. Na ja, dann gehen wir über zu meinem Lesetipp ähm und der kommt dieses Mal, Mal wieder vom oder vom EDP, je nachdem wie man’s ähm nennen möchte, Ähm der Ads hat einen Bericht über die Ergebnisse einer Durchsetzungsmaßnahme veröffentlicht, die sich auf die Benennung und Stellung der behördlichen Datenschutzbeauftragten konzentriert hat. Der Bericht ist das Ergebnis einer EU-weit koordinierten Untersuchung und listet Hindernisse auf, mit denen die behördlichen Datenschutzbeauf derzeit konfrontiert werden Das sind zum Beispiel zu wenig zur Verfügung stehende Ressourcen, mangelnde Angebote und Zeit, die Fachkunde aufrechtzuerhalten und weiterzuentwickeln, sowie Interessenskonflikte. Äh der Etzer erinnert noch mal daran, dass der Verantwortliche die Aufgabe hat, all dies sicherzustellen und fordert dazu auf, Verbesserungspotentiale zu zu identifizieren und diese zu nutzen. Ja, mein Lesetipp oder vielmehr meine Nutzungsempfehlung äh betrifft äh verschiedene Tools, Softwaretools, die der europäische Datenschutzbeauftragte auf seiner Webseite veröffentlicht hat. Diese Tools äh sind nämlich nützlich für die automatisierte, Durch Suche oder den automatisierten Check von Webseiten ähm hinsichtlich ähm des Schutzes der Privatsphäre und der Verarbeitung von personenbezogenen Daten. Ähm die Tools sammeln dann halt eine Übersicht, Beweise darüber, wie viel Cookies gesetzt werden, äh welche Anfragen vielleicht auch an Dritte rausgehen, Daten übermittelt werden ähm und diese, Ganze damit Nachweise werden dann halt in Bericht als Export dann zur Verfügung gestellt und das Ganze wohl auch sehr, Gut verständlich, also dass man auch als Laie diese Tools gut nutzen kann, um seine eigene Webseite zu prüfen. Aber nicht nur für die Leiden, sondern auch für jeden Verantwortlichen eine wunderbare Möglichkeit, die eigene Internetpräsenz da auch noch mal zu testen und auch weiterzuentwickeln. Ja, ganz hervorragend. Ähm es gab ja schon Tools, ähm die so funktioniert haben, ähm ist allerdings meines Wissens nach jetzt die erste Open-Source-Lösung und wenn die dann quasi von ganz oben kommen, vom europäischen Datenschutzbeauftragten Fakten ähm dann ist das ja noch umso besser. Finden wir gut. Sehr gut, vor allem weil andere Lösungen ja auch häufig bezahlen gegen Daten mäßig funktionieren oder halt äh gegen gegen ähm gegen Bezahlung und das ist jetzt natürlich erstmal eine super Sache, das auch einfach mal auf kostenloser Basis durchzuführen. Gregor ähm dann sind wir zumindest wenn’s nach meinem Zettel geht für heute durch mit den Themen. Ist dir noch was eingefallen. Ne, ich meine, mein digitaler Zettel ist auch leer. Dein digitaler Zettel ist auch leer. Super. Dann ähm, Ja, verabschieden wir uns und äh bedanken uns fürs Zuhören. Ähm wir wünschen Ihnen ein schönes Wochenende, falls Sie uns heute hören oder einen guten Wochenstart, wenn Sie uns erst am Montag hören und bleiben Sie uns treu. Bis bald.