Datenleck bei Urban Sports Club – Datenschutz News KW 14/2024

Moderation:

Was ist in der KW 14 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Google löscht Browserdaten
• Unternehmen erwirkt nach google Fonts Abmahnungen virtuelles Hausverbot
• Spanische Aufsicht verhängt Bußgeld für Fingerabdruckerfassung
• Datenleck bei Urban Sports Club
• LG Düsseldorf 34 O 41/23: Art. 15 DSGVO um eine Marktverhaltensvorschriften im Sinne von §3a UWG

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/datenleck-bei-urban-sports-club-datenschutz-news-kw-14-2024

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Herzlich willkommen zum Datenschutztalk, Ihrem wöchentlichen Datenschutz ab, Heute ist Freitag, der 5. April, Unser Redaktionsschluss war wie immer um zehn Uhr und wie Sie das von uns gewöhnt sind, schauen wir mit Ihnen gemeinsam und hier vor Ort zu zweit wieder zurück auf die vergangene Woche des Datenschutzes. Und dieses zu zweit besteht heute aus meiner Wenigkeit David Schmidt und bei mir ist meine Kollegin Natalia Wosniak. Hallo Natalia. Natalia, welche Themen hast du diese Woche für uns mitgebracht? Ich habe diese Woche ja zweieinhalb Themen mitgebracht. Ich würde mit einer Richtigstellung zu einer unserer News aus der KW zehn anfangen. Dann habe ich ein virtuelles Hausverbot mitgebracht, und ein Daten bei Orban Sportsclub. Das klingt spannend. Ähm bei mir sind es die folgenden Themen. Wir schauen einmal auf den Google Inkognito Modus, dann gibt es ein Bußgeld in Spanien, Und ich habe ein Urteil mitgebracht vom Landgericht Düsseldorf. Das hat sich mit dem Verhältnis zwischen dem Datenschutzrecht und dem Wettbewerbsrecht befasst. Alles klar, dann würde ich direkt mit der Richtigstellung zu unserer News aus der KW zehn anfangen. Und zwar hatte ich dort äh von einer EuGH-Entscheidung zur Person bezogene Daten im Zusammenhang mit IAB berichtet. Zwar ist es so, dass IAB, bietet keine eigene Content Management Plattform an, sondern hat das TCF, also das Rahmenwerk, entwickelt und die nach diesem Rahmenwerk im TC String codierten Nutzerpräferenzen werden über, IAB zertifizierte Content Management Plattformen von anderen Anbietern generiert. Das heißt, keine eigene Concent Management-Plattform, sondern die von anderen Anbietern, die hier zum Einsatz kommen. Ja herzlichen Dank. Ähm wir kriegen ja immer ganz druckfrisch die EuGH-Urteile. Am Donnerstag äh Abend pünktlich zu unserem Podcast äh auf äh Aufnahmen. Deswegen können wir die natürlich nicht immer bis ins Detail durchdringen und ähm ja danke, dass du das noch mal klargestellt hast. Dann ähm beginne ich mit unserem ersten richtigen Thema für diese Woche dem Google Inkognito Modus. Google muss nach einem Verfahren in Kalifornien große Mengen von Browserdaten löschen. Wir hatten in der Vergangenheit schon über den Rechtsstreit, den Google wegen seines Inkognito-Modus führt, berichtet. Noch mal eine kurze Auffrischung hier zu der Inkognito-Modus bei Google Chrome war, leider gar nicht so privat wie der Name erstmal suggeriert. Tatsächlich ist rausgekommen, dass Google auch, wenn der Modus aktiviert war, wesentlich mehr Daten gesammelt hat als der Name vermuten lässt. Und infolgedessen gab es eine große Sammelklage gegen Google vor dem Bezirksgericht der Vereinigten Staaten in Kalifornien, Und äh hier wurde jetzt ein Vergleich erzielt. Google hat darin zugestimmt, Milliarden von Datensätzen zu vernichten oder zu anonymisieren. Und zudem hat Google sich verpflichtet, für mehr Transparenz hinsichtlich der Rahmenbedingungen und Grenzen des Inkognitomodus zu sorgen. Schadenersatzzahlung an die potenziell Geschädigten, gibt es aber erst einmal nicht, Interessant ist aber auch, dass der Wert der Datensätze, die nun gelöscht werden müssen, auf circa 5 Milliarden US-Dollar geschätzt wird, Was der ursprünglichen Schadenersatzforderungen, Ähm der Kläger entspricht und ähm das finde ich ist mal echt eine Hausnummer. Ich ähm finde, das ist immer so eine Blackbox, wie viel diese Daten tatsächlich für die Unternehmen wert sind und ja hier hat man mal eine Hausnummer und die ist dann finde ich doch schon überraschend hoch. Ja, tatsächlich. Was ich aber auch spannend finde, es zeigt sich ja immer wieder, auch hier, dass die Theorie und die Praxis, also tatsächlich was, Wie sollte etwas funktionieren? Wie ist es eigentlich gedacht, vielleicht auch intern dokumentiert? Und wie ist es tatsächlich dann in der Praxis umgesetzt? Das wird Ja auch bei unserer Beratung tatsächlich immer wieder auch feststellen, dass die Umsetzung manchmal so ein bisschen hier und da, von dem wie es sein sollte, abweicht. Na ja, und sich nicht von Namen trügen lassen. Das ist, glaube ich, auch eine ganz, ganz wichtige Sache. Ja, so, ich komme mal zu unserem virtuellen Hausverbot, Und zwar hat ein Unternehmen aus der Touristikbranche ein virtuelles Hausverbot vor dem zuständigen Bericht beim Bezirksgericht gegen eine Wienerin erwirkt. Die Wienerin habe ähm, es laut Urteil des Bezirksgerichts Wien Favoriten das ist wohl ein Stadtteil von Wien zu unterlassen. Die Homepage des Unternehmens zu besuchen. Ähm Hintergrund ist, dass die Wienerin Eine Frau EVZ ähm und ihr Anwalt zuvor zirka dreißigtausend Mahnschreiben an diverse Unternehmen, zum Teil auch an an Personen, die schon gestorben sind, verschickt haben sollen, die auf ihrer Homepage ähm Googleschriften verwenden. In diesen Mahnschreiben habe die Wienerin, die Frau Z ähm, hundert190 Euro ähm verlangt. Diese setzen sich zusammen aus 100 Euro Schmerzensgeld und 90 Euro Anwaltsgebühr. Ähm, dieser Schmerzensgeld soll dadurch gerechtfertigt gewesen sein, dass die Verwendung der Googleschriften dazu führen könne, dass Daten der Webseitenbesucher in die USA übermittelt würden. Ich glaube, das Thema ist uns allen bekannt. Äh Google Vorschriften und die Abmahnwelle, die wir ich glaube letztes Jahr, vorletztes Jahr. Ja, war ja ein ganz heißes Thema, was mittlerweile zum Glück etwas abgekühlt ist, ähm aber dieses Querulantentum ähm scheint immer noch aufgearbeitet zu werden. Ja, aber ich glaube, diese Aufarbeitung hat jetzt gerade mit diesem Urteil eine gute Wendung noch mal bekommen, denn äh, Es haben sich bereits betroffene Unternehmen gegen diese Abmahnschreiben gewehrt und bisher wurden die Abmahnschreiben, die die Frau EVZ, also die Visawinain, ähm verschickt hatte Äh vor dem Bezirksgericht äh in Zivilfahrern lediglich als Rechtsmissbräuchlich eingestuft. Nun ist das Gericht aber weitergegangen, hat dem Antrag, auf ein virtuelles Hausverbot stattgegeben. Ähm es hat hier wohl eine Analogie zu einem Hausverbot, die ein Hotelier oder Gastwirt auch bei unliebsamen Gästen, diesen gegenüber für seine Räumlichkeiten aussprechen kann So dass äh ja, es ist eigentlich etwas Neues, Interessantes. Allerdings soll laut Heise das letzte Wort noch nicht gesprochen worden sein, denn VZ habe wohl Rechtsmittel gegen die Entscheidung eingelegt, insofern, Wir schauen, wie sich das weiterentwickelt. Aber es zeigt sich tatsächlich, dass diese, Masche, dieses Vorgehensweise tatsächlich ähm ja Brüche bekommt und nicht mehr so einfach durchläuft, wie es am Anfang geklappt hatte. Das heißt, ähm, Man kann nicht mehr so einfach Geld verdienen. Ja das war ja eine ganz wilde Phase, hatten wir ja auch hier in ähm Deutschland ähm wo auch einige automatisierte Verfahren ähm genutzt wurden, um möglichst viele Webseiten zu finden auf den äh Google Fonds nicht datenschutzkonform eingebunden war und dann auch automatisiert die Abmahnschreiben, zu generieren und zu verschicken. Also da ging es wirklich überhaupt gar nicht um Datenschutz, sondern einfach darum, sich was dazuzuverdienen. Richtig, so auch er auch in diesem Fall. Also diese dreißig.tausend Abwandschreiben sind ja auch nicht mit der Hand geschrieben worden. Da ist auch eine Software im Hintergrund gelaufen, wie Heise auch berichtet hatte. Äh die Exe, dass wir geschrieben wurde, um eben Seiten zu identifizieren, die Google Fonds. Einsetzen. Ja was hast du als nächstes? Äh ich springe nach Spanien, Die spanische Datenschutzbehörde verhängt ein Bußgeld über 365.000 Euro gegen das Unternehmen CTC, SL. Bitte verzeihen Sie mir ein schlechtes Spanisch. Ähm ich hoffe, ich hab’s halbwegs richtig ausgesprochen, ähm ich kürze einfach, mit CTC, das ist ein Unternehmen, das diverse Outsourcing-Möglichkeiten im Bereich anbietet. Es gibt zum Beispiel eine große Logistiksparte und auch Consulting ist im Portfolio dieses Unternehmens. Grund für das Bußgeld, weil die Verarbeitung von Fingerabdrücken der Mitarbeiter, aus unserer Quelle, dem DSGVO Portal, geht leider nicht so ganz hervor, zu welchem Zweck. Fingerabdrücke genommen und genutzt wurden. Das wäre nochmal interessant. Geschludert wurde hier aber auch eher beim Drumherum. Zum einen wurden die Mitarbeiter nicht ausreichend über diese Verarbeitung informiert. Und auch nur eine unzureichende Datenschutzfolgenabschätzung durchgeführt. Schwächen gab es weiterhin auch bei den technisch organisatorischen Maßnahmen. Bei diesen wurden nicht ausreichend berücksichtigt, dass es sich bei den Daten um Biometrische Daten und damit um besonders, sensible Daten handelt. Ja, da sehen wir eigentlich, dass äh neue Technologien, die eingesetzt werden, die vielleicht auch in Zukunft häufiger eingesetzt werden in Unternehmen, dass wir da auch ähm oder dass die Unternehmen gut beraten sind äh auch das datenschutzrechtliche Drumherum die Anforderungen zu erfüllen, um auch ähm ja bei der Verarbeitung von Mitarbeiterdaten auf der sicheren Seite zu sein. Ja insbesondere wenn wir in den äh Bereich der Artikel 9 Daten reinkommen, also biometrische Daten ähm Gesundheitsdaten ist ja auch gerne mal ähm so ein Thema, wo schneller reingestolpert wird, als einem lieb ist. Da äh Obacht, da ist man schnell in einem Bereich ähm des hohen Risikos, wo eine Datenschutzfolgenabschätzung fällig werden kann und wo dann natürlich auch die technisch organisatorischen Maßnahmen etwas ähm umfangreicher sein müssen, als das bei der Verarbeitung ganz gewöhnlicher Daten erforderlich ist. Richtig. So, ich springe, wir waren ja in Wien, dann sind wir nach Spanien. Ich springe zurück nach Berlin. Ähm und zwar ist beim Berliner Sportanbieter Urban Sportsclub. Dort soll es, wie heiße berichtet, eine massive Datenpanne gegeben haben. Urban Sports vermittelt seinen Mitgliedern Sportangebote bei Partnerfirmen und erfasst dazu die Daten seiner Mitglieder. Laut Heise habe ein Betroffene anonym an Heise Security berichtet, dass dabei 900.000 Dateien ähm Datensätze öffentlich zugänglich in einem Verzeichnis bei Google, Aus einem Cloud-Speicherkonto gelegen haben sollen. Dazu sollen auch äh Kopien von Personal ausweisen und tausende von PDF-Dateien mit Buchungsbuchhaltungsdaten gehört haben. Das Datenleck konnte durch Heise nach äh deren Angaben nachvollzogen werden, Insbesondere fanden sich bei den Stichprobenkontrollen, CSV-Dateien mit Rechnungs- und E-Mail-Adressen, Mitgliedschaftsinformationen für etwa 50.000 Mitglieder Check-In Daten für Besuche der Mitglieder bei bei Orban Partnern, Es ließen sich aber auch Bewegungsprofile und Vorlieben der Mitglieder erstellen beziehungsweise erkennen. Dabei seien viele der Datensätze bereits älter um 2018 herum und die letzten Änderungen der Datensätze seien von Oktober zweiundzwanzig. Ob das jetzt bedeutet, dass die Daten schon im Oktober 22 abgegriffen wurden. Ich weiß es nicht. Dazu sagt Heise selbst auch nichts. Ähm es sei demnach nicht klar, wie lange die Daten bereits im Internet frei zugänglich waren, ist das, was Heise dazu sagt. Ähm, Durch die Information von Heise Security am 26. März an Urban Sports und die zuständige Berliner Aufsichtsbehörde ist jedoch nun Bewegung reingekommen. Das Leck wurde, gestopft und die Betroffenen durch Opernsports informiert. Eine Information der Berliner Aufsichtsbehörde über die Datenpanne sei jedoch, Mit Stand 28. März jedenfalls. Nach Bericht von Heise noch nicht erfolgt, ob sie inzwischen erfolgt ist ähm, Können wir leider nicht ähm ja nicht sagen. Wir können den Betroffenen allerdings ähm raten, ihre Betroffenenrechte, insbesondere die Rechte auf Auskunft und auf Löschung zu nutzen und geltend zu machen, um so ähm Auch selbst etwas Schadensmanagement zu betreiben. Ja auch spannend, dass du sagst, dass die ähm Betroffenen angeblich schon informiert wurden, dass die ähm Behörde aber noch nicht von Urban Sports informiert wurde, dass äh kann ja eigentlich nicht so richtig funktionieren. Eigentlich nicht. Also wenn man sich’s wirklich in in die DSGVO reinschaut, ist die ja Unterrichtung der Behörde innerhalb von 72 Stunden nach Kenntnis des Datenlecks erforderlich und normalerweise macht man das, Spätestens zeitgleich mit der Information der Betroffenen, idealerweise ja schon vorher und direkt sobald man die Info bekommt. Von daher, Aber da die Berliner Aufsichtsbehörde hier ohnehin schon von Amts wegen ermittelt, ähm werden wir mal werden wir schauen, wie sich das weiter entwickelt. Wer ja auch nochmal eine interessante Frage, ob sie ähm Meldepflicht empfehlt, wenn die Behörde es sowieso schon weiß. Kann man mal sich vielleicht in einem anderen Kreis noch mal Gedanken drüber machen, ja. Könnten wir machen, das ist eine gute Idee. Verlassen würde ich mich jedenfalls nicht drauf. Nein, sicherlich nicht. Also wenn ich da jetzt nicht wirklich mit Sicherheit feststellen könnte, dass es entfällt, können wir gerne nochmal drüber sprechen, finde ich spannend, ähm würde ich zur Sicherheit immer eine Meldung machen, weil da gibt’s doch diesen Spruch, melden macht frei. Ja, ob der immer so richtig ist. Ich glaube, darüber kann man auch streiten. Ähm aber wir verlassen so ein bisschen das sichere Terrain. Ich äh würde darauf zurückgehen wieder ähm und weitermachen mit meiner schon, letzten Meldung für heute. Das Landgericht Düsseldorf hat sich mit dem Verhältnis zwischen Artikel fünfzehn, DSGVO, also dem datenschutzrechtlichen Auskunftsrecht und dem Wettbewerbsrecht befasst. Konkret hat es entschieden, dass das Auskunftsrecht nach Artikel 15 DSGVO eine Marktverhaltensvorschrift im Sinne von Paragraf drei Buchstabe A UWG ist. Paragraph drei A UWG regelt das Unternehmen unlauter handeln, wenn sie gegen Vorschriften verstoßen, die im Interesse der Marktteilnehmer das Marktverhalten regeln. Marktteilnehmer sind neben anderen Unternehmen auch Verbraucher und Verbraucher haben ja wiederum das Auskunftsrecht nach Artikel fünfzehn. Und das Gericht kam jetzt zu dem Ergebnis, Dass dieses Auskunftsrecht auch dem Verbraucherschutz dient, weil Verbraucher auf Basis dieser Auskunft auch ihre Kaufentscheidungen treffen, Dies gilt besonders für die fristgerechte Auskunft, Die ja innerhalb ähm spätestens eines Monats zu erteilen ist. Diese Brücke Zwischen dem Datenschutzrecht und dem Wettbewerbsrecht führt letztendlich dazu, dass äh auch die Verbraucherzentralen Unternehmen abmahnen können, wenn sie dem Auskunftsrecht nicht rechtzeitig oder nicht ausreichend nachkommen. Alles in allem ergibt sich hier also eine dritte Angriffsflanke beim Auskunftsrecht, Neben einem möglichen Bußgeld, das die Datenschutzbehörde verhängen kann und möglichen Schadenersatzforderungen, die die Betroffenen stellen können, können bei Verstoßen auch wettbewerbsrechtliche Abmahnungen in Betracht kommen. Insofern sehen wir tatsächlich, dass es umso wichtiger ist für Unternehmen seine ähm Prozesse zur Umsetzung der betroffenen Rechte dokumentiert und auch ähm ja sicher etabliert zu haben. Ja und auch ähm unbedingt diese Frist einzuhalten, wobei wir ja auch immer wieder darauf hinweisen, dass ähm, Hier gesagt wird spätestens innerhalb eines Monats. Ähm also man darf nicht immer unbedingt den Monat abwarten, sondern man sollte eigentlich sobald man fertig ist bei Auskunften. Dann haben wir es für heute, oder? Dann haben wir’s für heute. Hatten wir wieder große Spaß gemacht. Ich danke dir. Danke dir ebenfalls David. Ich äh bedanke mich auch fürs Zuhören und verabschiede mich mit einem auf bald. Auf bald, bis zum nächsten Mal.