Moderation:
Was ist in der KW 50 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/recaptcha-setzt-keine-technisch-erforderlichen-cookies-datenschutz-news-kw-49-2024/↗
#TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge:
Was gibt es denn jetzt schon zu lachen?
Also eine schöne meditative Bewegung mit deinen Handflächenmaßen,
das machst du doch sonst nie.
Wollte mich kurz sammeln?
Herzlich willkommen zum Datenschutz-Talk,
eurem wöchentlichen Datenschutz-Update. Musik Musik Musik,
Wir starten wieder mit euch gemeinsam ins Wochenende und gucken einmal zurück
auf die Woche des Datenschutzes, was so passiert ist. Heute ist Freitag, der 13.
Dezember 2024.
Sicherlich ein Tag wie jeder andere, wie jeder andere Freitag,
wenn wir nicht heute unsere Weihnachtsfeier hätten. Aber anderes Thema.
Unsere Redaktion ist es um 10 Uhr. Mein Name ist Heiko Gossen.
Mein Name ist Laura Druschinski.
Was hast du heute mitgebracht, Laura? Außer die Vorfreude auf die Weihnachtszeit.
Ja, die definitiv auch. Aber als allererstes habe ich ein sehr hohes Bußgeld
aus Frankreich mitgebracht für einen Telekommunikationsanbieter.
Weiter geht es mit einem Update zum Sparpreisticket der Deutschen Bahn.
Weiter geht es mit einem ganz interessanten Urteil aus November zum Thema Haftung
von Betriebsratsmitgliedern.
Und zu guter Letzt noch ein weiteres Update, und zwar zum Thema Rauchmelder,
was wir ja glaube ich vor ein, zwei Wochen hier auch in dieser Runde schon besprochen haben.
Prima, wunderbar. Ich würde einmal auf den Fortgang sozusagen beim Thema Facebook
und Schadensersatz für das Datenleck von über 500 Millionen Datensätzen schauen.
Dann gucken wir auf eine Entscheidung vom OLG Düsseldorf zur Weiterleitung von
Positivdaten an Auskunftteilen und ein technisches und strategisches Update
von Mozilla Firefox, wo es um die Tracker-Einstellung geht.
Und dann hätte ich noch zwei Themen vom BSI, wo es um das Thema,
ja ich nenne mal IoT-Geräte und smarte Thermostate geht.
Haben wir denn da was zu lesen? Weil ich glaube, das ist sonst eine mit der
ersten Folge, oder? Wo wir ohne Lesetipps auskommen.
Ja, das ist auch was zum Lesen. Wir packen ja immer viele Links auch in die Shownotes rein.
Also ich finde, es gibt immer viel zu lesen, aber wir haben tatsächlich heute
keine Veröffentlichungen und Veranstaltungen.
Traurig.
Aber es geht auch auf Weihnachten zu. Die Leute müssen Weihnachtsgeschenke kaufen.
Die haben viel anderes zu tun. Deswegen würde ich sagen, komm,
verzichten wir heute auf die Aufgabe, am Wochenende noch Hausaufgaben zu machen und zu lesen.
Gibt’s nur was auf die Ohren.
Gibt’s nur was auf die Ohren heute.
Soll ich mal starten?
Ja, bitte.
Ja, und zwar meine erste Nachricht befasst sich damit, dass Werbung in der E-Mail-Inbox
durchaus teuer werden kann.
Die Knill verhängt 50 Millionen Euro Strafe gegen Orange. Der französische Telekommunikationsanbieter
Orange muss wegen Datenschutzverstößen eine Geldstrafe von 50 Millionen Euro zahlen.
Grund dafür ist das Anzeigen von Werbung in den E-Mail-Postfächern der Nutzer,
die der französischen Datenschutzbehörde Knill zufolge ohne ausdrückliche Zustimmung
der Betroffenen erfolgte.
Die Werbeanzeigen wurden dabei zwischen den E-Mails im Posteingang eingefügt
und ähnelten diesen sehr.
Ein Klick führt zu einer Weiterleitung auf die Webseite des Werbenden.
Orange argumentierte, dass keine personenbezogenen Daten für die Anzeigen verarbeitet
worden seien, da die Werbungen eben wie übliche Marketing-Banner auf der Webseite
dafür vorgesehene Stellen geschaltet wurden.
Und nach ihrer Ansicht fordere das französische Recht, also das nationale Datenschutzrecht.
Jedoch nur bei Direktwerbung eine Einwilligung bei der Verarbeitung personenbezogener
Daten, während Artikel 13 der Privacy-Richtlinie dies ja generell für die Anzeige
von Direktwerbung verlangt.
Zwar hat Orange seit November 2023 diese Praxis eingestellt und zeigt Werbung
nun klar abgegrenzt von privaten Nachrichten an, doch das Bußgeld gibt es trotzdem.
Und die Höhe ist nicht nur darauf bezogen, sondern weil es noch einen weiteren
Verstoß gab. Nämlich mit Blick auf die Cookie-Policy des Anbieters.
Denn selbst nach dem Widerruf der Cookie-Zustimmung konnte die Knill in ihrem
Verfahren herausarbeiten,
dass dennoch Browser-Daten weiterhin ausgelesen und zu statistischen Werbezwecken
ausgewertet wurden und sie eben hierin einen weiteren Verstoß sieht.
Neben der Geldstrafe verpflichtet die Knill Orange nun innerhalb von drei Monaten
technische Maßnahmen umzusetzen, um das unrechtmäßige Auslesen von Cookies zu unterbinden.
Andernfalls droht ein tägliches Zwangsgeld von 100.000 Euro Strafe.
Das ist natürlich ein ganz schöner Brocken und man konnte auch schon lesen,
dass Orange sich wohl dagegen wehren möchte.
Aber ich glaube so in Gänze ist es ja doch eine recht nachvollziehbare Herleitung eines Bußgelds.
Auf jeden Fall. Es sind ja jetzt auch zwei Punkte. Ich weiß nicht,
wie genau die Verteilung natürlich ist.
Aber was ich halt mitnehme, das ist natürlich bei sehr vielen Anbietern im Detail
oft vielleicht immer noch das ein oder andere im Argen.
Und wenn man einmal die Aufsichtsbehörde, sag mal, an den Hacken hat,
ich glaube, dann ist man gut beraten, wenn man dann auch wirklich einmal alles
auf links dreht und richtig alles sauber aufstellt.
Weil, wie gesagt, das sind ja auch Details, die dazu führen,
dass dann trotzdem halt ein Verstoß gegen die Datenschutzgrundverordnung oder
gegen Datenschutzrecht vorliegt.
Ja, verwunderlich fand ich jetzt schon, dass die Knill ja etwas spät dran ist,
weil unser Urteil, unser in Deutschland, nationales Urteil vom Bundesgerichtshof,
gab es zu dem Thema E-Mails in Posteingängen ja auch schon 2022.
Damals gmx und web.de in der Kritik und seitdem steht ja auch fest,
dass hier einfach die Zustimmung seitens der Nutzer notwendig ist und bei kostenlosen
Diensten eben hier die Entscheidungsgewalt liegt, in welcher Form man eben die
Werbung angezeigt werden möchte.
Die Verbraucherzentrale Bundesverband hat eine Musterfeststellungsklage gegen
Facebook auf Schadensersatz beim OLG Hamburg eingereicht.
Wir haben ja hier schon berichtet, der BGH hat am 18.11.
Ja festgestellt, dass bereits der Verlust der Kontrolle über personenbezogene
Daten ausreicht, um Schadensersatz zu fordern.
Und nun will die Verbraucherzentrale mit dieser Klage diesen massiven Datenschutzverstoß,
wie sie es sagt, dafür auch haftbar machen.
Ziel der Klage ist es also, verbindlich festzustellen, dass betroffene Nutzerinnen
und Nutzer Schadensersatz erhalten können und zwar alleine dafür,
dass ihre Daten in die falschen Hände gelangt sind.
Das ist ja noch immer so ein bisschen der Knackpunkt, weil wir ja schon darüber gesprochen haben.
Es gibt da durchaus ein unterschiedliches Verständnis von dem,
wie der EuGH das eigentlich formuliert hat.
Da sind wir immer noch gespannt. Ganz geschickt, finde ich, macht die Verbraucher
das Zentrale auf der Informationsseite zur Klage, die wir auch einmal hier verlinken
werden in den Shownotes.
Denn neben den Details und einem Zeitplan gibt es in den FAQs auch kostenlose
Hinweise, welche Schäden man sich vielleicht bei sich festgestellt haben könnte.
Also ich habe das so ein bisschen als Impuls verstanden, worauf man sich mal
abklopfen und untersuchen lassen sollte.
Interessant.
Ja, denn zum Beispiel sagen die FAQs, durch belästigende Anrufe und SMS,
durch Phishing, den Enkeltrick oder sogar Identitätsdiebstahl können natürlich
ein Schaden entstanden sein.
Und jetzt zitiere ich, Und natürlich kam dazu immer die Angst,
nicht zu wissen, wer die Daten besaß und was er mit ihnen vorhat oder bereits getan hatte.
Ja, also kann man jetzt von halten, was man möchte. Die Info ist auf jeden Fall,
es geht in dem Thema weiter.
Und vielleicht, ganz vielleicht, schaffen wir es ja in unserer Silvester-Show,
da mit einem unserer Gäste vielleicht auch nochmal einen Blick drauf zu werfen.
Das erste Easter Egg.
Das erste Easter Egg.
Ja, dann mache ich mal weiter. Das Sparpreisticket der Deutschen Bahn ist bald
ohne persönliche Daten erhältlich, berichtet der hessische Beauftragte für den
Datenschutz und die Informationsfreiheit in dieser Woche.
Also ein Erfolg, denn er lässt verlaubt man, dass eben ab dem Fahrplanwechsel am 15.
Dezember diesen Jahres, also übermorgen, es den Bahnreisenden möglich sein wird,
Sparpreistickets der Deutschen Bahn ohne Angabe von E-Mail-Adresse oder Mobilfunknummer zu erwerben.
Diese Änderung erfolgte auf Druck der Aufsichtsbehörde, die nämlich ein Aufsichtsverfahren
nach zahlreichen Beschwerden und Eingaben eingeleitet hatte.
Kritisiert wurde ja, und wir haben ja auch bereits im letzten Jahr darüber berichtet,
dass seit Herbst letzten Jahres eben diese günstigen Tickets selbst am Schalter
nur mit der Angabe persönlicher Daten erhältlich waren.
Wodurch eben im Umkehrschluss eine Vielzahl von Menschen ohne Internetzugang
oder Smartphone von diesem Angebot ausgeschlossen wurden.
Der hessische Datenschutzbeauftragte sah hierin eben einen Verstoß gegen die
Datenschutzgrundsätze und setzte sich für eine Alternative ein.
Somit, wie ich ja schon gesagt, können die Reisenden nun auch eben ohne Angaben
der persönlichen Kontaktdaten am Schalter diese Tickets erhalten und das wird
halt natürlich sehr begrüßt durch die Aufsichtsbehörde und ist natürlich auch
wieder ein schönes Beispiel dafür,
dass auch Unternehmen zu datenschutzfreundlichen Alternativen einlenken,
wenn er doch die Aufsichtsbehörde an die Tür klopft.
Ich weiß ja nicht, wie fest er geklopft hat. Das würde mich natürlich interessieren.
Die Verbraucherzentrale ist mit ihrer Klage gegen die Übermittlung von Positivdaten
vor dem OLG Düsseldorf gescheitert.
Das Oberlandesgericht Düsseldorf hatte Ende Oktober entschieden,
dass die Übermittlung sogenannter Positivdaten von Mobilfunkkunden an Wirtschaftsauskunftsteien
wie Schufa oder Kreditreform oder Griff unter bestimmten Bedingungen zulässig ist.
Das Gericht sieht ein berechtigtes Interesse des Mobilfunkanbieters,
insbesondere zur Betrugsbekämpfung, aber auch anderen Gründen,
wie zum Beispiel, dass halt die Kunden vor Überschuldung geschützt werden sollen
und dass das halt auch die Datenübermittlung rechtfertigen kann.
Er hat hier nochmal Bezug genommen auf das Jungs-Dol-GH-Urteil zu der Frage
des berechtigten Interesses und die drei Grundsätze, die dort geprüft werden müssen.
Gleichzeitig betonte das Gericht aber auch, dass Positivdaten nur in einem eng
begrenzten Rahmen verarbeitet werden dürfen, beispielsweise halt zur Identitätsprüfung
oder zur Erkennung auffälliger Vertragsmuster.
Wir hatten hier in dem Bereich schon verschiedene Urteile auf Landgerichtsebene,
die auch teilweise die Übermittlung von Positivdaten bejahten,
andere aber die Rechtmäßigkeit auch verneinten.
Von daher ist es jetzt halt, so wie ich es jetzt zumindest in der Recherche
gesehen habe, das erste ULG-Urteil.
Ob es das Ende ist, werden wir noch sehen.
Ich könnte mir vorstellen, dass die Verbraucherschützer hier vielleicht auch
nochmal in höhere Instanzen gehen wollen.
Das Arbeitsgericht Bonn hat in einem Urteil vom 20.
November 2024 entschieden, dass ein Betriebsratsmitglied nicht für Schadensersatzansprüche
nach der DSGVO haftet, wenn er personenbezogene Daten im Rahmen seiner Aufgabe weitergibt.
Hintergrund des Falls war die Weiterleitung privater WhatsApp-Nachrichten eines
Mitarbeiters durch den Betriebsratsvorsitzenden an die Personalabteilung,
die letztlich zu einer Freistellung und einem Aufhebungsvertrag einer Führungskraft führte.
Der Kläger hatte argumentiert, dass diese Datenweitergabe unrechtmäßig gewesen
sei und seine Persönlichkeitsrechte verletzt habe.
Das Gericht wies die Klage jedoch ab und stellte klar, dass der Betriebsratsvorsitzende
nicht verantwortlicher im Sinne der DSGVO sei.
Gemäß § 79a Betriebsverfassungsgesetz haftet in solchen Fällen der Arbeitgeber
für die Einhaltung der Datenschutzvorschriften.
Die Weitergabe der Daten stuft das Gericht zudem als rechtlich zulässig ein,
da sie gemäß Artikel 6 Buchstabe b DSGVO und § 26 b DSG erforderlich war,
um dem Arbeitgeber eine Grundlage zur Prüfung von Beschwerden und möglichen
Maßnahmen zur Beendigung des Arbeitsverhältnisses verschaffte.
Entscheidend war hierbei eben, dass der Betriebsratsvorsitzende in seiner Funktion
gehandelt hatte und nicht eigenmächtig tätig wurde.
Das Urteil verdeutlicht also für uns, dass Schadensersatzansprüche nach Artikel
82 DSGVO nur gegen den Arbeitgeber oder andere Verantwortliche geltend gemacht werden können.
Betriebsratsmitglieder können im Umkehrschluss aber eben haften,
wenn sie eigenständig und außerhalb ihrer Aufgabendaten verarbeiten und damit
zu datenschutzrechtlich verantwortlichen werden. Also in der Praxis muss man ganz genau hingucken.
Ja, ich meine, es schließt sich so in auch andere Urteile, die wir in der jüngeren
Vergangenheit hatten, reiht sich ein.
Aber wie du schon sagst, es ist halt dann immer natürlich nochmal wichtig,
darauf abzugrenzen, ist es halt im Rahmen der Tätigkeit oder mache ich das halt
aus privaten Gründen oder um andere Ziele zu verfolgen.
Dann werde ich halt auch als normaler Mitarbeiter schnell in der Haftung sein.
Und da lautet die Empfehlung, wer schreibt, der bleibt, auch als Verantwortlicher
mal bei seinem Betriebsrat oder sich mit dem Betriebsrat an einen Tisch setzen
und sagen, okay, wie können wir das denn eben auch dokumentieren,
die Verantwortlichkeit und wo sind eben Grenzen und wie sieht da eine transparente
Art der Zusammenarbeit auch aus.
Genau. Firefox verabschiedet sich von Do Not Track und setzt auf die zukunftsweisende
Global Privacy Control, kurz GPC.
Firefox entfernt in Version 135 nun die Option, Websites eine Do-Not-Track-Anfrage
zu senden und nennt dafür den Grund, dass viele Seiten diese Einstellungen ignorierten
oder sie sogar negativ für die Privatsphäre nutzen könnten.
Nun möchte Firefox stattdessen auf die Global Privacy Control setzen,
die zunehmend von Websites wohl akzeptiert und auch durch Datenschutzgesetze geschützt wird.
Nutzer können so einfacher sicherstellen, dass ihre Daten nicht verkauft oder weitergegeben werden.
Ist vielleicht einmal ein Punkt, den auch Unternehmen nochmal natürlich mitnehmen
können, wie ihre eigenen Webseiten bisher damit umgehen und vor allen Dingen
dann halt auch wissen, dass sie diese dann zukünftig nicht mehr auslesen müssen
bei Firefox, weil sie wird eh nicht mehr da sein.
Nicht mehr da, ja. Bei mir geht es weiter mit dem Update zum Thema Rauchmelder.
Wie die WAZ, also die Westdeutsche Allgemeine Zeitung, heute berichtet,
wird Venovia, eines der größten Immobilienunternehmen Deutschlands,
Rauchmelder mit Multisensoren des Fabrikats Techem erst nach Einwilligung der Mieter aktivieren.
Venovia hatte bereits in 60.000 Wohnungen in Hessen und Baden-Württemberg diese
Rauchmelder installiert, was eine Beschwerdewelle beim Unternehmen und bei Deutschlands
Mieterbündnissen auslöste.
Ich hoffe, das war nicht unserer Nachricht geschuldet.
Auch hier weiterhin lautet die Kritik der Mieter und Mieterschützer,
dass insbesondere die Funktion des Auslesens von Hitze, älter Luftfeuchtigkeit
und Kohlenmonoxid einen unverhältnismäßigen Eingriff der Persönlichkeitsrechte darstellt.
Auch würde es wohl zu unnötig elektromagnetischen Wellen innerhalb der eigenen vier Wände kommen.
Außerdem, und das ist glaube ich so aus datenschutzrechtlicher Sicht,
glaube ich auch mit ein Thema, befürchtet man, dass wiederum auch bei Streitfällen
von Schimmelursachen die Auswertung wiederum gegen die Mieter verwendet werden können.
Also hier auch die Zweckbestimmung ist hierauf auch ein besonderes Augenmerk
zu legen gilt. Und Venovia bestätigte in dem Artikel auch, dass sie die Bedenken
sehr ernst nehmen und es sich auch vorerst nur um allen Pilotprojekte handelt.
Dabei muss man wissen, Venovia betreibt 470.000 Wohnungen oder bietet diese als Mieträume an.
Die Wohnungen in Hessen und Baden-Württemberg machen da natürlich nur einen
sehr, sehr kleinen Teil aus und es ist noch gar nicht klar, ob diese dann eben
alle auch umgerüstet werden.
Das BSI hat Malware auf über 30.000 IoT-Geräten gefunden.
Das BSI warnt nun vor der Malware-Betbox, die bereits auf rund 30.000 Geräten
in Deutschland entdeckt wurde.
Besonders betroffen sind wohl IoT-Geräte wie digitale Bilderrahmen oder aber
auch Media Player und die ab Werk wohl mit dieser Schadsoftware bereits ausgeliefert wurden.
Das BSI hat die Kommunikation zwischen infizierten Geräten und den Kontrollservern
der Täter jetzt mit einer technischen Maßnahme unterbrochen,
will aber die Namen der betroffenen Produkte nicht nennen,
da baugleiche Varianten unter verschiedenen unterschiedlichen Namen wohl im
Netz vertrieben werden.
Die Verbraucher sollen laut dem BSI nun darauf achten, wenn ihre Internetprovider
sie über mögliche Infektionen informieren und solche Hinweise dann auch ernst
nehmen und alle internetfähigen Geräte prüfen.
Also natürlich dann auch gegebenenfalls vom Netz nehmen, das ist natürlich sowieso sinnvoll,
aber ich glaube wichtig ist halt darauf zu achten, wenn halt Nachrichten vom
Internetprovider kommen, die einem halt darauf hinweisen, dass man die auf jeden
Fall ernst nimmt und nicht für Spam einfach ablegt oder für Phishing hält.
Außerdem hat das BSI-Sicherheitslücken bei smarten Heizkörperthermostaten aufgedeckt
und zwar haben sie wohl bei verschiedenen Modellen erhebliche Sicherheitsmängel festgestellt.
Schwachstellen traten demnach vor allem bei der Datenübertragung auf,
etwa unverschlüsselte Verbindungen bei Firmware-Updates oder aber auch unsichere
Speicherung von Zugangsdaten.
Besonders problematisch sind drei Geräte gewesen, die unter identischem Byte-Label-Design
vermarktet werden und deren Schlüssel unbefugt genutzt werden können.
Auch hier empfiehlt das BSI Verbrauchern natürlich vor dem Kauf auf Sicherheitsmerkmale
wie verschlüsselte Datenübertragung, aber vor allen Dingen auch regelmäßige
Updates zu achten und die Empfehlung gilt natürlich auch für Unternehmen.
Also ich glaube, dass man auch privat natürlich gucken kann,
ob man solche Geräte schon mal in ein anderes Netzsegment packt,
in ein eigenes WLAN vielleicht, was dann nicht mit dem internen Netz,
wo man seine eigenen Devices drin hat, verbunden ist.
Und das sollte man auf jeden Fall tun, dass man das immer in separate Netze
packt, damit man über solche Geräte sich nicht die eigene Firewall obsolet macht.
So ist es.
So ist es. Ja, du hast es schon gesagt, wir haben heute keine Meldungen in unserer
Rubrik Veröffentlichungen und Veranstaltungen.
Von daher wünschen wir euch einen schönen dritten Advent.
Bleibt uns gewogen und auf bald.
Bis bald.
