EDPB äußert sich zu „pay or okay“- Datenschutz News KW 16/2024

Moderation:

Was ist in der KW 16 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Zivilrechts-Professorin Louisa Specht-Riemenschneider soll neue Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) werden
• EDPB veröffentlicht Fokusthemen der nächsten Jahre
• EDPB fordert, dass Online-Plattformen kostenlose Dienste ohne personalisierte Werbung anbieten
• BVwG Österreich urteilt zu Wächtermodus von Tesla
• Bußgeld gegen Auftragsverarbeiter in Italien
• Griechische Aufsischtsbehörde verhängt Bußgeld i.H.v. 2.995.140€ auf Grund von unzureichenden TOM
• Offenlegung von Gesundheitsdaten im E-Mailverteiler: Bußgeld i.H.v. 75.000€

Empfehlungen & Lesetipps:

• Schutz von Online-Konten durch Biometrische Daten

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/edpb-außert-sich-zu-pay-or-okay-datenschutz-news-kw-16-2024

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Sagen wir noch was? Sollen wir uns nicht verabschieden? Habe ich jetzt irgendwie vergessen, ne? Hm. Ja. Herzlich willkommen zum Datenschutztalk, deinem wöchentlichen Datenschutz ab, Redaktionsschluss war heute wie gewohnt um zehn Uhr Heute ist der 19. April und wir schauen wieder mit euch gemeinsam auf die neuesten Entwicklungen und Zwischenfälle in der Welt des Datenschutzes. Mein Name ist David Schmidt und bei mir ist Laura Doschinski. Grüß dich, Laura. Hallo lieber David. Ich freue mich darauf, wieder eine Folge mit dir einsprechen zu können und ähm wovor ich dich bitte zu erzählen, was du heute Spannendes mitgebracht hast. Ein kurzer Blog in eigener Sache. Wir suchen weiterhin Verstärkung. Speziell für dein Team möchtest du etwas dazu erzählen. Ja auch wenn letzte Woche Heiko bereits berichtet hat, dass wir eine Stelle ausgeschrieben haben, möchte ich auch heute das natürlich wiederholen, weil es kann ja durchaus liebe Zuhörerinnen und Zuhörern geben, die vielleicht die letzte Folge nicht gehört haben oder, Eine Erinnerung brauchen, ja wie du schon sagst, wir suchen einen neuen Consultant, eine neue Consultant für das Team Datenschutz, Insbesondere geht es um die Funktion im Innendienst. Das heißt, wer eben es schätzt, nicht groß auf Reisen zu sein, sondern äh aus unserem Büro in Mühlheim an der Ruhr, aber vielleicht auch von zu Hause aus. Datenschutzberatung in seinen Alltag zu integrieren, vollumfänglich Ja, der ist herzlich eingeladen, sich bei uns zu bewerben. Ich beziehungsweise wir freuen uns über jede einzelne Bewerbung. Und es ist auch schon was eingegangen, deshalb hier nochmal der Aufruf, äh wer es nicht verpassen möchte, Teil der Microsens zu werden, sollte, Mal schauen, ob er sich vielleicht am Wochenende hinsetzt und uns eine Bewerbung zukommen lässt. Auf jeden Fall, die Initiative ergreifen und ähm damit leite ich über auf unsere Themen für heute. Laura, was hat es bei dir auf den Zettel geschafft? Bei mir auf den Zettel geschafft als allererstes natürlich der Vorschlag der neuen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Ich glaube, viele haben’s mitbekommen. Dann geht’s weiter, zu einem Urteil aus Österreich, zum Tesla-Wächtermodus und ein Bußgeld aus Griechenland habe ich auch noch mitgebracht in, einer ziemlichen Höhe und zu guter Letzt noch eine Veröffentlichung vom BSI, die ich gerne halt zum Wochenende mitgeben würde. Wie sieht’s bei dir aus? Äh ich möchte berichten über die Ergebnisse der Plenarsitzung des EDPB, die gestern stattgefunden hat. Ähm ich habe ein Bußgeld mitgebracht aus Italien. Das Besondere ist, dass ich dies gegen einen Auftragsverarbeiter richtet, Und dann habe ich noch ein Bußgeld mitgebracht aus Hamburg. Ähm, Dort hat sich der Hamburgische Datenschutzbeauftragte eine ähm ja etwas merkwürdiges Verfahren hinsichtlich der Krankmeldung in einem Unternehmen angeschaut und beboost. Dann beginnt Laura. Das lange Fahrten hat ein Ende, denn wie in dieser Woche bekannt geworden ist, gibt es endlich einen Vorschlag für die Nachfolge des für den Datenschutz und die Informationsfreiheit Ulrich Kälber. Nach langem Warten hat jetzt nun die Bundesregierung einen Vorschlag bekannt gegeben und spricht sich aus für die Bonner Professoren und Digitalexpertin Luisa Specht-Riemschneider. Wie gesagt, sie soll Ulrich Kälber beerben und ja, die Vertreter der Ampelkoalition haben sich nun endlich geeinigt. Das war ja jetzt ja schon seit einiger Zeit, eine ziemliche Hängepartie, da die Amtszeit von Ulrich Kälber ja eigentlich im letzten Jahr ausgelaufen war. Und Montag ähm kam die erste Bestätigung seitens der FDP Bundestagsfraktion zu dieser Personalentscheidung. Äh wer ist Luisa Spechtrihm Schneider? Sie ist Lehrstuhlinhaberin für bürgerliches Recht sowie Informations- und Datenrecht an der Universität Außerdem Vorsitzende des Sachverständigenrats für Verbraucherfragen beim Bundesministerium für Umwelt, Naturschutznukleare Sicherheit und Verbraucherschutz, Außerdem war sie auch Vorsitzende des Digitalbeirats beim Bundesministerium für digitales und Verkehr und agiert auch noch zusätzlich als Beraterin der Bundesnetzagentur im wissenschaftlichen Arbeitskreis für Regulierungsfragen. Also man kann schon sagen, sie hat glaube ich, Ahnung von dem, was sie tut. Ähm. Viel, also hat sie auch viel Ahnung. Richtig hoffen wir. Ähm ja Der nächste Schritt wäre die Wahl im Bundestag. Wann das stattfindet, ist aber bisher unklar. Ulrich Kelber führt ja die Amtsgeschäfte weiter, nachdem die Bundestagspräsidentin Bärbel Bars im Jahr gebeten hatte im Dezember, das noch bis Ende Juli, also für ein halbes Jahr, zu tun. Also wird’s ja jetzt wahrscheinlich im Laufe der nächsten Zeit auch hier ein Datum geben für die Wahl und ja, wie immer, sage, ich bin gespannt und ich hoffe, dass wir vielleicht in der nächsten Silvestershow sie auch schon einladen können oder vielleicht nächstes Jahr. Mal sehen. Das wäre doch echt cool. Dann drücken wir mal die Daumen, das mit der Wahl erstmal alles klar geht und dass ähm Besteche und Gehaue um die Position damit ein Ende findet. Ich mache weiter mit der Plenarsitzung des EDPB. Die hat äh gestern am 18. April stattgefunden und darin hat der EDPB, seine Prioritäten für die Jahre 2024 bis 2027 festgelegt. In den nächsten vier Jahren möchte der EDPB weiter auf eine harmonisierte Anwendung der DSGVO in den Mitgliedsstaaten hinwirken, Darüber hinaus soll auch die Durchsetzungskultur im Datenschutz gestärkt werden, Zudem wurde angekündigt, ein Fokus auf das Zusammenspiel mit den neuen digitalen, Regulierungsrahmen zu legen, also zum Beispiel dem DSA, dem DMA, dem AI-Act und so weiter. Ich da haben wir auch alle Unterstützungsbedarf und freuen uns, wenn dort ähm ein Regulierungsrahmen geschaffen wird. Und zuletzt wurde ähm eine Geschäftsordnung zum Umgang mit dem EU. US-Datenschutzrahmen, also dem DPF, dem neuen, Jetzt mittlerweile schon gar nicht mehr so neun. Ich glaube, schon ja, fast ein Dreivierteljahr alten Angemessenheitsbeschluss verabschiedet und ähm es sollen auch, Muster, Beschwerdeformulare veröffentlicht werden, um die Umsetzung der Rechtsbehelfsmechanismen im Rahmen des DPF zu erleichtern. Darauf, gespannt, das klingt sehr interessant und am interessantesten war jedoch, dass eine Stellungnahme zum Pay-Ore-Modell erarbeitet und veröffentlicht wurde. Darin fordert der EDPB große Online-Plattformen dazu auf, den Nutzern neben dem Bezahlen mit Geld oder mit Datenmodellen, weitere Alternativen für die Nutzung ihrer Dienste anzubieten. Konkret sollen Inhalte auch ohne Cookie oder Payway zur Verfügung gestellt werden und dann ohne Tracking und damit auch nur mit generischer Werbung, äh die nicht auf den User zugeschnitten ist, finanziert werden. Die Plattformen werden davon, Voraussichtlich äh wenig halten. Also gespannt, ob dieses Modell fliegen lernen kann und ob man die Plattform dann auch irgendwie dazu, verpflichten kann, ist, glaube ich, noch eine hart umkämpfte Sache, das Thema okay, Cookiewall, Paywall et cetera PP. Ja, aber schön, dass der EDPB sich ja jetzt auch dazu mal geäußert hat, beziehungsweise da der Bitte natürlich auch nachgekommen ist, Stellung zu beziehen. Ja, so Mittelding, Besser wenig als gar nicht. Kann doch vielleicht für den einen oder anderen die Alternative sein. Obwohl, glaube ich ja auch immer noch die okay Variante ziemlich oft genutzt wird. Ja ähm, Kann sich halt nicht jeder leisten 15 Abos zu haben für alles, was man gerne so lesen möchte, was man alles gerne konsumieren möchte und das ist ja auch bedenklich, dass Datenschutz so langsam zum Luxusgut wird. Das wollen wir eigentlich auch nicht. Und ich sage mal gleicher Effekt wie bei den Cookie-Bannern. Ich glaube, die meisten wissen gar nicht, was es denn überhaupt heißt, wenn ich am Ende sage, okay, äh du kannst meine Daten für die Werbung nutzen. Weil so die ein oder andere Resignation ist, sich mit dem Thema auseinanderzusetzen. Aber umso wichtiger ist auch für jeden Datenschützer und jede Datenschützerin hier zu sensibilisieren, Wie in der Themenübersicht ja schon angeteasert habe ich als nächstes ein Urteil aus Österreich mitgebracht. An dieser Stelle einen lieben Dank an Dietmar Mühlbock. Er als ja ein treuer Zuhörer, hat uns dieses Urteil zukommen lassen. Also vielen Dank da an dieser Stelle. Und ähm ja, dieses Urteil befasst sich mit dem Wächtermodus von Tesla. Das Bundesverwaltungsgericht, Republik Österreich sieht eine Datenschutzverletzung beim Überwachungsmodus von Tesla, wenn diese aktiviert ist und keine Datenschutzinformation bereitgestellt wurde. Das Gericht sieht die Verpflichtung der Information gemäß Artikel 13 DSGVO als einschlägig an und sieht den Fahrer in der Pflicht vor der Aufzeichnung entsprechend zu informieren. Ich glaube, das dürfte in der einen oder anderen Praxisfall herausfordernd sein. Ja, haben wir auch schon öfters drüber gesprochen. Richtig. Das Gericht sieht, dass bereits in der Beobachtung der Umgebung bei aktiviertem Wächtermodus eine Datenverarbeitung stattfindet, die eben die entsprechenden Pflichten auslöst. Und unabhängig davon ist auch, ob die Daten gespeichert werden oder nicht, denn der Fahrer hat die Möglichkeit, auf die Livebilder, wenn halt eben entsprechende Alarm losgeht, auch zuzugreifen. Vorausgegangen in Österreich war ein Rechtsstreit, ein ähm hier ist ein Passant halt an einem Tesla vorbeigelaufen und hat die aufblinkende Lichter, zur Kenntnis genommen, hat dabei einen Blick in das Auto geworfen, welches eben bestätigte auf dem Display, dass der Wächtermodus aktiv war. Der eine oder andere, vertritt schon die Auffassung, dass diese Information auf diesen Display reicht, aber hier hat jetzt das Gericht aber festgelegt, dass insbesondere die Informationspflicht vor Datenverarbeitung greift. Das heißt, man muss hier eine Möglichkeit finden, dass die erfassten Personen in der Lage sind, einzuschätzen, a welche Bereiche von den Kameras erfasst werden, damit sie eben die Möglichkeit auch haben, der Überwachung auszuweichen, beispielsweise durch das wechselnde Straßenseite. Nachvollziehbar, wie du ja schon grad gesagt hast. Wir haben ja schon öfter darüber gesprochen, ähm jetzt hier in Österreich. Jedenfalls dürfen die Tesla-Fahrer gewarnt sei, Weil jetzt natürlich die Aufsichtsbehörden hier auch entsprechend mit Bußgeldern aktiv werden könnten. Es war jetzt vielleicht nicht im Millionenbereich, aber vielleicht das eine oder andere, dreistellige Bußgeld kann ja auch durchaus weh tun. Ja und ähm schön jetzt auch mal eine Gerichtsentscheidung dazu zu haben, ähm Bußgelder gab es glaube ich schon ein paar auch hier in Deutschland ähm hier und da mal. Wie schon gesagt, wir haben ja schon öfters darüber gesprochen, aber die äh der Justiz mahlen ja bekanntlich langsam. Haben aber jetzt zu Ende gemalt und ich denke, dass sich das halt auch eins zu eins so auf Deutschland übertragen lässt und ähm wie du gesagt hast, der Hinweis muss ja eigentlich vor der Datenverarbeitung stattfinden und da sehe ich in der Praxis eigentlich gar keine Möglichkeit, außer eben auf den Wächtermodus zu verzichten. Richtig und äh das Gericht unterstrich halt auch nochmal, dass es eben nicht in der Verantwortung von Tesla liegt, die das als Option anbieten, sondern am Ende der Fahrer oder, der Autoeigentümer eben entscheidet, ob dieser Wächtermodus aktiv ist und demzufolge auch erst sehr belangt werden kann. Könnt ihr einen extra Parkplatz bauen für Tesla-Fahrer und da dann Hinweise drum herumhängen, Nacken an alle Parken, die ihren Wächter-Modus aktiviert haben. Mit so Markierungen auf dem Boden so in dem Umfeld. Die italienische Datenschutzbehörde Garante hat ein Bußgeld in Höhe von 800.000 Euro gegen das IT-Beratungshaus NTT Data italia verhängt. Entity Data war als Auftragsverarbeiterin für ein Finanzinstitut unterwegs und Teil des Auftrags waren auch Penetrationstests die auf einen Subdienstleister weiter ausgelagert wurden. Hierfür hatte die Auftraggeberin aber keine Genehmigung gegeben, Zusätzlich kam es noch zu einer Datenschutzverletzung, die die NTT Data versäumt hatte, an die Auftraggeberin zu melden. Ja, das zeigt, dass äh eben nicht nur Verantwortliche ihr Datenschutzmanagementsystem und insbesondere ihr Dienstleister-Management gut im Griff haben sollten. Das Ganze gilt natürlich auch für Auftragsverarbeiter und ähm hier gelten ja auch, einige Regeln, die zwar nicht ganz so umfangreich sind wie für die Verantwortlichen, aber bei Nichteinhaltung kann es auch teuer werden, so wie wir hier an dem Fall gesehen haben. Immerhin 800.000 Euro nicht zu vernachlässigen. Ich habe ja auch ein Bußgeld mitgebracht und zwar, verhängte die griechische Datenschutzaufsicht fast drei Millionen Euro Bußgeld gegenüber der nationalen Post, der aufgrund von finanziellen Schwierigkeiten keine ausreichenden Tom gegeben waren. Was war passiert? Die griechische Post war Opfer eines Ransonware Angriffs geworden. Ja, nicht von ganz kleinem Ausmaß, denn Daten. Beziehungsweise Datensätze 4,5 Millionen an der Zahl von Mitarbeitern, Kunden, Kreditunternehmer waren einsehbar und teils im Darknet veröffentlicht worden. Der Zugang war möglich über eine Sicherheitslücke, die eigentlich durch Updates geschlossen war, sagte die griechische Aber bei abendschließenden Untersuchungen der Aufsichtsbehörde kam es zu der Feststellung, dass aufgrund von finanziellen Schwierigkeiten die Sicherheitssysteme nicht funktioniert Zwar waren die Backups erstellt worden und auch die Sicherheitssysteme. Jedoch waren äh insbesondere die Backups ungesichert auf anderen nicht angegriffene Teilen des Systems abgelegt worden. Die Aufsicht kam daher zu dem Ergebnis, dass eben die technischen organisatorischen Maßnahmen nicht ausreichend waren, um die Daten zu schützen und erschwerend kam herzu, dass wohl die griechische Post aus früheren Vorfällen nicht gelernt hatte. Laut der Datenschutzaufsicht und eben, auch die Sicherheit in Vergangenheit nicht wesentlich verbessert hatte. Auch beispielsweise oder als Beispiel führte die Datenschutzaufsichtsbehörde an, dass die Prüfung auf Funktionalität der Maßnahmen stetig ausblieb. Wie gesagt, über 3 Millionen Euro Bußgeld, das ist natürlich schon eine ganze Stange Geld, aber wer nicht lernt. Der gilt bestraft Es hört sich jetzt so hart an, aber eigentlich ist es ja nur konsequent, wenn er die Aufsichtsbehörde auch weiterhin unterstreicht, wie wichtig das Thema ist und auch nachzubessern und das Thema nicht aus dem Fokus zu verlieren. Ja und die Post ist jetzt auch nicht irgendein Unternehmen, sondern nein, ein wichtiges Unternehmen dafür, dass auch eine Gesellschaft funktionieren kann und ähm, da kann man dann nicht einfach so Abstriche machen, weil man vielleicht gerade nicht genug Geld hat. Am Ende wird’s noch teurer. Dann ergänze ich unserm Bußgeldblock noch mit dem dritten Bußgeld, was wir heute mitgebracht haben. Das wurde von der hamburgischen Datenschutzbehörde gegen ein Unternehmen aufgrund des Verfahrens bei Krankmeldungen verhängt. Das geht aus dem gerade veröffentlichen Jahresbericht der Behörde hervor und, In diesem Unternehmen war die grundsätzliche Vorgabe, dass Krankmeldungen ähm an die jeweilige Führungskraft per E-Mail zu richten sind. Soweit, so gut. Eine Abteilung wich aber von dieser Vorgabe für mindestens ein Jahr ab, Hier wurde ein E-Mail-Verteiler mit 25 Empfängern eingerichtet und die Mitarbeiter wurden von dem Abteilungsleiter angehalten, ihre Krankmeldung an diesen Verteiler zu richten. Der Verteiler enthielt nicht nur Vorgesetzte und Personen, die für die Vertretung von Erkrankten relevant waren. Und deshalb sei die Behörde ein Verstoß gegen den Grundsatz der Erforderlichkeit und verhängte wegen der Sensibilität der Daten ein Bußgeld in Höhe von 75tausend Euro. Strafmindernd wirkte sich aus, dass das Unternehmen umfangreich mit der Behörde zusammengearbeitet hat. Interessant finde ich daran, dass es ja, Richtlinien gab, die hier nur von einer Abteilung nicht eingehalten wurden, Zu bedenken ist aber natürlich, dass man seinen Datenschutzmanagementsystem nicht nur einmal implementieren sollte, sondern auch die Wirksamkeit und die Einhaltung kontrollieren sollte und das war hier offenkundig nicht, ausreichend geschehen. Praxisbeispiel, oder? Klassiker. Klassiker, ja, absolutes Praxisbeispiel. Super Beispiel für den Grundsatz der Erforderlichkeit und ähm ja, Bequemlichkeit ist ähm kein Argument dafür, Dass man einen so großen Verteiler bauen sollte, sondern man sollte schon immer nur diejenigen informieren, für die diese Information auch relevant ist, insbesondere wenn’s um Artikel 9 Daten geht. Also hier, So wie hier vom Gesundheitsdaten. Nichts hinzuzufügen. Ich würde gerne zu guter Letzt eine, Pressemitteilung des BSI, das Bundesamt für Sicherheit in der Informationstechnik äh mitbringen, denn dies hat die Woche veröffentlicht, dass sie sich die angebotenen Verfahren der Zwei-Faktor-Authentie Serumen zum Schutz von Online-Konten im Verbraucherbereich genauer angesehen haben. Konkret haben sie das mit, Über Untersuchung getan, gemeinsam mit der Verbraucherzentrale, Bundesverband, Und haben sich das besonders angesehen, weil’s ja mittlerweile äh im Onlinehandel ja auch oder auch im Online-Banking ein beliebtes Mittel ist, um Zugänge zu schützen. Sie sehen das eben als wichtigen Baustein an für den digitalen Verbraucherschutz und, empfiehlt halt auch noch mal das BSI, dass man Dieses oder diese Authentifizierungsverfahren doch möglichst nutzen sollte, wenn sie denn angeboten werden. Die Untersuchungen haben aber auch gezeigt, dass es schon viel genutzt wird, also da wo man die Möglichkeit hat, es einzusetzen, ähm ja, sind’s über 70 Prozent der Personen, die es dann auch eben nutzen. In dem Papier, was ich jetzt mitgebracht habe deshalb äh hat’s in die Kategorie Veröffentlichung bei uns geschafft, geht das BSI halt nochmal genauer auf die Möglichkeiten ein. Also was gibt es denn, was ist zu beachten, wenn ich selbst anbieter einer solchen Funktion bin, aber was kann ich auch als Nutzer tun, Um zu erkennen. Das Verfahren sicher ist und inwieweit mich das ja bei der Datensicht meiner persönlichen Datensicherheit unterstützen kann. Also das Papier packen wir hier sehr gerne in die Shownotes. Ja lieben Dank Laura für das Teilen von dieser Meldung und für das Teilen von den anderen Meldungen. Ähm Das war die letzte Meldung für heute und deswegen ähm möchten wir uns wie immer dafür bedanken, dass ihr uns zugehört habt und uns von euch verabschieden. Wünschen euch ein schönes Wochenende, außer ihr hört uns erst am Montag, dann wünschen wir euch einen guten Start in die neue Woche, auf bald.