Eilentscheidung gegen Facebook, Insta & Co. – Datenschutz News KW 44/2023

Moderation:

Was ist in der KW 44 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Datenschutz bei ChatGPT: Deutsche Aufsichtsbehörden haben Fragen
• Landgericht Berlin: Webseiten dürfen „Do-Not-Track“-Signal nicht ignorieren (Urteil vom 24.08.2023 – 16 O 420/19)
• Personalisierte Werbung durch Meta künftig EU-weit verboten
• Datendiebstahl bei Boeing
• IPhones verrieten physische MAC-Adresse
• Mehr Sicherheit bei E-Mails : Diensteanbieter können sich mit BSI-TR zertifizieren lassen

Empfehlungen & Lesetipps:

• Aufzeichnungen der KI Woche des LfDI Baden-Württemberg

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/eilentscheidung-gegen-facebook-insta-&amp-co-datenschutz-news-kw-44-2023

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Lachst denn du schon? Da kann nix gesagt. Ich freue mich so. Ja das ist gut. Herzlich willkommen zum Datenschutztalk, Ihrem Podcast für die Themen Datenschutz und Informationssicherheit, Mein Name ist Heiko Gossen und ich begrüße Sie wieder recht herzlich zu einer neuen Ausgabe unserer Datenschutz-News. Heute ist Freitag, der dritte November zweitausenddreiundzwanzig. Unser Redaktionsschluss war um neun Uhr. Bin natürlich nicht alleine, sondern wir sind, wie sie das von uns natürlich kennen, zu zweit und ich begrüße recht herzlich meine Werte und geschätzte Kolleginnen Laura Doschinski. Hallo Laura. Hallo lieber Heiko. Wir haben wieder ein paar Themen dabei. Heute hat’s nicht ganz so viel in unsere ähm in unserer Auswahl geschafft, aber ein paar Themen sind’s natürlich trotzdem, deswegen Laura, was ist bei dir mit reingekommen heute? Ja, bei mir aufm Zettel hat’s geschafft, einmal ein Urteil vom Landgericht Berlin. Das ist zwar bereits seit oder im August schon getroffen worden das Urteil, aber nicht weniger interessant, deshalb heute hier mit, Dabei, dann ebenso ein Cyberangriff auf einen großen Flugzeughersteller und zu guter Letzt hätte ich noch einen Hinweis auf eine neue Zertifizierung, die möglich ist. Wie sieht’s bei dir aus? Ich hätte einmal ein Thema zu Apple iPhones und der Trackingmöglichkeiten im WLAN. Dann haben wir unser Titelthema natürlich, äh das Thema personalisierte Werbung bei Meta soll künftig unterbunden werden. Und das Thema künstliche Intelligenz, insbesondere hier JPT, habe ich nochmal mitgebracht, weil da gibt’s halt auch noch mal einen neuen Fragenkatalog, Bevor wir aber mit diesem Thema starten, möchte ich gerne einen Hinweis loswerden und zwar haben wir nächste Woche eine Themenfolge, die wir veröffentlichen werden und mit die man Geringeren als dem Landesdatenschutz. Beauftragten in aus Baden-Württemberg Herrn Professor Doktor Tobias Keber. Mit dem habe ich die Woche zum Thema künstliche Intelligenz und Datenschutz gesprochen. Ein Thema, was ja sehr aktuell ist, wie wir gleich auch noch mal in der nächsten Meldung hören werden. Das ähm ja ist sehr spannend, weil Tobias äh Keber auch noch mal ein bisschen auf die Möglichkeiten eingeht hinsichtlich was sind Voraussetzungen und Prüfschritte um KI im Unternehmen auch am Ende datenschutzkonform einsetzen zu können. Wir sprechen unter anderem auch über das Thema Zweckänderung von Daten zu Trainingszwecken. Wir sprechen aber auch über das Thema Datenschutzhinweise, Das sind äh Anforderungen an Transparenz gegenüber Betroffenen, auch bei zum Beispiel automatisierten Einzelentscheidungen bei der Nutzung von KI nachher. Also ich glaube, eine Folge, die sich lohnen wird, für alle, die sich mit dem Thema nochmal beschäftigen möchten und vor allen Dingen die auch letztendlich bei dem Thema, vielleicht vor den Herausforderungen Unternehmen stehen, das bewerten zu müssen. Und damit. Sehr cool, habe ich gesagt. Ich hoffe, ich hoffe, dass unsere Zuhörenden das natürlich auch so sehen werden. Äh von daher freuen wir uns natürlich wie immer da auch über über Feedback zu gebender Zeit, wenn sie reingehört haben. Hat er denn aus dem Nähkästchen geplaudert, ob er bei dem Fragebogen zu dabei war, weil das haben ja die Aufsichtsbehörden zusammen veröffentlicht, oder. Da haben wir tatsächlich nicht explizit drüber gesprochen, allerdings ein paar Themen, die jetzt auch ähm zumindest jetzt vom äh ins hessischen Datenschutzbeauftragten und vom rheinland-pfälzischen veröffentlicht wurden, waren natürlich auch Thema dann letztendlich von unserer Themenfolge und damit komme ich letztendlich halt auch genau zu dem Thema. Die Aufsichtsbehörden in Deutschland haben ja schon einen Fragebogen an Open AI, die ja hinter stehen äh in der Vergangenheit geschickt. Jetzt hat der hessische Datenschutzbeauftragte erneut Antworten zu angefordert. Weil in dem laufenden Prüferfahren äh es halt ja letztendlich aufgrund der Fragen und Antworten, äh die Open Air da auch sehr ausführlich gegeben hat auf den ersten Fragenkatalog. Weitere Fragen aufgetaucht sind, Hat letztendlich zwar festgehalten, der erste Fragebogen war kooperativ und umfangreich beantwortet. Nichtsdestotrotz blieben halt Zweifel an der Rechtskonformität der Erhebung der Daten, die insbesondere für das Training der KI-Systems open. Äh JGBT letztendlich aus dem Web gewonnen wurde und das ist auch ein Thema, über das wir kurz gesprochen haben in unserer Themenfolge. Der neue Fragebogen umfasst neunundsiebzig Einzelfragen und da geht’s halt insbesondere auch noch mal um die Verarbeitung von besonderen Kategorien personenbezogener Daten, aber auch die betroffenen Rechte, äh die natürlich auch tangiert sind, wenn die Daten zu Trainingszwecken genutzt werden. Und der Fragebogen wurde unter der Leitung der Datenschutzaufsichtsbehörde nach Rheinland-Pfalz innerhalb der Datenschutzkonferenz jetzt abgestimmt und dann halt auch verschickt. Ja, warum eigentlich da deutschen Aufsichtsbehörden wird man sich’s vielleicht fragen, aber es ist halt aufgrund der fehlenden Niederlassung in der EU von Open Air gibt’s halt noch keine federführende Aufsichtsbehörde äh Open Air plant zwar eine Niederlassung in Irland, aber ja, das ist halt noch nicht so und äh von daher kann’s natürlich sein, dass demnächst die irische DBC dafür wieder zuständig wird, Aber so lange können natürlich auch die deutschen Aufsichtsbehörden hier direkt dann entsprechende Fragen stellen und auch letztendlich Entscheidungen treffen. Wahrscheinlich naheliegend oder mit dem Standort in Irland, dass dort alles gebündelt wird. Mich wundert’s nicht. Dann würde ich mal weitermachen. Sehr gerne. Sehr gerne. Wie ich ja schon gesagt habe, habe ich ein Urteil vom Landgericht Berlin mitgebracht und zwar basiert das auf eine Klage, des äh Verbraucherzentrale Bundesverband und zwar die haben bemängelt, dass LinkedIn, also das ähm ja Portal, was ja im beruflichen Kontext sehr weit genutzt wird, ähm ein Hinweis ausspielt, dass, Die Donot-Trackeinstellung im Browser ignoriert wird. Wie Sie sehen dies als rechtlich nicht wirksam an und Sie folgen eben hier nicht der Aufforderung der Nichtverfolgung, sofern man das denn bei sich im Browser eingestellt hat. Die Verfolgen des Surfverhaltens, also dass das unterbunden wird. Das kann man ja beispielsweise bei Firefox einstellen. Sodass eben hier, sobald man eine Webseite besucht, ein entsprechender Austausch stattfindet. Das Gericht sieht nun oder hat festgestellt, dass auch ein automatisierter Widerspruch in die Datenverarbeitung durchaus möglich ist und auch ausreichend wirksam. Für die Nutzer und dass sie sich auch hierauf verlassen können. Was wir jetzt aber dazu sagen, dass es in dem Urteil einzig unterleihen um den die Ausspülung des Hinweises auf der Webseite bei LinkedIn ging, also keine Grundsatzentscheidung und ähm deswegen hat man sich hier auch oder wurden auch Firefox-Entwickler angehört, die äh noch mal darauf hingewiesen haben, dass grundsätzlich die Beachtung dieser Einstellung freiwillig sei, aber ich glaube, man kann hier schon durch das ähm gut äh durch das, Urteil auch schon implizit halt nachverfolgen, dass das durchaus als relevante Möglichkeit eines Widerspruchs gesehen werden kann und auch Berücksichtigung finden sollte als Websitebetreiber. In diesem Verfahren ist auch außerdem LinkedIn untersagt worden, die standardmäßige Aktivierung der Sichtbarkeit eines Profils außerhalb Portals bei Anlage einzustellen und das fand ich auch nochmal interessant. Also ich glaube, das ist so ein Klassiker, dass man hier als Betroffener aktiv dies unterbinden muss, was sehr schade ist. Deswegen auch da ähm Bleibt jetzt abzuwarten, ob LinkedIn aktiv reagiert oder sofort reagiert. Und das eben einstellt. Urteil ist bereits Ende August gesprochen worden, jedoch noch nicht rechtskräftig. Deshalb mal sehen, wie denn die da die weiteren Schritte aussehen. Ja es ist natürlich finde ich persönlich schon mal ganz gut, dass man da mehr Verbindlichkeit reinbringt, was die Frage angeht, ob das berücksichtigt werden muss, weil andere und Man, wir kennen ja dies die Diskussionen auch um diese Pimps-Verordnung, wo es ja dann um andere Dienste geht, wo man halt seinen Widerspruch und so weiter hinterlegen können soll. Ich halte halt diese Einstellung in den Browser für durchaus äh sehr viel Benutzerfreundlicher und auch zielführender. Von daher vielleicht Er tut sich ja in die Richtung noch mal ein bisschen was, dass das einfach mehr relevant und auch in der Praxis einfach hat. Weißt du nicht, ob die durchaus noch mal in Berufung gehen, ob’s dann vielleicht sogar nochmal auf höhere Instanz entschieden wird? Was, wenn’s in die gleiche Richtung geht, dann zu begrüßen wäre unter Datenschutzgesichtspunkten vielleicht nicht unbedingt unter Unternehmensinteressen, aber ja, nee, wir werden wir werden beobachten und berichten. Der europäische Datenschutzausschuss erhöht den Druck gegenüber Meter und verhängt ein EU-weites Verbot für personalisierte Werbung, also zumindest hat er damit die DPC beauftragt. Hintergrund ist und da haben wir auch schon hier drüber berichtet, Norwegen, die zunächst ein Verbot für drei Monate verhängt haben gegenüber Meta, Und jetzt das natürlich dann auch in den Atzer eingebracht haben, den europäischen Datenschutzausschuss. Der sollte jetzt halt dringend verbindlich entscheiden. Das hat er auch Getan und ist zum Ergebnis gekommen, dass hier ein EU-weites Verbot verhängt werden soll. Das betrifft also rund 250 Millionen Nutzer von den Meta-Angeboten, wie Facebook und Instagram und die sollen jetzt zukünftig dann keine personalisierte Werbung mehr sehen, ohne eine entsprechend vorher abgegebene wirksame Einwilligung. Der Etze hatte bereits vor knapp eher einem Jahr verbindlich festgestellt, dass er den Vertrag als nicht ausreichende Rechtsgrundlage für die personalisierte Werbung sieht, aber halt auch, Die Einwilligung, die Meter bisher dafür halt letztendlich dann ähm eingeholt hat, auch nicht als angemessen und ausreichend. Deswegen hat er jetzt am siebenundzwanzigsten 10, also heute vor einer Woche, entschieden, dass die irische Aufsichtsbehörde binnen zwei Wochen einen endgültige Maßnahmen in Bezug auf Meta, ergreifen muss und ein Verbot für die verhaltensbezogene Werbung letztendlich zu verhängen hat, also zumindest dann wie auf den EWR bezogen. Und ähm ja laut Spiegel soll das dann eine Woche später wohl auch schon in Kraft treten, sodass hier Meta halt relativ wenig Zeit bleibt Allerdings, auch da haben wir ja schon drüber berichtet, hier plant Meta ja ohnehin so ein ähm ja dem Pur-Abo ähnlichen Modell, also das heißt, ich kann mich halt entscheiden zwischen ich willige ein und nutze es halt, Letztendlich dann gegenüber ähm Meter durch Nutzung, dass die meine Daten nutzen dürfen oder ich zahle halt für die Nutzung des Dienstes dann, Mit einem entsprechenden Abo-Modell. Von daher wird das dann, vermute ich jetzt auch sehr zügig kommen, weil das kann ich mir nicht vorstellen, dass Meter das jetzt hier tatsächlich riskiert, dann einfach keine personalisierte Werbung mehr ausspielen zu dürfen. Ja, zwei Wochen ist ja auch jetzt eine überschaubare Zeit für ihren hier aktiv zu werden. Ich finde ja immer spannend, äh wenn’s um das Thema Länderübergreifend geht, also was mache ich als EU-Nutzer, wenn ich halt irgendwo längere Zeit in ein nicht EU-Land reise. Ähm, Wie das technisch umgesetzt wird, aber deswegen kann man also meinst du wirklich, dass können die wirklich nur auf EU-Nutzer ausweiten? Denke mal, das wird schon wahrscheinlich viel mit der geografischen Quelle zu tun haben, die man ja anhand von IP-Adressen Zum Beispiel ermitteln kann oder man macht’s halt abhängig vom Account. Das geht natürlich auch, dass man sagt, ne, wenn ich halt mich mit einem Standort in Deutschland oder in der EU registriere, dann falle ich halt ich glaube, man kann’s schon technisch relativ gute Differenzieren. Das ist ja, das dürfen wir ja nicht vergessen. Die wissen ja am Ende sehr viel über uns. So ist es. Wer angeblich auch sehr viel über äh den Flugzeugherstellung Boeing weiß, ist die Gruppe Lockbit, denn die erpressen aktuell das ja US-amerikanische Unternehmen. Diese sind also ob Feinde dieser Gruppe geworden und hat jetzt auch eben den Cyberangriff offiziell eingeräumt. Ähm sie werden erpresst, also es gibt eine Lösegeldforderung der wohl wenn sie bis Gestern Abend war jetzt, glaube ich, meine letzte Information nicht nachgekommen wird. Dem entgegen steht, dass eben eine riesige Menge an Daten des Unternehmens veröffentlicht Werden soll. Laut den Cyberkriminellen, Und ja, der ähm Flugzeugherstelle Schiller untersucht grade derzeit den Cybervorfall natürlich selbst und konnte bereits feststellen, dass es Auswirkungen hat auf sein Teile- und Vertriebsgeschäft, Angeblich soll’s für keine Auswirkung haben auf die Flugsicherheit, aber nichtsdestotrotz soll eine Information an Kunden und Lieferanten auch eben rausgehen, dass diese halt auch über den Cyberangriff informiert sind. Bestätigt wurde ebenfalls, dass es eine Zusammenarbeit mit Strafverfolgungs- und Aufsichtsbehörden gibt in diesem Fall und ähm was an in dem Bereich halt besonders kritisch ist, dass eben der Flugzeughersteller nicht allein ja auf Passagier. Jets spezialisiert ist, sondern auch große Marktanteile hat in der Raumfahrt und Rüstungsindustrie und ebenso auch ja Hauptlieferant ist für die Militärtechnik einige NATO-Länder und wir können uns vorstellen, dass die Staaten doch sehr großes Interesse haben. Militärtechnik geheim zu halten, um auch eben die Verteidigungsfähigkeit ihrer Länder. Ähm sicherzustellen. Ähm deswegen kann man hier schon von sehr brisanten Daten ausgehen und ähm ja Wir werden sehen, was äh Boeing noch weitere welche Schritte hier noch weiter eingeleitet werden und ähm was denn jetzt denn wirklich die Kriminellen tun, ob die Daten es wirklich ins Netz schaffen. Dann schauen wir auf die nächste Meldung und hier geht es um das Thema iOS und die Mac-Adressenverschleierung. Die IOS-Datenschutzfunktion zur Verschleierung von Mac-Adressen hat wohl sehr lange nicht funktioniert. Die zufälligen Mack-Adressen, die eigentlich ähm ja im Apple erzeugen wollte mit einem Update vor drei Jahren, dass man halt diese Adressen nicht mehr so gut tracken kann über verschiedene WLAN, Access äh hinweg. Das hat halt wohl aufgrund von ja einem Back nicht funktioniert und so war er jetzt in den letzten drei Jahren es wohl halt möglich, dass man halt diese ähm privaten WLAN-Adressen zwar natürlich auch gesehen hat, aber, In einem ja anderen Feld innerhalb dessen, was halt zwischen iPhone und Access Point ausgetauscht wurde, sich auch die Original Make-Adresse noch gefunden hat. Ja, dabei handelt es sich wohl um einen Bug und äh der wurde jetzt halt entsprechend äh entfernt, wie Apple mitteilte und damit halt seit der iOS-Version siebzehn Punkt eins dieses Problem jetzt auch behoben ist. Warum jetzt das überhaupt passieren konnte und ob das letztendlich dann auch in der Praxis überhaupt äh ausgewertet wurde, also ob das jetzt vielleicht Menschen, die Interesse an dem Tracking haben, aufgefallen ist und die das auch wirklich genutzt haben oder ob das jetzt halt nur dem Sicherheitsforscher aufgefallen ist, der ist auch Apple mitgeteilt hat. Das ist halt unklar. Von daher ist halt vielleicht, ich sage mal, ein bisschen Glück Der Schaden gar nicht so groß für so viele Betroffene, aber man weiß es halt eben nicht. Nichtsdestotrotz ist es natürlich ein bisschen peinlich vielleicht dann für Apple, dass man das drei Jahre lang nicht bemerkt hat. Wundert einen ja schon. Also dass das dass dann auch keiner auf den Plan gehoben wurde, dem nachzugehen. Ja. Ich würde jetzt gerne einmal zu einer Pressemitteilung kommen ähm vom BSI vom vergangenen Montag, denn die haben jetzt bestätigt, dass ein neues Zertifizierungsverfahren für E-Mail Dienstanbieter eingerichtet wurde, damit denen die Möglichkeit gegeben wird, Sicherheitsniveau bei sich im Hause nachzuweisen. In Vorbereitung auf die Zertifizierung durch das BSI arbeiten diese seit August mit dem Prüflabor der Open-Source-Security GmbH zusammen. Diese sind ja offiziell anerkannt, um halt eben auf Zertifizierung äh vorzubereiten und sobald dieses Prüflabor die Konformität und die Einhaltung der technischen Richtlinie feststellt beim E-Mail-Provider gibt es hier halt eben das grüne Licht für die finale Zertifizierung durch das BSI. Ähm finde ich auch wieder eine ganz äh ja schöne Entwicklung, gute Möglichkeit und ähm die BSE Präsidentin Claudia hatte auch im Rahmen dieser Woche der Pressekonferenz nochmal A den Mehrwert für die Nutzer natürlich bereitgestellt. Also das ist hier eine Praktische Orientierungshilfe gibt, um den richtigen Anbieter für sich zu finden, aber auf der anderen Seite, was wir ja auch immer sehr begrüßen, nochmal auf den We Wettbewerbsvorteil für die E-Mail Provider selbst hingewiesen, also dass diese das auch eben für sich nutzen können in den, Marketingstrategien, um auch hier ihr ausreichendes Sicherheitsniveau oder vielleicht sogar darüber hinaus ein besonderes Sicherheitsniveau, damit halt eben auch werden. Find’s ja immer sehr begrüßenswert, solche Zertifizierungen leider finde ich leider zumindest in der Praxis doch findet man das dann relativ selten dann auch wieder. Also ist die Frage, wie das jetzt hier wirklich genutzt wird von den Anbietern. Ja, damit bin ich soweit fast durch. Ich hätte noch zum Schluss anknüpfend an unser Eingangsthema, nämlich das Thema künstliche Intelligenz, noch einen Hinweis, den ich auch aus der Themenfolge mitgenommen habe, nämlich die Aufzeichnungen der KI-Woche des LFT Baden-Württembergs sind online. Der veranstaltet ja einmal im Jahr eine KI-Woche und die Vorträge und Diskussionen der Themenwoche sind äh ja im Livestream übertragen worden Anfang Oktober. Die Aufzeichnungen sind jetzt online und können auch kostenfrei abgerufen werden. Den Link packen wir natürlich in die Shownotes, sodass man sich da natürlich gerne dann direkt, verknüpfen äh sozusagen diese Verknüpfung aufrufen kann so und äh dann sehen kann. Ja und in diesem Sinne, Würde ich sagen, sind wir für heute durch, denn du hast noch äh eine Überraschung mitgebracht, Laura. Heute nicht. Vielleicht beim nächsten Mal. Vielleicht beim nächsten Mal. Okay, wir sind gespannt. Wir freuen uns natürlich sehr, wenn Sie die Gelegenheit nicht verpassen, uns Feedback zu geben, sei es durch eine Bewertung, vielleicht auch ein äh kurzes Feedback auf einer Plattform Ihrer Wahl, wo man. Bewerten kann oder aber natürlich auch gerne auf der folgenden Seite. Sie finden den Link in den Show-Notes, wo Sie direkt kommentieren können, wo Sie auch Feedback oder Hinweise uns hinterlassen können. Natürlich freuen wir uns auch über Mails an DatenschutzTORGET Miguscens Punkt DE. Also es gibt äh sehr viele Möglichkeiten uns auch zu folgen. Sie finden uns auf äh X früher Twitter genannt, die Älteren unter uns kennen es vielleicht noch. Als Twitter DS Unterstrich Talk oder natürlich auf Instagram, wenn sie denn äh demnächst äh entweder wird dort einwilligen oder auch Das Abo-Modell nutzen, wie auch immer, Sie finden uns auf Instagram unter Datenschutzzog Unterstrich Podcast. So damit genug für heute, Ihnen einen guten Start ins Wochenende. Dir vielen Dank, Laura. Danke ebenso, hat Spaß gemacht. Mir ebenfalls und Ihnen hoffentlich auch. Bleiben Sie uns gewogen und auf bald.