Einfallstor Apple-ID - Datenschutz News KW 09-2023

Moderation:

David Schmidt

Gregor Wortberg

Was ist in der KW 09 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

Bundesregierung will für Facebook-Fanpage kämpfen
Kein Anspruch auf Schmerzensgeld wegen Scraping bei Facebook
Bankkonten-Übernahme nur mit iPhone-PIN möglich
Erlöschen einer ursprünglich erteilten Einwilligung – AG München, Endurteil v. 14.02.2023, 161 C 12736/22
Verbraucherzentrale untersucht Datenschutz bei ärztlichen Videosprechstunden
Gesundheitsdaten über Monate hinweg offengelegt
Niederlande sieht Verantwortlichkeit für Tesla-Wächtermodus nun beim Halter
Synthetische Stimme überlistet Voice-ID

Empfehlungen und Lesetipps:

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener

Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/einfallstor-apple-id-datenschutz-news-kw-09-2023

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Wir geben uns Mühe intelligent zu sein gelingt uns vielleicht nicht an jeder Stelle, aber dafür sind wir nicht künstlich. Ach ja, schön. Herzlich willkommen zum Datenschutztalk, Ihrem Podcast für die Themen Datenschutz und Informationssicherheit. Versorgen wir Sie auch in dieser Woche wieder mit einem Update zu den Themen Datenschutz und Informationssicherheit. Heute ist der 3. März und ich finde, wir haben eine tolle Folge vorbereitet. Wir sind heute meine Wenigkeit, David Schmidt und es freut mich sehr, dass mein lieber Kollege Gregor Wortberg heute auch wieder dabei ist und mir den Podcast einspricht, Gregor. David, hi. Hi Schön, dass du da bist. Ich freue mich auch. Was hast du uns denn heute mitgebracht? Ich habe schon angekündigt, wir haben so tolle Themen. Was ähm hast du denn? Ja, es wird wieder äh sehr bunt. Wir haben natürlich ein Update mitgebracht äh zur Facebook-Fanpage der Bundesregierung, ne? Das darf natürlich nicht fehlen. Eine Sicherheitslücke möchte ich über eine Sicherheitslücke möchte ich berichten. Äh beim iPhone, wie mit der PIN ausgenutzt werden kann, eine Meldung zu Datenschutz per Videosprechstunden im Gesundheitswesen habe ich mitgebracht und der von Tesla ist in dieser Folge natürlich auch wieder Thema bei uns. Was hast du denn dabei diese Woche? Ich möchte heute sprechen über die Urteile zum Scrapping auf Facebook, dann habe ich auch was zum Thema Gesundheitsdaten mitgebracht und ähm ja was, Kurioses zu synthetischen Stimmen hätte ich auch noch dabei. Bevor ich auch zu den Lesetipps komme. Kurios ist immer gut. Äh kurios ist auch sogar ein Teil meiner ersten Meldung. Man möge es nicht direkt vermuten, aber schon angewöhnt, wir hatten ja in der letzten Woche auch über die ja Untersagung des Betriebs der Facebook Fanpage, Seite der der Bundesregierung durch den Bundesbeauftragten für den Datenschutz Ulrich Kälber ja auch berichtet und äh da hat natürlich das Bundespresseamt reagiert, wie mehr in Personen des stellvertretenden Regierungssprechers. Äh Wolfgang Büchner. Der sieht nämlich keine Veranlassung den Betrieb der Fanpage der Bundesregierung innerhalb der Gesetzen vier Wochenfrist einzustellen. Insbesondere, sehe die äh Bundesregierung dem Auftritt als wichtigen Bestandteil der Öffentlichkeitsarbeit an und äh der trage natürlich auch dazu bei ähm Desinformationen zu verhindern. Kurios finde ich dann, äh dass es laut Büchner zentral um die Frage geht, ob der Betreiber einer Facebook Fanpage für die durch Facebook vorgenommene Datenverarbeitung datenschutzrechtlich verantwortlich gemacht werden kann, Weiß nicht, ob’s so zu schon ein Urteil gegeben hat auf europäischer Ebene. Ich habe auch noch nichts gehört. Ist eine Neuigkeit. Vielleicht hören Sie ja zu und dann passt das hier. Wir bleiben bei Facebook und unsere liebe Kollegin aus der Redaktion war hier superfleißig. Liebe Grüße an der Stelle und hat diverse Urteile zum Scrapping bei Facebook zusammengesucht, Beim Strapping werden Inhalte von Websites manuell oder mit Hilfe von Software extrahiert und dann weiter genutzt oder auch weitergegeben für ähm die Strapper sind da soziale Netzwerke wie Facebook natürlich besonders interessant, Einige Facebook-User, die vom Scraping betroffen waren, haben jetzt vor diversen Gerichten gegen Facebook auf Schmerzensgeld geklagt. In den letzten Monaten gab es dazu zum Beispiel Entscheidungen am LG Coburg, am AG München und auch am LG Frankfurt. Und ähm ja hier waren sich die Gerichte ausnahmsweise mal einig. Das haben wir ja auch nicht immer so im Datenschutz. Äh hier wurden aber sämtliche, Klagen abgewiesen, Die Kläger hatten insbesondere angeführt, dass Facebook keine ausreichenden äh organisatechnisch und organisatorischen Maßnahmen ergriffen hätte um Scrapping zu verhindern. Tatsächlich ist Facebook aber durchaus auch ähm sich bewusst, dass sie ein interessantes Ziel für Scrapping sind und Hammmaßnahmen ergriffen. Ähm zum einen. Steht in Nutzungsbedingungen drin, ähm dass das Ganze verboten ist. Ich meine, das hält jetzt wahrscheinlich nur die wenigsten davon ab, aber es tatsächlich auch eine technische Lösung, bei der bestimmte IP-Adressen blockiert werden, wenn von diesen aus innerhalb einer sehr kurzen Zeit große Datenmengen extrahiert werden und das hat die Gerichte schon überzeugt dass ähm diese Maßnahmen ausreichend sind und außerdem konnten die Gerichte bei den bei den Betroffenen auch keine ähm entstandenen Schäden erkennen. Letzten Endes waren die Daten ja auf Facebook von den Betroffenen veröffentlicht worden und, nach Bewertung der Gerichte müssen Betroffene dann auch damit rechnen, dass die Daten gelesen und gegebenenfalls von Dritten genutzt werden. Also Gregor überlege noch mal, ob du deine Handynummer nicht vielleicht aus Facebook löschen möchtest. Danke David, das werde ich mir zu Herzen nehmen. Gerne. Wir bleiben irgendwo beim Thema Kriminalität, würde ich mal sagen, um das mal so schön äh rund zu machen vielleicht. Und zwar in den USA, Europa und Asien, also quasi in weiten Teilen der Welt, ähm wird eine Sicherheitslücke bei Apple immer mehr ausgenutzt. Konkret geht’s darum, dass man ähm mit der iPhone PIN, relativ leicht die Apple-ID von iPhones übernehmen kann. Das Ganze funktioniert dann so, dass Nutzer beobachtet werden, während sie ihre Apple-ID, also beziehungsweise während sie ihrer vierstellige sechsstellige PIN auf ihrem iPhone eingeben. Im Anschluss werden die Handys dann geklaut, Das bedarf ein wenig Aufwand, dauert teilweise mehrere Stunden, aber der Aufwand scheint sich denn zu lohnen, weil was kann ich mit der vierstelligen sechsstelligen PIN machen? Ich kann in den Einstellungen des äh Handys, äh AppleID zurücksetzen und übernehmen. Ich kann mich das Passwort ändern von der Apple ID mit dieser kurzen PIN-Nummer. Dies wiederum ermöglicht mir dann Zugriff auf meinen iCloud Passwortspeicher und natürlich auch die Fotos und weitere Daten. Und äh dadurch haben die Kriminellen natürlich auch dann Zugriff auf Bankdaten. Konnten und können dadurch natürlich schon erheblichen Schäden den Betroffenen zu führen Äpfel ähm hat auch ein bisschen reagiert und ähm man teile das Mitgefühl mit den Nutzern, die, ähm äh die diese Erfahrung gemacht haben, aber man geht von Einzelfällen aus, weil das ja recht unwahrscheinlich sei, dass immer Handys geklaut werden würden. Finde ich auch sehr interessant und ähm sehr empathisch diese Reaktion auf jeden Fall. Ganz anderes Thema, Es geht um die Einwilligung mit der Frage, wann eine Einwilligung erlöscht oder ob so eine überhaupt irgendwann von selbst erlöscht, hat sich jetzt das Amtsgericht München, beschäftigt, Geklagt hatte hier eine Person, die sich im Jahr 2015 für ein Onlineportal registriert hatte und dabei ihre Einwilligung für einen E-Mail-Newsletter erteilt hatte. Portal gehörte zu einem Golfclub in dem der Kläger von 2015 bis 2000siebzehn Mitglied war. Dann äh trat der Kläger aber aus dem Club aus und nutzte auch das Portal nicht mehr. Und trotzdem erhielt er vier Jahre danach im Jahr 2021 dann auf einmal wieder den Newsletter, klagte vor dem Amtsgericht München nachdem man sich außergerichtlich nicht einigen konnte, Das Gericht kam ihr erstmal zu dem Ergebnis, dass eine Einwilligung grundsätzlich erlöschen kann und der Zeitraum auf den Einzelfall ankommt, In diesem Einzelfall entschied das Gericht, dass wenn in einem Zeitraum von vier Jahren ein Account nicht genutzt wurde und bei dessen Erstellung ein Newsletter abonniert wurde, dann muss angenommen werden, dass den Newsletter, nicht mehr gewünscht ist. Es empfiehlt sich also in der Praxis äh mal zu überprüfen, was man denn noch für Einwilligungen hat, wie alt die sind und ob die dahinter stehenden User, denn ähm inaktiv sind oder aktiv sind und ob man nicht dort vielleicht die Einwilligungsliste, äh wenn man einen Newsletter versendet, aktualisieren, bereinigen sollte. Ja ganz interessant fand ich in dem Beispiel auch, dass der Betroffene ja auf eine Blacklist gesetzt wurde, nachdem er den Golfclub verlassen hat. Und dann wieder von dieser runtergenommen wurde, um ihn dann vier Jahre später anzuschreiben. Gehört natürlich auch einiges hinzu. Fällt mir nichts zu ein. Mach gerne weiter. Ja dann mache ich gerne weiter und zwar äh ich mache einen kleinen Abstecher in die Medizin in, das Thema haben wir lange nicht angesprochen, aber im im Rahmen der Covid-19-Pandemie ist es natürlich äh ist das Thema Videotelefonie und Videokonferenz natürlich, immer immer interessanter geworden. Das natürlich auch im Gesundheitswesen, ähm sodass natürlich dann auch äh Videosprechstunden mit Fachärzten möglich sind, um, Das Ansteckungsrisiko zu minimieren, aber dann natürlich auch ähm vielleicht in ähm strukturschwachen Gegenden eine Ferndiagnose zu, ähm zu ermöglichen, so soweit äh um das Thema umzureißen. Ähm mit diesen Anbietern, mit diesen Portalen hat sich jetzt nämlich ähm die Verbraucherzentrale beziehungsweise der Bundesverband der Verbraucherzentralen auseinandergesetzt in eine Untersuchung von insgesamt neun Portalen ähm durchgeführt und der Verbander da bei dieser Untersuchung geringer Mängel festgestellt. Hintergrund ist natürlich, dass im Rahmen unserer Online-Sprechstunden natürlich Gesundheitsdaten verarbeitet werden und das sind natürlich dann Daten nach Artikel neun der DSGVO und die dürfen natürlich nur auf Basis einer ausdrücklichen Einwilligung verarbeitet werden. Da hapert’s schon dran. Sieben der ähm neun geprüften Anbieter, Fragen keine oder äh auch nur eine unzureichende ausdrückliche Einwilligung ab. Da haben wir schon so, das müssen das erste Problem. Bei, acht von neun untersuchten Anbietern ist es sogar so, dass äh in den Datenschutzerklärungen angeboten äh angegeben wird, dass Tracking-Dienste eingesetzt werden. Also werden dann Gesundheitsdaten quasi zu Marketingzwecken genutzt und das ist ja im Digital Services Act, der im Sommer 2022 verabschiedet wurde, untersagt. Ähm genau eben dieses zu tun. Folglich wurden auf Grundlage der Untersuchungsergebnisse zwei Anbieter wegen verschiedener Datenschutzverstöße dann noch abgemahnt. Und zum Teil wurde sich da auch schon geeinigt, aber da auch wieder Augen auf. Mhm ja so Marketing im Gesundheitsbereich das scheint immer ein immer größeres Thema zu werden, hatten wir glaube ich vor ein paar Wochen. Gefühlt sind’s ein bisschen amerikanische Verhältnisse. Ja, ja. Ja und ähm wir bleiben auch bei meiner nächsten Meldung im Gesundheitsbereich und bei den Gesundheitsdaten, Immer noch eine Meldung mitgebracht aus der Rubrik gute Idee, aber nicht so gut umgesetzt. Ähm. Ich glaube, es kennt jeder. Man ähm sitzt beim Arzt im Wartezimmer und fragt sich, wer ist denn noch alles vor mir dran und äh wie lange muss ich denn jetzt hier noch warten und alte Zeitschriften lesen? Ähm Lösung ähm eine Lösung verspricht, die das österreichische Startup Quickticket ähm das bietet nämlich eine Warteschlangen-Software für Arztbesuche an, Patienten können sich darin bei ihrem Arzt entweder digital ähm oder aus Papier ein Ticket ziehen und werden dann über ihren Platz in der Warteschlange informiert. Jetzt ist es aber so, dass einige Praxisverwaltungssysteme eine automatische Synchronisation mit Quickticket durchführen und eine Sicherheitslücke führte hier dazu, dass nicht nur das Praxispersonal sehen konnte, welcher Patient aus der Praxis in der Warteschlange als nächstes dran war, sondern alle auf dem Wert Webportal angemeldeten Personen konnten das sehen und ähm es ist ja so, die Info, dass jemand ein Arzttermin hat, kann schon ein Gesundheitsdatum sein, besonders wenn ähm der Termin bei einem Facharzt ist, Und da ist es natürlich eher ungünstig, wenn das theoretisch jeder im Netz sehen kann. Stelle mir das mal so vor, Frau Müller, wie sie mit ihrem Bandscheibenvorfall, sie können auch noch länger warten als ich. Bei mir ist echt dringend. Ähm ja, harter Themencut ähm würde ich sagen. Wir blicken einmal auf äh Tesla und äh den und zwar die Nachrichtenagentur äh Reuters hat jetzt äh kürzlich berichtet, dass die niederländische Aufsichtsdatenschutzaufsichtsbehörde ähm davon absieht, ein, Bußgeld gegen den Autohersteller in Verbindung mit dem Wächtermodus, ähm also diesem Centre-Mode zu verhängen. Hintergrund äh sind technische Änderungen, die Tesla umgesetzt hat an dem Centre Mode. Und zwar es wird ja jetzt standardmäßig deaktiviert erstmal dieser Dienst und, also folglich nur aktiviert, wenn der Nutzer oder Halter des Fahrzeuges diesen aktiviert. Die Daten werden ausschließlich lokal im Fahrzeug gespeichert und nicht mehr mit Tesla geteilt und, das finde ich besonders interessant, um die betroffenen Informationen sicherzustellen, blinken die Scheinwerfer auf, ähm um Passanten das Starten der Aufnahme anzuzeigen. Finde ich auch sehr schön. Also das ähm wie das genau gestaltet ist, ist ist mir jetzt leider nicht bekannt. Ähm aber das ständige Lichthupen in der Nacht dürfte doch in der ein oder anderen Nachbarschaft bestimmt für Freude sorgen, Folglich, ach so, noch abschließend, ähm, hatte ich jetzt gerade ganz übersehen. Äh der Kern der Meldung ist nämlich auch, dass die äh niederländische Datenschutzaufsichtsbehörde dann folglich die Verantwortlichkeit nicht mehr bei Tesla sieht, sondern beim Fahrzeughalter. Und deswegen kein Bußgeld gegen Tesla ausgesprochen wird. Ja muss man sich schon gut überlegen, wenn man sich so ein Ding holt, was es alles bedeutet und was man da vielleicht besser abschaltet. Dann komme ich zu meiner nächsten Nachricht. Ähm im Moment ist ja das Thema KI in aller Munde und eine KI-Lösung ist auch die Software Prime Voice, AI des US-amerikanischen Startups Eleven Labs. Dieser Software lassen sich synthetische Stimmen erstellen. Man spricht ja ein paar Minuten etwas ein und schon kann die Software die Stimme nachahmen, dabei werden auch, Eigenheiten berücksichtigt, wie die Stimmlage, die Sprechweise oder auch Akzente, Und welche Risiken das ganze birgt, zeigt äh jetzt der Journalist Joseph Cox, ihm gelang es mit Hilfe einer synthetischen Stimme sich am Telefon als Kunde der britischen Leuts-Bang zu legitimieren. Das sogenannte Voice ID Verfahren, das die Bank einsetzt, wird eine Stimmerkennungssoftware benutzt, Nach einigen Versuchen akzeptierte die Bank die von der synthetischen Stimme gesprochenen Eingaben und Cox konnte so auf seine Konten zugreifen, Kontostände abfragen und kürzlich getätigte Transaktionen einsehen. Zwar reichte die Stimme alleine nicht aus. Es war noch notwendig, dass die Stimme die Phrase my voice is my Passwort sagt und das Geburtsdatum nennt. Aber am Ende hat es trotzdem so funktioniert, Und ähm ja wir haben das Ganze auch mal ausprobiert. Diese Folge ist nämlich von synthetischen Stimmen gesprochen. Ist ihnen das aufgefallen? Ha ha. Natürlich nur ein kleiner Scherz an dieser. Eine gute Ausrede, falls es ein bisschen holprig war an der einen oder anderen Stelle heute, dass war die Software. Genau genau ähm also es gibt ja mittlerweile schon ähm KI, die auch für Podcasts recherchiert oder sogar Podcasts sprechen kann. Wir übernehmen das aber natürlich weiterhin gerne höchstpersönlich und wir geben uns Mühe intelligent zu sein gelingt uns vielleicht nicht an jeder Stelle, aber dafür sind wir nicht künstlich. Ach ja, schön. Dann geben wir uns mal Mühe hier intelligent noch ähm die Folge rund zu machen und ähm ich bin auch schon äh mit meinen Meldungen durch und komme zu den Leasingtipps. Besonders fleißig ähm war der Europäische Datenschutzausschuss nämlich. Ähm der hat seine äh Stellungnahme zum Entwurf des Angemessenheitsbeschlusses zum EUS-Privacy A Data Privacy Framework, Jetzt am 28.2. verabschiedet. Darin begrüßt der Etzer einerseits Verbesserung im Vergleich zum Vorgänger äh zu der Vorgängerregelung. Gleichzeitig hat aber auch noch Bedenken, unter anderem wegen, der möglichen Massenerfassung von Daten im sogenannten Bike der sogenannten Bike Collection. Mit 54 Seiten Gesamtumfang ist dies unser erster Lesetipp der Woche. Und äh darüber hinaus war der EDP noch fleißiger, hat nämlich auch noch eine 3äh Leitlinien veröffentlicht nach öffentlicher Konsultation. Einmal zum Zusammenspiel zwischen der Anwendung von Artikel 3 und dem Stimmung über internationale Übermittlung gemäß Kapitel 5 der DSGVO. Äh Leitlinien zur Zertifizierung als Instrument für Übermittlung. Und Leitlinien zu ihrer führenden Designmustern in Schnittstellen von Social Media Plattformen. Auch sehr zu empfehlen und in den Shownotes verlinkt. Und für diejenigen, für die dieser Lesestoff noch nicht ausreicht, habe ich noch ähm das FAQ zu, das BFDI mitgebracht. Wir haben über Trustpit ja auch schon öfters hier im Podcast gesprochen und der BFD, Herr Kälber, hat jetzt ein FEQ veröffentlicht, was einem nochmal einen ganz guten Überblick ähm darüber bringt, wie das Ganze denn überhaupt funktioniert und was Truspid, überhaupt ist und damit würde ich dann für heute schließen, Gregor, ist das okay für dich oder hast du noch was? Ins Wochenende gehen. Dann äh freue ich mich und dann äh wünschen wir natürlich auch allen Hörerinnen und Hörern ein schönes Wochenende, oder einen guten Start in die neue Woche, wenn sie uns erst am Montag hören. Bleiben sie uns treu und bis bald.