Erneute Millionenstrafe für Amazon – Datenschutz News KW 04/2024

Moderation:

Was ist in der KW 04 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Abschluss der Verhandlungen zur KI-Verordnung
• CNIL verhängt Strafe in Millionenhöhe gegen Amazon France Logistique wegen Überwachung von Mitarbeitern
• Vermeintlicher Datendiebstahl bei Subway
• EuGH zum Schadensersatzanspruch bei Datenleaks (Urteil – 25/01/2024 MediaMarktSaturn, Rechtssache C-687/2)
• Recht auf Vergessenwerden bei Abmahnungen im Beschäftigungsverhältnis (LAG Thüringen, Urteil vom 24.10.2023 – 5 Sa 424/22, 1 Ca 212/22)
• „Mother of all Breaches“: Größtes Datenleck aller Zeiten entdeckt

Empfehlungen & Lesetipps

• BfDI beantwortet die häufigsten Fragen zum E-Rezept
• KI vs. Datenschutz – Heiko Gossen zu Gast bei Nico Werner im „Cybersecurity ist Chefsache“-Videocast

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/erneute-millionenstrafe-fur-amazon-datenschutz-news-kw-04-2024

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Herzlich willkommen zum Datenschutztalk. Ihrem Podcast für die Themen Datenschutz und Informationssicherheit. Wir begrüßen Sie zu einer weiteren Ausgabe unserer wöchentlichen Datenschutz-News. Heute ist Freitag, der 26ste Januar zweitausendvierundzwanzig. Wie gewohnt war unser Redaktionsschluss um zehn Uhr. Mein Name ist Laura Broschinski und an meiner Seite begrüße ich heute total toll, live und in Farbe, David Schmidt, hallo lieber David. Hallo liebe Laura, ich freue mich auch. Ja, wir haben gerade schon gesagt, es ist tatsächlich sehr, sehr lange her, dass äh wir beide zusammen den Podcast eingesprochen haben und uns dabei auch live und in Farbe gegenüber standen. Auch keine technischen Herausforderungen dieses Mal. Das ist ähm auch immer eine besondere Sache bei uns. Also freut mich ganz besonders. Das darfst du dir nicht sagen. Wir sind doch Profis. Ah ja, Profis auch zum Thema Datenschutz, was für eine Überleitung, was hast du denn heute auf deinem Zettel? Ähm es gibt was Neues zum AI Acec, da ist der Trilog jetzt abgeschlossen. Da möchte ich drüber berichten. Dann gab es einen Angriff auf Subway. Ähm ich habe ein Urteil mitgebracht vom Landesarbeitsgericht Thüringen. Da geht es um die Löschung einer Abmahnung und ein Lesetipp natürlich auch nicht fehlen. Wie sieht’s bei dir aus? Ja, ich habe einmal mitgebracht, ein neues Millionenbußgeld für Amazon, ist ja auch heute unser Topthema. Dann eine weitere Entscheidung des Europäischen Gerichtshofs zum Thema Schadensersatzanspruch. Ähm weiter geht’s mit einer Veröffentlichung eines, Gigantischen Datenlecks. Auch da spannend, haben wir schon in der Vorbereitung gesagt, ne Superlativen. Und zu guter Letzt hätte ich auch einen höher beziehungsweise einen, Also man kann sich’s auch angucken, sowohl als auch. Super. Willst du starten? Ich äh starte. Mhm Und zwar starte ich mit dem AI-Act, da sind die Trilogverhandlungen seit der letzten Woche auch auf technischer Ebene abgeschlossen. Ein Punkt, der noch offen war war, ob automatische Gesichtserkennung zulässig sein soll und wenn ja, zu welchen Zwecken? Es wurde sich jetzt darauf geeinigt, dass diese möglich sein soll. Zum Beispiel zur gezielten Suche nach bestimmten potenziellen Opfern, von Straftaten oder nach vermissten Kindern Auch die Suche nach Verdächtigen und Straftätern soll jetzt doch zulässig sein. Der Text wurde jetzt an die Mitgliedsstaaten zum Check weitergegeben. Die in Kürze dann ihr finales Votum abgeben sollen, ehe das EU-Parlament dann am Zug ist. Ja, schauen wir mal, wie’s da weitergeht. Ich glaube, das Jahr wird da noch mal spannend. Mit Sicherheit. Meine erste Nachricht heute, befasst sich mit einem Bußgeld der französischen Aufsichtsbehörde. Diese verhängt eine Millionsstrafe gegenüber M Amazon. Die Logistiksparte des US-Konzerns soll demnach 32 Millionen Euro Bußgeld zahlen für ein System zwecks Überwachung der Aktivitäten und Leistung ihrer Mitarbeiter. Schon ein harter Vorwurf, den da die französische Aufsicht äh ausspricht, denn sie haben festgestellt, äh dass es zu einer dauerhaften Überwachung, betreten einer Lagerhalle der Beschäftigten. Konkret ausgewertet sollen wohl die Scan-Geräte werden und ähm ja wie man dort den arbeitet, das muss man auch rechtfertigen, wenn’s eben zu Unterbrechungen gekommen ist. Denn diese Scan-Geräte, prüfen nicht nur die Scan-Geschwindigkeit oder geben hier Alarme, wenn diese zu schnell sind. Sondern auch, wenn beispielsweise ähm zwischen einer und zehn Minuten Pause mit dem Gerät gemacht wird, ähm dann gibt’s schon eben eine Meldung, die auch wohl im Anschluss, gespeichert und für 31 Tage statistisch ausgewertet wird. Hier sieht die französische Aufsicht eine unzulässige Datenverarbeitung und äh absolut auch unverhältnismäßigkeiten, da auch ein legitimes Interesse für sie nicht erkennbar ist. Für Sie gibt’s eben weitere zahlreich Indikatoren, die’s möglich machen würden, Qualität und Sicherheit der Arbeit in den Lagern zu überprüfen. Demnach eben auch Der hohe Bußgeldbescheid. Amazon hat schon bekannt gegeben, dass sie in Berufung gehen werden. Ist ja wie auch das andere hohe Bußgeld wie wir das ja auch schon hatten. Ähm jetzt wenig überraschend, dass sie sich dagegen wehren. Auch da bin ich mal gespannt, wie viel sie denn am Ende zahlen werden, Schrägstrich müssen. Aber nicht schön, diese Vorwürfe kann ich nur den Kopf schütteln. Ja und heute auch in dem äh in den Ausführungen, die man so dazu liest, äh also Ist auch, ja. Logischer Menschenverstand, wie sehr sich da doch die Mitarbeiter dann auch unter Druck gesetzt fühlen. Selbst wenn vielleicht es nicht ausgewertet werden würde, aber es trotzdem zu diesen Alarmmeldungen am Scanner kommt, muss man auch sagen, ähm, Würde ich vielleicht auch nicht wollen. Das dauert meine umliegenden Mitarbeiter darüber informiert werden, dass ich grad so schnell, zu langsam, zu cool arbeite, aber das ist dann auch noch zu rechtfertigen kommen muss, also dass man dann eben bei ihr seinen Vorgesetzten vorsprechen muss. Das ist natürlich schon ein harter Vorwurf. Ich mache weiter mit der Fastfoodkette Subway, die soll Opfer eines Angriffs der Hacker-Gruppe Lockbit geworden sein Logbit behauptet, in einem Post im Darknet in die IT-Systeme von Subway eingedrungen zu sein und immerhin 100 Gigabyte Daten erbeutet zu haben, Darunter Gehälter der Mitarbeiter des Franchisegebers Franchise-Lizenzgebühren, Franchise Kommissionszahlung, Umsätze einzelner Restaurants und weitere Subway wurde von der kriminellen Gruppe bis zum 2. Februar Zeit gegeben, sich an diese zu wenden. Die Höhe der Forderungen, die Lockbit an Subway stellt, sind nicht bekannt. Vielleicht ja das Rezept für die Kekse. Die besonders gut sind. Wie ich finde. Ja, das stimmt. Also das würde ich verlangen. Ich bin so richtig krimineller, will man sich’s nicht anlegen. Gut so. Der Europäische Gerichtshof urteilte am 25. Januar ein weiteres Mal zum Thema Schadensersatzanspruch und ist zu dem Ergebnis gekommen, dass eine kurze Offenlegung von Daten nicht für einen entsprechenden Anspruch ausreicht. Es ging um eine Auseinandersetzung, die im Moment beim Amtsgericht Hagen ähm verhandelt wird. Ähm diese haben eben Fragen an den Europäischen Gerichtshof gestellt im Zusammenhang mit einer Rechtssache, die den äh Technikeinzelhandel, Mediamarkt, Saturn ähm betrifft und hier hat er ein Kunde geklagt weil bei Warenausgabe seine Kauf- und Kreditvertragsunterlagen in falsche Hände geraten sind. Also ein Mitarbeiter hatte versehentlich die Unterlagen an einem weiteren Kunden ausgehändigt. Dieser Irrtum ist aber relativ zeitnah aufgefallen, sodass äh innerhalb von 30 Minuten, ähm der Kläger auch seine Unterlagen auch in seinen eigenen Händen hielt. Der EUGH kam jetzt zu dem Ergebnis, dass ein Schadensersatzanspruch nicht einschlägig ist. Ähm da erwiesenermaßen der zweite Kunde, die Daten des Klägers noch nicht mal zur Kenntnis nehmen konnte. Ebenso sehen sie eben keinen Nachweis des immateriellen Schadens, da die kurzfristige Sorge und Weitergabe der Daten in Zukunft oder Weiterverbreitung oder gar ein Missbrauch nicht nachvollzogen werden oder nachvollziehbar ist. Ebenso ist es eben. Laut ihren Ausführungen ähm für die Schadensersatzklage gemäß Artikel 82 DSGVO eben nicht ausreichend, wie zu Beginn schon gesagt, dass die Mitarbeiter unbefugte Daten an, an unbefunkte Dritte. So, die Daten weitergegeben haben und dass das sie eben nicht automatisch bedeutet, dass die technischen und organisatorischen Maßnahmen, die das Unternehmen zum Schutz der Daten getroffen hat, Nicht geeignet im Sinne der Verordnung wahren. Also das schließt ja auch dieses Urteil an so viele andere ja schon an, dass es so wichtig ist, dass man den immateriellen Schaden Auch gut nachvollziehbar begründen kann. Was nicht immer einfach ist, muss man auch sagen. Nee, absolut nicht. Aber vielleicht in dem Fall jetzt auch, wie gesagt, wenn du wenige Minuten und ähm vielleicht auch nachvollziehbar. Ja, sehe ich auch so. Also ich find’s sogar überraschend, dass es bis zum EuGH gegangen ist, weil er jetzt auch wenig Neues drin war, aber es ist halt eigentlich nochmal eine schöne Zusammenfassung ähm über alles, was wir schon zum Schadenersatz vom EuGH gehört haben. Äh mein Urteil kommt vom Landesarbeitsgericht Thüringen. Das hat sich mit dem Löschanspruch nach Artikel siebzehn Datenschutzgrundverordnung befasst. In dem Fall ging es um eine Abmahnung, die wegen nicht erfolgter Krankmeldung ausgesprochen wurde. Der Kläger war der Ansicht, dass die Abmahnung zu Unrecht erfolgt war und begehrte die Löschung aus der Personalakte. Das Gericht kam zu dem Ergebnis, dass die Abmahnung schon deshalb nicht gelöscht werden kann, weil sie ja Streitgegenstand des Verfahrens ist, in dem es auch um Schadenersatz ging, den der Kläger verlangte Außerdem befand das Gericht, dass für die Abmahnung auch so kein Löschanspruch bestehe, weil das Arbeitsverhältnis inzwischen geendet hat. Nach Beendigung des Arbeitsverhältnisses hat ein Arbeitnehmer, so das Gericht, nur einen Anspruch auf Entfernung einer Abmahnung, egal ob diese Zoo Unrecht oder zurecht ausgesprochen wurde, wenn ähm objektive Anhaltspunkte dafür bestehen, dass eine Abmahnung, Dem Arbeitnehmer auch nach Beendigung des Arbeitsverhältnisses schaden kann. Solche Gründe konnte der Kläger hier aber nicht darlegen, eigentlich auch wenig neues und wenig überraschend, muss man ganz ehrlich sagen, ähm vor allem weil das Landesarbeitsgericht hier der Rechtssprechung des Bundesarbeitsgerichts ähm gefolgt ist. Da gibt’s schon einiges zu, ähm aber trotzdem finde ich noch mal eine wichtige Sache, weil ja grade. In arbeitsrechtlichen Streitigkeiten ja von den Klägern dann auch oft datenschutzrechtliche Ansprüche, Entweder weil es um den Datenschutz geht oder vielleicht auch einfach nur um den anderen zu beschäftigen geltend gemacht werden und das sollte man natürlich auch immer, Die Rechtssprechung des Bundesarbeitsgerichts auf dem Schirm haben, die dann verzahnt ist mit der Datenschutzgrundverordnung. Dem ist nichts hinzuzufügen. Ich habe noch überlegt, ob ich irgendwas Kluges dazu sage, aber mir fällt nichts ein. Du hast das schon gut ausgeführt. Danke schön. Merian Medien berichten zufolge ist wohl das größte Datenleck aller Zeiten entdeckt worden. Im Vorfeld schon gelacht, Ähm wird es in diesen Kreisen genannt? Und ähm es handelt sich ja um eine unfassbare Größe von zwölf. Terrabyte ähm Daten beziehungsweise 26 Milliarden Daten setzen, die wohl aus alten Sicherheitsverletzungen kommen oder stammen. Es handelt sich hierbeispielsweise um alte Nutzerdaten von LinkedIn, Twitter und anderen Plattformen. Ähm erst war der Verdacht im Raum, dass es sich um ein neues Datenlied handelt. Ähm allerdings, dies schon der Gründer des Passwort Prüfdienstes try hand widerlegt. Ähm er sagte diese Datensätze, die jetzt hier entdeckt worden sind, sind Auch bei ihm bereits bekannt und ja, ich bin immer wieder überrascht. Also er hat auch berichtet, dass er erst kürzlich seinem Dienst rund hundertvier Gigabyte äh große Datenbank mit 70,8 Millionen E-Mail-Adressen hinzugefügt worden sind. Also ist ja schon Wahnsinn, was in dem Im Bereich so los ist. Es überrascht einen immer wieder, aber es ist natürlich in heutiger Zeit auch ein bisschen nachvollziehbar, weil das natürlich ein gängiges Mittel ähm des Angriffs ist. Ähm aber ich glaube, wir werden nicht müde, immer wieder zu betonen, dass ähm, bei Verdacht, dass vielleicht das eigene Passwort gehackt worden ist, ähm dann doch besser dieses ändern sollte und sich, falls nicht bisher schon geschehen, zwei oder mehr, Faktor Authentifizierung immer wieder aktivieren lassen sollten. Dem habe ich jetzt nichts hinzuzufügen, außer dass Mother of Albrech ist natürlich ein Superlativ ist, mit dem man vorsichtiger umgehen sollte, finde ich. Ja und wir schon gesagt haben, Motto, du hast es gesagt, zur Einleitung wäre auch ein schöner Kinostreifen. Ein schöner Kinostreifen, in dem ich mir gut schon Claude Van Damme ähm Winddiesel und The Rock vorstellen könnte. Ja, sind wir mal gespannt. Dann ähm gehe ich über zu meinem Lesetipp und der ist das neu veröffentlichte FAQ des Bundesbeauftragten für Datenschutz und Informationsfreiheit zum E-Rezept. Aufgrund der vielen Nachfragen zur Einführung des E-Rezept hat der BFTI eine Übersicht mit den Antworten auf die am häufigsten gestellten Fragen hierzu veröffentlicht und da kann ich direkt auch eine kleine, Anekdote zu erzählen. Ich war mich in der letzten Woche beim Arzt und habe ein Rezept bekommen und ähm ich wurde von der Vorzimmerdame gefragt, ob ich denn weiß, wie das E-Rezept funktioniert und, Ich habe da tatsächlich gelogen und ja gesagt. Grund dafür war, dass die ziemlich schlecht gelaunt war und ähm ich nicht so Lust darauf hatte, dass, Sieh mir das jetzt erklärt. Aber ich kann ja jetzt das FEQ nachlesen und dann äh weiß ich auch, wie ich an meinen an meine Medikamente drankomme. Ich hatte auch noch keine Erfahrung damit. Ja, ich bin gespannt, was du erzählt. Mhm. Ich habe als allerletztes einen Hörtipp mitgebracht oder wie ich ja schon zu Anfang sagte, wir können es uns auch ansehen bei YouTube und zwar war unser lieber Kollege Heiko, Zu Gast bei Nico Werner im Podcast Cybersecurity ist Chefsache. Den Link zu YouTube packen wir hier gerne mit in die Shownotes Die beiden haben sich unterhalten zu dem ja grade sehr aktuellen Thema künstliche Intelligenz und Datenschutz. Ähm die beiden analysieren die Herausforderungen. Die sich eben durch die fortschreitenden Entwicklung der KI für den Datenschutz ergeben, aber, Blicken auch auf Möglichkeiten, beispielsweise wie KI zur Verbesserung des Datenschutzes beitragen kann und äh schauen aber auch mal noch mal gemeinsam aufs auf potenzielle Missbrauchspotenziale. Also wie gesagt, ich finde jeder ähm, oder hier bei jedem äh diese Folge auch ans Herz gelegt, mal reinzuhören. Ich hab’s noch nicht getan, aber das steht fürs Wochenende ganz oben auf meinem Zettel. Sehr gut und damit schließt sich ja der Kreis. Wir haben mit AI angefangen und wir enden heute auch mit AI. Wie cool. Ja. Lieber David, vielen Dank. Danke dir, Laura. Hat wieder sehr viel Spaß gemacht. Äh ja, liebe Zuhörerinnen und Zuhörer, vielen Dank auch für ihre Zeit. Wir freuen uns sehr, dass sie ähm, Auch heute wieder eingeschaltet haben ähm bleibt nichts mehr als ihnen ein schönes Wochenende zu wünschen und mich bis zum nächsten Mal zu verabschieden. Bis dahin. Bis dahin, tschüss.