Google verschreckt Werbekunden nicht – Datenschutz News KW 47/2023

Moderation:

Was ist in der KW 47 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Google: keine voreilige Deaktivierung von Third-Party-Cookies
• Firefox geht gegen Tracking vor
• Spionagetool sammelt gigantische Menge von Daten
• Ransom-Angriff auf Britische Bibliothek
• BG Amsterdam zum Vorrang des Art. 17 DSGVO bei Kreditauskünften (Urteil vom 26.10.2023 -ECLI:NL:RBAMS:2023:6456)

Empfehlungen & Lesetipps:

• EDPB veröffentlicht die erste Fassung seiner Guidelines 2/2023 zum Anwendungsbereich von Art. 5 Abs. 3 ePrivacy-Richtlinie.

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/google-verschreckt-werbekunden-nicht-datenschutz-news-kw-47-2023

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Okay, let’s go. Herzlich willkommen zum Datenschutztalk, Ihrem Podcast für die Themen Datenschutz und Informationssicherheit. Heute ist Freitag, der 24. November. Ähm mein Name ist David Schmidt und ich begrüße Sie wieder ganz herzlich zu einer neuen Folge des Datenschutztalks und bei mir ist heute mein lieber Kollege Markus Zechel. Hallo David, ähm du hast es gerade so betont, November. Ich hatte schon gehört, du sagst Movember und wollte gucken, ob du ein Mussar trägst und hast du dir einen wachsen lassen? Ich ich habe einen, aber ich habe den Rest nicht wegrasiert, deswegen ist es per Definition, glaube ich, keiner. Ja, ich trage ja auch seit Jahren schon Vollbart und freue mich dann immer, wenn ich im Movember dann auch sagen kann, ich habe einen Museage, das war. Ja Markus, ich glaube, ich kann schon mal ankündigen, dass wir in dieser Woche nicht ganz so viele Themen haben, aber die sind natürlich trotzdem spannend, welche spannenden Themen hast du uns denn mitgebracht? Ich würde was zum Thema Third Party-Cookies sagen, dann habe ich was zum Thema Realtimeding und einem Spionagetool dabei und ein Gericht in den Niederlanden hat sich mit dem Thema Recht auf Vergessenwerden beschäftigt. Ich schaue heute auf die neueste Version von Firefox, die ein paar ähm ja weitere Funktionen zum Datenschutz mit sich bringt. Dann ähm blicken wir auf einen Windson Wear Angriff, auf die britische Bibliothek und ich habe ein ähm interessanten Lesetipp dabei. Sollen wir loslegen. Dann ähm darfst du gern loslegen. Vielen Dank. Ich weiß nicht, ob dich auch so Anrufe schon erreicht haben von von unseren Kunden. Wir haben ja gehört äh Cookies gibt’s demnächst nicht mehr. Das äh hat mich so ein, zwei Mal erreicht und mich völlig irritiert. Ich denke, dass wir damit zusammenhängen, dass äh Google ja angekündigt hat, dass sie zukünftig mit third partycookies so ein bisschen sparsamer umgehen möchte und da war ja zwanzig 4zwanzig irgendwie auch das Stichwort. Jetzt hat äh ähm T3-N berichtet, dass wohl Google dann nicht ganz so offensiv mit umgehen möchte. Insbesondere halt um Werbekunden nicht zu verschrecken. Deswegen wird die Umstellung bei Google ein bisschen weniger schnell funktionieren. Also am Anfang 2024 will man mit einer Testphase Mit einem Prozent der Nutzerinnen beginnen wollen, um dann zu gucken, ob man zukünftig wirklich auf third paraty Cookies verzichtet. Wenn die Diskussion darum ist ja relativ, lange schon das Thema Cookies und Terd, Party, Cookies. Wir haben das ja auch gesehen, dass man da immer überlegt hat, ob man eventuell von gesetzgeberischer Seite dagegen vorgehen und deswegen gab’s ja irgendwelche Allianzen, wo sich auch Die Anbieter von vom Browsern unter anderem darauf verständigt haben, zukünftig äh Möglichkeiten anzubieten. Ja, also es wird noch nicht noch nicht so sein, das in absehbarer Zeit das Thema Cookies wirklich vom Tisch ist. Wir würden uns damit noch ein bisschen auseinandersetzen müssen. Und ich glaube, deswegen geht auch deine nächste Nachricht so ein bisschen in die Richtung. Ja genau, also auch Firefox geht nicht davon aus, dass ähm das Thema Cookies so schnell vom Tisch sein wird und ähm deswegen hat man jetzt bei Firefox ein paar neue Funktionen implementiert in der neuesten Version Firefox. 120 schon. Wir haben uns etwas gewundert, dass es schon so viele Versionen gibt in der Vorbereitung. In dieser neuen Version werden ähm neue Optionen gegen das Tracking angeboten. Zum einen soll es eine Funktion geben, mit der ORLs beim Kopieren, um Bestandteile bereinigt werden, die zum Tracking genutzt werden. Die Funktion trägt den treffenden Namen Lingkopieren ohne Sidetracking und ähm URLs werden ja gefühlt immer länger und das liegt daran, Dass eben in diesen kleine Schnipsel aufgenommen werden, die sich auch zum Track in Tracking eignen und dazu genutzt werden. Und äh diese neue Funktion soll eben diese Schnipsel erkennen und sie dann während des Kopiervorgangs löschen. Außerdem kann in der neuen Feuerfox Version in den Einstellungen unter Datenschutz und Sicherheit die sogenannte globale Datenschutzkontrolle aktiviert werden. Ähm zur Auswahl, dann Webseiten anzuweisen, Daten nicht weiterzugeben und äh Webseiten eine Donot-Track-Anfrage zu schicken Die Funktion versucht dann automatisch entsprechende äh Auswahlen in aufpoppenden Cookie-Bananern zu setzen. Das ähm ist alles finde ich eigentlich eine ganz gute Sache, die sich lohnt zu testen. Nachteil könnte halt vielleicht sein, ähm dass die Barner dann wieder noch komplexer werden, weil das Katz und Mausspiel muss natürlich weitergehen zwischen ja, Donot Trackfunktion und den Bannern selbst. Ich habe fast das Gefühl, wir hätten eigentlich eine eine Cookie-Folge draus machen können oder so, weil meine nächste Nachricht beschäftigt sich In ungefähr auch mit mit dem Thema die irische Non-Profit-Organisation Irish Council Limities hat nämlich ein, Überwachungstool aufgedeckt. Ähm das heißt Patterns und bei dem werden. Real Time building Daten genutzt, um entsprechende Profile zu erstellen. Die Organisation hat offensichtlich nach eigenen Aussagen, Zehntausende von Seiten Durchsucht auf den dieser also real time building Daten zur Verfügung gestellt werden und hat dabei äh entdeckt dass hier sensitive Daten von Militärangehörigen und Politikern genutzt werden. Dazu dann auch ähnlich wie damals bei Camage Analytica, Informationen zu psychologischen Profilen, Ähm genauso wie Bewegungsdaten, finanzielle Probleme, mentale Probleme und Verletzlichkeiten insgesamt aufgedeckt worden sind. Das ganze Thema, haben wir auch vor einiger Zeit schon mal untersucht, als wir darüber berichtet haben, ähm als es um die belgische Aufsichtsbehörde und dieses Transparency in Concent Frame wird. Ging wohl ja Cookies auch genutzt werden und wo er dann auch im die Frage im Raum stand, müssen die eigentlich eingewilligt werden oder kann man das nicht auch über das berechtigte Interesse des Plattformanbieters realisieren? Und, Da noch mal ähm ziemlich klargestellt worden ist. Nee nee, das geht, wenn es um personalisierte Werbung des Ausspielen von personalisierter Werbung geht. Nur mit der Einwilligung der betroffenen Person. Was jetzt wohl interessant ist, dass wie gesagt diese Daten abgegriffen werden und dann entsprechend. Genutzt werden, um Profile zu erzeugen. Und man kann sich vorstellen, dass natürlich für diese. Ganz viele Informationen zur Verfügung gestellt werden. Was natürlich klar ist, dass in sozialen Netzwerken Soldaten genutzt werden, aber Google offensichtlich auch, so Realtime Binding Data, an Akteure in China und in Russland schickt, wo da gegebenenfalls dann auch von, Ermittlungsbehörden und Sicherheitsbehörden auf die Daten zugegriffen werden kann. Also eine ganz spannende Geschichte, welche Information über uns als Nutzer dann ähm auch existieren und irgendwelche Profile angelegt werden, die uns vielleicht selber gar nicht bewusst sind. Ich bin gespannt, wie sich das entwickelt und ich denke, dass wir das Stichwort Patterns nicht zum letzten Mal gehört haben werden. Ja, klingt gruselig, Äh ja gruselig sind ja auch immer Cyberangriffe und ähm wir haben natürlich auch in dieser Woche wieder eine obligatorische Meldung zu einem Cyberangriff. Dieses Mal hat es die britische Nationalbibliothek erwischt. Da war die Webseite jetzt seit einigen Wochen nicht erreichbar und, Nun wurde bekannt gegeben, dass eine erfolgreiche Whensumble Attacke der Grund dafür ist. Der Angriff, Oder zu dem Angriff hat sich die Hacker-Gruppe Rysider bekannt. Und der Angriff führte nicht nur dazu, dass die Homepage offline war, sondern an den Standorten in London und Yorkshire sind auch. Die Telefonleitung ausgefallen, dass Gäste-WLAN, der Zugriff auf den Bibliothekskatalog war nicht mehr möglich und die Infrastruktur, die zu elektronischen Zahlung verwendet wird, ist auch ausgefallen. Den Hackern gelang es, Außerdem ähm nicht nur in die Systeme reinzukommen und diese lahmzulegen, sondern auch Daten abzugreifen. Darunter sind nach Angaben der Bibliothek auch Personaldaten und die Gruppe fordert jetzt eine Lösegeld droht damit, anderenfalls, die erbeuteten Daten im Darknet zu versteigern. Ich finde es mal wieder eine interessante Perspektive, weil Man würde nicht vermuten, dass Hacker sich die Mühe machen, eine Bibliothek anzugreifen, weil da gibt’s ja physisch Bücher, was sollte da für ein für ein Ziel sein, dass man tatsächlich nie gefeit davor ist, auch Angriffsziel zu werden und das ist sogar bei einer Bibliothek noch ähm die Möglichkeit gibt Geld damit zu verdienen, Daten zu stillen, Daten zu verschlüsseln und die Leute damit zu erpressen, dass die Informationen dann veröffentlicht werden, interessant. Ja, ist äh irgendwie absurd, ne, dass so was wie eine Bibliothek, die aus äh Büchern, die aus Papier sind, besteht, ähm dann irgendwie nicht mehr funktioniert, ne. Das ist schon Wahnsinn. Wenn das Katalogsystem nicht mehr funktioniert, wird wahrscheinlich kein Mensch mehr wissen, welches Buch wo wo angebracht ist, ja. Ich war noch nicht da, aber ähm britische Nationalbibliothek hört sich riesig an, also viel Spaß, da was zu finden ohne den Katalog. Katalog, ja, Ich habe ähm auch was mitgebracht, was ich mit vergessen beschäftigt, also auch Bücher, die man in der Bibliothek vergessen kann. Hier geht es allerdings um das Recht auf vergessen werden, was ich aus Artikel siebzehn der Datenschutzgrundverordnung ergibt. Die Entscheidung ist von einem Gericht in Amsterdam und zwar dem Bezirksgericht in Amsterdam. Die haben nämlich im Rahmen eines Verfahrens, Die Interessen der Parteien gegeneinander abgewogen und hier war es offensichtlich die ING Bank, die ein Kreditregisterungssystem betreibt und einer ähm einem Kunden, der ING Bank, Der sein Recht auf löschen, Nutzen wollte und ähm scheinbar hat man sich nicht ähm außergerichtlich einigen können, deswegen durfte sich das Amtsgericht mit der Frage beschäftigen. Das Amtsgericht hat im Rahmen der Abwägungsprüfung schon erkannt, dass die Bank, dass Recht und das Interesse hat, der ähm den Schutz der Verbraucher vor Überschuldung. Das heißt, man würde dir eventuell keinen Kredit mehr geben, wenn du eh schon viele Schulden hast und noch anerkannt, dass es, Den Schutz von Kreditgebern, Vorverbrauchern gibt, die ihren finanziellen Verpflichtungen nicht nachkommen können. Allerdings hat die ING mit ihrer Argumentation, dass ähm ein Aufrechterhalten der Registrierung. Überwiegen würde gegenüber den Rechten der betroffenen Person, Weil die betroffene Person seit mehreren Jahren eine problematische Schuldensituation hat. Da hat dem Gericht dem nicht folgen wollen, weil das Gericht gesagt hat, die Betroffene Person hat wohl ihre Kreditwürdigkeit verbessert und ihre Schulden abgezahlt und deswegen könne die Bank eben nicht an den Daten festhalten, weil, Ich denke, da sind wir uns alle klar. Genau dafür ist ja nun mal das Datenschutzrecht da. Die betroffenen Personen in ihren Rechten und ihren Freiheiten zu schützen und wenn ich geschafft habe, meine Weste weiß zu waschen, dann sollte niemand mehr kommen können und sagen, ja ja, jetzt ist die Weste weiß, aber vor 25 Jahren war Hannes mal eine ganz andere Geschichte und ich glaube, in die Richtung kann man das Urteil auch nur begrüßen, ähm um deutlich zu machen. Das irgendwann auch mal gut ist. Ja wie du das erzählst, klingt das so selbstverständlich und es ist halt tatsächlich eine eine Sache, dass es nicht also selbstverständlich ist, aber umso schöner, dass es jetzt auch Einzug findet. Das war’s eigentlich mit meinen Themen schon. David, hast du noch was? Ja, ich habe noch den ähm versprochenen Leseti, Dabei ähm der kommt dieses Mal wieder vom EDP. Ähm der EDP hat eine erste Fassung seiner Guideline zum Anwendungsbereich von Artikel fünf, Absatz drei der ePrivacy Richtlinie veröffentlicht. Und die öffentliche Konsultation läuft noch bis zum achtundzwanzigsten 12 Der Artikel fünf, Absatz drei E-Privacy-Richtlinie regelt ja Unter welchen Voraussetzungen eine Einwilligung für die Speicherung von Informationen in Endgeräten oder für den Zugriff auf solche gespeicherten Informationen erforderlich ist. Und in Deutschland wurden diese Bestimmungen im ähm Paragraf 25 TTSG umgesetzt. Ich finde ganz schön auf den ersten Blick in dieser Richtlinie äh in dieser Guideline, dass der EDP auch nochmal auf andere Technologien als nur auf Cookies eingeht. Die Richtlinie wird ja umgangssprachlich immer die Cookie-Richtlinie genannt. Bezieht sich aber natürlich auch auf andere Technologien, wie zum Beispiel Pixel oder Server Side Tracking und ähm das wird in der Praxis oft vergessen. Es ist mir natürlich die Pointe so ein bisschen versaut, weil ich sagen wollte, damit können wir an das Thema Cookies dann auch ans Ende stellen. Also haben wir wieder in den Bezug zur Cookie-Richtlinie, aber na ich ich denke, Schön ist, dass du diese Use Casses hier noch mal aufgezeigt werden in dem Papier. Das übrigens ja noch nicht final ist, wie du schon gesagt hast, sondern tatsächlich für die öffentliche Konsultation noch noch bis 28. Dezember eben zur Verfügung steht und da kann man noch sein, Senf zu abgeben, um das mal wieder zu benutzen. Habe ich schon lange nicht mehr gesagt. Das stimmt und damit hätten wir unseren Senf für diese Woche zumindest beigetragen, außer dir äh ist noch was spontan eingefallen. Nichts, was ich äh im Podcast mitteilen möchte. Vielen Dank. Dann äh bedanke ich mich ganz herzlich bei dir Markus und bedanke mich natürlich auch wieder bei unseren Zuhörerinnen und Zuhörern. Wir wünschen ihnen, falls sie uns am Freitag hören, ein schönes Wochenende, Wenn sie uns erst am Montag hören, einen guten Start in die neue Woche und wir hören uns. Auf bald.