Irische Aufsicht klagt gegen X – Datenschutz News KW 32/2024

Moderation:

Was ist in der KW 32 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Noyb klagt gegen den Hamburger Aufsichtsbehörde
• Crowdstrike-Ausfall: Analyse zeigt trivialen Programmierfehler
• Irlands Datenschutzbehörde DPC klagt gegen Trainingsmethode der X-KI „Grok“
• LKA Niedersachsen warnt: Phishing mit QR-Codes per Briefpost
• Kuh in der Schweiz stirbt nach Ransomware-Angriff

Empfehlungen & Lesetipss:

• Handreichung aus Hamburg: Messenger-Dienste in der Kinder- und Jugendarbeit
• Handlungsleitfaden für Kommunen und Verwaltungen zur Auskunft nach Art. 15 DSGVO

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/irische-aufsicht-klagt-gegen-x-datenschutz-news-kw-32-2024/

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Eins und zwei, zwölf, wir müssen die Quersumme nehmen. Das ist die Quersumme von zwölf. Ja, ist doch naheliegend. Wir wollen’s ja unseren Zuhörern nicht so einfach machen. Herzlich willkommen zum Datenschutztalk, eurem wöchentlichen Datenschutz ab, Mein Name ist Heiko Gossen. Mein Name ist Laura Doschinski. Wir starten nun wieder gemeinsam mit euch ins Wochenende. Bevor es aber soweit ist, schauen wir wieder auf die Woche des Datenschutzes zurück, wie immer behalten wir hier bei der Migucens die News während der Woche im Blick, um uns dann, Und euch natürlich hier am Freitag aufm Laufenden zu halten, damit äh ja schon wichtiger Info. Äh Freitag ist ja Wochentag, der neunte August, genau genommen. Unser Redaktionsschuss war heute wieder um zehn Uhr und wir gucken, was wir alles mit im Rucksack haben, Laura? Was hast du dabei. In unserem Datenschutz-Rucksack befindet sich heute eine Klage im Zusammenhang mit dem Pay und okay und vor allem Pay-Or-, okay. Beim Spiegel. Dann geht’s weiter in meiner Liste mit der irischen Aufsichtsbehörde, die sich gegen Ex-, also ehemals Twitter wendet und dann habe ich noch einen Wear der besonderen Art, Winson Wear Angriff, besser gesagt, der besonderen Art mitgebracht und zu guter Letzt noch ein Handlungsleitfaden zum Thema, ja, Artikel 5zehn, DSGVO. Das ist schon spannend äh insbesondere der Ranzom-Angriff der besonderen Art. Ja ich hätte einmal ein Update beziehungsweise das Ergebnis der Analyse von äh zu dem weltweiten IT-Ausfall von vor drei Wochen. Dann gucken wir auf aktuelle Phishing-Angriffe. Auch da hat sich ein bisschen was verändert. Ich hätte dann auch beim bei unserer Rubrik Veröffentlichung und Veranstaltungen noch ein Thema und zwar geht’s da um Messengerdienste in der Kinder- und Jugendarbeit. Und damit würde ich sagen, Feuer frei. Feuer frei. Ja, ich sagte ja schon bereits, es geht um den Button und zwar der Konflikt über die Vorgehensweise in deutschen Online-Medien zwischen der Bürgerrechtsorganisation Neub und den Datenschutzbehörden nimmt weiter zu. Neupert im Laufe der Woche in einer Pressemitteilung berichtet, dass sie gemeinsam mit einem Betroffenen vor das Verwaltungsgericht ziehen. Angeklagt wird hierbei die Datenschutzaufsicht in Hamburg, und deren Verhalten in einem Beschwerdeverfahren. Ja im Sommer 2021 hatte der Kläger bereits mit gemeinsam eine Beschwerde mit DSGVO bezug gegen den PROK-Banner auf der Webseite des Hamburger Medienhauses Spiegel eingereicht und ähm hierbei geht es ja um die Entscheidung des Webseitenbenutzers, ob er der Nutzung von persönlichen Daten unter anderem zum Marketingzwecken erlaubt oder eben ein Bezahl-Abo abschließt, wenn eben der Zweck der Datenverarbeitung nicht gewünscht ist. Die Behörde hatte damals zwar drei Jahre gebraucht, aber dann die Entscheidung für grundsätzlich zulässig gewertet. Nun behauptet Neub, dass die Behörde dem Spiegel bei einem Prüfverfahren kostengünstige Rechtsberatung geben hätte, anstatt unabhängig Beschwerde zu folgen und verklagt somit nun die Datenschutzbehörde. Nach Angaben von Neub hat sich die Behörde inzwischen mehrmals mit dem Spiegel getroffen, was ihn natürlich ein absolutes Dorn im Auge ist und halt auch dementsprechend noch ihren Vorwurf befeuert. Zum Stand ähm ja unser Recherchen zu diesem Fall ähm haben wir nichts dazu gefunden, dass eben die Klage der Hamburger Datenschutz Behörde schon vorliegt. Das heißt, hier ist bisher auch noch keine Äußerung zu dem Vorgang zu finden. Auch der Spiegel hat bisher, von einer Stellungnahme abgesehen. Ähm das hat unter anderem diese Woche auch Netzpolitik Punkt org veröffentlicht. Also wir halten das da weiter im Blick. Ob da Neub wirklich, ja mit den Betroffenen, mit dem Kläger erfolgreich sein wird. Ja, in der Tat eine Geschichte, bei der ich wirklich gespannt bin, wie sie ausgeht. Weil am Ende, wie gesagt, wir haben ja den DSK-Beschluss zur und auch von der vom Etzer wurde es ja jetzt betrachtet und auch nicht grundsätzlich als äh unzulässig erachtet. Von daher, Schauen wir mal. Ja, aber in der Klage geht’s halt wirklich konkret um das Verhalten der Aufsichtsbehörden. Ich glaube, das wird noch mal dann schon für den anderen spannend zu sehen sein, das Ergebnis, inwieweit eben diese Zusammenarbeit, die ja oft Unternehmen auch als positiv ausgelegt wird am Ende in Bußgeldbescheiden. Inwieweit das vielleicht auch zukünftig Einfluss haben könnte. Stimmt, auf der anderen Seite haben die Aufsichtsbehörden ja nun auch eine Beratungsaufgabe. Von daher finde ich jetzt auch nicht verwerflich, wenn man, lösungsorientiert mit den Unternehmen zusammenarbeitet. Im Gegenteil. Okay, schauen wir weiter, Hat drei Wochen nach dem weltweiten IT-Ausfall nun seine endgültige Analyse veröffentlicht. Dabei gibt Crowd-Strike zu, dass die internen Tests entsprechend Fehler aufwiesen und hier der Fehler insbesondere wohl auf eine fehlende Area-Längenprüfung zurückzuführen war, die einfach zu verhindern gewesen wäre. Runtergebrochen auf den Kern, also das Update enthielt 21 Datenwerte, der Körneltreiber erwartet aber nur 20 Datenwerte. Deswegen kam es dann halt zu den entsprechenden Abstürzen der Systeme. Dieser Laut Heise doch recht einfache Programmierfehler hätte wohl durch eine Laufzeitprüfung relativ einfach auch vermieden werden können und Crowdside räumt in der Analyse auch ein Die verlinken wir auch in den Shownotes, dass das fehlerhafte Update vor dem Rollout wohl nicht getestet wurde. Auch während jetzt der Analyse wurden wohl auch Lücken in den Testroutinen anderer Teile dieser Sicherheitssoftware die hier ursächlich war. Äh entsprechend wohl offenbart. Will nun künftig bessere Testverfahren einführen, wenig überraschend, also Ist natürlich klar und darunter halt natürlich dann auch Eingabe und Air Längenprüfungen vornehmen. Es soll aber wohl auch die Möglichkeit geben, das Administratoren zukünftig Updates wohl verzögern können. Also die haben dann eine Möglichkeit, auch zu steuern weil ein Update ausgerollt wird. Es kam ja damals durch den Fehler halt zu Millionen von Bluesqueens weltweit und das legte dann wiederum halt auch unter anderem ja große Teile des weltweiten Flugverkehrs lahm. Ich glaube, dass halt diese verzögerte Rollout-Möglichkeit sicherlich etwas ist, was man äh nutzen kann auch und sicherlich auch sinnvoll vielleicht bei anderen kritischen Systemen, dass man halt nicht immer alle Systeme gleichzeitig updatet, sondern immer ein bisschen zeitversetzt, weil Dann hat man natürlich noch mal eine Möglichkeit auch zu äh stoppen, wenn’s halt so Ausfällen kommt. Ersten Systemen und wenn man das halt strategisch gut macht, glaube ich, dann kommt man halt solche globalen Ausfälle sicherlich besser entgegenwirken. So ist es. Ich denke gerade nochmal darüber nach, wie fassungslos man damals war vor dem vor ein paar Wochen war, äh dass so was passieren kann, aber nun gut. Es passiert. Es passiert wohl immer noch, ja. Genau, aber hoffen wir, nicht nur, dass Crowd-Strike, sondern natürlich auch Firmen ihre Learnings daraus ziehen und zukünftig halt auch da besser vorbereitet sind. Das ist ja, ich komme zu unserem Topthema, denn in dieser Woche wurde bekannt, dass Irland Behörde die DPC gegen die Twitter International Unlimited Company, also die Betreibergesellschaft hinter dem sozialen Netzwerk X, also ehemals Twitter vor Gericht zieht. Konkret geht es um Datenschutzbedenken und Zusammenhang mit I-Trainingsdaten. Ex soll demnach Daten von EU-Nutzern zum Training der KIG gesammelt und verwendet haben und das ohne jegliche Einwilligung. Somit haben sie gegen geltendes europäisches Datenrecht verstoßen, so die DPC. In ihrer am Dienstag vor dem irischen Highcord eingerechten Klage beantragen die Datenschützer dass die Verwendung dieser personenbezogenen Daten verboten, ausgesetzt oder zumindest eingeschränkt werden soll. Vor der Klage hatte das soziale Netzwerk die Aufforderungen, die Verarbeitung der personenbezogenen Daten einzustellen oder zumindest die Veröffentlichung der nächsten Grog-Version zu verschieben, abgelehnt. Sie haben sich vorerst nur für eine Opt-out-Lösung entschieden, ähm die es wohl eben vor Beginn der Datensammlung noch nicht gegeben haben soll. Da die DPC den Umfang der ungeschützten Datenverarbeitung hochkritisch einstuft, erhöht sie nun den Druck mit dem Gang vor das Gericht Außerdem wurde bereits angekündigt, dass der Fall ähm auch dem europäischen Datenschutzausschuss zur Prüfung vorgelegt werden soll. Ja, die DPCs in diesem Fall ja eben äh federführend, weil Ex ja ihren Sitz in Irland hat und ja, deshalb wird sie halt ja auch nun eben hier aktiv. Ja, über Ex hat sich auch mittlerweile ein Sprecher des Unternehmens gemeldet und er sieht die beantragte Anordnung als ungerechtfertigt und Übermäßig weit gefasst, da laut seinen Aussagen diese Anordnung sich eben nicht nur auf das eine KI-Tool bezieht, sondern, alle weiteren KI-Modelle, die das Unternehmen im Einsatz hat und er sieht sogar, in seinen Augen würden sie das halt eben einstellen, die Sicherheit der Plattform als gefährdet an. Es steht also hier Aussage gegen Aussage, denn äh ja auch er sagt ähm, das wohl angeblich seit Ende 2023 völlig transparent mit der Aufsichtsbehörde zusammengearbeitet worden wäre und auch äh laut seinen Aussagen die Nutzer über die Verwendung der Daten zu KI-Trainingszwecken informiert wurden. Ja, ich glaube nicht neu. Hatten wir ja auch schon Vergangenheit mit Meta, Gleiches Spiel. Diese hatten ja auch versucht, EU-Daten fürs KI-Training zu verwenden, was ja damals auch in Irland gestoppt worden ist. Ja, warten wir mal ab, würde ich sagen, oder? Ja also äh ich find’s einfach erfreulich, dass die bis hier jetzt hier ähm aber auch auch ein bisschen nach vorne geht. Ich weiß nicht, ob’s vielleicht auch ein bisschen damit zusammenhängt, dass man jetzt halt im Etzer da auch einfach ein bisschen den Druck erhöht hat in Irland auch dann da einfach konsequenter vorzugehen. Das Landeskriminalamt Niedersachsen warnt vor Fishing-Versuchen mit QR-Codes per Briefpost In Niedersachsen kursieren gefälschte Briefe mit äh den entsprechenden QR-Codes, die auf täuschend echte, aber halt gefälschte Banking-Seiten führen. Nach dem äh Scannen des Codes werden Opfer halt durch den Prozess geführt, wodurch Betrüger dann auch Zugriff halt aufs Online-Banking natürlich erhalten können, also das, was halt hinter Fishing-Mails natürlich am Ende immer steht. Die Täter verwenden halt ja wie bei E-Mail Phishing auch, entsprechend Shortlinks oder dann Links die allzu ähnlich aussehen mit versteckten Endungen, um die Seiten zu tarnen. Und Daten, die für solche Betrugsmaschen halt genutzt werden könnten, vermuten, äh zumindest hier die äh Behörden auf frühere Hacks oder Phishing-Angriffe zurückzuführen sein. Wichtig ist halt natürlich, dass man halt, wenn man den Verdacht hat, dass man eher drauf reingefallen ist, dass man entsprechend dann sein Konto sperren lässt und auch Polizei und die Bank informiert. In der Praxis, glaube ich, ist das eine neue Qualität, wenig äh überraschend, dass das irgendwann auch kommt mit den QR-Codes. Sie sind mittlerweile sehr verbreitet und beliebt und ich äh sage schon seit Jahren immer, man muss halt auch gucken, bevor man dann auf den Link klickt, den man dort gescannt hat, wo man hingeht und ob das halt letztendlich auch was ist, was man halt aufrufen möchte. Und daher sehe ich halt vor allen Dingen auch Unternehmen nicht nur die Finanzabteilung, die man jetzt hier in diesem Fall sensibilisieren sollte. Vielleicht auch allgemein die Mitarbeiten noch mal bewusst machen soll, dass halt Fishing nun halt auch auf dem Postweg möglich oder mittlerweile in der Praxis angekommen ist, also dass halt auch hier Angreifer durchaus auch Porto investieren, um an diese Daten zu kommen. Ja darüber hinaus sind derzeit auch gefälschte E-Mail im Umlauf, die auf äh persönliche Daten und Zahlungsinformationen es natürlich auch absehen und hier geht’s insbesondere um Spotify. Der Betreff der E-Mail lautet, aktualisieren Sie Ihre Zahlungsinformationen für Spotify-Premium, auch hier ist dann natürlich erhöhte Aufmerksamkeit gefragt und, ich kann nur raten, auch im Unternehmen immer wieder die Mitarbeitenden und Freunde, Familie entsprechend zu sensibilisieren. Genauso ist es und sensibilisiert werden sollten auch Landwirte, da komme ich nämlich jetzt zu meiner Nachricht, ich habe zu Beginn schon angekündigt, hatte den besonderen ranzomware Angriff. Ist es in der Nachricht zwar nicht bekannt, wie die Ranzone war in das Unternehmen oder in dem Fall in den Agrarbetrieb gekommen ist, aber wie gesagt, in der Schweiz hatte hier eben der Angriff ein besonderes Ziel und zwar traf es eben einen Landwirt mit Viehbetrieb. Aufgrund des Angriffs die Daten seiner eingesetzten Roboter nicht mehr abrufen konnte. Was vielleicht nicht jedem Stadtmenschen so bekannt ist, aber große Agrarbetriebe setzen mittlerweile auch hier auf technische, teils Vollauto klimatisierte Unterstützung, sei es beim Füttern von Tieren, aber natürlich auch Melken von Kühen. Ich glaube, das kennt noch der ein oder andere, aber auch eben bei der Überwachung von Vitaldaten der Tiere. In dem konkreten Fall nun hatte der Angriff für den Bauern tragische Folgen nicht nur die Verluste seiner Technik, also seines Computers, sondern er konnte auch eben aufgrund des Angriffs äh fehlende Warnmeldungen einsehen und demnach kam es zu einem medizinischen Notfall bei einer trächtigen Kuh, die auch an den Folgen daran verstarb Ich fand in dem Zusammenhang ganz interessant, das hatte nämlich Heise auch in dem Artikel diese Woche noch mal aufgegriffen, dass ähm bereits 222 der Bitcom auch mit den Risiken der Digitalisierung in der Landwirtschaft befasst hat, denn in Besondere trifft es auch hier eben, wie in anderen Unternehmen auch. Unzureichend geschützte Systeme, die Einfallstore für Cyberangriffe bieten können und natürlich auch das Thema Unwissenheit. War da sehr im Fokus. Risiken gibt’s ja beispielsweise auch, nicht nur, wie gesagt, bei diesen Robotern, sondern sei es auch bei digitalen Steuerungstechnik Traktoren, die dann plötzlich nicht mehr fahren können. Aber genauso, das fand ich noch ganz spannend, ähm hat man vielleicht auch nicht immer so im Blick, die Zerstörungsszenarien, die aufgrund falsch dosierter Pflanzenschutzmittel zur Folge haben, dass eben ganz ernten vernichtet werden können. Kann man sich also vorstellen, dass eben auch solche Cyberangriffe sehr sehr große und schwere ökonomische Folgen auch zur Folge haben könnten, da auch weiterhin auch in diesen Kreisen, wenn man vielleicht privat unterwegs ist, nochmal den ein oder anderen sensibilisieren. Ja wir freuen uns natürlich auch, wenn Landwirte uns zuhören, aber ja, wie gesagt, die Wahrscheinlichkeit, dass vielleicht jemanden kennt, ist dann ein bisschen größer. Kommen wir zu unseren Veröffentlichungen und Veranstaltungen. Die Hamburger Aufsichtsbehörde hat nun eine Handreichung zu den Messengerdiensten in der, also Verwendung von Messengerdiensten Der Kinder- und Jugendarbeit veröffentlicht den Link packen wir natürlich auch in die Shownotes und die Handreichung soll Fachkräften hier eine praktische Hilfestellung bieten, um die digitale Kommunikation mit Kindern und Jugendlichen sicher und effektiv zu gestalten Also man hat auch bei der Aufsichtsbehörde erkannt, E-Mail und Post ist vielleicht so im Streetwork-Bereich nicht unbedingt ein fruchtbarer Boden, sehr Kommunikation. Deswegen hat man hier auch eine Checkliste veröffentlicht, auch mit wichtigen Informationen zu den beachtenden Datenschutzvorgaben und sie soll halt vor allen Dingen Orientierung auch bei der Auswahl der passenden Messengerdienste geben. Insbesondere natürlich auch mit Daten sparsam Kommunikation und so weiter. Es gibt auch wichtige Voreinstellungen, die für die jeweilige App erläutert werden. Also von daher finde ich’s spricht. Die Handreichung soll explizit kein Freifahrtschein sein, das heißt also man kann jetzt nicht einfach den Leitfaden nehmen und sagen, okay, ist alles so gut. Meines Erachtens kann sie aber gerade in kleineren und mittelständischen Unternehmen vielleicht auch zusätzlich eine gute Orientierung bieten, wie eventuell Messenger Dienste halt unter bestimmten Voraussetzungen auch eingesetzt werden können oder was man zumindest tun kann, um es halt zu verbessern. Von daher Empfehlungen da auf jeden Fall mal reinzugucken, wenn man im Unternehmen auch Messengerdienste einsetzt. Orientierung kann auch der Handlungsleitfaden bieten, den ich mitgebracht habe zum Thema Auskunft, denn ähm die Datenschutzbehörde in Sachsen hat einen neuen veröffentlicht zwar mit der Zielgruppe Kommunen und Verwaltung, aber ich glaube auch da wiederum für andere Unternehmen nicht ganz uninteressant. Dieser beinhaltet eben Empfehlungen und Anleitungen für sächsische Verantwortliche der öffentlichen Stellen, damit diese eingehend Auskunftsansprü vollumfänglich nachkommen können. Interessant halt eben, weil das Dokument auf der Leitlinie 012tausendzweiundzwanzig des europäischen Datenschutzausschusses basiert, Laut des Herausgebers auch die aktuellen Rechtsprechung des Europäischen Gerichtshofs berücksichtigt. Also auch das schafft es aus diesem Grund gerne in die Shownotes. Ja, das Thema Auskunftsersuchung ist nach wie vor ein großes Thema, auch in der betrieblichen Praxis glaube ich, von daher guter Hinweis. Damit sind wir für heute durch. Herzlichen Dank, liebe Laura. Und ja euch, unseren Zuhörern, wünschen wir damit ein schönes Wochenende. Bleibt uns gewogen und bis bald.