Italien stoppt ChatGPT – Datenschutz News KW 14/2023

Moderation:

Was ist in der KW 14 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Metas „schutzwürdige berechtigte Interessen“ sollen Datenweitergabe legitimieren
• Geschäftsführerdaten bleiben im Handelsregister einsehbar (OLG Celle, Urteil v. 24.2.2023 – 9 W 16/23)
• Rückgriff auf §8c UWG bei Feststellung einer rechtsmissbräuchlichen Verfolgung datenschutzrechtlicher Ansprüche (AG Ludwigsburg, Urteil vom 28.02.2023, Az. 8 C 1361/22)
• Italienische Datenschutzbehörde schränkt Verarbeitung italienischer Nutzerdaten bei ChatGPT ein und fordert Verbesserungen
• Cybersicherheitswarnung zu VOIP-Clients 3CX Desktop App des BSI
• Kritische Schwachstelle in Nextcloud
• Cisco: Hochriskante Schwachstellen
• UK: 14,5 Mio. € Bußgeld gegen TikTok

Empfehlungen & Lesetipps:

• Prüfung allgemeiner datenschutzrechtlicher Pflichten des Verantwortlichen und rechtlicher Fragestellungen zum Akteneinsichtsrecht bei 50 niedersächsischen Kommunen Prüfbericht Februar 2023
• Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
• EDPB verabschiedet Schreiben an die EU-Institutionen zum Datenaustausch für AML/CFT-Zwecke

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/italien-stoppt-chatgpt-datenschutz-news-kw-14-2023

TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: War’s das. Das war’s. Ich wusste gerade nur an den Thaddäus Meme denken. Ja, ich glaube, das wird rausgeschnitten. Herzlich willkommen zum Datenschutztalk. Ihrem Podcast für die Themen Datenschutz und Informationssicherheit. Grüßen sie zu einer weiteren Ausgabe unserer wöchentlichen Datenschutz-News, Wir sind in der Osterwoche und aufgrund des morgigen Feiertags hatten wir schon heute, am Donnerstag, den 6ten April um zehn Uhr unseren Redaktionsschluss, also einen Tag früher als gewohnt. Mein Name ist Laura Roschinski und an meiner Seite begrüße ich begrüße ich David Schmidt. Hallo. Hallo Laura. Fängt ja schon gut an, schon der Knoten in der Zunge heute morgen. Ja den kriegen wir schon noch gelöst. Den kriegen wir schon noch gelöst, genau. Mit welchen Themen denn David? Von meiner Seite heute aus, mit Neues zur Werbung bei Mita, Dann habe ich ein interessantes Urteil mitgebracht zur Anwendung des UWG im Datenschutzrecht vor dem Hintergrund der Rechtsmissbräuchlichkeit, Dann habe ich noch einen Bungch an Sicherheitslücken dabei, ehe ich zu meinen Lesetipps übergehe. Wie sieht’s denn bei dir aus? Ich habe mitgebracht ein weiteres Urteil oder einen Beschluss, besser gesagt aus Celle zum Handelsregister. Dann als nächstes, ich glaube, das haben viele Datenschützerinnen und Datenschützer mitbekommen. Der, Verbot von in Italien und auch unser Topthema ja diese Woche. Dann ein weiteres Bußgeld für TikTok. Mein Lieblingsthema und am Ende habe ich auch noch eine, einen Lesetipp für das Osterwochenende mitgebracht. Ich finde ganz coole Themen schon in der Übersicht, deshalb David, sei mal so lieb und gib mal die neuesten Infos zu Meta übern Tisch. Gerne ja Nutzer von Facebook und Instagram können in der EU jetzt, Weitergabe ihrer Daten an Dritte widersprechen. Das berichtet das Nachrichtenportal Heise in dieser Woche. Bisher hatte die Weitergabe der Daten zu Werbezwecken in weiten Teilen ja auf die vertragliche Notwendigkeit gestützt, Dafür gab es aber Kloppe auf die Finger von der irischen Datenschutzaufsicht und die hatte angeordnet, dies umzustellen, dem es Meta jetzt nachgekommen. Allerdings hat Meta sich dazu entschieden, nicht auf die Einwilligung als Rechtsgrundlage zu gehen, sondern auf das berechtigte Interesse. Und wer regelmäßig den Podcast hört, weiß, dass auch dies nicht die ganz optimale Lösung ist, mal ganz vorsichtig formuliert, Im Klartext sieht eigentlich niemand außer Meta, dass das berechtigte Interesse hier überwiegt und insofern bleibt eigentlich nur die Einwilligung als Rechtsgrundlage übrig. Wir verfolgen das Ganze also gespannt ähm, Mal schauen, wie lange das gut geht und ähm ja, die Umstellung auf das berechtigte Interesse bedeutet jetzt natürlich auch, dass, der Weg des Widerspruchs eröffnet ist, So viel, zumindest in der Theorie, denn laut Heise hat Facebook zwar ein Formular eingestellt, mit dem Widerspruch eingelegt werden kann, Redaktion ist es allerdings nicht gelungen dieses ähm Formular zu finden, obwohl man sich auf die Suche begeben hat, und zudem sehe das Formular wohl auch vor, dass der Nutzer gegenüber Meter begründen muss, dass sich die Datenverarbeitung negativ, negativ auf ihn auswirkt und gerade das ist ja eigentlich bei Werbewidersprüchen ausdrücklich nicht erforderlich, So haben wir es zumindest gelernt, oder? Haben wir’s gelernt, genau. Ich fand nur ganz spannend an der Sache, dass wir sagen, ja dann kannst du ja auch einfach dein Konto löschen. Ich hab’s aus eigener Erfahrung mal versucht. Es ist sehr herausfordernd, kann ich nur sagen, Das ist also die richtige Wahl, dann ist die Alternative, weiß ich auch nicht. Ja, wie grad schon angekündigt, habe ich mal wieder eine weitere Meldung zum Thema personenbezogene Daten im Handelsregister mitgebracht. Ähm das hatten wir das Thema ja bereits Mitte letzten Jahres und ich glaube auch Anfang diesen Jahres nicht ich glaube ich weiß ich kann nur die Kalenderwoche sagen, es müsste die zweite gewesen sein, Und heute habe ich eine Pressemitteilung des Oberlandesgerichts Celle vom 16. März mitgebracht und diese beziehen sich auf einen Beschluss des 9ten Zivilsenats des Oberlandesgerichts vom 24. Februar diesen Jahres. Und zwar kam dieser zum Ergebnis, dass ein Geschäftsführer die Veröffentlichung der Daten im Handelsregister hinnehmen muss. Konkret ging es hier um den Namen und den Wohnort. Vorangegangen war hier im vorliegenden Fall, dass ein Geschäftsführer einer GmbH, der beruflich mit Sprengstoff, ähm zu tun hat, seine Sicherheit gefährdet sah. Nicht wegen dem Sprengstoff selbst, sondern er sah konkret die Gefahr, dass aufgrund seines beruflichen Backgrounds er Opfer einer Entführung oder eines Raubes werden könnte. Der Zivilsenat des Oberlandesgerichts teilte diese Auffassung jedoch nicht und ähm konkretisierte auch ihre Herleitungen. Sie waren dort in oder sie hatten dort die Meinung, dass eben funktionsfähige und verlässliche öffentliche Register für die Sicherheit und Leichtigkeit des Rechtsverkehrs unerlässlich sind und deshalb hier die Sorgen, dass, Geschäftsführers nicht dem Entgegenstehen, Geschäftspartner sollen in ihren Augen sich zuverlässig informieren können im Handelsregister, wozu eben auch dann im weitesten Sinne eines Geschäftsführers gehört. Auch datenschutzrechtliche Widerspruchsrechte gegen die Aufnahme der Daten bestehen deshalb nicht. Muss man aber dazu sagen, dass dieser Beschluss noch nicht ganz abschließend ist ähm des Senats, denn es ist bereits bekannt gegeben worden und auch der Pressemitteilungen zu entnehmen, dass eben genau gegen diesen Rechtsbeschwerde beim Bundesgerichtshof Bundesgerichtshof eingelegt worden ist. Also ähm wird’s da auf jeden Fall noch mal eine nächste Runde geben, Finde ich jetzt aber auch, ehrlich gesagt, weniger kritisch, als das, was wir Anfang des Jahres hatten. Da ging’s ja um eine viel ähm umfangreichere Dokumentensammlung im Handelsregister, sei es Ausweis, Kopien oder auch Erbscheine. Ich finde, da ist so hier jetzt Name und ähm allein der Wohnort, nicht die Adresse, sondern der Wohnort des Geschäftsführers ja wirklich auch mit einem geringeren Risiko behaftet Wie siehst du das, David. Ja, es pendelt sich jetzt halt so ein, denke ich. Ja eingependelt noch nicht, würde ich sagen, aber es ist ein bisschen Ruhe eingekehrt, hinsichtlich Google das war ja im, Letzten Jahr ein ganz ähm exklusives Thema, Jetzt sind die Gerichte mitten in der Aufarbeitung so auch das AG Ludwig Burg. Ähm das hat sich jetzt in einer Entscheidung ausführlich mit dem Geschäftsmodell der Googlephones-Abmahnungen befasst, Streitig war hier, ob und wann das massenhafte Versenden von Abmahnungen und Schadenersatzforderungen wegen der Einbindung von Google-Forms rechtsmissbräuchlich ist. In dem verhandelten Sachverhalt hatte der Abmahnende. Genutzt, um Seiten zu finden und zu besuchen, die Fonds verwenden, Auf Basis dessen wurden dann knapp 220.000 Schreiben verschickt, mit denen Unterlassung und Schadenersatz jeweils in Höhe von 170 Euro verlangt wurde. Eher abmahnender, hat angegeben, dass ihm vorrangig darum gehe oder gegangen ist, Aufmerksamkeit für das Thema zu erzeugen, um hierüber eine Änderung des Verhaltens bei der Einbindung vom Fonds zu erzielen, Das Gericht hat anerkannt, dass dies grundsätzlich ein sachgerechtes und sogar sehr Löbliches Motiv sei, konnte sich aber nicht davon überzeugen lassen, dass dies auch tatsächlich das Motiv gewesen ist. Denn der abmahnende war gegen niemanden weiter vorgegangen, der trotz der Abmahnungen, Auch Googlephones auf seiner Seite eingesetzt hat und zudem hatte der abmahnende auch nicht geprüft, ob diejenigen, die die Geforderten 170 Euro bezahlt haben, den Verstoß auch behoben haben. Und das Gericht kam deswegen zu der Einschätzung, dass es dem abmahnenden wohl eigentlich relativ egal war, ob dieser Datenschutzverstoß behoben wird, sondern dass es ihm vorrangig um die monetäre Bereicherung, gegangen sein muss. Bis hierhin also wenig überraschend und äh interessant wird es jetzt bei der juristischen Herleitung dieser Rechtsmissbräuchlichkeit. Hier verweist das Gericht nämlich auf das Wettbewerbsrecht. Hier ist nämlich anerkannt, dass es rechtsmissbräuchlich ist, wenn sich der abmahnende seinen Unterlassungsanspruch vom Abmahnen Vom Abgemahnten abkaufen lässt. Das ist so geregelt in Paragraph 8 C UWG und auch wenn das Wettbewerbsrecht, Hier mangels eines konkreten Wettbewerbsverhältnisses zwischen den Parteien nicht anwendbar ist. Spricht dich das Gericht für eine analoge Anwendung des, aus und beruft sich zusätzlich auch auf Paragraph zweihundertzweiundvierzig BGB, der auf Rücksicht ähm auf Treu und Glauben und die Verkehrssitten fordert, Also nochmal zusammengefasst, Abmahnungen sind Rechtsmissbräuchlich. Wenn es nicht darum geht, dass etwas eingestellt werden soll, sondern damit nur Geld verdient werden soll, das entspricht glaube ich auch dem Rechtsgefühl, dass die allermeisten haben sollten. Jetzt haben wir endlich aber auch eine, schön hergeleitete, juristische Begründungen dazu. Absolut. Toll, dass du das mitgebracht hast, weil das hat ja schon wirklich letztes Jahr groß für Aufruhe gesorgt im Bereich des Datenschutzes und ähm ja, finde ich auch. Ist echt eine schöne Herleitung geworden. Und viele Grüße an der Stelle auch an unseren lieben Kollegen Markus, der Standing Ovations eingelegt hat, habe ich gehört, als er dieses Urteil gelesen hat. Ja, apropos Markus sehr praktisch, die Überleitung, der hat ja letzte Woche bereits über das Datenleck bekannt gewordene Daten Leck by TschetGBT berichtet. Und ja, hierzu habe ich jetzt ähm oder besser gesagt, wir haben ja lange überlegt, ob wir das noch mal als Topthema für diese Woche nehmen wollen, wo es das ja schon letzte Woche geschafft hat, aber das war so präsent, Ich glaube, da da liegen wir mit richtig. Und zwar hat die italienische Datenschutzbehörde am 31. März mit sofortiger Wirkung die vorläufige Einschränkung der Verarbeitung der Daten italienische Nutzer gegen, Über Open Air angeordnet, sodass der Dienstanbieter nun eine Sperre umgesetzt hat. Gleichzeitig hat die Behörde in Italien Untersuchungen eingeleitet und konkret sieht sie Mängel beim Jugend- und Datenschutz. Sie sehen hier ähm das Fehlen einer Rechtsgrundlage an, die die Erhebung und Speicherung personenbezogener Daten rechtfertigt, um die den Betrieb der Plattform zugrunde liegenden Algorithmen zu trainieren. Außerdem sind Sie ein großes Risiko ähm für im Bereich Jugendschutz. Das Alter der Nutzer wird nicht überprüft, sodass eben auch Minderjährigen Nutzern zugang kritischer und unangemessener Inhalte möglich ist So die Datenschutzbehörde. Und ja um jetzt ein hohes Bußgeld in Italien zu umgehen muss Open Air Eye innerhalb von 20 Tagen der Datenschutzbehörde offenlegen. Wie es die geforderten Daten und Jugendschutz Maßnahmen umsetzen will. Einer Meldung, ja das Nachrichtenmagazins Spiegel ist wohl zu entnehmen, dass wohl auch Eine deutsche Datenschutzbehörde zu dem Thema befragt worden ist vorm Spiegel. Ähm leider wird das nicht konkretisiert, wer das denn gewesen sein soll. Aber laut diesem Artikel ist es wohl so, dass wohl auch auf nationaler Ebene. Angeblich wohl Information aus Italien erbeten worden sind konkret zu dieser Sperre und dass diese dann auch an zuständige Laden des Datenschutzaufsichtsbehörden und Landesmedienanstalten in Deutschland weitergegeben werden sollen. Also wie gesagt nicht so wirklich konkret, aber ich denke mal auch, wenig überraschend oder David? Ja, das wird uns denke ich noch einige Zeit beschäftigen. Ist ja auch ein sehr brisantes Thema. Genauso wie Brisant. Sag du ruhig Sicherheitslücken, ja. Schon angekündigt, habe ich ein Trio von äh Sicherheitslücken mitgebracht. Fangen wir an mit dem BSI. Der warnt nämlich vor einer kompromittierten Fassung des Voiceover IP-Clients 3 CX Desktop-App sich im Umlauf befindet. Unter anderem wurde beobachtet, dass die Anwendung nach erfolgreicher Installation eine Verbindung zu einem kommend in Control Server aufbaut und weitere Schadsoftware nachlädt, Eine weitere Sicherheitslücke gab es auch bei Next Cloud. Die Entwickler der Kollaborationssoftware, schwieriges Wort. Aber sehr gut gemacht. Die Entwickler haben selbst davor gewarnt, dieser Software und äh demnach können Angreifer aus dem Netz durch die Lücke Schad, Kurz einschleusen und ausführen. Einen Patch zum Schließen der Lücke steht bereits bereit und, Last but not least haben wir dann noch eine neue Lücke in der webbasierten Verwaltungsoberfläche von Sisco, Secure Networks Analytics. Auch hier können Angreifer aus dem Netzcodes auf dem darunterliegenden Betriebssystem als Administrator ausführen und so ein System kompromittieren. Hat eine Sicherheitsmeldung veröffentlicht und fordert IT-Verantwortliche auf, diese zu lesen und darin beschriebene Gegenmaßnahmen. Zu ergreifen. Dem schließen wir uns doch an. Ist nichts hinzuzufügen. Genau. Ja, treue Zuhörerinnen und Zuhörer unseres Podcasts wissen, ich bin kein TikTok-Fan. Deswegen kommt jetzt auch wieder deine Lieblingskategorie. Jetzt kommt wieder meine Lieblingskategorie, genau und ich habe natürlich, ich werde nicht müde Nachrichten von TikTok mitzubringen und zwar in dieser Woche habe ich mitgebracht ein hohes Bußgeld für TikTok und zwar im äh Vereinigten Königreich. Und zwar wurde hier dem Online-Dienstanbieter ein Bescheid in Höhe von 12,7 Millionen Pfund, ähm sind umgerechnet 14,5 Millionen Euro Bußgeld zugestellt. Die Gründe sind wenig überraschend, dass ähm Commissioners Office hat eine Reihe von Verstößen gegen das Datenschutzrecht festgestellt, unter anderem für die nicht rechtmäßige Nutzung der personenbezogenen Daten von Kindern. Sie gehen in ihrer Stellungnahme davon aus, dass schätzungsweise einer Millionen, Kindern unter 13 Jahren in unzulässiger Weise Zugang zu Plattformen gewährt wurde, oder wird, besser gesagt, wobei TikTok ihre persönlichen Daten sammelt und verwendet. Das bedeutet eben konkret, dass ihre Daten möglicherweise dazu verwendet. Werden, diese zu verfolgen, ein Profil von ihnen zu erstellen und dann natürlich auch beim Scrollen möglicherweise schädlich und, Ereignisse, Inhalte zu liefern. In den Augen der ja britischen ähm Aufsicht hat eben TikTok nicht genug dafür getan, um zu überprüfen, wer die Plattform nutzt oder auch ähm nicht ausreichend Maßnahmen ergriffen, um eben minderjährigen Kindern den Zugang zur Plattform zu verwehren oder auch im Nachgang zu entfernen, wenn denn bekannt ist. Dass eben das Kind nicht volljährig ist. Wie gesagt, wenig überraschend die Gründe kennen wir schon, und äh mal sehen, ob sie da ähm gegen Vorgänge gegen das Bußgeld oder ob sie da Stillschweichen zahlen werden. Berichtest du dann bestimmt drüber. Ganz sicher. Wenn’s dazu ein Update gibt, immer wieder. Äh ich habe das Gefühl, das war nicht die letzte Nachricht. Ganz sicher nicht. Lesetipps, oder? Sind wir schon so weit. Lesetipps für das lange Wochenende. Da hätte ich einmal mitgebracht den ähm, Bericht der zweiten überörtlichen Datenschutzprüfung bei den Kommunen in Niedersachsen. Die Landesbeauftragte für den Datenschutz in Niedersachsen hat sich fleißig, 50 niedersächsische Kommunen angeschaut, hinsichtlich der Umsetzung der Anforderungen aus der DSGVO und ein 32-seitigen Bericht dazu veröffentlicht. Okay. Soll ich soll ich noch was dazu sagen oder. Nein, musst du nicht. Ich sage immer dazu dann, wenn ich damit anfange, den das schon vorzulesen. Mache ich mal weiter und zwar verlinken wir außerdem heute eine Stellungnahme der Konferenz der Unabhängigen Datenschutzaufsichtsbehörden des Bundes unter Länder zum europäischen Gesundheitsdatenraum. Ne. Ich sage aber ein bisschen was dazu denn ähm ja die DSC sieht die europäischen Pläne für einen Gesundheitsdatenraum als zu weitgreifend an und kritisiert diese jetzt nun in dieser Stellungnahme. Sie sehen eben, dass geplante Regelung nicht ausreichen, um die Betroffenen wirklich zu schützen. Sehen die Pläne der EU-Kommission vor, dass Gesundheitsdaten für die Forschung ohne Einwilligung der Betroffenen übermittelt werden dürfen zukünftig, ein Widerspruchsrecht wurde nicht implementiert und ebenso ist unklar seitens der DSK wie Betroffene ihre Rechte ausüben können, Ebenso wird kritisiert die vorgesehene zentrale Zusammenführung von Klardaten und, Ja, diese zentrale Zugangsstelle wird laut der DSK hohe Risiken und sie sind daher ähm sogar eine Unzulässigkeit an. Sie empfehlen ähm dass beispielsweise die Daten vor der Anlass bezogenen und temporären Zusammenführungen pseudonymisiert oder anonymisiert werden. Genau, das also, jetzt im im kurz zusammengefasst, das ist natürlich ein bisschen längeres, was sie hier veröffentlicht haben. Wer sich dafür interessiert, lohnt auf jeden Fall einen Blick rein, ob im Folge dessen noch viel passiert, weil ich sage mal so, die, eben, Diese europäischen Pläne sind ja schon sehr weit vorangeschritten. Äh ich habe auch schon ähm Vorwürfe gelesen, dass äh es ein bisschen, dass sie ein bisschen sehr spät dran sind von der DSK, sich jetzt dazu zu äußern, aber, Besser spielt als nie, sagt man da, glaube ich. Das kann man so sagen, Und dann ähm schließe ich mit weiteren europäischen Plänen die europäischen Institutionen beschäftigen sich gerade nämlich mit einer Verschärfung der Anforderungen in der Bekämpfung von Geldwäsche und Terrorismusfinanzierung, und hierzu hat der EDP jetzt einen offenen Brief an die Institutionen geschickt und darin werden die geplanten Gesetzesvorhaben kritisch aus der Sicht des Datenschutzes beleuchtet und es wird nochmal gefordert hier nachzuschärfen. Schön. Sind wir am Ende angekommen? Haben wir ein bisschen was zu tun für Ostern? Wird uns nicht langweilig. Liebe Zuhörerinnen und Zuhörer, wir bedanken uns natürlich wieder, dass Sie unsere Folge gehört haben. David, lieben Dank dir für deine Unterstützung heute. Ich danke dir, hat’s Spaß gemacht. Du schließt dich an oder wenn wir allen schöne Ostertage wünschen. Selbstverständlich. Ein schönes, langes Wochenende. Ja, wenn Sie uns ein Ostergeschenk machen möchten, dann freuen wir uns natürlich über Feedback oder Fragen zu unserer Folge auf den gängigen Portalen oder Podcatern und genau, mir bleibt nichts mehr, Zu sagen, außer, wie gesagt, eine gute Zeit und bis zum nächsten Mal. Bis zum nächsten Mal, tschüss.