M365 – EU Kommission veröffentlicht DSFA – Datenschutz News KW 18/2024

Transkript zur Folge:

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz,
in dieser Woche möchten wir euch natürlich wieder zu unserem wöchentlichen Podcast begrüßen. Ähm mein Name ist Gregor Wortberg und bei mir ist.
Hallo, guten Morgen.
Hallo Natalia, schön, dass du wieder dabei bist und äh wir wieder gemeinsam äh hier am heutigen äh Freitag unsere Folge einsprechen für unsere Hörende Hörer. Redaktionsschluss war heute etwas früher, um 9 Uhr.
Und äh wir haben wieder einige Themen für Sie vorbereitet in dieser Woche, zu dem wir Sie gerne mitnehmen möchten. Was hast du denn diese Woche mitgebracht, Natalia?
Ganz tolle Themen mitgebracht. Ähm ich würde gleich nachher anfangen mit dem EuGH zur Vorratsdatenspeicherung. Dann habe ich eine Beschwerde von Non of your Business gegen Open AI,
Und des Weiteren,
habe ich auch etwas so Standortdaten und Bußgeldern dazu mitgebracht und zu allerletzt eine, Moment, wo haben wir's, eine DSFA der EU-Kommission zu Microsoft dreihundertfünfundsechzig.
Das hört sich doch gut an. Bei mir gibt es in dieser Woche Bußgelder gegen
isländische Kommunen für die Nutzung von Google Workspace. Ähm Niedersachsens öffentliche Verwaltung kann demnächst Microsoft Teams datenschutzkonform einsetzen. Ein Daten Leak hat es gegeben bei Dropbox Sciene
Und dann habe ich noch Eckdaten mitgebracht äh zu Dokumenten, äh die der Edds da veröffentlicht hat zum EU-US Starter-Privacy Framework.
Alles klar, ich würde sagen, dann legen wir los und,
Ich fange mal direkt an mit dem EuGH zur Vorratsdatenspeicherung. Und zwar haben wir ein aktuelles Urteil vom 300. April diesen Jahres, also noch druckfrisch
Mit diesem Urteil hat der EuGH die Möglichkeiten der Mitgliedsstaaten für das anlasslose Protokollieren von IP-Adressen zur Verfolgung von Straftaten.
Deutlich ausgeweitet. Wenn wir nun mal einen kleinen Schlenker zurück machen, sollte das Gericht in den letzten Jahren wiederholt eine ansatzlose Vorrats
Speicherung von Verbindungs- und Standortdaten deutlich abgelehnt und nur in Ausnahmefällen erlaubt, IP-Adressen zu speichern.
Diese Ausnahmefälle sind eben um schwere Kriminalität zu bekämpfen und schwere Bedrohungen der öffentlichen Sicherheit zu verhüten. Mit dem
Aktuellen Urteil ist die Vorratsdatenspeicherung der IP-Adressen
nun wieder zulässig, wenn die nationale Regelung in einem Mitglied spart, Speichermodalitäten vorschreibt, die eine wirksame
strikte Trennung der verschiedenen Kategorien, personenbezogene Daten gewährleisten und es damit ausschließen, dass genaue Schlüsse auf das Privatleben der betroffenen Personen gezogen werden können. Das war jetzt ein Zitat aus dem Urteil
anders zusammengefasst
bedeutet das, dass die Vorratsdatenspeicherung von IP-Adressen nicht nur so wie bisher bei schwerer Kriminalität wie zum Beispiel Kinderpornographie, sondern auch bei Onlinekriminalität,
Das Gericht spricht ihr von Urheber und Verwandtenschutzrechten im Internet.
Das ist eben auch dafür möglich ist, vorausgesetzt, dass die Speicherung der IP-Adressen nur zur Identifizierung der User genutzt wird und damit kein Persönlichkeitsprofil angefertigt wird.
Und eine weitere Voraussetzung, wenn es eben eine entsprechende nationale Regelung gibt.
Es gibt aktuell bereits zahlreiche kritische Stimmen zu dem Urteil, unter anderem habe ich jetzt bei der Vorbereitung des heutigen Podcasts auch gelesen, dass es eine Änderung der bisher grundrechtsfreundlichen Haltung zu Vorratsdatenspeicherung
es wird von eine Wende gesprochen und auch davon, dass der EuGH hiermit auch das Ende der online Anonymität eingeleitet hat. Insofern
das Thema bleibt spannend. Das Thema verfolgt uns glaube ich schon seit mehreren Jahren. Wir schauen, ob jetzt das letzte Wort gesprochen ist oder ob es dann,
Demnächst wieder ähm ja wie sich das Thema weiterentwickelt.
Die isländische Datenschutzaufsichtsbehörde hat gegen fünf Kommunen Bußgelder in der Gesamthöhe von 68einhalbtausend Euro aufgrund der Nutzung von Google Workspace
four education verhängt. Interessant ist hierbei insbesondere die Begründung. Ähm welche im Wesentlichen auf alle fünf
er da zutrifft. Ähm als wesentliche Feststellung wurden hier mehrere Verstöße gegen die Artikel 5 und 6 der Datenschutzgrundverordnung angeführt, also Verstöße gegen die Grundsätze der Verarbeitung, personenbezogener Daten sowie fehlende Rechtsgrundlagen.
Grade wohl auch, weil da Daten von Jugendlichen verarbeitet worden sind,
Bußgelder fußen auf Untersuchung aus dem Jahr zweitausendzweiundzwanzig. Folglich gab es ja zu diesem Zeitpunkt auch noch nicht das EU-US Data Privacy Framework und nachträglich wurden hier nämlich äh die der fehlende Abschluss von EU,
Standardvertragsklausen bemängelt.
Sowie die Tatsache, dass da abgeschlossene GPA-Man Merkel immer mit Google nicht den Anforderungen an Artikel achtundzwanzig, DSGVO, also an einer Afrax-Verarbeitung, Verarbeitungsvereinbarung genüge. Die
Meldung dient natürlich auch so ein bisschen der Sensibilisierung, dass man auch bei großen Anbietern, bei den sehr großen Anbietern da natürlich auch die Verträge prüfen sollte und da für sich eine Risikoabwägung natürlich auch durchführt, wie man mit diesen Mängeln in so einer Vereinbarung natürlich auch umgeht,
und da bei Drittstaatenbemittlung auch an die ganzen Verpflichtungen denkt, die damit einhergehen. Auf vertraglicher und Dokumentationsebene.
So, ich schenke nach Österreich,
Und zwar hat äh non of your Business die Organisation, abgekürzt ab eine Datenschutzbeschwerde in Österreich gegen Open AI eingereicht. Konkret wirft Neubrenaiv vor,
seinen Antrag auf Berechtigung oder Löschung von falschen Daten auch über Personen nicht bearbeitet zu haben.
Nach Bericht von Heise, soll Oppena E nun offen zugegeben haben, dass falsche Informationen auf Chat GPT nicht korrigiert werden können.
Das Unternehmen weiß nicht einmal, woher die Daten stammen oder welche Daten, Chat über einzelne Personen speichert. Open AI ist sich dieses Problems bewusst.
Aber anstatt etwas zu verändern, argumentiert das Unternehmen damit, dass eine faktische Genauigkeit in großen Sprachmodellen ein Bereich aktiver Forschung bleibt.
Was auch immer das heißen mag. Jedenfalls die Beschwerde von Neub gegen Open AI ist eingereicht. Mal schauen, wie sich das Thema weiter entwickelt. Bedeutet aber auch,
glaube ich, für jeden von uns, dass wir beim Einsatz von Chady PT oder von anderen Tools, die auf künstliche Intelligenz fußen, tatsächlich genau überlegen sollten, welche Daten geben wir in die Tools ein, weil
so wie hier gezeigt wird eigentlich eine Löschung vielleicht nicht immer umgesetzt werden kann.
Vor dem Hintergrund immer umso wichtiger natürlich, da seinen Beschäftigten gewisse Leitlinien an die Hand zu geben, ne, irgendwelches da im Unternehmen genutzt werden dürfen und welche eben auch nicht, ne.
Ja unbedingt.
Das niedersächsische Ministerium für Inneres und Sport hat in einer am sechsundzwanzigsten,
April veröffentlichten Pressemeldungen den Datenschutzkonform Einsatz von Microsoft Teams für die niedersächsische Landesverwaltung
gegeben. Das Ergebnis der laut Pressemitteilung umfangreichen Verhandlungen mit Microsoft sei in einer Anpassung der Datenschutzvereinbarung fixiert worden.
Eine Voraussetzung für die Einigung sei die Entwicklung einer auf das Land bezogenen Datenschutzfolgeabschätzung mit einer Risikoabschätzung und diversen umzusetzenden technischen und organisatorischen Maßnahmen gewesen.
Es ist eigentlich die Stelle, wo's spannend ist, muss ich sagen. Weitere Details hat's äh leider nicht gegeben vom niedersächsischen niedersächsischen Innenministerium. Ähm ein wesentlicher Fakt
Tor war wohl zudem die seitens Microsoft ja bereits zum Jahreswechsel 202220023 eingeführte,
EU-Boundry, ähm also die Speicherung äh aller Daten äh in Europa sei da ein wesentlicher Faktor gewesen, die
Pressemeldung spricht natürlich von einer Signalwirkung für den gesamten öffentlichen Sektor. Microsoft habe wohl zudem erklärt, dass die mit dem Land Niedersachsen vereinbarten datenschutzrechtlichen Regelungen,
beim Austausch mit allen anderen Kunden äh der öffentlichen Verwaltung in Deutschland berücksichtigt werde und die Verhandlungsergebnisse könnten dann wohl als Blaupause für weitere öffentliche Verwaltungen dienen.
Soweit die die äh die Pressemeldung heißt aber natürlich auch, der Weg ist da wirklich, die Vertragsverhandlung mit Microsoft.
Und da ist natürlich die Frage, wie sind die Chancen, was kann wirklich noch mal rausgeholt werden, aber ich denke auch, dass das ein guter Weg ist, der auch zeigt, das auch mit Microsoft verhandelt werden kann.
So, meine nächste Nachricht stammt aus den USA,
Es geht um den fehlenden Schutz von Standortdaten und die Weitergabe dieser Daten an Dritte und zwar wurden hier durch die ja amerikanische Aufsichtsbehörde Millionenbußgelder gegen US Mobilfunkanbieter verhängt.
Wie Heise berichtet. Wie ist der Hintergrund davon, dass Timobile USA ATNT
beweisen und Sprint oder Sprint die Standortdaten ihre Mobilfunkkunden verkauft haben sollen ohne die Zustimmung der Kunden dafür einzuholen.
Die Daten konnten an dutzende Firmen verkauft werden. Diese haben über automatische Schnittstellen, also über die APIs.
Auf die Daten dann zugegriffen. Die US-Regulierungsbehörde FCC, also Feliwald Communications-Commission, hat am Montag Strafbescheide hierzu veröffentlicht.
Hintergrund davon ist, dass offiziell die,
Dienste für eigentlich alltägliche Zwecke genutzt werden sollten, etwa um ähm für eigene, verlorene Geräte wiederzufinden.
Tatsächlich sollen aber ähm Geheimdienste, Kopfgeldjäger, Privatdetektive und diverse Unternehmen, aber auch Polizeibehörden mit Hilfe dieser Ortungsdienste oder dieser dieser Daten, die darüber gesammelt wurden, Bürger überwacht haben.
Nun soll Timobile
rund 80 Millionen US-Dollar Strafe zahlen ATNT mehr als 57 Millionen. Beweisen ähm knapp 47 Millionen und Sprint über 12 Millionen. Das heißt, wir sind irgendwo bei äh knapp unter 200 Millionen Dollar.
Die jetzt an die ja durch die Unternehmen zu zu zahlen
sein werden. Es bleibt allerdings abzuwarten, ob die betroffenen Netzbetreiber gegen die verhängten Strafen vor Gericht gehen werden, sich ähm ja versuchen werden zu verteidigen, zu exklupieren oder ob die Strafen so angenommen werden.
Ein Daten-Leak hat äh beim bei Dropbox Scienemals hello Sign, einem Anbieter für die,
Durchführung von digitalen Signaturen zur Offenlegung von Kundendaten, unter anderem E-Mail-Adressen und Passwörtern geführt. Äh das berichtete heisse in dieser Woche.
Kleine gute Nachricht zuerst äh bei Dropbox denkt man ja immer erst an die Cloud, ähm die ist ähm wohl nicht davon betroffen laut. Das betrifft wirklich nur das,
der digitalen Signaturen allerdings wurden bei dem
Zugriff auf den Unterschriftendienst, Daten wie der API-Schlüssel, E-Mail-Adressen, Multifaktor-Informationen, Namen, Tokens, Passwörter und auch Telefonnummer von Kunden abgegriffen. Also sehr
umfangreich. Die Canon Wörter sollen wohl jedoch gehasst und somit nicht unverschlüsselt gewesen sein. Zur
Methode wurden da keine weiteren Angaben gemacht. Zudem sind wohl auch Personen betroffen, welche signierte Dokumente erhalten haben. Der Zugriff
ist wohl über ein Service-Account möglich gewesen und Passwörter wurden,
erste Maßnahme von Dropbox ähm zurückgesetzt. Falls man den Dienst nutzt, empfiehlt es sich sicherlich äh jedoch auch mal seinen äh Account weiter im Blick zu behalten und ähm Informationen wie Token, E-Mail-Adresse
Und so weiter, wenn möglich auch zu ändern.
Sollte man sich wirklich einmal anschauen. Was man sich auch anschauen könnte, was sinnvoll ist, ist die DSFA zum Einsatz von Microsoft
rund 5undsechzig, die durch die EU-Kommission veröffentlicht wurde
Hintergrund ist, dass vor kurzem der europäische Datenschutzbeauftragte die Nutzung von Microsoft 365 durch die EU-Kommission als nicht datenschutzkonform eingestuft hatte und dabei unter anderem die
sehr aussagekräftige DSFA kritisiert hat. Inzwischen hat die EU-Kommission die DSFA, also ein
164 Seiten langes Dokument äh veröffentlicht.
Darin ist die Risikobewertung und die Definition geeignete Abhilfemaßnahmen mit nur ja 14 von 146 Seiten tatsächlich,
eher knapp gehalten. Auf der anderen Seite ist die Beschreibung der Einsatzszenarien sowie der durch den äh neuen Angemessenheitsbeschluss deutlich vereinfachten Datenübermittlung in die USA deutlich mehr Raum einnehmen darin beschrieben. Insofern
Das ist schon mal ein bisschen verwunderlich. Außerdem datiert die DSFA auf äh Oktober zwanzig einundzwanzig. Der
jüngste öffentlich verfügbare Auftragsverarbeitungsvertrag von Microsoft datiert auf den 21 224 und enthält nicht nur Regelung zum neuen Angemessenheitsbeschluss für die USA, sondern auch zahlreiche weitere Verbesserungen.
Inwiefern diese bereits in die eingeflossen sind, ist daher fraglich.
Insgesamt erscheint daher die Datenschutzdokumentation der EU-Kommission hinsichtlich Aktualität und der Schwerpunktsetzung optimierungsfähig, so dass man zumindest.
Irgendwo nachvollziehen kann, warum der europäische Datenschutzbeauftragte die DSFA als ausbaufähig betrachtet hatte
Vielleicht für unsere Zuhörer ein Hinweis, dass die DSFA dennoch eine gute Basis sein kann,
die eigene Nutzung von Microsoft 365 im Unternehmen zu dokumentieren. Allerdings sollte natürlich für den eigenen Einsatz diese auch entsprechend angepasst werden, konkretisiert werden und vielleicht auch die Punkte, Aktualität
und Schwerpunktsetzung auch noch mal ein bisschen ausgearbeitet werden.
Von meiner Seite aus waren's das schon mit den richtigen Nachrichten für diese Woche
Ähm ich habe aber noch eine kleine Veröffentlichung mitgebracht, die man's genau nimmt eigentlich gar nicht so klein ist anhand der Etzer, der europäische Datenschutzausschuss hat äh Ende April weitere Dokumente im Kontext des,
angemessenheitsbeschlusses der EU-Kommission beziehungsweise dem EU-US-Starter-Privacy-Framebook veröffentlicht. Unter anderem äh sind dies,
Richtlinien im Umgang mit dem informellen Gremium der EU-Datenschutzbehörden, Vorgaben für den äh Rechtsbehelfsmechanismus des Frameworks und auch noch eine Vorlage für ein Beschwerdeformular.
Welches ich dann in den USA anbringen kann an der relevanten Stelle,
in dem Blick als Information, falls Sie da mal näher reingucken möchten. Gerade schon gesagt,
das war's schon wieder in dieser Woche. Diese Woche etwas kürzer. Von daher Natalia möchte ich mich bei dir wieder bedanken. Es hat mir wieder sehr viel Spaß gemacht.
Ich danke, danke dir, Gregor. Es war eine besonders tolle Folge dieses Mal.
Ja und euch ähm liebe Hörerinnen und Hörern, ähm möchte ich natürlich auch danken und da möchten wir natürlich auch danken äh danken und wir wünschen euch, äh wenn ihr uns am Freitag hört, ein schönes Wochenende, am Montag, einen guten Start in die neue Woche.
Und wünschen ein schönes Wochenende und sagen bis bald.
Bis bald, bis zum nächsten Mal.