Zum Inhalt springen

Microtargeting im Wahlkampf – DS News KW 12-2023
    Moderation:
    avatar
    David Schmidt
    avatar
    Gregor Wortberg

    Was ist in der KW 12 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
    Wir geben einen kurzen Überblick der aktuellen Themen:

    • Nachruf: Verfasser des ersten Datenschutzgesetzes Spiros Simitis ist verstorben
    • Eklatanter Verstoß gegen Meldefrist durch Verantwortlichen mit über 200.000 € Bußgeld geahndet
    • Bundespresseamt klagt gegen die Anordnung des BfDI zur Abschaltung der Facebook-Seite
    • Datenschutzbeschwerden gegen deutsche Parteien aufgrund politischer Werbung auf Facebook
    • Wiederherstellung nach Datenminimierung möglich: Lücke „Acropalypse“ bei Google Pixel-Phones und Snipping Tool von Windows 11
    • Arbeitsgericht Dresden spricht Arbeitnehmerin 2.500 € aufgrund verspäteter und unvollständiger Auskunft durch Arbeitgeber
    • Russische Erpressungsmalware im Rahmen der Goanywhere-Attacke betrifft über 130 Unternehmen

    Lesetipp:

    Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

    Twitter: https://twitter.com/DS_Talk

    Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
    (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

    Instagram: https://www.instagram.com/datenschutztalk_podcast/

    Folge hier kommentieren: https://migosens.de/microtargeting-im-wahlkampf-ds-news-kw-12-2023

    TeamDatenschutz #TeamInfoSec #DSTalk

    Transkript zur Folge: Ich ich ich freue mich immer noch über diese kreative Namensfindung für diese Sicherheitslücke, da bin ich ein kleiner Freund von. Das freut mich immer. Genau mein Humor. Es stimmt. Es hätte fast aus fast aus unserer Feder stammen können. Und einen guten Tag auf jeden Fall, ja. Herzlich willkommen zum Datenschutztalk, Ihrem Podcast für die Themen Datenschutz und Informationssicherheit. Heute ist der 24. März, wieder ein Freitag und unser Redaktionsschluss war wie üblich um zehn Uhr und wir begrüßen Sie wieder ganz herzlich zu einem neuen Rückblick auf die Woche des Datenschutzes. Wir sind heute meine Wenigkeit, David Schmidt und mein lieber Kollege Gregor Wodberg, hallo Gregor. Hallo David. Gregor, welche spannenden Themen hast du uns denn in dieser Woche mitgebracht? Ja, wieder einen bunten Strauß wie immer und zwar zieht sich das bunte Press Bundespresseamt mal wieder zu Facebook geäußert, da gibt’s eine Neuentwicklung, eine Sicherheitslücke im Snippingtool von Windows. Und ein dieser Woche natürlich auch nicht fehlen, am Ende noch ein kleiner Lesetipp von meiner Seite. Was hast du denn mitgebracht. Ich möchte sprechen über eine zu spät gemeldete Datenpanne, die mit einem Bußgeld geahndet wurde, Schauen wir über den Umweg Österreich nach Berlin, wo Datenschutzbeschwerde gegen deutsche Parteien äh eingelegt wurde. Und dann möchte ich mich noch an eine Meldung aus der letzten Woche anschließen, die Heiko vorgetragen hat. Viele Grüße an der Stelle. Dort geht es um eine weitere Entscheidung zum Schadenersatz wegen verspäteter und unvollständiger Auskunft durch den Arbeitgeber. Ausnahmsweise muss ich diese Woche mal passen bei den Lesetipps, aber ich hoffe, deiner ist dafür umso spannender. Auf jeden Fall, ganz klar, aber bevor wir reinstarten in die Nachrichten dieser Woche, möchte ich noch mal eine traurige Nachricht aus dieser Woche aufgreifen und zwar ist der Jurist Pirossimitis im Alter von 88 Jahren gestorben. Wer ihn nicht kannte. Herr Symitis unterstützte bei der Erarbeitung des ersten Datenschutzgesetzes der Welt, dem hessischen Datenschutzgesetz von 1970, bis, dann sein Fachwissen dazu ein, den Datenschutz in der Anwendung, in die Anwendung zu bringen und in der Folge trug er wesentlich dazu bei, dass die Grundlagen, werden, auf denen das heutige Datenschutzrecht auch steht und wahrscheinlich auch in der Zukunft aufbauen wird. Wir möchten an dieser Stelle ebenfalls unsere aufrichtige Anteilnahme ausdrücken. Gregor, vielen Dank. Tatsächlich eine traurige Nachricht. Ähm aber wir steigen dann mal ein in die Nachrichten, die wir sonst noch, mitgebracht haben und zwar schauen wir als erstes nach Norwegen die, Norwegische Datenschutzaufsicht hat ein Bußgeld in Höhe von rund 220.000 Euro gegen das Unternehmen Argon Medical Device verhängt, Argon Medical die weiße stellt medizinische Geräte für Krankenhäuser und medizinisches Fachpersonal her und vertreibt diese über die ganze Welt, Juli zwanzig einund2, wurden aufgrund einer Sicherheitslücke bei dem Unternehmen, allerdings Daten abgegriffen, die alle europäischen Mitarbeiter betreffen, die sich wohl auch für Betrug und Identitätsdiebstahl eignen würden, Eine Meldung an die Aufsicht erfolgte allerdings erst im September 2021 also ähm zwei Monate, Beta mit der Begründung, dass sich Aragon medical devices er selbst ein Bild von der Lage machen wollte, Die 72 Stundenfrist wurde hier also deutlich überschritten und daher verhängt die norwegische Behörde das Bußgeld. Ja, wieder mal ein Zeichen dafür, dass man da seine Prozesse vielleicht auch im im Blick haben sollte und auch wissen sollte, wo man welche personenbezogenen Daten dann auch verarbeitet. Zwei Monate zu brauchen, um einen Überblick zu, sich zu verschaffen ist natürlich dann schon eine lange Zeit. Ich hab’s jetzt in Stunden nicht ausgerechnet tatsächlich, aber mehr als zweiundsiebzig. Waren mehr als zweiundsiebzig. Mehr als zweiundsiebzig, nächsten Meldung möchte ich ein kurzes Update geben zur Auseinandersetzung zwischen dem BFDI und dem Bundespresseamt im Zusammenhang mit der Untersagung des Betriebs der Facebook-Fanpage der Bundesregierung durch den BFTI und ähm Auseinandersetzung geht wie fast schon zu erwarten in die nächste Runde. Und äh wie versprochen. Einigen Folgen vor der häusigen äh möchten wir Sie auch hierüber natürlich informieren, Zuletzt hatte das Bundespresseamt in Person des stellvertretenden Chefs am 15. März eine Stellungnahme bezüglich des Verbots veröffentlicht und erneut den verfassungsrechtlichen Auftrag betont, die Bürgerinnen und Bürger über die Tätigkeiten der Bundesregierung, informieren zu wollen. Äh ferner heißt es in der Stellungnahme, dass, Zitat in diesem dass es in diesem Verfahren um die Klärung grundsätzlicher komplexer Sach und Rechtsfragen zum europäischen Datenschutz. Gehe. Diese können dem Ergebnis jedem Betreiber eine Facebook-Seite in der EU betreffen, nicht nur staatliche Institutionen auf allen Ebenen, sondern auch Parteien oder private Stellen, nochmal ganz interessant weiter Zitat auf sozialen Medien aktiv zu sein bedeutet im Übrigen nicht, sich mit allen Einzelheiten der Geschäfts- und Datenschutzpraxis der jeweiligen Unternehmen einverstanden einverstanden zu erklären, Ende, Da stecken mehrere interessante Sachen drin, würde ich mal sagen in dieser Aussage. Möchte ich jetzt nicht komplett drauf eingehen, aber man sieht schon, dass, wird ein längerer Prozess werden, ähm nämlich ist nämlich auch der nächste Schritt nicht überraschend, denn laut Bericht der Frankfurter Allgemeinen Zeitung hat ähm das Bundespräsident jetzt klar gefordert vom Verwaltungsgericht Köln, gegen die Entscheidung des BFTI eingereicht und wahrscheinlich wird’s nicht die, Einzige Instanz bleiben, in der es verhandelt wird. Von daher sind wir mal gespannt, wie’s weitergeht und da werden wir sie natürlich auch auf dem Laufenden halten. Eher spannend auch, äh in welchen Abständen da neue Pressemitteilungen rausgegeben werden und ähm wie sich die Sache entwickelt. Wir nehmen uns auf jeden Fall unser Popcorn, setzen uns hin und äh beobachten das Ganze weiter für Sie. Und wir bleiben auch bei der nächsten Meldung ähm bei Facebook und auch in der politischen Landschaft, Die österreichische Datenschutzorganisation neu rund um Max Schrems hat im Namen von mehreren Wählerinnen und Wählern aus Deutschland Beschwerde bei der Berliner, Landesdatenschutzbeauftragten eingelegt, Hintergrund ist die letzte Bundestagswahl aus dem September 20 ein2und, Damals hatte die TV-Sendung Neo Magazin Royale im ZDF, Vor der Bundestagswahl berichtet, dass fast alle Parteien, die äh jetzt auch im Bundestag vertreten sind, Microtageting auf Facebook betrieben haben sollen, Im Detail sollen unter anderem politische Ansichten der User ausgewertet worden sein, um dies dann mit personalisierten Anzeigen, mit Wahlversprechen anzusprechen, In der Ausgabe des Neomagazin Royale wurden nach Freiwillige gesucht, die neu ihre Facebookdaten übergeben wollen, um konkrete DSGVO-Verstöße im Zusammenhang, der Wahl auswendig zu machen und nun liegen die Ergebnisse vor und Neub hat Damit nun die besagte Beschwerde eingelegt. Zuständig ist die Berliner Datenschutzaufsicht, da die Parteien dort ihren Hauptsitz haben. Wir warten auch hier gespannt auf ja, eine Stellungnahme der Behörde und natürlich auch von den Parteien und ähm halten Sie auch hier auf dem Laufenden, denn dort ist das letzte Wort dann auch noch nicht gesprochen. Das letzte Wort noch nicht gesprochen ist vielleicht auch, ähm wenn man auf seine Daten angesprochen wird, die man eigentlich dachte, rausgeschnitten zu haben, denn es gibt eine wunderbare Sicherheitslücke mit dem Titel Actalypse. Und zwar betrifft die, dass äh Snippingtool vor im Windows 11 oder auch die Screenshot äh das Screenshottool in Google Pixel phone und zwar ein bisschen Kontext vielleicht ähm für diese Sicherheitslücke, wenn ich euch im Handy oder eben in Windows F einen Screenshot, ein oder ein Foto anfertige, kann ich mit der Crop-Funktion, da ja auch Funktion beziehungsweise dem Snippingtool, äh wer diese Aufnahmen bearbeiten, ne oder dich, Schwerzen oder wegschneiden, möglicherweise sensible oder Inhalte oder andere Informationen, die ich dann nicht teilen möchte, entfernen, und nun zu Sicherheitslücke, wenn ich diese angepasste beziehungsweise zugeschnittene Datei dann unter dem selben Dateinamen abspeichere, ist. Wiederherstellung der Ursprungsdatei möglich. Das heißt, ich kann die weggeschnittenen Inhalte erneut darstellen. Das, natürlich unglücklich enden. Aufgefallen ist die Lücke da nach zuschneiden von Aufnahmen, die Dateien in der Größe unverändert gewesen sind. Google hat bereits ein Update zur Verfügung gestellt. In Windows funktioniert das wohl weiterhin. Es gibt einen kleinen Workaround. Ähm wenn ich die Datei unter einem anderen Namen abspeichere als den, den die Ursprungsdatei trägt, dann gibt’s die Sicherheitslücke nicht, oder ich kann bereits abgelegte Dateien einmal in Windows Paint öffnen und einfach nur mal abspeichern, dann ist die Sicherheitslücke auch behoben. Interessant, interessante Handgriffe, die da ähm erforderlich sind. Ich ich freue mich immer noch über diese kreative Namensfindung für diese Sicherheitslücke, da bin ich ein kleiner Freund von. Das freut mich immer. Genau mein Hum. Aus fast aus unserer Feder stammen können. Und einen guten Tag auf jeden Fall, ja. In der letzten Woche haben Laura und Heike ja über ein Urteil gesprochen, in dem ein Arbeitgeber aufgrund einer verspäteten eine Auskunft nach Artikel 1510.000 Euro Schadenersatz leisten musste, Interessant an der Entscheidung war, dass das Gericht bei der Bemessung des Schadens den Verzögerungszeitraum zugrunde gelegt, Und ähm wir haben jetzt in dieser Woche ein ähnliches Urteil mitgebracht. Das kommt vom Arbeitsgericht Dresden. Hintergrund war hier, dass eine Arbeitnehmerin von ihrem Arbeitgeber Auskunft nach Artikel 15 verlangt hat und eine nicht vollständige Auskunft erhalten hat, Der Arbeitgeber hatte versäumt, das Gesundheitsamt als Empfänger anzugeben. Das Gesundheitsamt war Empfänger, weil es im Zuge des Infektionsschutzgesetzes Angaben über den Impfstatus der Beschäftigten erhalten. Für diese unvollständige Beaufkünftung wurden der Betroffenen ein Schadenersatz in Höhe von 1.500 Euro zugesprochen, weitere 1000 Euro kamen noch dazu aufgrund der Verzögerung der Bauauskünftung, wobei auch hier das Gericht sich am Zeitrahmen dieser Verspätung orientiert hat, Ja ich würde sagen zwei Fälle direkt hintereinander. Es sind jetzt noch nicht State of the Art, aber ist eine ganz interessante und wie ich finde auch nachvollziehbare Einschätzung und Entwicklung. Ich ich kann meine meine meine letzte Aussage fast schon wiederholen. Das zeigt, wie wichtig es eigentlich ist, die Dinge ernst zu nehmen und zu gucken, wo welche Daten gespeichert haben und warum ich welche Daten, wo ihr nur auch übermittel. Dementsprechend dann natürlich auch den Rechten der betroffenen Person auch nachkommen kann und auch da sicher stelle es jederzeit tun zu können, In meiner nächsten Meldung, ich hatte es schon gesagt, die darf natürlich nicht fehlen. Diesmal gibt’s die sogenannte Go Anyweather, durch die russische Bande CL null P, nennen wir sie über 130 Unternehmen, äh darunter ein der größte Gesundheitsanbieter in den USA, Community hält der Services äh sind da betroffen bei letztgenannten Unternehmen sind allein eine Million Patientendaten betroffen, die dort abgegriffen worden sind. Go anywhere ist ein unseres Wissens nach, international und vielleicht auch weniger in Deutschland eingesetzter Datenübertragungsdienst, also managed Fall, Trends für, kann dadurch mit diesem durchgeführt werden. Ähm konkret ist ja eine Sicherheitslücke im Administrationszugang ausgenutzt worden, ähm welche die Lösegeldforderungen in unbekannter Höhe nach sich zieht. Anbieter Fortschritte ähm hat auch schon gehandelt und eine, Version veröffentlicht, die ihr natürlich bittet zügig zu installieren. Vielleicht mal ein bisschen schauen, wer vielleicht da auch als Subarauftragsverarbeiter unterwegs ist. Vielleicht versteckt sich der Dienst ja noch im Hintergrund, auch wenn man ihn selber nicht nutzt. Auf jeden Fall. Ich sehe grade, dass das schon unsere letzte Meldung war und bevor wir jetzt irgendwo hingehen, Gregor ähm hast du ja noch den versprochenen Lesetipp. Genau, bevor wir irgendwo hingehen, ähm zumindest in so einem Fall dann ins Wochenende habe ich noch ein, und zwar ist ein neues Handbuch veröffentlicht worden, das sich insbesondere mit Cyberangriffen auf Unternehmen beschäftigt und zwar, Management von Cyberrisiken, also eigentlich ein Thema für die Geschäftsführung, Unternehmensleitung entworfen und entwickelt wurde das äh vom BSI in Zusammenhalt mit der Internet Security Aliens, und ähm hier zum Beispiel war ich ein Update gegeben, unter anderem entwickelt sich auch mit einem umfassenden, Unternehmenskultur, die Cyber halt Cybersicherheit jederzeit berücksichtigen sollte. Ganz interessant zu lesen, hat einen ganz guten Umfang und ist natürlich wie immer in unseren Shownotes verlinkt. Sehr gut, Gregor, vielen, vielen Dank. Und äh natürlich auch wieder vielen Dank an unsere treuen Zuhörerinnen und Zuhörer. Wie gewohnt wünschen wir Ihnen ein schönes Wochenende, wenn Sie uns schon heute am Freitag hören und wenn Sie uns erst am Montag auf dem Weg in die neue Arbeitswoche hören, dann wünschen wir Ihnen eine erfolgreiche Woche und einen guten Start in diese, Bis dahin alles Gute und bis zum nächsten Mal. Tschüss.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Das könnte Sie auch interessieren

    Cover Themenfolge NIS2 in aller Kürze - Stephan Auge

    NIS2-Pflichten für Unternehmen: Das musst du wissen – Stephan Auge im Datenschutz Talk

    Cover Michael Will

    Verwendung der Anrede nach dem EuGH-Urteil C-394/23 – Michael Will im Datenschutz Talk Podcast

    Cover Menschen, Bilder, Datenschutz - die große Datenschutz-Silvestershow 2024

    Menschen, Bilder, Datenschutz – die große Datenschutz-Silvestershow 2024

    Cover zur Themenfolge M365 Copilot

    Der M365 Copilot und Datenschutz – Friedhelm Peplowski im Datenschutz Talk