Neuer Anlauf für Beschäftigtendatenschutz – DS News KW 15/2023

Moderation:

Was ist in der KW 15 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Die Datenschutz News jetzt auch bei Youtube verfügbar
• DSK steigt in den Diskurs über ChatGPT ein
• Tesla-Aufnahmen dienen jahrelang der Erheiterung von Tesla-Beschäftigten
• EDSA will Streit über Transfers von Meta lösen
• Pläne für Anpassung des Beschäftigtendatenschutzes
• Datenleck bei Mastodon
• BIOS-Lücken in Lenovo-Laptops

Empfehlungen & Lesetipps

• Ringvorlesung Hochschule Bochum
• LfDi BaWü veröffentlicht FAQ für Schwerbehindertenvertretungen

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/neuer-anlauf-beschaftigtendatenschutz-ds-news-kw-15-2023

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Ich bin fertig. Du bist fertig. Wir laufen auch schon. Das ist ein gut. Das nenne ich Timing. Ja. Herzlich willkommen zum Datenschutztalk. Ihrem Podcast für die Themen Datenschutz und Informationssicherheit. Ist Freitag, der 14. April 2023 und wir starten wieder gemeinsam mit Ihnen ins Wochenende und das natürlich nicht ohne einen Blick zurück auf die Woche des Datenschutzes zu werfen. Wir sind in dem heutigen Fall, meine Wenigkeit, Heiko Gossen und bei mir begrüße ich recht herzlich. David Schmidt grüß dich Chef. Hallo David. Ja, wir haben heute wieder das Vergnügen, auf eine Reihe von Themen zu schauen. Unser Redaktionsschluss war, wie sie das von uns gewohnt sind, natürlich um zehn Uhr. Und wir gucken mal, was wir heute dabei haben. David, wie sieht’s bei dir aus? Was ist äh auf deinem Zettel? Ich äh wage mal einen Rundumblick auf die neuesten Entwicklungen zu ChadGBT. Dann möchte ich kurz sprechen über den EDP und Meta. Da habe ich noch eine Sicherheitslücke mitgebracht beim Mastodon und einen interessanten Veranstaltungstipp. Wie sieht’s bei dir aus Heiko? Ich hätte auch eine Sicherheitslücke in Lenovo Laptops, dann, wir auf unser Titelthema, nämlich die Pläne für die Anpassung des Beschäftigten Datenschutzes und wir wundern uns ein wenig über die Tesla versprechen und das, was die Mitarbeitenden daraus machen. Und damit, glaube ich, haben wir wieder einen schönen, bunten Mix, oder? So sieht’s aus. Bevor wir aber starten, vielleicht für alle, die äh bisher schon mal in der Vergangenheit uns vermisst haben auf YouTube mit den News, wollte ich gerne hier nochmal platzieren für alle, die gerne auch auf YouTube unterwegs sind und die das vielleicht da lieber hören oder besser abonnieren können. Als in ihrem Podcatcher denen sei natürlich auch der Tipp mal gegeben, wir sind mit unseren Datenschutznews auch jede Woche auf YouTube zu finden. Den Link zu den äh zu der Playlist packen wir hier auch mal in die Show Notes rein oder wer vielleicht auch Leute kennt, die weniger aber mehr YouTube hören und auch an Datenschutzthemen interessiert sind. Die äh da freuen wir uns natürlich auch über jede Empfehlung und äh Hinweis darauf, dass wir auch auf YouTube zu finden sind mit unseren Datenschutznews. Die äh Abrufe, also wir sind ja seit einigen Wochen, wenigen Wochen. Ähm die Abrufe halten sie im Moment noch in Grenzen, aber jetzt nach diesem Hinweis und nachdem allemal ihre direkten Kontakte darüber informiert haben, denke ich, werden die auch nach oben schießen. Ja das wird durch die Decke gehen. Ich denke auch, da wird werden YouTube zum Glühen bringen. Und nicht vergessen, ne, Kanal abonnieren, Glocke und haste nicht gesehen und hier oben links und unten rechts und ich kenne mich nämlich nicht aus, aber ich glaube, die Zuhörenden, die das nutzen, die werden das wahrscheinlich wissen. Sollten das kennen. Ja, okay. Gut. So, jetzt aber. Eher äh durch die Decke gehen ist schon ein super Stichwort, denn Tschübity geht weiterhin durch die Decke und äh jetzt kommt auch ordentlich Druck auf den Kessel, was den Datenschutz angeht. Denn jetzt hat auch die DSK angekündigt, sich zu dem Thema abstimmen zu wollen und eine Bewertung durchzuführen. Zuerst werden hier aber noch erforderliche Informationen gesammelt und dafür wurde auch schon ähm Hersteller Open AI, kontaktiert. Ein wenig weiter ist ja schon die Datenschutzbehörde in Italien. Wie wir letzte Woche berichtet haben, wurde dort bis auf Weiteres gesperrt Und in dieser Woche ist öffentlich geworden das Open Air Eye eine frist gesetzt wurde durch die italienische Datenschutzaufsicht diese läuft bis zum 30 vier, und damit TschegBT in Italien wieder verfügbar gemacht wird, muss Open Air innerhalb dieser Frist einen Katalog an konkreten Maßnahmen ergreifen. Im Wesentlichen sollen Infos bereitgestellt werden, wie den Pflichten aus der DSGVO nachgekommen wird. Äh zusätzlich soll Open Air Eye bis zum 15. Mai eine Informationskampagne in Radiofernsehen, Zeitung und Internet durchführen, um die Bürgerinnen und Bürger in Italien über die Verwendung ihrer persönlichen Daten für Trainingsalgorithmen zu informieren. Ganz äh kreative Maßnahme, finde ich. Ja, also Informationskampagne, es klingt ja nach teuren Werbespots äh zusätzlich, also. Mal gucken, welcher Promi dafür eingekauft wird. Ja, genau. Ich hätte noch ein bisschen, ich hätte noch ein bisschen Luft am Wochenende, also nur nur so kleiner Tipp. Ja und der EDP hat jetzt auch Stellung bezogen zu den diesen italienischen Maßnahmen. Grundsätzlich äh werden diese Untersuchungen ähm begrüßt und der DPB hat jetzt auch beschlossen, eine Task Force innerhalb, Das EDPB zu gründen, mit dem Ziel, die Zusammenarbeit der Behörden zu fördern, Informationen auszutauschen und mögliche gemeinsame Durchsetzungsmaßnahmen im Rahmen von der Bewertung von Tschetsch GBT zu besprechen, und zuletzt gibt es auch in Kanada hierzu neue Entwicklungen. Dort will jetzt ebenso die Datenschutzbehörde, den Datenschutz bei Tschedschi BT unter die Lupe nehmen. Generell soll es um die Erhebung, Verwendung und Offenlegung, personenbezogener Daten, ohne Zustimmung. Ohne Zustimmung gehen und weitere Details sollen hier noch folgen. Also es bleibt auf jeden Fall hochgradig spannend, was da jetzt äh noch kommt, auch wenn jetzt tatsächlich hier der ETP sich mit beschäftigt, eine Task-Force. Bin ich echt gespannt. Ja, wenn es in dem Tempo weitergeht, dann können wir, glaube ich, eine neue Kategorie einführen, ähm zumindest vorrübergehend. Tschechibity. Nein, die kriegen kein eigenes Jingle. Apropos Kiwi äh er hat nur Schlange nicht mehr, ne? Ist ja auch äh äh AI also ist ja auch künstliche Intelligenz, also na ja anderes Thema und zwar Tesla, Mitarbeiter haben sensible Daten aus Kundenautos in privaten Chats zur eigenen Belustigung geteilt, Reuters letzte Woche schon berichtet hat in einem Interview mit oder mit Interviews mit neuen ehemaligen Beschäftigten haben sie herausgefunden, dass Tesla-Angestellte zum Spaß, Fotos und Videos aus den Kameras von Kundenfahrzeugen untereinander geteilt haben in entsprechenden Chats. Das Ganze soll seit 2019 bis mindestens 222 passiert sein. Und das Ganze, was halt dort geteilt war, waren sehr unterschiedlichste Videos und äh Bildmaterialien aus den Auto äh Kameras, sowohl Innenaufnahmen als auch Außenaufnahmen. Dort wurde zum Beispiel und das finde ich dann echt schon ziemlich krass, geteilt Unfälle und Zwischenfälle im Straßenverkehr, ein Crashvideo aus dem Jahr 20021 zeigt wohl ein Tester, der mit hoher Geschwindigkeit in ein Wohngebiet fuhr und dort ein Kind mit Fahrrad traf, also kollidierte und man halt äh sieht, wie wohl angeblich das Kind in die eine und das Fahrrad in die andere Richtung fliegt. Das ist natürlich schon nichts mehr, worüber man sie eigentlich lustig machen sollte. Deswegen finde ich’s schon ziemlich ähm ziemlich krass. Na ja, auf jeden Fall hat jetzt einen Tesla-Besitzer in Kalifornien, Henrie. In Kalifornien eine Sammelklage gegen den Autobauer eingereicht und laut dem Kläger, Es ist zwar möglich, dass man die Kameras entsprechend in den Teslas deaktivieren lässt von einer Fachkraft, aber dadurch natürlich wichtige Funktionen, die auch letztendlich im Mittelpunkt der äh Werbung stehen, nämlich äh Autopilotfunktionen zum Beispiel, Fahrassistenzsysteme nicht mehr verfügbar wären. Deswegen hat er, glaube ich, vielleicht ganz gute Chancen natürlich dann auch, unter Berücksichtigung des äh California Consumer Privacy Act, den wir ja auch seit einigen Jahren kennen, damit vielleicht sogar durchzukommen. Es ist zwar im Moment noch offen, ob das Bezirksgericht in Nordkalifornien die Klage annimmt, aber wie gesagt, ich könnte mir vorstellen, dass da schon ein bisschen ungemach für Tesla noch droht, wenn es da dazu kommen sollte, dass sie halt Schadensatz zahlen müssen an die Betroffenen. Ja, der Vermutung würde ich mich anschließen. Hätte ich einen Tesla und könnte ich mich dem anschließen, der Sammelklage, dann äh würde ich das wahrscheinlich tun. Ja, gerade in den USA, wo er so Schadensersatzzahlungen meistens recht üppig ausfallen im Vergleich zu den hiesigen zumindest. Wir bleiben in den USA, Zumindest so halb. Ähm es geht um die Verbindung zwischen USA und Europa und da wie so oft um den äh Datentransfer. Zusammenhang mit dem Streit zwischen Meter und der irischen Datenschutzbehörde wurde vor einiger Zeit der EDPB gemäß des in der DSGVO vorgesehenen Kohärenzverfahrens eingeschaltet, Streitpunkt ist hier wie gesagt immer noch die Rechtmäßigkeit von Datenübermittlung in die Vereinigten Staaten durch Meta Ioland. Federführende Behörde ist ähm deshalb die Behörde in Irland, alle Mitgliedsstaaten davon betroffen sind, haben auch andere Behörden ihre Aktien in der Sache und die Behörden waren sich hier untereinander in ihrer Bewertung nicht ganz einig, Genau für diese Fälle sieht die DSGVO das Kohärrenzverfahren vor mit dem Ziel zu einer einheitlichen Auslegung der Gesetze zu kommen, darf der EDP jetzt eine verbindliche Entscheidung treffen und, Genau das ist jetzt auch passiert. Die irische Behörde ist verpflichtet, sich nach dieser Maßgabe zu richten bei ihrem Erlass gegen Meter. Dazu hat sie einen Monat Zeit und äh dann werden auch die Details veröffentlicht. Über diese werden wir dann wahrscheinlich also in einer der nächsten Folgen sprechen. Ja, es lohnt sich wie immer, dranzubleiben hier bei uns. Es lohnt sich sicherlich auch, dranzubleiben und zu gucken, was jetzt bei den Plänen für die für Neues beschäftigten Datenschutz. Herauskommt. Die Bundesregierung möchte nämlich Beschäftigte zukünftig besser vor Überwachung schützen. Unternehmen klare Regelungen an die Hand geben. Dazu gibt es jetzt Vorschläge und beziehungsweise ein, vom Bundesministerium für Arbeit und vom äh Bundesministerium des Inneren in Kombination für ein neues Beschäftigten Datenschutzgesetz und der äh gesamte Gesetzesentwurf, der konkrete soll dann wohl bis zum Herbst vorliegen, also diesmal, zuletzt oft hatten von der Seitenlinie, von Gewerkschaften oder aus irgendwelchen Fraktionen heraus so einen Entwurf, sondern er kommt direkt von der Bundesregierung. Die Regelungen sollen nach dem Eckpunktepapier verständlich und handhabbar sein, insbesondere auch für kleine und mittlere Unternehmen, wohl ähm sehr. Greifbar. Das Ganze ist halt schon so ein bisschen thematisch auch strukturiert in diesem Papier und wir haben dort äh zum einen den Hinweis darauf, dass es natürlich für spezielle Anforderungen auch besondere Regelungen bedarf, wie zum Beispiel für Videoüberwachung, wo man halt spezifische Regelungen halt haben möchte, auch zu Fragen der künstlichen Intelligenz möchte man halt dort natürlich klar im Rahmen der unionsrechtlichen Regelungen, die ja zum AI Act sowieso wahrscheinlich ja demnächst kommen werden, Du erinnerst dich David, wir hatten eine Themenfolge dazu, haben wir darüber berichtet, äh wie da der aktuelle Stand ist, und äh da soll’s natürlich entsprechende Ergänzungen dann auch für Beschäftigtendaten äh geben. Dann soll es auch einen äh Kapitel zur ähm Sonnenschutz im Bewerbungsverfahren geben. Da will man insbesondere typische Fallgruppen um auch zu klären, welche Fragen gestellt werden dürfen in Beschäftigung im im Bewerbungsverfahren, also es geht so ein bisschen auch ins Arbeitsrecht hinein. Dann will man das ganze Thema Freiwilligkeit nochmal own gehen und da auch im Gegensatz zu den heutigen Regelungen etwas klarer, greifbar machen, wann überhaupt eine Einwilligung möglich ist im Beschäftigungsverhältnis, was auch ist, sind es mehr Rechtssicherheit bei der Datenverarbeitung in Konzernen, also insbesondere wenn man so Matrixstrukturen hat oder agile, Teams, die zusammenkommen aus verschiedenen Konzerngesellschaften oder aber auch so Fälle wie zum Beispiel, dass es eine zentrale Datenverarbeitung für Personaldaten in äh zum Beispiel in einer Konzerngesellschaft gibt. Das will man etwas klarer, Regeln und zum Thema bring your on device will man sich wohl auch ein paar Gedanken machen, inwieweit halt private und dienstliche Daten dann auf solchen Geräten getrennt werden müssen und das Thema tief rechtliche Regelungen, also Stichwort Betriebsvereinbarungen. Dem will man wohl auch noch einen Teil widmen. Das Ganze klingt erstmal ganz gut. Auch das Thema Interessenabwägung, das habe ich gerade geschlabbert, das will man auch noch ein bisschen handhaberbarer machen. Also hier sollen auch klare Kriterien aufgeführt werden, wann eine Datenverarbeitung erforderlich ist, vom Gedanken her zwar einerseits ganz gut, aber und ähm damit komme ich so ein bisschen zum Gesamtbild, was ich äh befürchte, ist natürlich, dass man jetzt hier viele sehr kleinteilige und abschließende Regelungen schafft, die vielleicht nicht wirklich alles berücksichtigen, was denn in der ähm auftaucht und gegebenenfalls nicht alle Anwendungsfälle wirklich damit nachher sauber, noch abdecken kann und legitimieren kann, aber wir werden sehen, das Ganze ist jetzt gerade erst mal in in der Anhörung auch bei Verbänden und ähm wird dann sicherlich, wie gesagt, hoffentlich ein bisschen, noch ähm zum Herbst hin dann klarer werden, wie die Regelungen genau aussehen sollen und, da, wie gesagt, lohnt es sich sicherlich hier bei uns dranzubleiben, weil wir werden natürlich, sobald uns da neue Erkenntnisse vorliegen, auch zu berichten. Das hört sich gut an. Ähm zwar auch noch viel Arbeit, erstmal für den Gesetzgeber und dann auch für alle, um den Datenschutz kümmern müssen und dann um die Umsetzung dieser neuen Regeln, wenn sie denn dann irgendwann mal kommen, ähm aber Bedarf haben wir, denke ich, auf jeden Fall und ich hoffe, dass es dann jetzt auch mal wirklich vorwärts geht mit den Beschäftigten Datenschutzgesetz. Ja wir wollen ja als Berater nicht arbeitslos werden, da ja noch. Da fällt mir jetzt keine Überleitung ein zur Arbeitslosigkeit, Ich mache einfach weiter und zwar mit einer neuen Sicherheitslücke, ähm bei Mastodon. Diese haben IT-Experten in der Serversoftware Mastodon entdeckt, mit der auch das gleichnamige soziale Netzwerk betrieben wird. Darin hätten Angreifer aufgrund fehlender Konfiguration bei der LDAP Authentifizierung also beim Login einzelne Nutzerinformationen auslesen können. Betroffen sind die Massedonversion ab zwei Punkt fünf in der in den neueren Versionen äh wurde diese Sicherheitslücke durch die Entwickler aber schon geschlossen. Administratoren einer Mastredonstanz sollten die aktualisierten Fassungen also zügig installieren, wenn das noch nicht geschehen ist. Da fällt mir doch ein, dass ich mir da auch mal einen Account gemacht habe. Das sollte ich vielleicht auch nochmal wieder reingucken. Ist auch schon wieder eine Weile her. Es äh nutzt du das, machst du Don? Ich nutze es tatsächlich nicht, ich benutze gar keine sozialen Netzwerke mehr außer YouTube, so dass man ja glaube ich auch mittlerweile als soziales Netzwerk definiert. Ja, kann man jetzt übrigens auch die Datenschutznews hören, nur falls du da auch mal vielleicht Interesse hast. Ich habe da was gehört, ja. Okay. Ja, Datenleck, ich hätte eine Sicherheitslücke und zwar in Bios von einigen Lenevolep sechs Sicherheitslücken in Bioscoach, im Systemfirmenwehr, ähm haben da letztendlich im Moment ein Problem, also die Sicherheitslücken haben das Problem, sondern die Besitzer solche Notebooks haben das Problem, weil und das ist so ein bisschen das ähm Kritische daran, die werden von Lenovovo als hoch eingestuft diese Sicherheitslücken. Es gibt aber nicht sehr viele Details darüber. Weil es gibt halt einfach nicht viel zu dazu, was Lenovo veröffentlicht hat, Man äh spricht wohl davon, dass es halt über einen nicht näher beschriebenen Weg Speicherfehler äh geben und auslösen kann und das kann natürlich auch dazu führen, dass man theoretisch darüber Schadcode ein bringt in den Rechner und das ähm ja was Linovo jetzt dazu angekündigt hat ist, dass es Sicherheitspatches im August geben soll, also man hat schon relativ klar den 8. August benannt. Was aber nicht im Moment klar ist, warum Lenovo so lange braucht, weil der schwere Grad halt der Sicherheitslücken, Eigentlich eine etwas schnellere Reaktion ähm erwarten lassen würde. Es ist noch eine von heiße Security eine Anfrage bei Linovo offen, also da hat man noch keine Antwort bekommen. Und wie man jetzt über einen Workaround sich gegebenenfalls schützen kann oder nicht, ist halt leider auch nicht klar. Das heißt also, da ist auf jeden Fall im Moment ein bisschen Obacht geboten. Wir werden den Link zu der Meldung von Lenovo natürlich auch mal in die Shownotes packen. Da kann man auf jeden Fall gucken, sein eigenes Gerät oder im Unternehmen die Geräte davon betroffen sind. Das sind äh verschiedene Modelle davon betroffen, unter anderem halt auch die Geräte äh die Yogageräte. Und da würde ich halt jedem raten, einfach mal reinzugucken und das vielleicht auch ein bisschen im Blick zu behalten, weil wie gesagt im Moment gibt’s halt leider keinen Workaround. Und das sind ja schon Geräte, die viele auch einsetzen. Die auch viel im Businesskontext eingesetzt werden, definitiv, ja. Dann ähm würde ich, wenn du keine Nachricht mehr hast, schon zu unseren äh Lese ähm Slash Veranstaltungstipps bringen wollen. Sehr gerne. Ich habe einen Veranstaltungstipp mitgebracht für den nächsten Donnerstag den 20. April, um siebzehn Uhr dreißig wird unser lieber Kollege Markus dann an der Hochschule Bochum über die Aufgabe und Rolle eines externen Datenschutzbeauftragten, referieren. Die Vorlesung ist Bestandteil der Studiengänge angewandte Informatik und, angewandte Informatik und Wirtschafts- und Industrieinformatik, Es sind aber alle interessierten herzlich willkommen. Also man muss kein Student sein, um dort zuhören zu dürfen. Ja, für alle, die vielleicht dann doch noch überlegen, nicht nur unseren Podcast zu hören, sondern sich auch als Datenschutzbeauftragte vielleicht noch ein bisschen weiterzuentwickeln. Es gibt ja auch viele, die uns hören, die daran interessiert sind, aber jetzt vielleicht nicht professionell in dem Bereich arbeiten. Vielleicht noch mal eine ganz gute Idee, um sich da ein bisschen, schlau zu machen, was sind so die Aufgaben des DSBs alles sind. Für den schönen Hinweis und. Wenn man nur hingeht, um sich ein Autogramm von Markus zu holen. Oder so. Aber jetzt müssen wir ihm noch irgendwie Autogrammkarten, glaube ich, besorgen jetzt nach der Ankündigung. Ich hätte einen Hinweis auf eine Veröffentlichung vom LFTI Baden-Württemberg und zwar hat man dort eine FAQ Seite veröffentlicht zu Fragen rund um das Thema Datenschutz bei Schwerbehindertenvertretungen. Und der LFD unterstützt damit natürlich dann entsprechende äh Arbeit bei den Schwerbehindertenvertretungen und möchte halt aufklären über bestimmte datenschutzrechtliche, Fragen und Grenzen, die es natürlich gibt, finde ich eigentlich eine ganz gute, also finde ich eine ganz gute Sache, nicht nur eigentlich, sondern auch tatsächlich, weil es werden halt schon relativ klare Antworten auch auf praxisrelevante Fragen gegeben, zum Beispiel führen einer Schwerbehindertendatei zulässig ist oder ob halt die Schwerbehindertenvertretung zur Erledigung ihrer Aufgaben immer eine Einwilligung der betroffenen Person braucht, bis hin zu der Frage inwieweit auch der betriebliche Datenschutzbeauftragte, die Arbeit der Schwerbehindertenvertretung kontrollieren darf. Das sind finde ich immer sehr gute Hilfestellungen, wenn man da halt auch klare Guidants und eine Einschätzung zu bekommt in der Praxis durchaus sehr hilfreich. David schüttelt den Kopf und hebt den Daumen, also das heißt, ich glaube, wir sind durch damit ähm würde ich mal dir ganz herzlich danken, David. Dank dir Heiko hat Spaß gemacht. Mir auch wie immer und wir hoffen Ihnen natürlich auch, wenn dem so ist, dann freuen wir uns natürlich jederzeit über positive Resonanz, auch durch zum Beispiel, Bewertungen auf den gängigen Plattformen, äh eine kleine Rezension. Auch da immer freuen wir uns sehr drüber. Von daher halten Sie sich nicht zurück, wenn’s Ihnen heute auch Spaß gemacht hat. Ansonsten auf jeden Fall schon mal ein schönes Wochenende für Sie und, Bleiben Sie uns gewogen. Auf bald.