Laura Droschinski
Gregor Wortberg
Was ist in der KW 24 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
- Erste Etappe beim AI-Act: EU-Parlament stimmt gegen Echtzeit-Gesichtserkennung
- Spotify muss Millionenstrafe wegen mangelnder Auskunft bezahlen
- Italien gegen „wildes“ Telemarketing – hohes Bußgeld für Telekommunikationsunternehmen
- Medizinische Dienste von Niedersachen und Bremen Opfer von Cyber-Angriff
- Sicherheitslücke in Datenübertragungssoftware MOVEit
- Hamburger Datenschutzbehörde informiert: Google Street View Inhalte werden aktualisiert
- Irische Datenschutzbehörde blockiert Go Life von Google-KI Bard aufgrund von Datenschutzbedenken
- Schadensersatz aufgrund ungeregelter Privatnutzung betrieblicher IT (LAG Baden-Württemberg, Urteil vom 27.01.2023, Az. 12 Sa 56/21)
Empfehlungen & Lesetipps
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/Schadensersatz nach WhatsApp-Auswertung – Datenschutz News KW 24/2023
TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge: Also eher kein Movit mehr. Kein mehr. Was würde King Julian dazu sagen? Herzlich willkommen zum Datenschutztalk. Ihrem Podcast für die Themen Datenschutz und Informationssicherheit, einer weiteren Ausgabe unserer wöchentlichen Datenschutz-News. Heute ist der sechzehnte Juni zweitausenddreiundzwanzig und unser Redaktionsschluss war wie immer um zehn Uhr. Mein Name ist Laura Ohschinski und an meiner Seite begrüße ich heute Gregor Wortberg. Hallo Gregor. Hallo Laura. Schön, dass du da bist. Ich freue mich sehr. Ja natürlich, ich bin bereit für diese Woche. Du bist bereit für die Woche? Dann sag doch mal, was du so mitgebracht hast. Also viel mehr für die Nachrichten dieser Woche, weil die Woche ist ja schon rum, wir sind Freitag, es ist Podcastzeit. Ich habe mitgebracht, Neuigkeiten zum AI Act, dann ein neues Bußgeld aus Italien äh aus dem Kontext des Telemarketings. Mehrere Meldungen zu Google, äh unter anderem über Streetview hin bis zum KI Chapot Bart und Lesetipps. Also nur vier Themenpunkte heute von meiner Seite. Nur ist gut. Ich glaube, wir kriegen trotzdem die Zeit wieder ganz gut voll, denn ich habe Informationen mitgebracht zu einem Millionen-Bußgeld für Spotify. Dann, Weiteres zu einer größeren internationalen Sicherheitslücke und ein ganz interessantes Urteil, zwar schon aus Anfang des Jahres, aber zum Thema Auswertung von WhatsApp betrieblichen Geräten und am Ende habe ich auch, stimmt noch einen Lesetipp fürs Wochenende mitgebracht. Deshalb lasst uns keine Zeit verlieren, startet doch mal AI Act, es geht weiter. Genau, es hat eine neue Entwicklung gegeben in dieser Woche, Und zwar äh hat das EU-Parlament seine Position ähm bezüglich des also die Verordnung, welche die Anwendung von künstlicher Intelligenz regeln soll. Bekannt gegeben, beziehungsweise sie haben sich auf eine Position geeinigt, sagen wir es mal vielmehr so, um den ganzen Sachen jetzt einen Sinn zu geben. Ähm mit breiter Mehrheit zwar aber Im Zug der Plenumsdiskussion gab es insbesondere um die biometrische Echtzeitüberwachung ähm beispielsweise am Bahnhofen kontroverse Diskussionen. Äh die EVB-Fraktion, zu welcher und da mal auch die CDU CSU gehören, ähm wollte mit einem Änderungsantrag da kurzfristig noch paar Ausnahmen reinbringen, ähm die es doch ermöglichen sollen, ähm ohne Erfolg. Ähm somit steht jetzt erstmal am Ende die Position des EU-Parlaments, ähm dass diese Echtzeitüberwachung am Ende dann doch verboten werden soll beziehungsweise der Einsatz mit ähm Richtervorbehalt möglich sein kann. Jedoch, da muss man auch drauf hinweisen, es ist erstmal nur ein Etappenziel, da es ein Positionspapier ist und die Verhandlungen mit den Regierungschefs und Chefinnen der Länder noch ausstehen und die Thematik somit noch gar nicht so wirklich vom Tisch ist und das Ganze auch in Zukunft, Noch kommen kann, noch umgesetzt werden kann. Man kann aber durchaus schon mal von einem Etappenziel sprechen, von einem Achtungserfolg, weil es halt eine breite Mehrheit gegeben hat. Ziel des AI Act, das ist natürlich jetzt nicht nur die Regelung ähm im Hinblick auf die Gesichtserkennung, sondern natürlich auch weitere KI-Systeme. Und Kehren soll eigentlich eine Einteilung ähm von KI in Risikoklassen mit entsprechenden Auflagen sein. Eine Klassifizierung von Menschen nach sozialem Verhalten oder ethnischem Merkmalen KI soll nicht möglich sein und da soll auch noch drauf geachtet werden, dass jetzt auch die KI nicht im Vorfeld von Wahlen zum Beispiel eingesetzt werden können, um diese dann zu manipulieren. Für weitere Details möchte ich gerne auf unsere Themenfolge zur europäischen Datenschutzstrategie mit Maximilian Herrmann verweisen, welche das Die ganze Thematik und auch noch weitere Verordnungen sehr gut aufarbeitet. Ja, dem kann ich mich nur anschließen. Ich finde das wieder eine schöne Folge geworden mit Maximilian Herrmann, klar nicht von gestern, aber ähm ich weiß gar nicht, wann haben wir sie veröffentlicht? Egal, auf unserer Seite Micosenz DE findet man ja alle unsere Themenfolgen auch noch mal und ja, wie gesagt, schöner Abriss der europäischen Datenstrategie darin auf jeden Fall. Also sei noch mal ans Herz gelegt, wer noch nicht reingehört hat. Oder sind wir’s nochmal auffrischen möchte, Meine erste Nachricht kommt ja aus Schweden und zwar gab es einen Bußgeldbescheid für den schwedischen Streaminganbieter Spotify in Höhe von fast 5 Millionen Euro Bußgeld. Wenn genau zu sein, achtundzwanzig, Quatsch, das ist gelogen, 58 Millionen schwedisch Kron. So. Vorangegangen waren mehrere Beschwerden von Betroffenen, die dann die Untersuchung auslösten Die Behörde stellte Mängel beim Thema Auskunftsansprüche fest, da diese nicht vollumfänglich erteilt wurden. Beispielsweise waren die Zwecke der Verarbeitung regelmäßig nicht Teil der Auskunft. Ebenso wie die Kategorien von personenbezogenen Daten, die Kategorien von Empfängern und die Dauer der Verarbeitung. Auch, zu angemessenen Sicherheitsvorkehrungen bei der Übermittlung personenbezogener Daten an Drittländern waren regelmäßig nicht vorhanden. Ebenso ist die mangelnde Verständlichkeit der Information gemäß Artikel fünfzehn, DSGVO von der Behörde bemängelt worden, da durch Spotify im Zeitraum von Juni 219 bis Mai zweitausendzweiundzwanzig, standardmäßig die Beschreibung der Daten in den technischen Lockdateien ausschließlich in Englisch, in Englischer Sprache bereitgestellt wurden. Also das war oder das war für die Behörde nicht ausreichend, dass sich halt eben hier nur auf eine Sprache, wurde. Aufgrund des europaweiten Streamings äh oder der Streaming Möglichkeit und das, des Dienstes wurde das Verfahren für die Zusammenarbeit und Kohleranz gestartet und somit alle Datenschutzbehörden in der EU auch hier mit einbezogen. Interessant bei der Sache ist noch, äh dass die Beschwerden bereits im Jahr 2019 an die schwedische Aufsichtsbehörde adressiert wurden. Jetzt kann man sagen, okay, dauert jetzt wahrscheinlich ein bisschen länger, wenn alle Datenschutzbehörden daran beteiligt sind, aber aufgrund der langen Bearbeitungszeit reichten die Datenschutz von Neub und Österreich im Juni letzten Jahres vor dem schwedischen Gericht eine Klage ein gegen die Aufsichtsbehörde in Schweden wegen Untätigkeit. Bisher ist in mehreren Instanzen den Datenschutzaktivisten Recht gegeben worden. Muss aber sagen, die finale Entscheidung hier steht noch aus. Da sieht mittlerweile bereits beim obersten Verwaltungsgericht in Schweden anhängig ist. Na ja, vielleicht jetzt so ein bisschen der Grund, weshalb der Bußgeldbescheid jetzt auch endlich zugestellt wurde, um das da vielleicht Beschleunigung reinzubringen. Aber ich glaube, diese 5 Millionen Euro, ich habe kein Gefühl dafür, was hast du? Tut’s Spotify weh? Müssten wir mal in den Eck fragen. Wahrscheinlich nicht. Ja. Ja, aber für den Rahmen dieses Auskunftsanspruchs oder dem Nicht-Einhalten des Auskunftsanspruches ähm ja, ist das glaube ich schon eine ganz ordentliche Höhe. Wie sieht denn so ein Auskunftsersuchen aus? Ist das denn das Spotify Jahresrückblick? Oder? Wahrscheinlich deshalb fehlen die ganzen Daten. Ja. Sollte reichen. So und die Italiener geben Gas haben wir schon gesagt, in der Redaktionssitzung, die sind on fire. Die Italiener geben Gas, Sinn on Fire äh sehr aktiv und schaffen’s auch diese Woche in unserem Podcast, auch in dieser Woche wieder mit einem Bußgeld, dieses Mal gegen das Telekommunikationsunternehmen Tim in Höhe von ordentlichen 7,6 Millionen Euro, also wieder kein Betrag in Bezug auf die letzte Meldung beziehungsweise auf die Meldung unserer letzten Ausgabe, ähm in welcher wir auch schon über diese Datenschutz Razzia in Italien berichtet haben, ist auch dieses im Kontext, unerlaubten Tine Marketing ausgesprochen worden und äh das ist insbesondere auf das On Fire sein, wie du so schön gesagt hast, von der italienischen Aufsichtsbehörde zurückzuführen, weil die sich diesem Problem äh anscheinend jetzt schwerpunktmäßig annehmen. Wir haben auch einen Rundumschlag gemacht würde ich sagen. Die haben mal äh jede Ecke abgegriffen, die man da so machen kann, um ein Bußgeld zu bekommen. Erstmal ähm haben sie in der Vergangenheit auch schon häufiger Bußgelder erhalten und anscheinend nicht so wirklich draus gelernt und es hat im Durchschnitt, Bis zu drei Beschwerden betroffener Person pro Arbeitstag gegeben. Das muss man auch erst mal schaffen. Das ist schon eine Leistung. Also wenn man da nicht in den Fokus gerät, weiß ich auch nicht, Fokus äh stehen da natürlich die Beschwerden über unerwünschte Werbeanrufe, über Wochen mit bis zu fünf Kontaktversuchen pro Tag, und das obwohl keine Einwilligung vorlag oder betroffene Personen sogar in öffentlichen Opt-out-Listen eingetragen waren oder sogar ein Werbeviderspruch durchgeführt haben. Darüber hinaus äh wurden Betroffenenanfragen nicht oder verspätet beantwortet und sportlich finde ich’s auch eine öffentlich einsehbare Liste mit Telefonnummern für betroffene Personen und auch nur direkt veröffentlicht. Auch schön. Man gönnt sich ja sonst nix. Sagt man ja, glaube ich. Fast schon Schnapper, die 7,6 Millionen. Echt ordentlich. Ja, finde ich auch. Weiter geht’s, eine Sicherheitslücke bei der weltweit eingesetzten Datenübertragungssoftware Movit hat bereits für Unternehmen in 40 Ländern gravierende Folgen. Vermutungen ähm des nationalen Bundesamts für Sicherheit in der Informationstechnik nach, sind in Deutschland bereits über 100 Unternehmen betroffen, die mit Datenabflüssen und den damit nun eingehenden Erpressungsversuchen der Kriminellen zu kämpfen haben. Die Gruppierung, die sich die Renson Wear-Attacken. Auf die Fahne schreibt, kann man das so sagen? Was so in der Privaterie so ist, droht nun im Darknet mit der Veröffentlichung der Daten, wenn bis Mitte Juni, ich glaube, die Frist war gestern, keine Kontaktaufnahme durch die betroffenen Unternehmen erfolgt. Ähm neben internationalen Opfern wie die BBC oder British Airways sind hierzulande unter anderem die Regionalverbände der betroffen. Hier jedoch ähm ist bereits bekannt geworden, dass nach forensischen Untersuchungen wenigstens kein Abfluss von Sozialdaten nachgewiesen werden konnten Zwar haben sie große Probleme eben aufgrund der Verschlüsselung der Daten, aber wenigstens das scheint wohl nicht der Fall zu sein. US-Amerikanischen und die britischen Cybersicherheitsbehörden waren ebenfalls vor der Lücke und, Warum ist es so gravierend? Also move it gibt’s selber an, ähm dass sie viel im Gesundheits- und Versicherungswesen aktiv sind, im Finanzdienst Sektor, in der Pharmaindustrie und äh ja zur Erfüllung von Daten. Datentegritätsverpflichtung, Prüf- und Datenschutzverpflichtung. Der Anbieter hat zwar bereits Patches veröffentlicht, arbeitet aber an weitere und ähm jetzt muss man schon sagen, dass der äh Hersteller der Software ähm weiterhin dazu rät, dass direkt abzuschalten, also dass der HTTP und HTCPS-Datenverkehr ähm zu Move Transfer eben unterbrochen wird, aktiv durch die Unternehmen, also, wohl noch keine abschließende Lösung in Sicht seiten des Herstellers. Also eher kein Move it mehr. Kein mehr. Was würde King Julian dazu sagen? Richtig. Weiter geht’s. Ja, was weiter geht’s? In dem ist nichts hinzuzufügen, ja. Ähm eine kleine Servicemeldung habe ich mitgebracht unsererseits, so würde ich’s mal formulieren. Die Servicemeldung kam eigentlich auch schon von der Hamburger Datenschutzbehörde. Die informiert nämlich darüber, dass Google Streetview bald wieder aktualisiert wird und Google ähm seine Autos durch die deutschen Städte schickt um die Bilddaten zu aktualisieren. Die sind nämlich schon zehn Jahre alt. Und im letzten Jahr hatten wir schon darüber berichtet, dass Apple das auch schon getan hat ähm und seinen Kartendienst aktualisiert hat. Auch da, auch bei Google ähm gibt’s wieder Widerspruchsmöglichkeiten, die können direkt bei Google eingegeben werden, also dass man da seine Häuserfront verpixelt oder wenn man selber dann doch sich findet auf der Straße, äh dass man da eine Verbixung dann auch noch, über den übers Gesicht hinaus äh glaube ich anstreben kann, weil das ist ja standardmäßig verpixelt. Wenn ich mich da rechtlich dran erinner. Hast du nicht letztes Jahr unsere Zuhörerinnen und Zuhörer dazu aufgerufen dich bei Apple zu suchen? War da nicht mal was? War was. Ich hab’s äh vorhin auch nochmal für mich selber mal gesucht, weil ich kenne die Stelle ja, aber ich habe mich nicht gefunden. Anscheinend hat’s mein ich habe heute leider kein Foto für mich. Ich hab’s nicht geschafft, Ich mache weiter mit Google würde ich sagen, weil nebengegen Scooter Streetview äh gibt’s auch noch ein paar neue Entwicklungen und zwar zum KI Chat also quasi dem Konkurrenzangebot zu Chad GPT von Google und zwar hatte Google die DPC, also die Datenschutzaufsichtsbehörde in Irland, kurz sich darüber informiert, Google bat dann, zu veröffentlichen und auch in Europa an den Start zu bringen, ähm die Aufsichtsbehörde stellt sich da aber erstmal quer und so ein kleiner Schoßstopper, weil, bis zu diesem Zeitpunkt ist weder ein detailliertes Briefing noch eine Datenschutzfolgeabschätzung oder unterstützende Unterlagen, ähm gegeben hat, die ihm wieder DBC vorgelegen hätten und ähm da ist noch nicht so wirklich klar, äh wie Google es denn sicherstellen möchte, ähm die europäischen Datenschutzvorschriften überhaupt einzuhalten. Dementsprechend verzögert sich da die Veröffentlichung im europäischen Raum, weil mit Mai hat Google Bart in über 180 Ländern schon an den Start gebracht, nur, Die EU fehlt, also die EU-Staaten fehlen, dem Heisebericht zufolge, will Google erst die Verhandlungen über die KI-Verordnung abwarten, über die wir ja auch gerade schon berichtet haben. Interessant und ja fast schon kurios ist damit in dem Zusammenhang auch dann die, Weitere Meldung von Heise, dass Google wohl seine eigenen Beschäftigten vor der Nutzung vom Bad gewahrt haben soll, Und zwar in einem Datenschutzhinweis für Beschäftigte heißt es wohl, dass keine vertraulichen oder sensiblen Informationen im Bad eingefügt werden sollten. Zum einen könnten menschliche Prüfer die Eingaben in Chatbots als oder lesen. Andererseits Das ist ja so die bekannte Problematik. Hätten Vorschläge auch, haben Forscher ja auch herausgefunden, dass KI während des Trainings aufgenommene Daten republizieren, Faszie auch ebenfalls ein Risikosicherheitsrisiko darstellt. Schafft Vertrauen, wenn Google das schon vom eigenen System warnt. Anscheinend haben sie unseren Podcast gehört, weil so ist ja auch unsere, lautet ja auch unsere Empfehlung den eigenen Mitarbeitern bloß immer zu sagen, da keine sensiblen Daten einzuspeisen in diese. KI-Softwaremöglichkeiten. Ich habe als Nächstes mitgebracht ein Urteil, das bereits vom 27. Januar diesen Jahres ist. Ähm das ist auch unser Titelthema. Es geht um Schadensersatz aufgrund ungeregelter Privatnutzung, IT und an der Stelle ähm ja vielleicht einen herzlichen Dank an äh Stiftung Datenschutz und unseren lieben Datenschutzkollegen Stefan Hessel, die das Thema in dieser Woche aufgegriffen haben und ähm deshalb nehmen wir’s auch einfach nochmal mit. Und zwar ähm geht es oder in einem Kündigungsschutzprozess hat das Landesarbeitsgericht Baden-Württemberg festgestellt, kein ausdrückliches Verbot zu Privatnutzung der betrieblichen IT dazu führt, dass die Beschäftigten von einer Erlaubnis zu Privatnutzung ausgehen können. In Folge dessen darf laut des Gerichts keine verdeckte, verdachtsunabhängige Kontrolle von Inhalten erfolgen im vorliegenden Gerichtsverfahren wurden seitens eines Arbeitgebers verdeckt Auswertung von WhatsApp-Nachrichten vorgenommen, sodass auf Grundlage der Begründung, Betroffenen ein Schmerzensgeldanspruch in Höhe von 3000 Euro zugesprochen wurde. Gericht verweist hierbei auf den Verstoß der datenschutzrechtlichen Vorschriften gemäß Artikel zweiundachtzig. Absatz eins DSGVO und sieht Auswertung von Kommunikation im Fall der Privatnutzung, einer. Eine verschärfte Verhältnis, Verhältnismäßigkeitsprüfung im Vorfeld als erforderlich an. Ebenso führten nun die unverhältnismäßigen zu einem Beweisverwertungsverbot in diesem Kündigungsschutzprozess. Der Beschäftigte ist laut Gericht vor Kontrollen zu informieren, um ihm die Gelegenheit zu geben, beispielsweise private Nachrichten für einen Saal Einsicht zu schützen und diese eben gesondert abzulegen in Bereiche, wo eben der Arbeitgeber keine Zugriffsmöglichkeiten hat, das Urteil ist durchaus nachvollziehbar, da die private Nutzung betrieblicher IT weitestgehend auch mit Blick auf das Fernmeldegeheimnis von Datenschützern und Behörden ja kritisch gesehen wird, Ich finde, umso wichtiger ist es, sich als Unternehmen mit dem Thema auch aktiv zu beschäftigen und auch den Mitarbeitern klare Informationen oder ja, ich sage jetzt mal Spielregeln mit an die Hand zu geben und so Dinge halt eben nicht unausgesprochen zu lassen. So, kommen wir zu den Lesertyps Gregor. Ja genau, die machen wir auch noch zum Abschluss. Äh die dürfen natürlich auch in dieser Woche nicht fehlen und äh zwar das Bundesministerium für Digitales und Verkehr hat einen vor Entwurf zum Einbindungsmanagement vorgelegt. Damit sollen, insbesondere die Anforderungen an eine nutzerfreundliche und wettbewerbskonforme Cookiesetung klargestellt werden. Grundlage für die Verordnung ist, Paragraph sechsundzwanzig Absatz 2 TTDSG. Ja, auf der Webseite des Ministerium heißt es, dass durch die Einbindung sogenannter anerkannte Dienste zur Einbindungsverwaltung Nutzerfreundliche, Wettbewerbskonforme Verfahren zu, Holung und Verwaltung der erforderlichen Einwilligung geschaffen werden sollen und deswegen ist das Ministerium auch an Feedback interessiert und bittet um Stellungnahmen bis zum 14. Julei bezüglich, des Entwurfes. Ja, schön, dass immer schön, wenn man sich aktiv beteiligen kann. Absolut. Und dann habe ich noch eine kleine, Information am Rande, wer die Unterbrechung des eigenen IT-Betriebs minimieren möchte und sich mit dem Business ContinuTeam Management befasst aktuell, oder auch so grundsätzlich, dem sei eine Aktualisierung vom BSI ans Herz gelegt und die haben im Laufe der Woche im Rahmen ihres, IT-Grundschutztages den finalen BSI-Standard 2hundert Strich vier ähm zum BCM vorgestellt und den packen wir hier auch in die Shownotes, damit man ja ein etwaiges Notfallmanagement mit dieser fundierten Hilfestellung gut aufstellen kann. Kann nicht schaden. Kann nicht schaden, genau. Kann nicht schaden jetzt auch ins Wochenende zu gehen, Rego, oder? Liebe Zuhörerinnen und Zuhörern, wir danken ihnen natürlich äh wieder für ihre äh dass sie unsere Folge wieder gehört haben. Lieber Gregor, danke dir für deine Unterstützung. Sagt wie immer sehr viel Spaß gemacht. Wie immer ähm verweisen wir natürlich gerne auf unsere Social Media Kanäle oder auch auf unsere eigene Homepage Informationen zu uns finden, aber natürlich auch alle Folgen und wir uns über jeden Kommentar freuen. Mir bleibt nichts mehr als ihnen ein schönes Wochenende zu wünschen, dir auch Gregor. Danke dir auch. Und bis zum nächsten Mal, tschüss.
