Schweiz untersagt teilweise US-Clouds – DS News KW 48/2025

Transkript zur Folge:

Heute ist der 28. Ich glaube wir haben alles, was wir brauchen.
So lange wie sehr wir uns noch haben.
Uns und den Podcast und unsere Zuhörer. Dann sind wir zufrieden.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosense.
Wir begrüßen euch wieder zu unserem wöchentlichen Datenschutz-Rückblick.
Heute ist Freitag, der 28.
November 25. Es geht in großen Schritten auf den ersten Advent zu.
Ersten Advent zu, so.
Ja, mein Name ist Heiko Gossen.
Und ich bin Gregor Wortberg.
Ja, du konntest dich erinnern, sehr schön.
Hat einen Moment gedauert.
Ja. Ja, eine anstrengende Woche liegt hinter uns.
Also ich zumindest kann das sagen. Ich war ja die Woche jetzt beim Bitkom-Arbeitskreis
in Frankfurt. Haben wir schön 37.
Etage getagt. War sehr beeindruckend, aber auch spannende Themen.
Wir haben aber heute auch ein paar Themen mit dabei.
Und Gregor, was hast du mit auf dem Zettel?
Ich habe auch drei Themen mitgebracht, genau, Meta und WhatsApp.
Da ist es Sicherheitsforschern gelungen, massenhaft Daten abzugreifen.
Dann habe ich ein Bußgeld aus Frankreich, im Kontext des Einwilligungsmanagements
von Cookie Banner mitgebracht und es gibt mal wieder Neuigkeiten von der Europäischen
Union hinsichtlich der Chatkontrolle.
Darüber hinaus eine Veröffentlichung in dieser Woche von meiner Seite aus.
Ich schaue einmal in die Schweiz, wo die Dantus-Beauftragten dort ein umfassendes
Verbot der Hyperscaler beschlossen haben.
Dann hätte ich ein Urteil aus Berlin vom Kammergericht dort,
wo es um die Frage der Verantwortlichkeit zwischen einer Klinik und einem Arzt
geht und last but not least zwei Urteile.
Nein, eine Veröffentlichung und eine Veranstaltung.
Wollen wir ganz genau bleiben.
Wollen wir schon präzise sein, so wie wir das in unserer Arbeit ja auch gewohnt sind.
Gut, dann starte ich einfach mal rein.
Würde ich sagen. Feuer frei.
Feuer frei. Das haben sich wahrscheinlich auch irgendwie die Sicherheitsforscher
der Universität Wien und der österreichischen SBA Research gedacht,
um die schlechte Umüberleitung dann auch noch perfekt zu machen, auf jeden Fall.
Den ist es nämlich gelungen, Nutzerdaten von mehr als dreieinhalb Milliarden
Konten bei WhatsApp abzufangen und auch auszuwerten.
WhatsApp war nämlich lange Zeit massiv anfällig für die sogenannte Enumeration,
also das systematische Abfragen von Systemen, um unter anderem Daten wie Benutzernamen,
Hostnamen, Freigaben und so weiter und so fort zu erhalten.
Und das Ganze hat mit der Funktionsweise von WhatsApp nämlich zu tun,
denn WhatsApp prüft ja für Nutzer, ob Kontakte in deren Telefonbüchern auch
bei WhatsApp registriert sind und dafür werden dann die Telefonnummern aus dem
Adressbuch eben an den Server von Meta geschickt.
Und genau an dieser Stelle setzten die Forscher nämlich an und griffen Telefonnummern,
Nutzerdaten und so weiter ab.
Und genau diese Schnittstelle, wo die Daten dann ausgetauscht werden,
war eben nicht ausreichend geschützt.
Normalerweise soll das sogenannte Rate Limiting, also so ein Abfrage Limit an
die Server, Missbrauch verhindern und genau das hat nicht funktioniert.
Es kamen dann mehrere Sachen wieder zusammen und über die Kontaktabfrage war
es dann möglich, 100 Millionen Nummern pro Stunde abzurufen,
was dann insgesamt in dreieinhalb Milliarden aktiven Konten aus 245 Ländern
mündete, die in drei Runden zwischen Dezember 2024 und April 2025 abgerufen worden sind.
Also da sprechen die Forscher auch von der globalen Volkszählung von WhatsApp-Accounts,
die sie da gemacht haben.
Das ist schon fast ganz passend. Und dabei wurden zum Beispiel auch festgestellt,
dass WhatsApp auch in Ländern genutzt wird, wo es eigentlich verboten ist.
Also in China, Iran, Myanmar, Nordkorea. Da wurden dann auch...
Nutzende gefunden, was natürlich dann auch nochmal irgendwie für die Person
Risiko ist, weil die natürlich dann auch vielleicht auch durch staatliche Behörden
relativ leicht dann entdeckt worden hätten werden können, sagen wir es mal so.
Die gewonnenen Metadaten sind auch umfangreich.
Betroffen waren Profilbilder, About-Texte, also diese Statusmeldung,
die ich in WhatsApp einstellen kann, aber auch Geräteinformationen,
also zum Beispiel, ob ich ein Android- oder ein Apple-Smartphone nutze.
Profilbilder natürlich und Bautexte nur, sofern sie öffentlich verfügbar waren.
Also abhängig von den Privatsphäreinstellungen der Nutzer. Aber genau darüber
gibt es dann wiederum interessante Statistiken.
Also weltweit haben 57 Prozent aller Nutzer ein öffentlich sichtbares Profilbild.
In Deutschland sind es 51 Prozent.
Überraschende Zahl eigentlich, 51 Prozent. Also die Hälfte, kann man ja so sagen,
die da vielleicht jetzt mal nachziehen könnten. Kleine Motivation am Rande.
Und zum Beispiel auch Accounts pro Kopf. In Südamerika haben 95 Prozent der
Bürger WhatsApp, in Europa gute
80 Prozent und in Deutschland sind 74,5 Millionen Accounts registriert.
Darin sind auch Business Accounts natürlich inbegriffen und auch wenn User mehrere
Accounts haben, aber schon erstaunliche Zahlen,
die da weitreichende Einblicke in die Nutzerbasis natürlich bieten,
auch wenn die Kommunikation an sich dann Ende zu Ende verschlüsselt sind.
Und ein kleiner Funfact am Rande noch, also fast 60% der Telefonnummern,
die 2021 vom Facebook-League betroffen sind, sind auch weiterhin auf WhatsApp aktiv.
Damals wurden ja 488 Millionen Rufnummern bei Facebook dann gescrapt.
Die gute Nachricht, die Sicherheitslücke ist behoben.
Zunächst reagierte Meta laut Heise wiederholt nicht auf Warnhinweise der Sicherheitsforscher.
Erst nachdem sie wiederholt den Studienentwurf zugesendet haben,
hat man sich da wohl mal bewegt und jetzt zu geäußert und seinen Dank an die
Sicherheitsforscher ausgedrückt.
Und die Studie sei entscheidend gewesen bei der Entwicklung von Antiscraping-Systemen,
an denen wohl aber auch schon bereits vorher gearbeitet wurde.
Und die neuen Maßnahmen, die jeder jetzt getroffen hat, sind auch wirksam.
Es wurde auch nochmal darauf hingewiesen, dass ja die Kommunikation nicht betroffen
sei, eben wegen der Verschlüsselung, aber wenn man dann sieht,
und das waren ja jetzt nur Zahlen und Eckdaten, die ich da genannt habe,
die Studie ist da wesentlich umfangreicher, was man da schon für Informationen raussehen kann,
ist das dann nice to know, aber es macht das Leak jetzt nicht kleiner,
finde ich, als es dann tatsächlich ist.
Ja, krasse Geschichte, weil zum einen wird, glaube ich, mal wieder deutlich,
wie groß das Risiko auch für die Schäden, also Datenschutzrisiken auch tatsächlich
zu Gefahr für Leib und Leben führen können.
Wenn man feststellt, Menschen nutzen das dürften es vielleicht laut dem eigenen
Landesrecht, aber eigentlich gar nicht.
Das ist nochmal ein schönes Beispiel dafür.
Und ich sehe auf der anderen Seite ja auch schon wieder die großen Verfahren,
dann Massenverfahren, wo alle versuchen dann irgendwie wieder Bußgeld,
Schadensersatz geltend zu machen.
Also von daher, ja, es bleibt auch dafür Meta, glaube ich, weiterhin eine bewegende
Zeit, wenn man sich solche Lücken leistet.
Ja, für Interessierte, wir verlinken es natürlich in den Shownotes und schaut
gerne mal rein, wenn ihr da einen näheren Blick drauf haben möchtet.
Dann machen wir weiter mit der Schweiz. Die Schweizer Datenschutzbeauftragten
haben am Montag ein umfassendes Verbot internationaler Hyperscaler für Behörden
beschlossen. Privat im...
Wie das DSK-Pendant in der Schweiz heißt, hat diese Woche in Bern ein faktisches
Verbot der Nutzung internationaler Cloud-Dienste für eidgenössische Behörden erlassen.
In der Resolution hat die Konferenz der Schweizerischen Datenschutzbeauftragten
die Auslagerung besonders schützenswerter oder geheimhaltungspflichtiger Personendaten
in Software-as-a-Service-Angebote, große Hyperscaler wie AWS,
Google und Microsoft für unzulässig erklärt.
Behörden haben damit Dienste wie Microsoft 365 wohl künftig nur noch als reinen
Online-Speicher zur Verfügung.
Als Hauptgrund haben die Datenschützer die fehlende Ende-zu-Ende-Verschlüsselungsstandards
bemängelt und auch die geringe Transparenz bei global operierenden Anbietern.
Hier unter anderem, dass sie natürlich auch von Zeit zu Zeit einfach mal einseitig
ihre Vertragsbedingungen ändern und anpassen.
Der drohende Zugriff auf Daten nach dem US-Cloud-Act hat dann auch nochmal zusätzlich
so ein bisschen Feuer dargegeben und die entsprechende Rechtsunsicherheit,
die damit verbunden war, hat man auch entsprechend angeführt.
Experten haben betont, dass eine sichere Cloud-Nutzung nur möglich ist,
wenn die Behörden die Daten also selbst verschlüsseln und natürlich den Schlüssel
auch komplett selber kontrollieren.
Und damit ist natürlich für viele Anwendungen die Nutzung ausgeschieden oder
ausgeschlossen und dadurch, glaube ich, kommt man dann auch sehr schnell an
die Stelle, wo man sagt, naja, dann ist es eigentlich nur noch ein besserer
Speicherort für die Daten.
Es gab wohl ähnliche Verbote auch schon mal der Kantone in der Vergangenheit,
die solche Verbote ausgesprochen haben. Die hatten aber wohl relativ wenig Wirkung gezeigt.
Von daher muss jetzt natürlich sich die Praxis zeigen, wie gut man das dann
auch entsprechend nachverfolgt und auch vielleicht mit Konsequenzen belegt.
Dafür kenne ich das Schweizer Datenschutzrecht zu wenig, ob die Datenschutzbehörden
dort vielleicht schärfere Schwerte haben als die deutschen Aufsichtsbehörden gegen andere Behörden.
Aber ja, also auf jeden Fall finde ich ein großes Signal, was man damit setzt.
Ein weiteres in dem Kontext.
Diesmal aus der Schweiz. Ich blicke einmal nach Frankreich.
Dort hat die französische Aufsichtsbehörde KNIL ein Bußgeld in Höhe von 750.000
Euro gegen den Verlag Condé Nast für die Missachtung der gesetzlichen Einwilligungspflicht
im Rahmen von Cookie-Bannern verhängt.
Konkret betrifft das die Webseite der französischen Vanity Fair und zurück geht
das Bußgeld auf eine Beschwerde der Datenschutzorganisation Neub aus dem Jahr 2019.
Neben Regelungen der DSGVO wurden auch die französische Gesetzgebung zum Einsatz
von Cookies berücksichtigt.
Gegenstand oder die Verstöße, die da gerügt worden sind in Form des Bußgeldes,
sind unter anderem, dass Cookies ohne vorherige Einwilligung gesetzt wurden,
dass sie trotz ausdrücklichen Ablehnen weiterhin gesetzt wurden und auch nach
Widerruf der Einwilligung weiter ausgelesen wurden.
Und die Kategorisierung war auch nicht so ganz stimmig.
Also es wurden Cookies als immer aktiv oder strikt notwendig technisch erforderlich
dargestellt, obwohl sie eben nicht technisch erforderlich sind,
sondern für Tracking, Analyse, Marketing genutzt wurden.
Betroffen waren da unter anderem Google Cookies sowie auch Cookies anderer Dienstanbieter
für Analytics und Video Tracking.
Und dementsprechend konnten Nutzer laut Knill eben faktisch nicht wirksam widersprechen.
Und da spricht die Knirrloch von einer Täuschung des Einverständnisses.
Das ist also auch schon harte Worte in dem Augenblick und da die Plattform mit
7,43 Millionen Besuchern eine recht große Reichweite hat und die Webseite auch
schon oder die Betreiber 2021 waren sich auch schon mal förmlich verwarnt worden
und nichts geändert haben,
dürfen sie jetzt 750.000 Euro bezahlen.
In der Praxis lohnt es sich aber auch einfach nochmal die eigene Konfiguration zu prüfen.
Ich glaube, das muss man daraus mitnehmen, auch wenn man einen Cookie man da
einsetzt, aber man dann vielleicht auch nochmal Dinge neu konfiguriert und anpasst
an der eigenen Webseite,
sollte man dann natürlich auch die Funktionsweise und Funktionalität prüfen
und sicherstellen, dass eben wieder Rufe dann auch umgesetzt werden auf technischer Ebene.
Ich finde es aber dann relativ preiswert für siebeneinhalb Millionen Nutzer.
Das sind ja dann umgerechnet gerade mal zehn Cent pro User, das Bußgeld.
Könnte ich mir vorstellen, dass man mit den Daten, die man damit unzulässigerweise
erhoben hat, wahrscheinlich sogar mehr erreichen konnte, als dieses Bußgeld gekostet hat, oder?
Definitiv, definitiv, ja. Ich glaube, sind sie noch ganz gut weggekommen.
So viel zur Abschreckung vom Bußgeld.
Vielen Dank.
Wir gehen von Frankreich nach Berlin.
Das Kammergericht Berlin hat die gemeinsame datenschutzrechtliche Verantwortlichkeit
eines Arztes und seines Klinikarbeitgebers verneint.
Also gute Nachrichten für angestellte Ärzte. Das Kammergericht hatte im August bereits entschieden.
Der BGA hat Anfang Oktober die Nichtzulassungsbeschwerde aber zurückgewiesen.
Der datenschutzrechtliche Kern der Entscheidung ist die klare Abgrenzung zwischen
einer natürlichen Person als
möglichen Verantwortlichen und der Organisation, für die sie tätig ist.
Das Kammergericht stellt noch mal unmissverständlich klar, dass ein bei einer
Klinik angestellter Arzt, der ausschließlich im Rahmen seines Arbeitsverhältnisses handelt,
nicht als datenschutzrechtlich verantwortlicher im Sinne von Artikel 4 Nummer 7 DSGVO gilt.
Dementsprechend besteht natürlich gegenüber dem Arzt auch kein Auskunftsanspruch
und auch kein Anspruch auf immateriellen Schadensersatz.
Das Gericht hat also nochmal ein bisschen ausführlicher die Definition des Verantwortlichen
betrachtet und dabei besonders hervorgehoben, dass der Beklagte gerade nicht
selbstständig über Zwecke und Mittel der Datenverarbeitung entschieden hat,
sondern als angestellter Arzt an die Weisung und Infrastruktur seiner Arbeitgeberin
der Universitätsklinik gebunden war.
Eine gemeinsame Verantwortlichkeit hat man auch nochmal geprüft,
aber ist auch hier zum Ergebnis gekommen, dass 26 DSGVO, dass es keine gemeinsame
Zweck- und Mittelbestimmung vorlag.
Die Klägerin machte ursprünglich umfangreiche Ansprüche gegen den Arzt geltend,
darunter Auskunftsansprüche und Schadensersatz.
Klar, war ja auch Gegenstand der Entscheidung.
Weil sie der Auffassung war, der Arzt habe in unzulässiger Weise ihre Gesundheitsdaten
verarbeitet und verschiedene Daten auch an Dritte weitergegeben,
unter anderem Abrechnungsstelle, Archivdienste und Klinikmitarbeitende.
Das Ganze hat eine sehr lange Historie, also da sind auch Datenverarbeitungen
von 2011 teilweise betroffen gewesen. Es gab leider keine Hinweise auf die Motivation
der Klägerinnen, ihre Klage gegen den Arzt und nicht gegen das Klinikum zu richten.
Es ist auch jetzt für uns nicht so der allzu große Neuigkeitsgehalt da drin,
aber ich fand, weil es halt hier jetzt nochmal doch sehr ausführlich auch vom
Gericht dargelegt wurde, vielleicht für den einen oder anderen doch nochmal interessant,
falls man doch vor dieser Herausforderung steht, dass ein Betroffener vielleicht
mal gegen einen einzelnen Mitarbeiter vorgehen möchte und den versucht,
irgendwie zur Rechenschaft zu ziehen,
dann hat man hier auf jeden Fall nochmal eine ganz gute Argumentationshilfe,
mit der man da relativ schnell auch auf dieses Urteil verweisen kann und dann
auch hoffentlich da sehr schnell Ruhe in den Karton bekommt.
Die Europäische Union beendet ihre Gedankenspiele rund um die umstrittene Chat-Kontrolle.
Über die Chat-Kontrolle hatten wir ja in der Vergangenheit im Podcast auch schon
an der einen oder anderen Stelle mal gesprochen.
Das ist zunächst durchgesichert, jetzt aber auch mittlerweile offiziell bestätigt
worden, dass diese Gedankenspiele eben beendet worden sind.
Neue Ideen gibt es auch schon. Hier wird alternativ auf Risikoanalysen,
freiwillige Maßnahmen und auch eine neue europäische Agentur zur Bekämpfung
von Kindesmissbrauch im Netz gesetzt.
Also ist das verpflichtende automatisierte Scan privater Nachrichten direkt
auf den Endgeräten, dann jetzt erstmal vom Tisch.
Wahrscheinlich haben sie sich da auch so ein bisschen den politischen Druck,
gebeugt und auch aus der Wirtschaft.
Messenger-Dienste wie Signal hatten da ja zum Beispiel auch mit Rückzug aus der EU gedroht.
Neben der Kritik natürlich von Bürgerrechtlern und Datenschützern.
Als neue Idee sollen Anbieter in Risikokategorien eingestuft werden und abhängig
davon gibt es dann weitergehende Verpflichtungen.
Darüber hinaus soll es dann aber auch Meldefunktionen für Nutzer geben,
wenn da verdächtige Inhalte dann wohl identifiziert werden.
Eine neue EU-Agentur soll diese Meldung dann verarbeiten und prüfen und entsprechend,
Und falls die Erforderlichkeit besteht, dann nationale Behörden sowie Europol dann unterstützen.
Sind natürlich erstmal nur Vorschläge.
Das Ganze wird ja schon länger verhandelt und mal sehen, wie es da weitergeht.
Genau, auch da wird es sicherlich noch die ein oder andere Diskussion geben.
Wir kommen zu unserer Rubrik Veröffentlichungen und Veranstaltungen und ich
fange mit einer Veröffentlichung an.
Ich gucke nochmal zurück nach Frankreich, wo wir gerade eben ja schon mal kurz waren.
Die französische Aufsichtsbehörde hat eine Studie zur Bereitschaft von Nutzern
zum Zahlen mit Daten durchgeführt.
Und in der Studie zeigt sich, wie stark Datenschutz inzwischen als eigenständiger
Wert wahrgenommen wird, unabhängig
davon, ob die Nutzer für zusätzliche Funktionen zahlen oder nicht.
Sie macht auch deutlich, dass ein Großteil der Menschen den Schutz ihrer personenbezogenen
Daten sehr bewusst priorisiert.
Und ich fand eine Zahl zum Beispiel interessant, dass in Frankreich also 64
Prozent der Befragten aktiv angeblich ihre Browser-Daten kontrollieren,
also beispielsweise durch den Private Browsing-Mode.
Und dass bei den 15-34-Jährigen es sogar 71 Prozent sind.
Also da scheint es eine sehr hohe Awareness zu geben.
Von daher, wir verlinken das natürlich auch entsprechend in den Shownotes,
wenn ich da tiefer reingehen mag, wie gesagt, es gibt da natürlich eine Vielzahl an Daten, die ich aber,
um euch alle ein wenig zu schützen vorm Einschlafen. Jetzt hier nicht alle auflisten
werde, das sparen wir uns.
Wobei die 71% ja schon echt eine große Zahl, damit ich jetzt auch wie geht nicht gerechnet hätte.
Also 71% schon sehr, sehr sensibel die Franzosen.
Schon ordentlich, finde ich auch.
Ich habe auch eine Veröffentlichung mitgebracht und zwar hat das BSI ein White
Paper veröffentlicht, bezüglich der Anforderungen an sichere,
transparente und benutzerfreundliche Webmail-Dienste.
Das White Paper behandelt dort fünf zentrale Handlungsfelder und formuliert
konkrete Forderungen an Anbieter von Webmail, also E-Mail-Diensten,
mit dem Ziel, den digitalen Verbraucherschutz zu stärken.
Im Fokus stehen hier Authentifizierungsverfahren, benutzerfreundliche und interoperable
Verschlüsselungssysteme, Schutz vor Spam und Phishing, sowie sichere Wege zu
Account, Wiederherstellung und Sicherheitsprofile.
Dann hätte ich noch eine Veranstaltung. Sonnastag, den 4.
Dezember, also jetzt kommende Woche, um 13 Uhr, gibt es im Rahmen der Veranstaltungsreihe
Datenschutz-Diskurs der Stiftung Datenschutz.
Dieses Mal zusammen mit dem Bitkom und Prof.
Dr. Lothar Determann eine interessante Veranstaltung für alle,
die auch Daten aus den USA erhalten. Denn unter dem Motto...
Einschränkungen für EU-US-Datentransfers nun auch andersherum geht es nämlich
darum, dass Unternehmen in Europa nunmehr auch Datentransferbeschränkungen nach
US-Bundesrecht einhalten müssen.
Diese neuen Restriktionen weichen von denen der DSGVO stark ab und sind zudem sogar strafbewehrt.
Also von daher sehr empfehlenswert für alle, die in irgendeiner Art und Weise
mit US-Datentransfers zu tun haben.
Die Veranstaltung kann man live beim Bitkom vor Ort besuchen.
Hier ist allerdings eine Anmeldung erforderlich. Oder den Livestream auf der
Seite der Stiftung Datenschutz mitverfolgen.
Hierfür ist keine Registrierung erforderlich.
Beides, wie gesagt, findet man auf der Seite der Stiftung Datenschutz.
Auch die Anmelde, den Anmelde-Link für die Vor-Ort-Teilnahme in Berlin.
Deswegen packen wir den natürlich auch in die Show Notes.
Damit sind wir für heute durch.
Ganz herzlichen Dank, lieber Gregor.
Ja, danke. Es hat mir sehr viel Spaß gemacht.
Es war auch mir wieder eine Freude und ich hoffe, wir hoffen euch natürlich
auch. Bleibt uns treu natürlich.
Lasst gerne mal einen Kommentar da oder auch eine Bewertung auf der Plattform eurer Wahl.
In diesem Sinne, bleibt uns gewogen und auf bald.
Bis bald und einen schönen ersten Abend.