Schwere Datenpanne in Nordirland – Datenschutz News KW 32/2023

Moderation:

Was ist in der KW 32 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• TikTok: Personalisierte Inhalte sollen deaktiviert werden können
• Gnadenfrist abgelaufen: Meta muss in Norwegen täglich Strafe zahlen
• „Kein hohes Risiko“: Britische Wahlkommission informiert über immensen Hack
• Immense Datenpanne bei Nordirlands Polizei
• Kontrolle im Straßenverkehr ohne Rechtsgrundlage
• LfDI RLP: Gemeinden müssen nach Berichterstattung mit Einleitung von Verfahren rechnen

Empfehlungen & Lesetipps

• BSI-Magazin 2023/01: Mit Sicherheit – Im Blick: Digitaler Verbraucherschutz
• SBOM-Anforderungen: Sicherheit in der Software-Lieferkette
• Bayern: Umfangreiche Informationen zum Datenschutz in Schulen

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/schwere-datenpanne-in-nordirland-datenschutz-news-kw-32-2023

TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Wir schauen jetzt aber auf die Ortsgemeinde äh Walder, Achtung, ach du Scheiße. Noch mal. Was bitte? Weil. Wer kennt das nicht? Herzlich willkommen zum Datenschutztalk, Ihrem Podcast für die Themen Datenschutz und Informationssicherheit. Freitag, der 11. August und wir begrüßen Sie wieder ganz herzlich zu einem neuen Rückblick auf die vergangene Woche. Mein Name ist David Schmidt und bei mir ist mein Lieblings-Podcast-Kollegin. Die liebe Laura. Hallo lieber David. Ja schön, dass ich da sein will. Ist ja auch einfach als einzige Kollegin. Warum entarrst du das denn jetzt so? Das finde ich fair von dir. Ja. Laura, was hast du uns denn heute mitgebracht? Ich habe einmal mitgebracht eine Aktualisierung bei der Social Media App TikTok. Weiter geht’s dann mit einem Cyberangriff auf die Wahlkommission in Großbritannien. Ebenso habe ich mitgebracht ein ja zwar etwas älteres Urteil, aber ein ganz interessantes Urteil vom äh zum Thema Bußgelder im Straßenverkehr und auf welcher Basis die halt erhoben werden dürfen. Und dann habe ich noch zwei ganz interessante Lesetipps auf einen Zettel und ganz zum Schluss noch eine kleine Kuriosität aus Italien. Wie sieht’s bei dir aus David? Kuriositäten nehmen wir immer gerne. Absolut. Ich habe mitgebracht eine Strafe, ja die jetzt scharf wird kann man glaube ich sagen, gegen Meter in Norwegen, dann schauen wir auf eine, ja ziemlich beunruhigende Datenpanne, die sich in Nordirland ereignet hat. Dann habe ich noch, ja, einen ähm, nach Berichterstattung steht hier bei mir. Dann habe ich noch mitgebracht ein ähm Zeitungsartikel aus Rheinland-Pfalz, der den, Landesdatenschutzbeauftragten dort etwas in das Falsche Licht geführt hat und ein paar Lesetipps dürfen natürlich auch nicht fehlen. Das war irgendwie doof. Warum Lesetyp sind wichtig und wertvoll und wir wissen ja auch nicht, was unsere Zuhörerinnen und Zuhörer am Wochenende zu tun haben, also wer Langeweile hat. Dann ähm darfst du mit der ersten Nachricht beginnen. Dann mache ich das und zwar im Laufe der Woche hat TikTok bekannt gegeben, dass sie etwas an ihren Einstellungen ändern. Das ist eine Änderung mit Blick auf den Digital Services Act, unter denen sie sich ja unterwerfen müssen, ähm da TikTok ja, bereits im April durch die EU-Kommission als äh V LOP eingestuft wurde, also einer very large online Plattform, die eben dazu führt, dass sie nun spezifische Pflichten aus dem neuen Act haben. Oder den nachkommen müssen und wie gesagt, Änderungen gelten jetzt für die europäischen Nutzer ab Ende diesen Monats, also ab Ende August, Und konkret geht es um Anpassung bei der Funktion, ähm mit Blick auf die Deaktivierung personalisierter Darstellung von Inhalten. Also das kann man jetzt wohl nun zukünftig für sich selber individuell einstellen. Das heißt, dass nur noch Videos aus bestimmten Bereichen regional oder international angezeigt werden und das soll dann eben nicht mehr auf den persönlichen Interessen basieren, sondern eben nur auf örtlichen Gegebenheiten. Ebenso wird’s zukünftig so sein, dass in dem Bereich, wo man den, Videomachern folgt, die einem gefallen. Ich kann mich da nicht so gut mit aus. Ich bin nicht bei TikTok. Dass man hier eben, Eine chronologische Reihenfolge der Videos sich ansehen kann, aber dass das wohl auch ohne Auswertung von Personenprofilen basiert. Ebenso sollen auch Suchergebnisse angepasst werden. Sodass hier eine eine ähm Auswertung im Hintergrund nicht mehr notwendig ist. Weitere Anpassungen sind zusätzliche Meldeoptionen für vermeintlich illegale Inhalte und mehr Transparenz bei den Algorithmen soll’s zukünftig geben und äh was ich noch ganz ähm interessant fand war, dass Es gab ja in Vergangenheit mehrfach schon die Kritik, Auf internationaler Ebene auch, dass es sich ja hierbei auch um eine App ein Bild mit einem erheblichen Suchtpotential, insbesondere für Minderjährige und auch hier reagierte TikTok, den seitens des Betreibers System wohl nun so eingestellt, dass Nutzhangel im Alter von 13 bis siebzehn Jahren gar keine personalisierte Werbung mehr angezeigt wird. Also nichts mehr, was auf Aktivitäten auf oder außerhalb von basiert, ähm soll hier mehr, genommen werden, um halt Werbung auszuspielen und ja, ergänzt wird das halt eben äh durch die Option, die es aber wohl schon länger für alle Anwender gibt, dass eben gezielt Targeting und Tracking aufbauende Reklame ausgestellt werden kann aber wie immer, man muss es halt wissen. Man muss in die Einstellung gehen. Es ist halt aktiv deaktivieren und ähm ich glaube, wir sind uns einig David oder dass so der ein oder andere das vielleicht manchmal nicht so oft auf dem Schirm hat, dass das eine Option ist. Ja und selbst wenn man’s auf dem Schirm hat, muss man’s erstmal finden. Das stimmt, das ist noch mal der nächste Schritt. Das kommt dann nämlich auch noch dazu, aber begrüßen wir natürlich grundsätzlich, dass man sich hier jetzt an geltendes Recht und an zukünftig geltendes Recht auch halten möchte. Schon mal ein gutes Signal. Ja, ich glaube, wir werden uns trotzdem nicht anmelden, oder? Äh nein. Das ist aber trotzdem keine Selbstverständlichkeit, was mich zu meiner nächsten Nachricht bringt, denn der Konkurrent Meta scheint hier einen anderen Weg gehen zu wollen, nämlich, ähm Compliance zu werden einfach für non Compliance zu bezahlen. Ähm dazu berichtet zumindest das Magazin Heise. In dieser Woche und auch wir hatten schon dazu berichtet und zwar in Kalenderwoche 29 das die Datenschutzaufsicht in Norwegen, Meter untersagt hat, personalisiert Werbung ohne haltbare Einwilligung auszuspielen. Zur Umsetzung hat Meter bis zum 14. August Zeit, also, bis jetzt Montag und ähm zwei Meter angekündigt zukünftig Einwilligungen der Nutzer einzuholen, hat die Einwilligung, aber ja, in den Nutzungs, Bedingungen versteckt, ähm was nach Ansicht der Behörde nicht ausreicht und somit muss Meta jetzt in Norwegen ab Montag, pro Tag umgerechnet ein Bußgeld von rund 90.000 Euro Strafe zahlen. Das Ganze gilt erst mal bis zum 3. November. Dann wäre auch eine Entfristung, also eine dauerhafte, tägliche Strafe oder sogar eine Erhöhung möglich. Da müsste aber der EDPB einmal, zustimmen. Beobachten wir. Das beobachten wir weiter. Ja, mal gucken, ob sie was bis Montag ändern. Aber ich glaube, das ist ja wirklich einhellige Meinung, dass so versteckte Einwilligungen vielleicht nicht so ganz tragen könnten. Ja, absolut und da sind sie dann doch alle gleich. Meine nächste Nachricht kommt aus Großbritannien und hier ähm betrifft es ein Cyber-Angriff auf die Wahlkommission. Dieser Angriff ist bereits im August 2021 erfolgt und hat Ja weitreichende Folgen, denn Unbekannte konnten Zugriff auf Daten von 40 Millionen Menschen erlangen, die für die Wahl in Großbritannien registriert, Waren oder sind, also in diesem Register gespeichert sind und es handelt sich hier aus Bürger, ähm aus dem Inland, aber natürlich auch aus dem Ausland, die wahlberechtigt sind. Die der Angriff wurde bereits im Oktober letzten Jahres entdeckt, aber jetzt erst offiziell gemacht oder veröffentlicht. Und es konnte festgestellt werden, dass die Kriminellen sich bereits über ein Jahr in dem System aufgehalten haben. Wer sich hinter dem Angriff verbirgt, ist besser nicht bekannt gegeben worden, was jedoch bekannt gegeben worden ist, ist dass die Daten von äh den Betroffenen. Folgende Kategorien sind, also Name, Postanschrift und E-Mail-Adresse, aber auch Informationen, wenn man Kontakt zur Wahlaufsicht aufgenommen hat, seien betroffen. Die Wahlkommission versichert nun in ihrer Stellungnahme, dass der Angriff kein Einfluss auf die Wahlen selbst hatte und es sei wohl auch nicht bekannt, ob die Daten nur offen gelegt oder auch kopiert worden seien. Ganz spannend bei der Sache ist halt eben, dass ein von einem hohen Risiko für die Betroffenen nicht ausgegangen wird, aber, nichtsdestotrotz man jetzt trotzdem informieren möchte. Das ist natürlich das, was hier jetzt natürlich bei Datenschutzrechtern kritisch gesehen wird, dass eben die Betroffenen so lange in Unkenntnis gelassen wird, also wenn jetzt schon fast, ja, was haben wir, habe ich gerade gesagt, im August 2021 eben ist das schon passiert. Im Zuge jetzt der Information über die Datenpanne wurde seitens der Wahlkommission in Großbritannien ein FAQ veröffentlicht. Dann wurden Optimierungen am Anmeldeprozess des Netzwerkes vorgenommen und eben das Überwachungs- und Warnsystem verbessert, sowie die Firewall Richtlinie aktualisiert. Bisschen merkt man, sie wollen dagegen arbeiten wahrscheinlich ähm um ähm da so ein bisschen die Wogen zu glätten. Wie genau ursprünglich der Einbruch im Spätsommer 21 gelungen ist, geht aus der Mitteilung zwar nicht hervor, aber Sicherheitsforscher externe haben eben ermittelt, dass die Wahlkommission ähm einen selbst gehosteten Exchange-Server betreibt. Somit ist eben ja naheliegend auch vom Zeitpunkt her Dass hier, wie viele andere auch, durchaus die Möglichkeit da wäre, dass diese auch von der Zero Day-Lücken in Microsift Extraserver betroffen waren im Jahr 2021 und hier war’s ja wirklich so, dass die mehrere Monate ja offen waren und ja auch für viele weitreichende Folgen hatte. Also da mal sehen, ob, Da vielleicht auch noch mal Bußgelder geben wird für diese verspätete Meldung oder hm es ist leider aus den Artikeln nicht erkennbar, inwieweit dort mit den Datenschutzaufsicht rechtlichen Behörden in Großbritannien zusammengearbeitet worden ist. Mal sehen. Hm mal sehen und ähm wir schauen auch auf unser heutiges Titelthema, das ähm auch in Vereinigten Königreich spielt und da ist es äh und zwar in Nordirland. Da ist es tatsächlich zu einer noch immenseren Datenpanne gekommen ähm denn dort wurden im Zusammenhang mit einer Informationsfreiheitsanfrage in dieser Woche versehentlich Daten zu allen Polizistinnen und Polizisten des Landes veröffentlicht. Die Daten umfassen sämtliche Nachnamen, Initialen und den aktuellen Arbeitsplatz der Betroffenen Und es handelt sich insgesamt um rund 10.0000 Datensätze. Der stellvertretende Polizeichef Chris Tott räumte ein, dass es sich hierbei um ein inakzeptablen Fehler handelt und verwies auf die brisante Bedrohungslage, Für Polizistinnen und äh Polizisten. Diese wurde auf den irischen Inseln erst im März von substantiell auf ernsthaft hochgestuft, Und in der Zwischenzeit kursieren bereits Behauptungen, dass einige radikale Gruppen, die die Obrigkeit der Polizei ablehnen in den Besitz der Daten gekommen sind und diese über WhatsApp austauschen. Alles in allem also sehr beunruhigende Nachrichten und wir hoffen natürlich, dass es hier zu keinen Zwischenfällen kommt und die Lage sich beruhigt. Absolut, das ist schon richtig heftig, oder? Ja ja also äh auch Wahnsinn, wie sowas passieren kann. Ich hatte es ja schon vorhin in meiner Themenübersicht angesprochen. Ich habe noch ein Urteil mitgebracht vom Amtsgericht in Trier. Konkret wurde das gesprochen am 2. März diesen Jahres, aber ich find’s ähm nicht wenig interessant, dass es heute mit in die News geschafft hat. Und zwar befasste sich äh das Amtsgericht mit der Frage, ob Handyverstöße im Straßenverkehr geahndet werden dürfen, auch wenn die Rechtsgrundlage für die Datenverarbeitung an sich auf wackligen Bein steht. Zum Hintergrund. Die Polizei in Rheinland-Pfalz setzte als erste Behörde in Deutschland eine neuartige KI ein, die eben erkennen soll, ob ein Autofahrer die Hand am Handy hat Oder halt eben nicht, Dementsprechend ein Bußgelder halten soll und probeweise wurde hierfür ein System in den Städten Trier und Mainz eingesetzt, dass die Fahrer bildlich erfasst und anhand der Handyhaltung oder der Handbewegung entscheidet, Ob die Daten zu weiteren Auswertungen und Entscheidungen über einen Verstoß aufgezeichnet werden oder nicht. Im Rahmen der Testphase wurden. Ist es naheliegend mehrere Fahrerinnen und Fahrer erfasst und ein Bußgeldbescheid auch schon zugestellt und einer wehrte sich nun, sodass der Fall vor dem Amtsgericht gelandet ist? Ja, im Rahmen des äh Gerichtsverfahrens hat halt eben das Innenministerium in Mainz die Ansicht vertreten für die Testphase könnte der Einsatz des Handyblitzers auf die Befugnisklausel im Polizei und Ordnungsbehördengesetz gestützt werden und das lehnte das Amtsgericht Trier jetzt aber ab, Ähm es gäbe so das Gericht keine ausreichende gesetzliche Grundlage für den Einsatz des Handyblitzers. Auch bei einem Pilotprojekt kann nicht auf eine Rechtsgrundlage verzichtet werden, zumal schon in der Versuchsphase Bußgelder verhängt wurden. Ähm obwohl eben eine Rechtsnorm nicht existiert, dürfen die gesammelten Beweise jedoch in dem Fall dennoch verwertet werden, also der ähm Kläger darf sich nicht freuen, sondern ähm das Amtsgericht sieht hier eben die rechtliche Eingriffsintensität als nicht hoch genug und es besteht ein erhebliches öffentliches Interesse an der Sanktionierung der Handynutzung am Lenkrad. Deshalb wurde der Autofahrer eben zu einem Bußgeld in Höhe von 100 Euro plus einen Punkt im Verkehrszentralregister verurteilt. Aber nicht so Schrott. Ich finde es zum Beispiel wieder spannend, dass hier eine KI eingesetzt wird von einer Behörde ohne anscheinend wirklich im Detail die Rechtsgrundlage geprüft zu haben. Aber war doch nur die Testphase, Laura. Ja, ist euer Restphase. Ja, ich habe jetzt schon in einem anderen Artikel gelesen, dass wohl ähm schon bekannt gegeben wurde, dass es wohl gar nicht so ja unerfolgreich war und das, wo man jetzt überlegt, ähm eine Rechtsgrundlage zu finden. Oder zu erstellen. Das Gesetz entsprechend anzupassen. Mal sehen, ob das zukünftig. Wir sind gespannt, ob das gelingt und ob das trägt. Wobei also Ganz persönliche Meinung. Ähm ich find’s gut, wenn ihr weiter ihr Handy beim Autofahren ähm nicht anfassen. Nein. Ich sehe das auch immer wieder und rege mich immer wieder darüber auf. Nur ähm ja ob man diese Mittel und Wege ergreifen muss. Keine Ahnung. Ja, hundert Euro, ne? Also ich glaube immer noch, dass das viele nicht abhält, aber nun gut, auch das ist meine persönliche Meinung. Bleiben jedenfalls in Rheinland-Pfalz und springen genauer gesagt äh zur Ortsgemeinde Weilgesheim in der Nähe von Mainz. Die allgemeine Zeitung Mainz berichtete in dieser Woche davon, dass dort verschiedene Glascontainer, Videoüberwacht werden mit dem Ziel, illegale Müllentsorgung einzudämmen. Nach Angabe der Zeitung gab die Datenschutzaufsicht in Rheinland-Pfalz hierzu ihre Genehmigung. Die Behörde rund um Professor Doktor Kugelmann, dem Landes, Datenschutzbeauftragten dementierte dies aber umgehend und kündigte an, ein förmliches Verfahren gegen die Gemeinde einzuleiten. Nach Auffassung der Behörde sei der Einsatz von Videokameras zur Überwachung, von Müllablagerungsstellen durch Kommunen grundsätzlich nicht zulässig und die Zeitung zitierte hier einen Pass aus einen Passus aus einer alten Orientierungshilfe in Missverständlicher Art und Weise und interpretierte dies als Genehmigung. Also, Noch mal nachlesen, Liebe Zeitung. Da waren Profis als Redakteure am Werk, Quellen und so, ne? Das ist schon mal schwierig. Ja muss man schon aufpassen. Aber kann ich auch verstehen, dass Professor Doktor Kugelmann sich da wehrt und äh das auch nochmal explizit klarstellt. Auch gut, dass man das so schnell auf dem Schirm hat. Man man sagt den Behörden ja manchmal ähm nach, dass sie träge werden, aber grade bei solchen Fällen ähm ist es natürlich wichtig, dass da direkt reagiert wird und dass ins richtige Licht gestellt wird. Ja richtig, ich komme schon zu den Lesetipps für diese Woche und als allererstes, Möchte ich darüber informieren, dass es eine neue Ausgabe, BSI-Magazins gibt, also vom Bundesamt für Sicherheit in der Informationstechnik. Die haben nun ja das erste Mal in diesem Jahr veröffentlicht und die Themen im neuen Magazin sind äh ja digitale Verbraucherschutz, ein Interview mit der neuen BSI-Präsidentin Claudia, es wird thematisiert die Cybersicherheit im Gesundheitswesen, aber auch ähm Einblick ähm auf den europäischen Gesetzesvorschlag zum Cyber Resilience Act äh ist mit dabei. Also wer da mal reinschauen möchte, packen wir natürlich den Link äh zur Online-Ausgabe in die Shownots. Herr auch in die Shownotes äh packen wir ein anderes Dokument des BSI eine weitere Richtlinie für Softwares of Materials wurde nämlich vom BSI herausgegeben, eine Software Bull of Materials dokumentiert, welche kommerziellen und freien Softwarebestandteile in Softwareprodukten enthalten sind und hilft, Herstellern Sicherheitsforschenden sowie Anwenderinnen und Anwendern beim Monitoring von Schwachstellen. Die neue Richtlinie enthält dabei unter anderem eine Übersicht zu recht prominenten Sicherheitslücke in Lok for J. Cool und dann habe ich noch auf einen Zettel, wer noch was lesen möchte am Wochenende und, Aus Bayern kommt oder sich dort für den Datenschutz in Schulen interessiert, ähm ein paar Arbeitspapiere und ein FAQ zum Thema eben Datenschutz an Schulen vom Bayerischen Landesbeauftragten für den Datenschutz. Konkret geht’s um den Datenschutz bei Schülerunterlagen, ähm Foto- und Videoaufnahmen in Schulen. Genau und eben allgemeine datenschutzrechtliche Fragestellung ähm behandelt er hier in den Papieren. Also wer da reinschauen möchte, auch das, Verlinken wir alles. Sehr gerne. Sehr gerne und sehr gut und äh dann freue ich mich auf die angeteaserte Kuriosität. Ich habe mal wieder ein Bußgeld mitgebracht. Diesmal kommt das aus Italien. Ähm in Höhe von 20.000 Euro ist hier der Bescheid und wurde zugestellt ähm einer italienischen Gesundheitsbehörde. Hier hat ein Mitarbeiter eines Gesundheitsdienstleisters in der Notaufnahme ein Informationsplakat angebracht. Soweit unkritisch, wenn man auf den, Auf die Darstellung aber blickt, dann sieht man eben ein medizinisches Fachpersonal an einem Computer sitzen und auf dem Bildschirm ist ein Notfallprotokoll einsehbar mit Personen bezogenen Daten, echten Gesundheitsdaten und ähm das fand natürlich die datenschutzrechtliche Aufsichtsbehörde nicht ganz so witzig. Wie gesagt, dafür gab’s 20.000 Euro Bußgeld für die Gesundheitsbehörde. Wie gesagt, ausgelöst wurde aber eigentlich äh der Vorfall durch ähm den Gesundheitsdienstleister, aber hier an die an die verantwortliche Stelle adressiert und ähm ja begründet wurde, dass es reine Unachtsamkeit war, sollte einfach jemand nicht aufgepasst bei der Druck dieses bei dem Druck dieses Plakats und ja das hing da wohl einige Wochen. Also mich würde mal gerne interessieren, ob man die betroffene Person informiert hat. Hm, das würde mich auch interessieren. Geht leider nicht daraus hervor, aber fand ich ganz interessant, das mal wieder aus der Ecke ähm ja Augen auf und sensibilisieren die Mitarbeiter, die sich mit so was befassen. Ja ja und wenn man eine Zeit lang im Wartezimmer sitzt und sich die Plakate genauer anschaut, dann ähm ja, mit so was dann doch noch aufgedeckt. Ja und ich sage mal so, bei Ihnen so ein Notfallambulanzen hat man ja meistens Zeit. Ja Muss man ja meistens warten, wenn man jetzt nichts besonders Schlimmes dadrüber. Ja. So. So Laura. Wir bleiben gesund am Wochenende. So. Wir bleiben wir bleiben gesund, hoffentlich bleiben alle Hörerinnen und Hörer auch gesund und uns gesonnen und ich sage mal bis zum nächsten Mal. Ich auch, bis zum nächsten Mal.