Standorttracking bei 40.000 Apps – Datenschutz News KW 03/2025

Transkript zur Folge:

Die Europäische Datenschutzorganisation Neub hat ihre Aufmerksamkeit auf beliebte
chinesische... Chinesische.
Chichichi.
Trichinisi mit dem Kontrabass. Kennst du noch?
Kenn ich, natürlich.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Wir begrüßen uns heute, euch vor allem heute, nicht nur uns,
zu einer weiteren Ausgabe unserer Datenschutz-News.
Es ist Freitag, der 17. Januar 2025.
Unser Redaktionsschluss war heute um 10 Uhr. Mein Name ist Laura Droschinski
und an meiner Seite begrüße ich heute...
Hallo, guten Morgen, Natalia Wozniak.
Schön, Natalia, dass wir auch im neuen Jahr wieder hier zusammen sprechen dürfen.
Ich freue mich auch.
Und unseren lieben Zuhörerinnen und Zuhörern mit Datenschutznübers versorgen
dürfen. Was hast du denn heute auf dem Zettel?
Ich habe heute drei abwechslungsreiche Themen mitgebracht.
Ich habe einmal ein 200.000 Euro Bußgeld gegen den spanischen Postdienstleister.
Dann habe ich eine Kommunikationskampagne durch ChatGPT in Italien.
Und ich habe die FTC, die gegen GoDaddy vorgeht, also sehr international.
Stimmt, ist so ein bisschen internationaler Tag heute. Ich habe aber erstmal
auf nationaler Ebene eine ganz interessante Untersuchung zum Thema Standort-Tracking
mitgebracht, mit sehr dramatischen Folgen.
Weiter geht's bei mir mit Neu, also Non-of-Your-Business, die gegen eine Vielzahl
von chinesischen Unternehmen vorgeht.
Und zu guter Letzt habe ich noch eine neue Personalentscheidung mitgebracht
und auch einen Praxistipp für Arzt- und Psychotherapiepraxen, sage ich.
Das ist vielleicht nicht für alle was, aber trotzdem der ein oder andere Datenschützer
hier vielleicht, der uns zuhört für Ideen, was das was sein kann.
Dann fangen wir erstmal an und starten in Spanien.
Also die spanische Datenschutzaufsichtsbehörde, die AEPD, hat jetzt ganz frisch zum 13.
Januar einen Vorgang gegen die Correo Intelligence Postal, ich hoffe ich habe
es richtig ausgesprochen, also die spanische Post veröffentlicht. Der Vorfall bzw.
Es sind eigentlich zwei Vorfälle haben sich bereits im Jahr 2022 ereignet und
wurden durch die Lokalpolizei, also durch zwei verschiedene Dienststellen sogar, gemeldet.
Konkret sollen einmal rund 1500 Briefe, unterschiedliche Absender,
die auch personenbezogene Daten enthielten, durch Mitarbeiter des Postdienstes
nicht weiterverarbeitet und auch nicht zugestellt worden sein.
Im Laufe des Jahres wurden in einem vergleichbaren Fall nochmal rund 5000 Briefe aufgefunden.
Diese Briefe wurden nicht nur nicht zugestellt, sondern teilweise auch vernichtet
und teilweise auf freiem Feld gelagert, wo es eben keinen Schutz vor unbefugtem Zugriff gab.
Die Verantwortlichkeit soll für diesen zweiten Vorfall bei einem engagierten
Postdienstleister gelegen haben.
Das Gesamtbußgeld in Höhe von 200.000 Euro setzt sich eigentlich aus zwei Strafen zusammen.
Einmal 120.000 Euro wegen des Verstoßes gegen Artikel 5 Absatz 1 Lit B DSGVO,
also wegen der Verarbeitung, die nicht mit den festgelegten Zwecken übereinstimmte,
und einmal 80.000 wegen des Verstoßes gegen Artikel 32,
also die nicht umgesetzten, nicht ausreichenden technischen und organisatorischen
Maßnahmen zum Schutz der Briefe.
Von daher genaueres kann der
Pressemeldung, die leider nur in Spanisch verfügbar ist, entnommen werden.
Aber ich glaube, auch hier zeigt es, dass auch der Datenschutz nicht nur die
digitale Welt betrifft, sondern tatsächlich auch wirklich die Post- und Papierunterlagen,
dass auch die genauso geschützt werden müssen wie die digitalen Daten.
Genau, so ist es. Und wir hatten es ja auch schon in Vergangenheit,
auch das Thema, was im Adressfeld steht, kann durchaus datenschutzrechtliche
Folgen für ein Unternehmen haben.
Ja.
Bei mir geht es weiter mit dem Titelthema. Und zwar ein Rechercheverbund von Netzpolitik.org,
dem Bayerischen Rundfunk und weiteren Medien, hat einen Datensatz eines Datenbrokers
analysiert, der die erschreckenden Dimensionen der Datensammlung durch Apps offengelegt hat.
Das berichtet Heise im Laufe der Woche und der Datensatz umfasste wohl 380 Millionen
Standortdaten aus 137 Ländern, geliefert von rund 40.000 unterschiedlichen Apps.
Diese Daten dienten offenbar als Werbematerial für ein Abonnement mit täglich
aktualisierten Informationen.
Die Analyse zeigt, dass viele beliebte Apps, darunter beispielsweise Wetter
Online, Focus Online, Flightradar24 sowie aber auch Dating- und Spiele-Apps,
teils äußerst präzise Standortdaten an den Broker weitergegeben haben.
In einigen Fällen wurden Nutzerinnen und Nutzer bis auf den Meter genau geortet,
während andere Apps lediglich Daten mit einer geringeren Genauigkeit über die IP-Adresse lieferten.
Besonders heikel dabei, Teil der Untersuchung waren auch Apps mit sensiblen
Inhalten, etwa zu Schwangerschaftsfragen.
Und hier wissen wir ja auch, dass hier insbesondere gefährdete Personengruppen
exponiert sein könnten, nämlich mit Blick auf die USA, wo es ja beispielsweise
auch restriktive Gesetze gibt.
Und was das wiederum zufolge hat, für die betroffenen Personen mag man sich
dann da auch manchmal nicht ausmalen.
Der Datenbroker, von dem der Datensatz stammt, verkaufte die Positionsdaten
nicht nur an Werbetreibende, laut den Untersuchungen, sondern auch an andere Akteure.
Und hier vermutet man möglicherweise sogar auch Geheimdienste.
Von den Landesdatenschutzbeauftragten hat sich in dieser Woche auch Michael
Will aus Bayern zu Wort gemeldet, der eben den Datenskandal als erschreckend
und als krassen Vertrauensbruch bezeichnet.
Er betonte, dass die Nutzerinnen und Nutzer niemals damit rechnen würden,
dass ihre Standorte monatelang nachvollziehbar bleiben.
Die Weitergabe dieser Daten widerspricht laut seinen aussagenden geltenden Datenschutzregeln,
insbesondere halt eben der DSGVO.
Das Bundesministerium für Verbraucherschutz schloss sich auch der Kritik an
und forderte eben ein effektives EU-weites Verbot personalisierter Werbung,
um den Anreiz für exzessive Datensammlungen durch App-Anbieter zu beseitigen.
Ich persönlich sage, das ist wahrscheinlich relativ schwer zu setzen, dieses Verbot,
aber nichtsdestotrotz auch in unserem Podcast auch immer wieder hier zu sensibilisieren,
dass man ein besonderes Augenmerk auf den Datenverarbeitungsumfang in Apps,
was ja durchaus auch in App-Stores etc.
Auch nur möglich ist, immer wieder hier auch ein Auge drauf zu haben und auch
eben entsprechende Standorteinwilligungen zur Abfrage auch aktiv zu deaktivieren.
Weil das ist ja in der Regel genau diese Option, die man hier einfach tätigen muss.
Und ich glaube auch, dass Zeit, wie wichtig es ist, die Informationen der Betroffenen
so transparent wie möglich zu machen, um da auch die Erwartungshaltung so ein
bisschen höher zu schrauben.
Weil ich glaube, je mehr die Technik voranschreitet, umso mehr bildet sich eine
Schere zwischen dem, was wirklich passieren kann oder was umsetzbar ist und
dem, was die Betroffenen wirklich erwarten.
Einfach aus Unkenntnis, was möglich ist.
Richtig.
Okay, dann komme ich nach Italien und zwar zu unserem Thema ChatGPT.
Die italienische Datenschutzbehörde hat hier die Voruntersuchung bezüglich ChatGPT abgeschlossen.
OpenAI, also das Unternehmen hinter ChatGPT, muss eine sechsmonatige Informationskampagne
durchführen und eine Geldstrafe in Höhe von 15 Millionen Euro zahlen.
Durch diese Kommunikationskampagne sollen Nutzer, aber auch Nichtnutzer von
ChatGPT darauf aufmerksam gemacht werden, wie sie sich dem Training generativer
künstlicher Intelligenz mit ihren personenbezogenen Daten widersetzen können bzw.
Das verhindern oder unterbinden können und so in die Lage versetzt werden,
ihre Rechte nach der DSGVO wirksam auszuüben.
Neben dieser Kampagne verhängt die Datenschutzbehörde, wie gesagt,
auch ein Bußgeld in Höhe von 15 Millionen Euro gegen OpenAI und der Betrag wurde
unter Berücksichtigung der kooperativen Haltung des Unternehmens berechnet.
Hintergrund des Ganzen war die Stellungnahme des Europäischen Datenschutzausschusses
zur Entwicklung und Einführung von KI-basierten Diensten sowie die daraufhin
im März 2023 eingeleitete Untersuchung,
bei der die beanstandenden Verstöße
bei OpenAI bei dem kalifornischen Unternehmen festgestellt wurden.
Bemängelt wurde konkret, dass das Unternehmen personenbezogene Daten der Nutzer
verarbeitet, um Chat-GPT zu trainieren, ohne zuvor die geeignete Rechtsgrundlage zu ermitteln.
Das Unternehmen hat so gegen den Grundsatz der Transparenz und die damit verbundenen
Informationspflichten gegen den Nutzer verstoßen.
Außerdem hat OpenAI keine Mechanismen zur Altersüberprüfung vorgesehen,
was dazu führen könnte, dass auch Kinder unter 13 Jahren unangemessenen Antworten ausgesetzt werden.
Nach Ansicht der italienischen Datenschutzbehörde hat das US-Unternehmen die
Behörde nicht über diese Datenschutzverletzung vom März 2023 informiert.
Daher, und um in erster Linie eine transparente Information bzw.
Eine wirksame Transparenz bei der Verarbeitung personenbezogener Daten zu gewährleisten,
hat die Behörde nun OpenAI mit der Durchführung der vorhin erwähnten sechsmonatigen
institutionellen Kommunikationskampagne im Radio,
Fernsehen, Zeitung und Internet beauftragt.
Interessant und ich finde hier auch gut an der Stelle, ist, dass der Inhalt
der Kampagne zuvor mit der Behörde abzustimmen ist.
Ich denke, das ist ein sehr wichtiger Schritt, um einfach insgesamt das Thema
AI transparenter für die Nutzer, für die Betroffenen zu machen.
Und ich glaube, dass diese Kommunikationskampagne hier wirklich einen sehr hohen
Nutzen wirklich auch für alle bringen wird.
Ja, schlägt ja in die gleiche Kerbe, die wir gerade davor hatten mit den Apps.
Genau.
Das Thema Informiertheit der Nutzer. Und wenn ich so in meinem Hirn krame,
ich glaube, das habe ich noch nicht so gehört mit dieser Kommunikationskampagne,
oder? Dass ein Unternehmen darauf verpflichtet wird?
Tatsächlich nicht. Ich hatte auch bei Vorbereitung der Meldung gelesen,
dass es wohl einen neuen Paragraphen, ich vermute, im italienischen Datenschutzgesetz
geben soll, was die Behörden eben mit weiteren Rechten ausgestattet.
Und dass das eben zum ersten Mal hier genutzt wurde. Von daher,
vielleicht ergibt sich das daraus.
Ja, ich bin auf jeden Fall gespannt, wie das dann eben den Heil aussehen wird,
was man sich da anhören und anschauen kann.
Neub nimmt TikTok und chinesische Unternehmen ins Visier und äußert Datenschutzbeschwerden
in fünf Ländern wegen unrechtmäßiger Datentransfers.
Die europäische Datenschutzorganisation Neub hat ihre Aufmerksamkeit auf beliebte
chinesische Anbieter wie TikTok, Xi'in, Temu und Xiaomi gerichtet.
In insgesamt sechs Beschwerden, die in fünf europäischen Ländern eingereicht
wurden, wirft Neub den Unternehmen vor, gegen die Datenschutz-Grundverordnung
zu verstoßen, indem sie persönliche Daten unrechtmäßig nach China übertragen.
Laut Neub haben vier der Unternehmen offen eingeräumt, personenbezogene Daten
in China oder nach China zu senden.
Die übrigen nannten vage Drittländer als Ziel ihres Datentransfers.
Neub kritisiert, dass China als ein autoritärer Überwachungsstaat agiert und
Unternehmen EU-Daten daher realistischerweise nicht vor dem Zugriff durch chinesische
Behörden schützen können.
Die Aktivisten betonen, dass der Transfer von Kundendaten aus Europa in solche
Länder einen klaren Verstoß gegen die DSGVO darstellt.
Neub fordert in den Beschwerden einen sofortigen Stopp der Datentransfers und
schlägt den Datenschutzbehörden vor, hohe Verwaltungsstrafen zu verhängen.
Ja, dieser Schritt zeigt einmal mehr, dass Datenschutzaktivisten nicht nur auf
nationaler Ebene agieren, sondern auch durchaus weltweit agierende Konzerne im Blick haben.
Ja, Max Schrems ja auch Meta immer wieder auf den Fersen. Immer wieder Datenschutz
auch hier nicht nur ein rechtliches, sondern auch ein politisches Thema grundsätzlich.
Aber auch wieder, wenn wir von unseren zwei vorherigen Meldungen anknüpfen wollen,
auch da als Nutzer solcher Programme sich immer wieder zu hinterfragen,
was denn mit den Daten passiert.
Richtig. Vielleicht nochmal ausholend, es sind ja nicht nur die Datenschutzaufsichtsbehörden,
es ist ja jetzt auch Neub, die ein Auge draufhalten, dass Unternehmen sich datenschutzkonform
verhalten als privater Spieler.
Und auch die FTC, also die US-amerikanische Wettbewerbs- und Verbraucherschutzbehörde,
ist in letzter Zeit gefühlt öfter auch so ein bisschen datenschutzrechtlich unterwegs.
Wie Heise berichtet, geht die US-amerikanische Wettbewerbs- und Verbraucherschutzbehörde,
FTC, gegen GoDaddy vor, einen der größten Webhosting-Anbieter der Welt.
Die unabhängige US-Aufsichtsbehörde wirft dem Unternehmen mangelnde IT-Sicherheit
bei Webhosting-Diensten sowie irreführende Versprechungen zum Datenschutz vor.
Cyber-Angriffe aufgrund mangelnden Schutzes könnten GoDaddy-Kunden und ihren
Website-Besucher schädigen.
Deshalb fordert die FTC von GoDaddy eine Reihe von Maßnahmen zur Verbesserung
der eigenen IT-Sicherheit.
Aktuell listet die FTC als unangemessene Sicherheitspraktiken unter anderem
auf, dass GoDaddy es versäumt habe, die Risiken für seine Shared-Hosting-Dienste
nicht bewertet zu haben,
aber auch sicherheitsrelevante Ereignisse in der Hosting-Umgebung eben nicht
ausreichend protokolliert hat und überwacht hat.
Ferner, dass Shared-Hosting nicht von weniger sicheren Umgebungen getrennt ist.
Dazu gehört auch konkret, dass GoDaddy keine Multifaktor-Authentifizierung verwendet
und keine Software-Einsätze- und Protokolldateien auf mögliche Bedrohungen zu überprüfen.
Ferner wirft FTC GoDaddy vor, dass Kunden durch irreführende Angaben auf der
eigenen Webseite, in E-Mails oder bei Werbung in sozialen Netzwerken getäuscht werden.
Die US-Behörde verweist auch auf vergangene schwerwiegende Sicherheitsverletzungen
in den Jahren von 2019 bis 2022, bei denen Cyberkriminelle unbefugten Zugriff
auf Webseiten von GoDaddy-Kunden erlangen konnten.
Die FTC schaut nach vorne und macht einen Einigungsvorschlag.
Demnach wird die Beschwerde beigelegt, wenn GoDaddy ein umfassendes Datensicherheitsprogramm umsetzt.
Die FTC gibt als Ziel der eigenen Maßnahme, also dieses Datensicherheitsprogramms vor oder an,
dass dieser sicherstellen soll, dass Unternehmen wie GoDaddy ihre Sicherheitssysteme
verstärken, um Verbraucher auf der ganzen Welt zu schützen.
Von daher, ja, ich bin gespannt. Ich finde das gut.
Es muss nicht immer die Bußgeldkeule sein. Vor allem, wenn das eigentlich der
Blick nach vorne ist, eigentlich der Schutz der Verbraucher oder der Betroffenen
hier ganz klar im Vordergrund steht.
So wie hier finde ich das tatsächlich sehr gut.
Vernünftige Entscheidung, aus deiner Sicht.
Ich habe als nächstes eine anstehende Personalentscheidung auf europäischer
Ebene mitgebracht, denn Bruno Gensarelli, ich hoffe ich spreche es richtig aus,
wurde als bevorzugter Kandidat für die Rolle des europäischen Datenschutzbeauftragten
gewählt und würde somit die Nachfolge von Wojcik-Wiwiowowski antreten.
Genserelli ist aktuell Leiter für internationale Datenströme und Datenschutz
in der EU-Kommission und er sei wohl bekannt für seinen pragmatischen Ansatz
und spielt in Vergangenheit eine besondere Schlüsselrolle bei den Verhandlungen
über das Nachfolgeabkommen,
was die Datentransfers zwischen der EU und den USA angeht.
Gewählt hat der Ausschuss für bürgerliche Freiheit, Justiz und Inneres der EU-Kommission
und nun bedarf es infolgedessen noch einer Einigung zwischen dem EU-Parlament und dem Ministerrat,
bevor eben der neue europäische Datenschutzbeauftragte offiziell ernannt wird.
Drücken wir ihm die Daumen, das funktioniert.
Und mal schauen, wie es weitergeht.
Genau, richtig, auf europäischer Ebene weitergeht. Ja, dann kommen wir zu unseren
Veröffentlichungen. Und ja, ich hatte es ja schon zu Beginn gesagt,
ich habe einen neuen Praxistipp mitgebracht zum Datenschutz in Arzt- und Psychotherapiepraxen.
Vielleicht beschriftlich die große Masse unserer Zuhörerinnen und Zuhörer,
aber trotzdem fanden wir ein ganz interessanter Hinweis, denn ab sofort bietet
die Initiative mit Sicherheit gut behandelt, so der Name,
monatlich Praxistipps an, um Ärztinnen, Ärzte, Psychotherapeutinnen und Psychotherapeuten
bei der Umsetzung von Datenschutzvorgaben.
Im Praxisalltag zu unterstützen.
Dies geht diese Woche aus einer Pressemitteilung des Landesbeauftragten für
den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz hervor.
Die Praxistipps widmen sich wohl jeweils einer datenschutzrechtlichen Fragestellung,
die im Alltag von Arzt- und Psychotherapiepraxen relevant sind.
Also hier, wer Interesse hat, wie gewohnt findet ihr den Link in den Shownotes.
Ich werde es mir, glaube ich, mal anschauen und durchlesen, weil ich glaube,
es ist nicht nur wirklich für die Inhaber von Praxen interessant sein,
vielleicht auch wirklich wie die Patienten, die auf der anderen Seite sitzen.
Kannst du recht haben. Ja, dann schauen wir da auch mal rein.
Ja, liebe Natalia, herzlichen Dank dir.
Danke dir, liebe Laura.
Liebe Zuhörerinnen und Zuhörer, wir danken euch natürlich auch rechtzeitig,
dass ihr uns wieder euer Ohr geschenkt habt, wünschen euch jetzt ein schönes
Wochenende und sagen bis zur nächsten Woche. Bis dahin.
Bis dahin, bis nächstes Mal.