Unzureichende TOM im EU-Parlament – Datenschutz News KW 34/2024

Moderation:

Was ist in der KW 34 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Unzureichende technische und organisatorische Maßnahmen im EU- Parlament
• Geldstrafe von 26.800€ gegen dänische Gemeinde wg. unzureichender Sicherheitsmaßnahmen
• Verwaltungsgericht verpflichtet BayLDA zur angemessenen Reaktion auf Beschwerden
• WhatsApp Beta mit erweitertem Datenschutz?

Empfehlungen & Lesetipps:

• NIS2: Neue Maßstäbe für Cybersicherheit in Europa
• LDI NRW mit Hilfestellung zu Fotos bei der Einschulung / Fotos von Kindern

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/unzureichende-tom-im-eu-parlament-datenschutz-news-kw-34-2024/

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Herzlich willkommen zum Datenschutztalk. Eurem wöchentlichen Datenschutz ab, Mein Name ist Natalia Wosnak und bei mir ist mein lieber Kollege. Lothar. Hallo Lothar. Immer wieder schön mit dir, Ja, gemeinsam schauen wir wieder auf die Woche des Datenschutzes zurück. Wie immer behalten wir bei der Migosense die News während der Woche im Blick, um uns und euch hier auf dem Laufenden zu halten. Heute ist Freitag, der dreiundzwanzigste achte zwanzig vierundzwanzig, unsere Redaktionsschluss war heute wie auch üblich um zehn Uhr morgens. So, wir haben ein paar Themen mitgebracht. Lothar, möchtest du starten? Was hast du mitgebracht? Also ich habe mitgebracht einmal die unzureichenden, technischen und organisatorischen Maßnahmen eben EU-Parlament, zum anderen eine Verpflichtung durch das Verwaltungsgericht Ansbach für die bayerische Aufsichtsbehörde zur angemessenen Reaktion und abschließend noch ein paar Hinweise zu Veröffentlichungen und Veranstaltungen. Super, klingt spannend. So, ich habe auch zwei Themen, zum einen die, Zahlungspflicht gegen die dänische Gemeinde wegen unzureichender Sicherheitsmaßnahmen und ein WhatsApp Beta mit erweitertem Datenschutz und natürlich habe ich auch ein Veranstaltungshinweis im, dann würde ich sagen, wir legen los. Das machen wir, Lothar. Genau. Ja, wir kommen auch Zu unserem Titelthema, ne? Wir haben in der Themenfolge 22 in diesem Jahr, Anfang Mai über einen Datenleger auf der Rekrutierungsplattform People berichtet, wird eingesetzt vom äh Europäischen Parlament im Bewerbungsprozess und dazu gibt’s ein sehr sehr spannendes äh wie wir auf Neub, also Business ähm gefunden haben. Kurz im Hintergrund, das EU-Parlament äh setzt den Bewerbungsprozess die Plattform People ein, wie schon gesagt und auf dieser Plattform ist es zu einer Datenschutzverletzung, zu einer Datenpanne gekommen, sind Insgesamt von 8.000 Personen abgeflossen. Bei den Daten handelt es sich um Personalausweisdaten, Strafregisterauszüge, Aufenthaltsinformationen, Heiratsurkunden. Hier bei Heiratsurkunden geht sofort der Träger an. Es gibt eventuell Rückschlüsse auf die sexuelle Orientierung, also wir befinden uns schon im Artikel 9 DSGVO. Also es ging hier über normale, in Anführungsstrichen reguläre Identifikations hinaus zum, unserer Berichterstattung im Mai war jetzt noch nicht ganz klar, was die Ursache für diesen Datenabfluss war. Es waren gegebenenfalls Cyberangriffe äh mit ähm ja ausländischen Akteuren im Gespräch, aber die Ursache ist äh letztendlich immer noch unklar. Was, nicht mehr unklar ist äh mittlerweile also drei Monate später. Es liegen nun weitere Informationen vor und zwar hatte bereits im November zwanzig 3undzwanzig also sechs Monate vor dem Datenabfluss die eigene IT-Abteilung des EU-Parlaments festgestellt, dass die eigene Cybersicherheit, Zitat, nicht dem Industriestaat Standard, und nächstes Zitat, nicht in vollem Umfang der Bedrohungsniveaus. Im Zusammenhang mit dem Datenleck hat sich nun auch gezeigt, dass die Grundsätze der Datenverarbeitung in eigenen Punkten durch das EU-Parlament nicht den datenschutzrechtlichen Anforderungen ent So geht man davon aus, dass die Datenminimierung Datensparsamkeit nicht beachtet wurden. Es wurden also mehr Daten verarbeitet ähm als unbedingt erforderlich waren für die äh Zweckerfüllung. Und auch die Speicherdauer, die zaubern einem doch schon so ein paar Falten auf die Stirn. Es wurden zehn Jahre im Bewerbungskontext herangezogen. Insbesondere bei der Verarbeitung von Artikel 9 Daten ist das schon sehr, sehr beachtlich. In Folge hat Neub äh2 Beschwerden beim europäischen Datenschutzbeauftragten eingereicht Ja, also ist schon ein Vorgang, der schon nachdenklich stimmt, ne? Also wenn man schon feststellt, dass das bei hohem Bedrohungsniveau, dass die Sicherheitsmaßnahme im Auge zu behalten sind, was eigentlich immer eine sehr, sehr gute äh Idee ist, um regelmäßig prüfen, dann sollten aber auch die erkannten Schwachstellen, bearbeitet werden und auch zeitnah umgesetzt werden. Ne und natürlich auch und das ist äh relevant für unsere Datenschutzrechtliche Praxis, die datenschutz-Grundsätze, ne, die müssen hinsichtlich löschen, Datensparsamkeit und Ähnliches auch beachtet werden. Also es hat verschiedene, dieses Thema. Mhm. Für mich kommt noch eine weitere Perspektive dazu, nämlich eigentlich hätte ich mir gewünscht, dass Behörden, öffentliche Stellen oder auch das EU-Parlament hier mit mit gutem Beispiel vorangeht Und eigentlich den Unternehmen der Privatwirtschaft zeigt, wie es geht, wie man’s machen sollte und nicht eher, so wie hier leider, mit einem Negativbeispiel auffällt. Aber ja. Vielleicht ist das jetzt der Wendepunkt. Das hoffen wir. Ich habe wie ein weiteres Beispiel, wie es eigentlich nicht sein sollte und zwar ähm hat die dänische Datenschutzbehörde die Gemeinde Fehlen in Dänemark wegen unzureichender Sicherheitsmaßnahmen bei der Polizei angezeigt. Auslöser waren hier drei gestollene Computer mit Informationen über Kinder. Diese waren nicht verschlüsselt, Dabei stellte sich auch heraus, dass dies auch bei bis zu 300 anderen Computern in der Gemeinde der Fall war. Aus dieser Meldung geht nicht wirklich klar hervor, ob es zuvor bereits einen anderen Fall gab, bei dem fünf Laptops gestohlen wurden. So lese ich das aber, in die Richtung jedenfalls. Diesbezüglich soll bereits durch die Gemeinde ein Verstoß gegen den Schutz personenbezogenen Daten gemeldet worden sein Besonders brisant ist daran, dass dieser Computer, ob jetzt äh jetzt die aktuell drei, die äh gestohlen wurden oder zuvor die Fünf oder auch die 3hundert insgesamt, dass dieser Computer zwar für die Nutzung durch die Kinder im Unterricht bestimmt, sind oder waren, in der Praxis aber von Lehrern ähm zur Erstellung von Statusbeschreibung von Schülern, Klassenübergaben und und und für weitere Zwecke verwendet werden oder wurden. Damit enthielten die Computer weitere Informationen über schulrelevante Informationen, vielleicht auch über den Wissensstand, über die Schüler selbst und damit über Kinder und dementsprechend ist die Sache natürlich brisanter und äh die Daten da drauf sensibler. Damit haben auch hier in diesem Fall fehlende und nicht ausreichende Toms, wie hier die fehlende Verschlüsselung, plus eben der entsprechende Auslöser, hier der Diebstahl. Dazu geführt, dass ich das Risiko für die für die betroffenen Schüler realisiert hat. Die dänische Datenschutzbehörde hat äh die Gemeinde daher nun bei der Polizei angezeigt, und einer Geldstrafe in Höhe von 200.000 dänischen Kronen empfohlen. Das sind umgerechnet circa 26.800 Euro. Also vom Verhältnis her wir haben auch schon höhere, aber auch ja geringere Geldstrafen oder oder Geldbußen erlebt. Die Aufsichtsbehörde betont hier und ich zitiere, dass die Verschlüsselung eine sehr grundlegende Sicherheitsmaßnahme ist, die relativ einfach und nicht sehr kostspielig zu implementieren ist. Die Aufsichtsbehörde ermutigt daher alle Kommunen sich ihre tragbaren Geräte nochmal genau anzuschauen und die Verschlüsselung jetzt in Angriff zu nehmen. Ich glaube, dass diese Empfehlung und Ermutigung nicht nur für Kommunen in Dänemark greifen sollte, sondern auch für Behörden, öffentliche Stellen und genauso auch für private Stellen bei uns in Deutschland, Das Interessante an dieser Meldung ist tatsächlich, dass Vorgehen der Aufsichtsbehörde, was mich so ein bisschen stutzig gemacht hat, an Stand ein Bußgeld zu verhängen, wurde hier eine Strafanzeige bei der Polizei gemacht. Mit der Empfehlung eben eine Geldstrafe in der umgenannten Höhe. Auszusprechen. Da die Verhängung von Geldbußen gegen Behörden und öffentliche Stellen aber in Artikel dreiundachtzig, Absatz sieben, DSGVO, auch der nationalen Gesetzgebung unterlegt, gibt es hier möglicherweise national Besonderheiten, die die Aufsichtsbehörde auf diesen Weg gebracht haben. Ich habe jetzt für mich die Idee oder den Auftrag daraus mitgenommen zu prüfen, ob das für uns in Deutschland auch eine Option wäre für die Aufsichtsbehörden. Wer vielleicht ein neues Vorgehen, ich schaue es mir mal an. Ja, also das würde natürlich sehr viele Möglichkeiten eröffnen, ne? Das wäre sehr gut. Na und auch nur das das Grundthema Verschlüsselung. Es ist es ist ein Standard, ne. Es ist wirklich ein Standard, ne, jetzt nicht nur Mobilgeräte, da ist nichts auf der Hand, dadurch dass sie mobil sind, sind sie auch schnell mobil in falsche Hände, ne, aber äh das ist ein ein riesen Thema. Sollte sollte sollte bei jedem Unternehmen mittlerweile umgesetzt worden sein, weil bei jedem mobilen Gerät, aber wie wir auch sehen, auch bei bei Computern, die die feststehen, die können genauso unterm unter einem etwas kräftigeren, größeren Arm mitgenommen werden. So sieht es aus, genau. Kommen wir zum nächsten Thema und zwar zu einem Urteil des Verwaltungsgerichtes Ansbach. Das hat nämlich die bayrische äh Landesdatenschutzaufsicht zu Handlungen verpflichtet. Das Urteil ist vom zwölften Juni zwanzig vierundzwanzig, also relativ neu und es ging darum, zum Hintergrund eine Beschwerdeführerin hatte einen Seminarveranstalter aufgefordert, ihr Auskunft zu erteilen über alle gespeicherten, personenbezogenen Daten zu ihrer Person. Also regulär Artikel fünfzehn, DSGVO, dem wurde nicht oder äh nicht zufriedenstellend nachgekommen, worauf sie dann bei der bayerischen Datenschutzaufsicht eine Beschwerde wegen eines Datenschutz oder ein Verstoß gegen die DSGVO eingebracht hat Das Landesamt hat auch reagiert. Man forderte den Seminarveranstalter zur Auskunftserteilung auf, hat aber dann den Fall geschlossen, ne. Es wurden keine weiteren Maßnahmen definiert. Der Vorgang wurde zu den Akten gelegt und äh ja, es war aus Behördensicht erledigt aber die Beschwerdeführerin gab sich damit nicht zufrieden und er hob daraufhin Klage gegen die bayrische Landesdatenschutzaufsicht, da sie ihre Rechte nicht ausreichend gewahrt sah Und tatsächlich hat das Verwaltungsgericht in Ansbach dem auch entsprochen. Das Gericht erklärte die Klage für zulässig und begründet Die Aufsichtsbehörde sei verpflichtet auf Verstöße gegen die DSGVO angemessen zu reagieren. Hat in diesem Fall fehlerhaft äh seine Tätigkeiten ausgeführt, dadurch, dass keine Maßnahmen gegen den Seminarveranstalter äh empfohlen und eingeleitet worden sind. Angesichts der Umstände, insbesondere des der Weigerung des Seminarverwalters, auf Auskunftserteilung sei das Ermessen der Behörde auf null reduziert gewesen. Und so hat das Gericht entschieden, dass die bayrische Landesdatenschutzaufsicht jetzt verpflichtet ist, geeignete Maßnahmen zu ergreifen, Also ich fand das Urteil aus zwei Perspektiven sehr interessant, weil das zum einen sehr deutlich nochmal die Wichtigkeit, zum einen von geeigneten Prozessen zur Gewährleistung der betroffenen Rechte unterstreicht und zum anderen aber auch ähm vielleicht mal so mit äh Blick in die Zukunft, kann es auch dazu führen, dass zukünftig die Aufsichtsbehörden bei Eingaben, Werker und Fokussierter zu erforderlichen Maßnahmen sich äußern. Ja, der der Wind äh gegen die Unternehmen, der kann demnächst ein bisschen rauer werden. Ja, ich komme dann zu meiner nächsten Meldung. Und zwar geht’s um das Thema WhatsApp. Wie heiße berichtet arbeiten die Entwickler für WhatsApp an eine Beta-Version. Diese soll es ermöglichen Nutzernamen statt Telefonnummern zu verwenden, Und auch eine optionale Vergabe einer Pin ähm einzurichten, die vor ungewollten Kontakten schützen soll. Neue Kontakte, mit denen bisher noch keine vor rege Interaktion, also Kommunikation stattgefunden hat, sollen, Wenn das denn ähm aktiv wird und wenn diese Option aktiviert ist, zunächst die festgelegte Pin eingeben, bevor sie eine Nachricht senden können. Liest sich für mich so, wie wenn dieser Pin zuvor mit dem neuen Kontakt ähm ja ausgetauscht oder beziehungsweise diesem mitgeteilt werden müsste. Kontakte mit bestehenden Konversationen, also mit denen jetzt bis dahin schon geschrieben wurde, müssen die PIN nicht äh neu eingeben, wenn sie denn nachträglich festgelegt wurde. Zusammen mit der Verwendung des Nutzernamens, der ebenfalls geplant ist, bietet das den Schutz davor, dass jemand unbefugt in WhatsApp Nutzernamen auf anderen Wegen mitbekommt und damit direkt Kontakt aufnehmen könnte, ohne dann die Telefonnummer des Empfängers zu haben. Die Verwendung des Nutzernamens ist An sich gar nicht so neu und wird auch schon bei einem anderen Messenger ähm zum Beispiel bei Signal bereits ähm ja ist implementiert und verfügbar. Wann diese Funktion jetzt tatsächlich für WhatsApp aus dem Beta-Status entlassen und für alle verfügbar wird, ist noch unklar. Hier äh berichtet Heise, dass das Entwicklerteam bereits seit ähm ja über einem Jahr an der Nutzer nahmen statt Telefonnummern-Option arbeitet, insofern bleibt es abzuwarten, wann das denn wirklich zum Tragen kommt. Die Frage, die sich mir gestellt hatte, vickte eine WhatsApp damit datenschutzkonform oder datenschutzfreundlicher, Ich weiß es nicht, ähm müsste man genauer prüfen, aber auf den ersten Blick scheinen die bisherigen Risiken, etwa durch Auswertbarkeit von Metadaten oder durch das Hochladen des Telefonbuchs mit allen Kontakten, also auch von denen, die eben keine WhatsApp-Nutzer sind. Diese Risiken scheinen weiterhin vorhanden zu sein. Dennoch kann diese neue Funktion tatsächlich, wenn sie denn kommt, vor Verbreitung von Spam und betrügerischen Nachrichten schützen. Ich denke zum Beispiel an die Nachricht, die vielleicht schon jeder von uns bekommen hat. Hallo Papa, hier meine neue Telefonnummer. Ruf mich an, schick mir Geld und so weiter. Von daher, würde diese Funktion zumindest in dieser Hinsicht einen mehr an Sicherheit bedeuten, Wir warten ab, ob sie denn kommt, wann sie kommt und wie sie dann genau ausgestaltet sein wird. Mal schauen. Ich finde das gut. Also im privaten Kontext, wie du grade schon gesagt hast, eine sehr gute Funktion und ich glaube auch, dass es wirklich schützen kann, ne, vor, unliebsam oder unbekannten oder ungebetenen Gesprächsteilnehmern. Aber der geschäftliche Kontext, ne, müssen, Ob es tatsächlich dazu beiträgt vielleicht ist in der Bete dann auch noch Inhalte zu Verschlüsselungen von Metadaten und Ähnliches enthalten. Also das muss man dann äh immer wieder neu bewerten, aber so eben geschäftlich im privaten Kontext. Ich find’s super. Ich auch. Ich glaube, ich würde mal diese Option direkt aktivieren, wenn sie den käme. Ja und dann kommen wir auch schon direkt zu unseren Veranstaltungstipps. Genau, genau. Also wir waren ja sowieso in unserer heutigen Folge schon techniklastig, ne? Das dazu passt auch unser erster Veröffentlichungshinweis. Ist auch eine Werbung in eigener Sache und zwar ein lieber Kollege von uns, einen super interessanten Blogbeitrag geschrieben und zwar geht es um das Network Information Security Direktiv. Niss zwei, ne, was in aller Munde ist und derzeit ja auch die alte Niss äh Richtlinie aus dem Jahr 2016 ablöst. Unser Kollege hat sich dazu ja mal geäußert, hat äh Vor- und Nachteile diskutiert, auch den Status diskutiert. Sehr empfehlenswert, sehr lesenswert. Passt auch, wie gesagt, ganz gut zu unserer heutigen Themenfolge. Finde ich auch. Ich habe hier auch etwas ganz, ganz, ganz aktuelles. Von daher, wenn Sie Zeit haben am Wochenende, wird vor allem wenn sie kleine Kinder haben, die jetzt eingeschult werden sollen und zwar bietet die LDI NRW eine Hilfestellung zu Fotos bei der Einschulung von Kindern. Diesen Mittwoch, Also jetzt nächste Woche äh startet in Nordrhein-Westfalen die Einschulung der I-Dötzchen, Und damit geht’s regelmäßig da einher, dass Eltern und äh ja Familienangehörige natürlich ihre Kinder mit der vollen Schultüte fotografieren möchten, Was ist da im Hinblick auf den Datenschutz zu beachten gibt? Dazu hat unsere LDI NRW äh wichtige Hinweise und Hilfestellung gegeben. Geht es um die Einholung der Einwilligung, wie wird diese wirksam eingeholt? Was kann man auf der Webseite der LED NRW nur nachlesen? Daneben bietet sie äh fünf wichtigsten Regeln und gib weitere Hinweise und Hilfestellung eben zu dem Thema Fotos. Einstellungen äh bei Einschulung, Einschulung kommt später, da müssen die Kinder erst groß werden. Von daher, wenn man sich an diese Spielregeln halten kann und hält, dann kann dann eigentlich nichts mehr schiefgehen, Viel Spaß beim Lesen. Wir verlinken natürlich unsere Veranstaltungstipps in den Shownotes. Da fällt mir ein, hast du eine Schultüte bekommen, als du hier angefangen hast? Egal von deinen Eltern oder von vom Geschäftsführer. Als ich hier angefangen habe ähm nein ich glaube nicht. Wir haben andere Sachen bekommen, aber keine Schultüte. Müssten wir anregen. Ja, das stimmt. Für andere Sachen, aber dafür andere Sachen und jedes Jahr zu Weihnachten gibt’s was Schönes mit Migros ins Logo drauf. Das bringt mich vielleicht noch zum weiteren Thema, Werbung in eigener Sache. Also wir haben, so viel Aufträge. Wir haben so viel tolle Kunden, dass wir nach wie vor auf der Suche sind nach Kolleginnen und Kollegen, die mit uns im Team die Datenschutzwelt ein bisschen erträglicher machen bei unseren Kunden. Also, wenn ihr liebe Hörer Da draußen Lust habt, euch mal zu informieren, wie das Leben bei der Mikosenz aussieht, was wir für tolle Kunden haben, was wir für tolle Projekte haben, gerne auf unserer Homepage ein bisschen stöbern und gerne auch mal mit uns aufnehmen, ne? Also wir haben die Mailadresse Bewerbung at Mikosenz DE, wenn ihr Lust und Zeit habt, wir würden uns freuen. Wir würden uns sehr freuen. Meldet euch. So, ich glaube, damit sind wir auch schon direkt am Ende unserer Folge. Wir hoffen, es hat euch gefallen. Wir hoffen, ihr konntet einiges an Input mitnehmen. Auch mal hier und da vielleicht ein bisschen schmunzeln, Wenn ihr das jetzt heute noch hört, also Freitag, dann wünschen wir euch ein schönes Wochenende. Wenn ihr erst am Montag oder in den nächsten Tagen reinhört, einen guten Start in die Woche, Und wir verabschieden uns und sagen Dankeschön. Dankeschön, macht’s gut, gute Zeit.