3. November 2021
Der kürzlich in Meta umbenannte Internetkonzern Facebook stellt nach über zehn Jahren die Automatische Gesichtserkennung auf dem sozialen Medium ein.
In einem Blogeintrag auf der Website von Meta verkündete Jerome Pesenti, Vize-Chef der Abteilung für Künstliche Intelligenz, die Beendigung des Projekts der automatischen Gesichtserkennung. Seit 2010 identifiziert diese automatisch die auf den Fotos der Usern abgebildeten Personen. Dadurch wird eine Verknüpfung von Gesicht und Konto möglich gemacht. Laut Pesenti ergebe die Einstellung des Tools Nachteile, wie zum Beispiel Einschränkungen der Nutzbarkeit durch blinde User. Starke gesellschaftliche Kritik sowie eine unklare Gesetzeslage über den Einsatz der Technologie hätten jedoch zu der Abschaffung der automatischen Gesichtserkennung geführt.
Zudem kündigte Pesenti an, die zur automatischen Gesichtserkennung erhobenen Daten der User zu löschen. Dies betrifft rund eine Milliarde Nutzerdaten.
Bereits im Februar dieses Jahres unterlag Facebook einer Sammelklage, in welcher es um die Funktion der automatischen Gesichtserkennung ging, und wurde zu einer Zahlung von 650 Millionen US-Dollar verurteilt.
Wann die Software abgeschaltet wird und die erhobenen Daten gelöscht werden, ist jedoch noch unklar.
28. Oktober 2021
Die Schul-App Scoolio hat die personenbezogenen Daten ihrer Nutzerinnen und Nutzer, also minderjähriger Schüler, nicht ausreichend geschützt. Das hat die IT-Sicherheitsaktivistin Lillith Wittmann mit ihren Kollegen des IT-Sicherheitskollektiv „Zerforschung“ herausgefunden. Laut dem App-Anbieter wurden die Sicherheitslücken inzwischen geschlossen.
Die Sicherheitsforscher konnten über einen sogenannten Person-in-the-Middle-Proxy nachvollziehen, dass die Schnittstellen in der Kommunikation zwischen der App und den Nutzern nicht ausreichend gesichert waren. Dadurch konnten sie auf alle Daten von allen Nutzern zugreifen, also Nicknames, Geburtsdaten, E-Mail-Adresse und auch den Standort.
Die Missbrauchs-Potentiale sind groß, in der App können Chaträume wie „Christen“ oder „LGBTQ“ erstellt werden, sodass über die Mitgliedschaften auch Informationen über besondere Kategorien personenbezogener Daten erlangt werden können. Außerdem kann die App für Cybergrooming von Erwachsenen missbraucht werden. Es sei möglich gewesen, ein Profil für eine 33 Jahre alte Person anzulegen und damit Zutritt zur Chatgruppe „Suche Freund zwischen 12 und 13“ zu bekommen.
Die in Dresden ansässige Scoolio GmbH hat die Sicherheitslücken nach mehr als 30 Tagen geschlossen, wichtige Schutzmaßnahmen aber kurzfristig umgesetzt. Aus diesem Grund hat der Datenschutzbeauftragte Sachsens keine weiteren Maßnahmen oder Bescheid erlassen. Der Verantwortliche habe sich kooperativ gezeigt und dankte auch den Sicherheitsforschern. Zusätzlich interessant ist, dass der Technologiegründerfonds Sachsen mit öffentlichem Geld aus Sachsen und der EU in Scoolio investiert hat.
22. Oktober 2021
Hintergrund
Mit Einführung der DSGVO am 25.Mai 2018 erhielten Verbraucher besondere Rechte. Unter anderem sollte sichergestellt werden, dass große Konzerne die (sensiblen) personenbezogenen Daten ihrer Nutzer nicht gegen deren Willen sammeln und verarbeiten.
Von der Verarbeitung personenbezogener Daten lebt jedoch das Geschäftsmodell von Social Media Anbietern wie Facebook, denn durch die Auswertung des Nutzerverhaltens kann Werbung auf die jeweiligen Nutzer- Interessen genau zugeschnitten werden.
Facebook wendet bislang folgenden Trick an, um die personenbezogenen Nutzerdaten zu eigenen Zwecken verarbeiten zu können und damit die Voraussetzungen der DSGVO zu umgehen: Die Einwilligung wurde vollständig in die AGB verschoben, denen potenzielle Nutzer zustimmen müssen, um Facebook überhaupt benutzen zu können. Auf eine separate Einwilligung verzichtete Facebook. So werden strenge Anforderungen der DSGVO, wie die freiwillige Einwilligung in die Verarbeitung personenbezogener Daten und das jederzeitige Widerspruchsrecht hinsichtlich dessen, umgangen. Die Betroffenenrechte der DSGVO sind so praktisch ausgehebelt. Facebooks rechtliche Argumentation ist simpel: Wird die Vereinbarung als „Vertrag“ gemäß Art. 6 Abs.1 lit.b DSGVO statt als „Einwilligung“ gemäß Art.6 Abs.1 lit.a DSGVO ausgelegt, sollen die strengen Vorschriften der DSGVO für den Konzern nicht mehr gelten.
Dem österreichischen Juristen und Datenschutz-Aktivisten Max Schrems entgingen Facebooks Änderungen nicht. Er reichte damals Beschwerde bei der zuständigen Aufsichtsbehörde in Irland ein. Die hat nun, mehr als drei Jahre später, eine vorläufige Entscheidung getroffen. Es ist ein Bußgeld in Höhe von 28 bis 36 Millionen Euro für Facebook vorgesehen. Allerdings soll Facebook weiterhin an seiner Art und Weise der Zustimmungspraxis festhalten dürfen. Kritisch wurde lediglich die Herangehensweise von Facebook angemerkt. So habe Facebook auf die Verschiebung der Einwilligung zur Datennutzung in die AGB nicht transparent hingewiesen. Dies ist sodann auch der Grund für das Bußgeld in Höhe von 28 bis 36 Millionen.
Aktuell
Letzte Woche schickte die irische Datenschutzbehörde ein Schreiben an NOYB, dessen Vorsitzender Max Schrems ist. In diesem Schreiben wird NOYB dazu aufgefordert, einen Entscheidungsentwurf unverzüglich von ihrer Website zu entfernen und von jeder weiteren oder sonstigen Veröffentlichung oder Weitergabe desselben abzusehen. Zuvor legte die irische Datenschutzbehörde den anderen europäischen Datenschutzbehörden einen „Entscheidungsentwurf“ bezüglich des juristischen Tricks, mit dem Facebook die DSGVO umgeht, vor. Diesen Entscheidungsentwurf hat NOYB sodann veröffentlicht. NOYB weist jede Aufforderung seitens der irischen Datenschutzbehörde ab, den Entwurf zu entfernen; gemäß Art. 80 DSGVO sieht sich NOYB in der Pflicht, mit den Behörden zusammenzuarbeiten und die Entwicklung der DSGVO zu verfolgen. Hierunter fallen auch Veröffentlichungen von Entscheidungen, die für die Öffentlichkeit von Bedeutung sind.
19. Oktober 2021
Insbesondere die letzten zwei Jahre haben deutlich gezeigt, dass digitale Plattformen auch im Schulbereich für den Fortlauf der Wissensvermittlung unerlässlich sind. Allerdings werden hierbei personenbezogene Daten von Kindern verarbeitet, was viele Unsicherheiten zwischen den beteiligten Parteien hervorruft.
Eltern, Lehrer*innen und Schüler*innen wurden aus verschiedenen Perspektiven vor eine Herausforderungen gestellt. So fehlt regelmäßig die Rechtsgrundlage für die Verarbeitung personenbezogener Daten bei der Nutzung von digitalen Lernmitteln im Unterricht. Datenschutzrechtlich ist demnach die Einholung von Einwilligungen gemäß Artikel 6 Absatz 1 lit. a) DSGVO für die Nutzung von digitalen Lernräumen notwendig.
In Berlin wurde durch die Reform des Berliner Schulgesetzes am 16. September 2021, durch weitreichende Änderungen der datenschutzgerechte digitale Unterricht neu geregelt. Durch die Neuerungen wurden weitreichende inhaltliche Regelungen vorgenommen. Demnach ist unter anderem die Einholung der Einwilligung nicht mehr notwendig. Das neue Gesetz verpflichtet darüber hinaus die Berliner Senatsverwaltung für Bildung, regelmäßig datenschutzkonforme Lehrmittel festzulegen.
Die Beauftragte für Datenschutz und Informationsfreiheit in Berlin, Maja Smoltczyk, nennt die vorgenommenen Änderungen des Berliner Schulgesetzes „richtungsweisend für andere Bundesländer“. Digitale Lernmittel haben in ihrem Einsatz in Berliner Schulen durch das Berliner Schulgesetz sicheren Boden gefunden, betont Smoltczyk und sieht durch die Neuerung „die Berliner Schulen für das digitale Zeitalter gewappnet.
Durch die Reform wurde nicht nur Rechtssicherheit bei der Verwendung von digitalen Lehrmitteln erzielt, sondern auch Kapazitäten für die pädagogischen Aspekte des Schulwesens wieder frei.
14. Oktober 2021
Auf Twitter hat der Streaming-Anbieter Twitch bestätigt, dass es ein Datenleck gegeben hat. Unbekannte hatten zuvor bekanntgegeben, den Dienst „komplett“ gehackt zu haben. Die Webseite ist eine der größten Video-Plattformen im Internet und gehört seit 2014 zu Amazon. Anfangs konnten Nutzer über Twitch Gamern live beim Computer spielen zuschauen, mittlerweile gibt es dort Livestreams von Konzerten über Karaoke bis hin zu Traktorfahrten.
In den geleakten rund 125 GB Daten befinden sich neben dem gesamten Quellcode der Seite auch interne Informationen über Auszahlungen an die Top-Streamer. Demnach haben seit 2019 25 Personen jeweils mehr als zwei Millionen US-Dollar für ihre Live-Streams erhalten, über 50 Personen jeweils eine Million US-Dollar. Außerdem wurden Sicherheitstools geleakt, die für weitere Hackerangriffe ausgenutzt werden könnten.
Ebenso interessant wie die veröffentlichten Informationen ist das, was nicht veröffentlicht wurde: es sollen keine E-Mail-Adressen, Passwörter oder Kreditkartendaten der Twitch-Nutzer enthalten sein. Nutzerinnen und Nutzern wird lediglich empfohlen, das Passwort zu ändern und künftig die Zwei-Faktor-Authentifikation zu verwenden. Dieser Fakt und die Offenlegung des Codes sowie weiterer interner Informationen lässt vermuten, dass es sich um einen politisch motivierten Hack handelt. Bereits im August gab es unter dem Hashtag #DoBetterTwitch einen Boykottaufruf, da Twitch nicht genug gegen Hass gegen die Creator unternehme. Twitch hat daraufhin u.a. die Chatfilter angepasst, dies ging den Kritikern und Kritikerinnen jedoch nicht weit genug.
13. Oktober 2021
Die norwegische Datenschutzbehörde äußerte sich vor kurzem, dass ein Unternehmen, das eine Email mit persönlichen Daten an eine falsche Email Adresse geschickt hatte, keinen Datenschutzverstoß begangen hatte.
Was war passiert?
Der Betroffene hatte sich bei der norwegischen Behörde gemeldet, nachdem seine Kaufbestätigung und Rechnung an eine andere Email-Adresse als die seine versandt wurden. Die Email-Adresse des tatsächlichen Empfängers gehörte einem anderen Kunden des Unternehmens und war bis zum „@“ identisch mit der des Betroffenen. Der Betroffene ging deshalb von einer unternehmensinternen Verwechslung aus und machte diese als Verstoß gegen die DSGVO geltend. Weiterhin kontaktierte er wiederholt das Unternehmen, um die Verwechslung anzuzeigen und seine Daten korrigieren zu lassen.
Wie äußerte sich die Datenschutzbehörde?
Die Datenschutzbehörde geht davon aus, dass in dem ursprünglichen Versand der Email kein Verstoß gegen die DSGVO zu sehen ist. Vielmehr schien der Betroffene selbst seine Email-Adresse falsch eingegeben zu haben. Jedoch kritisierte die Behörde, dass das Unternehmen auf die wiederholten Versuche zur Kontaktaufnahme durch den Betroffenen nicht reagierte. So dauerte es mehr als 6 Monate, bis eine Korrektur der Email-Adresse vorgenommen wurde. Dies kritisierte die Behörde vor allem mit Blick auf die einmonatige Frist, die sich aus Art. 12 Abs. 3 DSGVO ergibt und sah hierin einen Verstoß gegen die DSGVO. Maßnahmen ergreift die Behörde keine, sie weist aber auf ihre Protokollierung solcher Fälle hin.
7. Oktober 2021
Am 27. September 2021 gab der Europäische Datenschutzausschuss (EDSA) bekannt, dass er eine „Cookie-Banner“ Task Force eingerichtet hat. Ziel und Aufgabe dieser Task Force ist, die Beschwerden, die die Organisation None of Your Business (NOYB) im Zusammenhang mit Cookie-Bannern auf Webseiten bei mehreren EU-Datenschutzbehörden eingereicht hat und daraus resultierenden Antworten, zu koordinieren,.
Im Mai 2021 hatte NOYB über 500 Beschwerdeentwürfe und formelle Beschwerden an Unternehmen in der EU bezüglich der Verwendung ihrer Cookie-Banner geschickt. Die Beschwerden scheinen sich bei den meisten Webseiten auf das Fehlen einer Schaltfläche „Alle ablehnen“ zu konzentrieren sowie auf die Art und Weise, wie Cookie-Banner ein trügerisches Design verwenden, um die Betroffenen dazu zu bringen, der Verwendung von nicht notwendigen Cookies zuzustimmen. Ein weiterer häufig genannter Beschwerdegrund ist die Schwierigkeit, Cookies abzulehnen, im Gegensatz zu der einfachen Möglichkeit, ihnen zuzustimmen.
Der EDPB erklärte, dass die Task Force in Übereinstimmung mit Art. 70 (1) (u) DSGVO eingerichtet wurde und das Ziel verfolgt, die Zusammenarbeit, den Informationsaustausch und die besten Praktiken zwischen den Datenschutzbehörden zu fördern. Die Einsatzgruppe soll sich über rechtliche Analysen und mögliche Verstöße austauschen, die Aktivitäten auf nationaler Ebene unterstützen und die Kommunikation vereinfachen.
1. Oktober 2021
Die erst kürzlich vorgestellte App „ID Wallet“ muss noch einmal auf den Prüfstand und ist nicht mehr verfügbar. Eine Woche nach dem Startschuss für den digitalen Führerschein in Deutschland ist die dazugehörige Smartphone-App ID Wallet wieder zurückgezogen worden.
Der von der Bundesregierung beauftragte Dienstleister Digital Enabling GmbH erklärte, der Start der App habe viel Aufmerksamkeit von Nutzerinnen und Nutzern erhalten, die sich intensiv mit Sicherheits- und Vertrauensfragen befassen. Das Unternehmen räumte jedoch nicht direkt ein, dass Sicherheitslücken tatsächlich vorhanden seien, sondern verwies auf Probleme durch die Überlastung der Server. „Um das System auf höhere Nutzlasten auszulegen und den Sicherheitshinweisen nachzugehen, werden wir in den nächsten Wochen umfangreiche weitere Tests durchführen. In dieser Zeit werden wir die App aus den Stores nehmen.“
Der digitale Führerschein, der in der ID-Wallet aufbewahrt wird, soll beispielsweise die Nutzung von Mietwagen oder Carsharing-Angeboten erleichtern. Langfristig sollte das digitale Abbild des Führerscheins auf dem Smartphone das analoge Papier vollständig ersetzen können, etwa bei einer Ausweiskontrolle. Laut Digital Enabling werden dabei die personenbezogenen Daten auf dem Smartphone gespeichert. Aussteller und Anfragende verarbeiten die personenbezogenen Daten in ihren internen Systemen unter eigenverantwortlicher Erfüllung der Anforderungen der Datenschutzgrundverordnung. Das Projekt wurde vor einer Woche von Bundesverkehrsminister Andreas Scheuer vorgestellt.
Nach der Vorstellung des Projekts „Digitaler Führerschein“ traten zunächst technische Schwierigkeiten auf, weil die Server überlastet waren. Außerdem kritisierten Sicherheitsexperten aus dem Umfeld des Chaos Computer Clubs (CCC) die Anwendung. Man habe „Grund zur Annahme“, dass die Infrastruktur hinter der App und die zugrundeliegende Blockchain-Technik angreifbar sein könnten.
Gerichtsentscheidungen dürfen nur anonymisiert – d.h. ohne namentliche Nennung der betroffenen Personen – an andere Behörden weitergeleitet werden. Das entschied das Landgericht Köln unter Verweis auf die DSGVO mit Urteil vom 03.08.2021 (Az. 5 O 84/21). Einen Anspruch auf Schmerzensgeld für die unberechtigte Weiterleitung verneinte das Gericht.
Sachverhalt
Im Ursprungsfall wandte sich der Kläger gegen eine Allgemeinverfügung der Stadt Bergisch Gladbach, die ihm aufgrund der Corona-Pandemie die Schließung seines Geschäftslokals auferlegte. Nachdem das Verwaltungsgericht Köln zugunsten der Stadt entschieden hatte, leitete diese den Beschluss an andere Behörden zu deren Information weiter. Dabei unterließ sie jede Form der Anonymisierung, d.h. Unkenntlichmachung des Klägers.
In dem Verfahren vor dem LG Köln begehrte der Kläger deswegen von der Stadt Schmerzensgeld gem. Art. 82 DSGVO. Dazu behauptete er, durch die öffentliche Bekanntmachung des Beschlusses sei er Anfeindungen als Corona-Leugner ausgesetzt gewesen und seine Reputation habe gelitten. Die Stadt hingegen verwies darauf, dass der Fall bereits durch die Berichterstattung in einer Tageszeitung der Öffentlichkeit bekannt gewesen sei und dass es sich bei den personenbezogenen Daten des Klägers nicht um geheime Daten gehandelt habe.
Die Entscheidung
Nach Art. 82 DSGVO steht jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz zu. Das LG Köln sah in der Weiterleitung des Beschlusses an andere Behörden auch einen Verstoß gegen die DSGVO. Die Stadt hätte jedenfalls den Beschluss anonymisieren und die Identität des Klägers unkenntlich machen müssen.
Es verneinte jedoch einen Anspruch auf Schmerzensgeld gem. Art. 82 DSGVO. Als Begründung dafür führte es an, dass die vom Kläger beschriebenen Beeinträchtigungen nicht notwendigerweise auf die Offenlegung des Berichts zurückzuführen seien. Zu dem Zeitpunkt hätten sich auch andere Geschäftsinhaber gegen die Schließung gewehrt, so dass auch diese an den Beschluss hätten gelangen können. Zudem seien die Mitarbeiter der Verwaltung zur Verschwiegenheit verpflichtet.
30. September 2021
Am 07.09.2021 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) sein Branchenlagebild Automotive. Eigenen Angaben zufolge arbeiten das BSI und der Verband der Automobilindustrie (VDA) in Fragen der Cyber-Sicherheit eng zusammen, um diesen für den Wirtschafts- und Automobilstandort Deutschland wichtigen Bereich der Digitalisierung sicher zu gestalten. Neben der Datensicherheit sollen auch die technischen und organisatorischen Maßnahmen stärker in den Fokus rücken. Darüber hinaus müsse auch der Datenschutz stärker berücksichtigt werden.
Ziel der Zusammenarbeit von BSI und VDA sei es, ein gemeinsames Verständnis zu den Teilgebieten der Cyber-Sicherheit in Fahrzeugen und der Informationssicherheit in der Automobilindustrie zu etablieren und daraus Handlungsbedarfe abzuleiten, zum Beispiel im Bereich der Standardisierung. In Zukunft könne man dann gemeinsam Handlungsempfehlungen für Politik und Automobilindustrie entwickeln.
Als beispielhafte Herausforderungen nennt das BSI ein Orts-Tracking von Verkehrsteilnehmern durch Dritte und das unerkannte Aufzeichnen von Personen über Kameras, die für das automatisierte Fahren erforderlich sei. Moderne Autos seien längst fahrende Hochleistungsrechner, die nicht mehr nur mit Kurbelwelle oder Elektromotor angetrieben, sondern in erheblichem Maße von digitaler Technik gesteuert würden.
„Wenn wir digitale Technologie nutzen wollen, um Autos autonom fahren zu lassen, die Verkehrssicherheit zu erhöhen, den Verkehrsfluss zu verbessern und den Energie- und Kraftstoffverbrauch zu reduzieren, dann darf diese Technologie nicht durch unbefugte Dritte manipulierbar sein“, so BSI-Präsident Arne Schönbohm.
Konkret sollen dabei Technologien wie die Fahrzeug-zu-Fahrzeug-Kommunikation und 5G das Autofahren sicherer und komfortabler machen. Durch die Digitalisierung ermögliche man auch neue Dienstleistungen und Funktionen im Fahrzeug. Damit mögliche Cyber-Angriffe keinen Einfluss auf die Fahrsicherheit hätten und geeignete Schutzmechanismen integriert werden könnten, müssten entsprechende Gefährdungen bereits frühzeitig im Entwicklungszyklus neuer Fahrzeugmodelle berücksichtigt werden.
Die Veröffentlichung der Publikation verdeutlicht, dass Hersteller, Zulieferer, Entwickler und andere Dienstleister der Automobilbranche durchaus in den Fokus des BSI gerückt sind.
