2021.12 Subjektiv ausgewählte Datenschutz-Highlights

Homeoffice in Frankreich - Verstöße sollen mit Bußgeld geahndet werden. Golem berichtet.

Staatliches Impfregister und Datenschutz - eine emotionale Diskussion: Ein Kommentar von Peter Schaar, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit a.D. - Vorsitzender der Europäische Akademie für Informationsfreiheit und Datenschutz (EAID).

Nach dem Inankrafttreten des Telekommunikationsgesetzes (TKG) wird die Verfassungsbeschwerde gegen die Vorratsdatenspeicherung erweitert. Heise meldet dazu Details.

Mehr Datenschutz-Beschwerden über den Online-Bezahldienst Klarna als bei allen anderen Banken und Versicherungen... Gründe sind die App über die alle Kunden nur noch bezahlen sollen und die laut Thilo Weichert undurchsichtigen Datenschutzhinweise. Golem hat mehr Infos.

Beschäftigten darf ein Auskunftsanspruch nach Artikel 15 DSGVO verwehrt werden, wenn damit andere Betroffene gefährdet würden. Im Urteil wird damit der pauschale Auskunftsanspruch (hier: E-Mail) untersagt. Die Urteilsbgeründung steht noch aus.

Kostenlose Open-Source-Tools für Sicherheitsexperten - als Empfehlung des SANS (SysAdmin, Audit, Networking and Security) - Aufbereitet mit vielen Infos und Links von Heise.

Apple-Airtags sind immer häufiger an Autos versteckt - Bewegungsprofile und Stalking möglich. Auch für die Vorbereitung von Autodiebstählen genutzt. Das meldet Heise in seinem Artikel.

Link zum HEISE-Artikel...

Link zu einem weiterführenden Heise-Artikel "Tracker Detect: Apples Android-App soll fremde AirTags aufspüren"

Herr der Ringe kam vor 20 Jahren ins Kino. Das ist nicht Datenschutz - aber Kult. Viele Details und Links findet man in einem ausführlichen Artikel bei Golem. Viel Spaß.

Alexander Roßnagel, der hessische Landesdatenschutzbeauftragte, will eine stärkere Regeln bei den großen Social-Media-Unternehmen wie Facebook oder Google. Mehr dazu bei der Süddeutschen.

Bundesrat untersagt die Mitwirkungspflichten der Telekommunikationsunternehmen bei der Quellen-TKÜ bei seiner Sitzung am 17.12.2021 (G 10-Mitwirkungsverordnung des Bundesinnenministeriums (BR-Drs. 512/21 (B)). Grundlage für den Verordnungsentwurf ist das Artikel 10-Gesetz (G 10), das Voraussetzungen, Verfahren und Kontrolle von Eingriffen in die Grundrechte des Brief-, Post- und Fernmeldegeheimnisses regelt (Wikipedia).

Zur deren Durchführung muss eine spezielle Software auf das Endgerät der überwachten Person geladen werden. Damit dies unbemerkt erfolgen kann, bedarf es der Mitwirkung der Unternehmen, über deren Anlagen der maßgebliche Datenstrom transportiert wird. (Anm. Red. "Staatstrojaner")
Technische Umsetzung
Die Verordnung sollte aufgrund einer entsprechenden Ermächtigung in § 2 des Artikel 10 Gesetzes nun die Einzelheiten zur technischen und organisatorischen Umsetzung dieser Mitwirkungspflichten regeln und so der überwachenden Stelle das Anschalten ihrer technischen Mittel für die Einbringung der Quellen-TKÜ-Software an einer geeigneten Stelle (Anschaltepunkt) in den Telekommunikationsanlagen der verpflichteten Unternehmen ermöglichen.
Beschlussdrucksache: Verordnung zur Regelung der technischen und organisatorischen Umsetzung der Mitwirkungspflichten nach § 2 Absatz 1a Satz 1 Nummer 4 des Artikel 10-Gesetzes (PDF)

Ein technisches Meisterwerk: Spyware für IPhone - Google analysierte den NSO Pegasus Exploit. In einem Artikel von Heise wird die Analyse von Google aufbereitet. Ok - etwas technisch. Aber verständlich - wer davon braucht, findet im Heise-Artikel den Link zur Analyse. Und das ist dann Hard Stuff...

123456 | passwort | 12345 - das sind die beliebtesten Passwörter der Deutschen in 2021. Das hat das Hasso-Plattner-Institut festgestellt. Seit 2014 untersucht das Institut geleakte - also offen gelegte - Passwörter mit seinem HPI Identity Leak Checker. Der ist vergleichbar mit dem Service Haveibeenpwned.com. Bei beiden Anwendung kann man sein E-Mail eingeben und prüfen lassen, ob das E-Mail mit einem Passwort offen für Hacker zugänglich ist. Aus unserer Sicht sind das beides gute und sichere Anwendungen, ob sich davon zu überzeugen, dass seine E-Mail / Passwörter - Kombinationen nicht korrumpiert sind.

DSGVO Verstoß und 6,5 Millionen € Bußgeld für Grindr - einer Dating-App für schwule, bisexuelle, transgender und queere Menschen. Die Strafe verhängte die Norwegische Datenschutzbehörde Norwegian Data Protection Authority (Norwegian DPA), weil Grindr als Dating-App sensible Daten an Dritte weitergegeben hat. Spiegel hat die Details.

Treiber durch Microsoft prüfen lassen: Golem berichtet, dass Microsoft einen Service anbietet, bei dem jeder potentiell gefährliche Treiber prüfen lassen kann. Details im Artikel von Golem.

WhatsApp für ein Weihnachtsgeschenk als Buch ausdrucken - mit massiven Sicherheitslücken. Wie? Ein Chat als Buch? Ähm... Aber gut. Gibt es. Bei Zapptales. Laut zerforschung inklusive massiver Sicherheitslücken. Der wirklich lustig geschriebene Artikel eines aufgedeckten Desasters finden Sie bei zerforschung (laut eigener Beschreibung: zerforschung ist ein freundliches Kollektiv aus Menschen, die Spaß daran haben, Technik auseinander zu nehmen um zu verstehen, wie diese funktioniert).

Tipp für Glotze. Facebook gefährdet die Gesundheit von Menschen, Facebook ist mitverantwortlich für Hass, Hetze, Suizide, Versklavung und Völkermorde - der Titel am 10.12.2021 von ZDF-Magazin Royale mit Jens Böhmermann. Interviews mit der Whistleblowerin Frances Haugen und dem Datenschützer und Facebookbezwinger Max Schrems (lt. ZDF). Informativ, spannend und so erheiternt, dass einem das Lachen im Hals bleibt... Anzuschauen in der ZDF-Mediathek

Die Software-App Cookie-Bot in Webseiten zur Einholung von Einwilligungen verstößt gegen die DSGVO: Die Verwaltungsgerichtsbarkeit Hessen (VG Wiesbaden: 6 L 738/21.WI vom 01.12.2021) beschließt in einer einstweiligen Anordnung nach § 123 VwGO gegen die Hochschule RheinMain, dass "Cookie-Bot" Daten (IP-Adresse, Nutzer-Keys etc.)  in die USA übertrage und damit rechtswidrig sei.
Das Urteil des VG Wiesbaden findet man bei REWIS.IO mit dem rechten Link.
Die wichtigsten Punkte daraus: Datenübertragung in die USA (Cloud-Act mehr Infos in unserem Glossar)., keine Einwilligung, keine Aufklärung.
Die Anordnung ist noch nicht rechtskräftig. Wir informieren bei Neuigkeiten.

Cyber-Bunker - eine Geschichte aus dem Dark Internet. Der Cyber-Bunker beherbergte eine Vielzahl illegaler Internetangebote - und das in Deutschland. Nach der Beschlagnahme fanden die Behörden ein reiches Feld von weiteren illegalen Marktplätzen. GOLEM hat die Geschichte unterhaltsam aufgearbeitet.

Facebook: die irische Datenschutzaufsicht Data Protection Commission (DPC) wollte Daten von Nutzern ohne Einwilligung erlauben. Einfach in die Allgemeinen Geschäftsbedingungen AGB rein und fertig. Also in der Textwüste verstecken. Und das sollte eine EU-Richtlinie (PDF) werden. Also faktisch eine Umgehung der DSGVO (PDF). Andere Aufsichten im Europäischen Datenschutzausschusses (EDSA) verhinderten dies. Max Schrems, Vorsitzender von noyb.eu: "... Normalerweise sind es die Lobbyisten von Facebook, die Richtlinien im Interesse ihrer Branche beeinflussen wollen, hier hat sich aber die Datenschutzbehörde in einen Lobbyisten verwandelt." Dieses Vorgehen der DPC beschreibt die österreichische Bürgerrechtsorganisation Noyb (Schrems)  in ihrer 2. "Facebook Adeventslesung" ausführlich.

TOR-Netzwerk wird oder wurde von einem mächtigen Angreifer unterwandert. Eine Gruppe mit dem KAX17 betreibt seit 2017 verschiedene TOR-Server und untergräbt damit die Anonymität. Heise hat den ganzen Vorgang sehr gut analysiert und erklärt.

EuGH-Generalanwalt: Verbraucherschutzverbände dürfen Verbandsklagen gegen Unternehmen bei Verletzungen des Schutzes personenbezogener Daten erheben. Hier: Schlussanträge des Generalanwalts in der Rechtssache C-319/20 Facebook Ireland. Auf Grund einer Vorlage des Bundesgerichtshofs muss der EuGH darüber entscheiden, ob in Deutschland solche Sammelklagen zulässig sind. Der Generalanwalt empfiehlt dem EuGH, die in der DSGVO stehende Regelung zulässig ist (Zitat: "...dass sie einer nationalen Regelung nicht entgegensteht, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, unter den Gesichtspunkten des Verbots der Vornahme unlauterer Geschäftspraktiken, des Verstoßes gegen ein Verbraucherschutzgesetz oder des Verbots der Verwendung unwirksamer Allgemeiner Geschäftsbedingungen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten Klage zu erheben, wenn die betreffende Verbandsklage auf die Wahrung von Rechten gerichtet ist, die den Personen, die von der beanstandeten Verarbeitung betroffen sind, unmittelbar aus dieser Verordnung erwachsen. ..."). In Deutschland gibt es die Musterfeststellungsklage. Die sieht allerdings keine Gewinnabschöpfung bei unredlichem Verhalten vor. Dies gilt allerdings nicht mehr nach Einführung neuer EU-Vorgaben vom 22.02.2020. Den gesamten Text des Generalanwalts ean Richard de la Tour finden Sie rechts im Link zum Gerichtshof der Europäischen Union als PDF.