2022.08 Subjektiv ausgewählte Datenschutz-Highlights

Den letzten Monat Juli 2022 finden Sie hier.

Xing schafft ab dem 11. Januar 2021 die Gruppenfunktionen ab. Sie werden anscheinend aus Sicht von Xing nicht mehr ausreichend genutzt. Golem hat die Details.

Millionenstrafe wegen Nutzung von Whatsapp? Das droht der Deutschen Bank in den USA. Leider wird die Nutzung von WhatsApp in vielen Unternehmen nicht als Risiko wahrgenommen. Und dann kommen die Bußgelder. Nicht unbedingt wegen Datenschutz - sondern deswegen, weil Nachrichten nachträglich gelöscht werden können. So erhalten große US-Banken laut Heise ein Bußgeld von 200 Millionen $. Die Deutsche Bank hat Rücklagen von 165 Millionen $ vorgenommen.
Auch in Deutschland ist dies ein Verstoß gegen die Abgabenordnung (§ 140 AO) und das Handelsgesetzbuch (§ 257 HGB).

Alle Kaufleute, jede Handelsgesellschaft, eingetragene Genossenschaften jeder andere juristische Personen müssen Kommunikation -dazu gehören auch E-Mails die Handels Geschäfte betreffen und für besteuerungsrelevant sind aufbewahren. Der Zeitraum ist dabei 6-10 Jahre.

D. h., eine Kommunikation mit WhatsApp verstößt gegen das Handelsgesetzbuch und die Abgabenordnung. Das so ganz nebenbei auch noch ein Verstoß im Bereich Datenschutz zu sehen ist (Weitergabe von Kontaktdaten an eine fremde Organisation ohne Einwilligung) wollen wir jetzt hier nicht weiter betrachten.
Heise hat die Infos zum Vorgang.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein stoppt das e-Rezept, weil unverschlüsselt Gesundheitsdaten per E-Mail übertragen werden. Heise mit Details.

Allerdings will die Testregion Westfalen-Lippe weiter an dem Test festhalten. Meldet Golem.

Der neue Makroschutz in Microsoft Office: die Neuerungen und Änderungen gut dargestellt in einem Heise Artikel.

Microsoft 365 und Teams entsprechen vollständig der DSGVO. Das steht zumindest es in dem Dokument „Stellungnahme von Microsoft Deutschland zur Datenschutzkonformität von Microsoft 365 Microsoft Teams“ (Link zum PDF bei Microsoft). Erstellt von der Rechtsabteilung von Microsoft Deutschland.

In dem Dokument wehrt sich Microsoft gegen die Datenschutzbehörden die behaupten, dass die Produkte bei Unternehmen und bei der öffentlichen Hand nicht datenschutzkonform benutzt werden können.
Ein Interesse von US-Behörden an Daten von europäischen Betroffenen weist das Dokument weit von sich so gebe es keine Beweise, dass US-Behörden Industriespionage vornehme oder Regierungen überwachen.
Gut, es gebe zwar den §702 des Foreign Intelligence Surveillance Act (FISA) -aber der werde nicht bei Microsoft Produkten genutzt.
„Eine umfangreiche Auswertung öffentlich verfügbarer Dokumente von US-Regierungs-
Behörden zur Nutzung von §702 des Foreign Intelligence Surveillance Act (FISA) in
der Praxis10 belegt dagegen: - Es gibt keinen Anhaltspunkt dafür, dass die US-Regierung §702 FISA nutzt, um (i) Industriespionage zu betreiben oder US-amerikanische wirtschaftliche Interessen zu verfolgen oder (ii) Regierungen im Europäischen Wirtschaftsraum ins Visier zu nehmen..."

Microsoft nutze anerkannte Schutzmechanismen und damit ist das Restrisiko für den Zugriff auf Daten europäischer Betroffener rein theoretisch - räumt dann aber gleichzeitig ein, dass der "Microsoft „Transparency Reporting“ zeigt, dass eine erzwungene Herausgabe von außerhalb der USA befindlichen Unternehmensdaten an amerikanische Strafver-folgungsbehörden in nur sehr wenigen Fällen erfolgt ist.“

Das Dokument hat einen Umfang von vier Seiten und lässt sich gut lesen. Empfehlenswert.

Verdacht gegen Facebook: Haben in den USA an Behörden weitergegebene Daten eines privaten Chats eine 14-Jährige wegen illegaler Abtreibung Ermittlungen ausgelöst? Der Spiegel berichtet, dass mehrere US-Medien davon ausgehen. Facebook hat in einer ersten Äußerung die Weitergabe nicht dementiert. Das nährt den Verdacht, dass die Techkonzerne es mit dem Datenschutz nicht so richtig ernst nehmen. Der Spiegel mit Details.

ASUS Türschloß unsicher. Es hilft nur Austausch. Das elektronische Türschloß HomeTec Pro CFA3000 und die dazugehörige Funkfernbedienung CFF3000 weist laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) (PDF) eine nicht behebbare Sicherheitslücke auf. Es ist nur ein Austausch möglich.
Das Problemschloß ist ein älteres Modell - aber leider kann man nicht zwischen altem und neuem Modell unterscheiden: Design und Bezeichnung sind gleich...
Mehr Infos beim BSI.

Die eigenen Passwörter in die Cloud? Zu Dritten? Ernsthaft? Zumindest zwingt dazu ein Update die Nutzer von 1Password. Lokal einen "Tresor" anlegen ist in der neuesten Version nicht mehr möglich. Heise mit Details.

Chaos Computer Club (CCC) prüft verschiedene Videoident-Anbieter - und zerlegt deren Sicherheit. Und das Zerlegen war wohl recht einfach... Damit dürfte diese Verfahren so eigentlich nicht mehr eingesetzt werden. Der CCC fragt sich, warum denn nicht der elektronische Personalausweis eingesetzt wird.

Chaos Computer Club (CCC) prüft verschiedene Videoident-Anbieter - und zerlegt deren Sicherheit. Und das Zerlegen war wohl recht einfach... Damit dürfte diese Verfahren so eigentlich nicht mehr eingesetzt werden. Der CCC fragt sich, warum denn nicht der elektronische Personalausweis eingesetzt wird.

"Denn mit dem Personalausweis kam zwar auch eine zwangsweise Erfassung biometrischer Daten, zum Identitätsnachweis im Geschäftsverkehr werden sie aber gerade nicht transferiert."

Mehr direkt beim CCC.

Hinweis: Das betrifft auch die elektronische Patientenakte - dort ist Videoident zur Identitätsfeststellung der Patienten von der Gematik gestoppt worden.

Abmahnungen wegen Google Fonts. Wegen Google Fonts? Nein, nicht wegen der Fonts, sondern dann, wenn man diese nicht auf seinem eigenen Server hostet. Denn durch den Aufruf der Fonts werden IP-Adressen in die USA übertragen, da Google sein eigenes Content Delivery Network (CDN) zur Auslieferung nutzt. Ob allerdings die Abmahnungen in der Form richtig sind, steht auf einem anderen Blatt. Heise berichtet.

Elektronischen Patientenakte: Videoident-Verfahren zur Patienten-Legitimierung gestoppt, da laut Gematik zu unsicher. Heise mit Details.

Verstoß gegen die Grundrechte: Betrieb des automatischen Kfz-Kennzeichenerfassungssystems "Kesy" von 2017 bis 2021 in Brandenburg war laut einer Entscheidung des Landgerichts Frankfurt (Oder) (Az.: 22 Qs 40/19) vom 22. Juli 2022 rechtswidrig. Heise hat die Details.

Cloud-Dienste in Deutschland bei einer US-Tochter - und dann keine öffentliche Aufträge mehr? Die Vergabekammer Baden-Württemberg entschied mit Beschluss vom 13.07.2022, Az. 1 VK 23/22, dass nach dem Urteil des EuGH von 2020 US-Behörden eben auch in die Daten bei den EU-Töchtern der Anbieter greifen dürfen. Die Vergabekammer ignorierte dabei, dass die Daten verschlüsselt sind. Es ist allerdings unklar, was hier "Verschlüsselung" heißt - ist der Masterschlüssel beim Cloud-Anbieter, ist dies keine Verschlüsselung. Golem hat mehr Details.

Off Topic - Wie weit kommt man in 5 Stunden mit der Bahn - z.B. von Frankfurt HBF? Dies hat sehr übersichtlich dargestellt der Twitternutzer Benjamin Td in einer Isochronen Internetanwendung. Was das ist, erklärt und wie man damit umgeht findet man im Heise Artikel oder in Benjamins Twitter Account.