Posted on

Rekordstrafe für Instagram

In der DSGVO sorgte seit der Einführung das sog. “Berechtigte Interesse” für große Diskussionen und ungeklärte Fragen. Es ist so schwamming, dass man einen politischen Kompromiss dahinter vermuten könnte. Mit berechtigtem Interesse ist beispielsweise eine direkte Werbemail für Winterreifen vom Autohändler gedeckt, die ein:e Käufer:in eines Neuwages bekommt. Es wird unterstellt, der:die Kundin könnte ja eventuell Interesse an einem guten Angebot haben, weil es benötigt werden könnte.

Nun hat es zum ersten Mal eine verbindliche Entscheidung zum Art. 6 / Rechtmäßigkeit der Verarbeitung gegeben. Dabei wurden die Anwendbarkeit der “Vertragserfüllung” und des “berechtigten Interesse” erläutert.

Der EDSB stellte fest: das berechtigte Interesse als alternative Rechtsgrundlage für die Verarbeitung reicht nicht aus für die Veröffentlichung der E-Mail-Adressen und/oder Telefonnummern von Kindern . Und es entspricht nicht den Anforderungen von Art. 6 Absatz 1 Buchstabe f DSGVO, da die Verarbeitung entweder nicht erforderlich war oder, falls sie als erforderlich angesehen werden sollte, die bei der Bestimmung des berechtigten Interesses erforderliche Abwägung nicht bestanden hat.

https://edpb.europa.eu/news/news/2022/record-fine-instagram-following-edpb-intervention_de

Der Schluss war also, dass Meta/ Instagram die Daten von Kindern unrechtmässig verarbeite. Somit konnte das Bußgeld in Höhe von mehr 400 Millionen ausgesprochen werden.

Posted on

Facebook leckt und leckt und leckt…

Es hört einfach nicht auf! Nachdem wir letzte Woche den kompletten Datensatz des letzten leaks nutzen konnten haben wir ein bisschen damit herumgespielt. Ganz leicht konnten wir Cluster von Logins an politisch relevanten Stellen nachverfolgen und konnten kurze Zeit später komplette Datensätze von sozial vernetzten Gruppen mit Handynummern erkennen.
Bemerkenswert war jedoch die Aktualität und die Qualität des Datensatzes, inklusive Mobilnummern und E-Mailadressen.

Nun, kaum eine Woche später ist erneut ein großer Datensatz auch aus Deutschland aufgetaucht, was die Netzpolitik zum Anlass nahm einige der Telefonnummern die Bundestagsabgeordeneten gehören anzurufen. Und wer schon immer mal die Facebook ID von z.B. Philip Amthor einsehen möchte sollte sich diesen Artikel in der Netzpolitik nicht entgehen lassen:
https://netzpolitik.org/2021/facebook-datenleck-wir-haben-die-bundestags-abgeordneten-angerufen-deren-handynummern-jetzt-oeffentlich-sind/

Wer ganz praktisch wissen möchte ob er/sie Teil des Lecks ist, kann das hier ganz einfach überprüfen:
https://haveibeenpwned.com/

Facebook möchte ja eher nicht darüber informieren:
https://www.heise.de/news/SMS-Spam-nach-Datenleck-Facebook-will-Betroffene-nicht-informieren-6009106.html

Noch mehr zu lesen:
https://taz.de/Nach-dem-Datenleck-bei-Facebook/!5760938/

Über die kulturellen Folgen von Inhalten:
https://netzpolitik.org/2021/desinformation-auf-facebook-erst-handeln-wenn-es-zu-spaet-ist/

Posted on

Und wieder einmal WhatsAPP…

Schon etwas länger geht es um die neuen Datenschutzbestimmungen, denen die UserInnen bei WhatsApp zustimmen müssen. Darin wird einem Datenaustausch innerhalb des Facebook Konzerns zugestimmt. Eigentlich sollten dieses neuen Nutzungsbedingungen bereits eingeführt werden. Das bescherte Signal und Telegram ungeahnte Mengen an neuen NutzerInnen und man glaubte wohl im WhatsApp Mutterkonzern Facebook die Lage werde sich beruhigen, die UserInnen vergessen und man könne zum 15. Mai den Vorgang dann zwangsweise und endgültig abschliessen. Der Hamburger Datenschutzbeauftragte hat nun den Bundesdatenschutzbeauftragten dazu kontaktiert und wieder einmal wird die zuständige Datenschutzbehörde in Irland ganz offiziell aufgefordert die neuen Nutzungsbedingungen von WhatsApp endlich zu überprüfen.

https://taz.de/Hamburger-Datenschuetzer-vs-Whatsapp/!5754836/

Mehr dazu auch bei uns: https://moreprivacy.rocks/2021/01/15/whats-app-und-datenschutz-lets-go-signal/

Posted on

DSGVO Listen & Corona – Vorsorge vs. Datenschutz

Ursprünglich am 23.08.20 publiziert / 8 Updates Stand 7.10.20 : 
Gleich zweimal geht es um die DSGVO und den Datenschutz der Anwesenden in einem Gastronomischen Betrieb. Da es jeweils nach Ländern individuell geregelt ist wer und was an Daten beim Restaurantbesuch gesammelt wird ist es minimal unterschiedlich – eins jedoch ist sicher: Datensammlung weckt Begehrlichkeiten. So hatte unlängst die Polizei in Hamburg Daten von Anwesenden einer Gaststätte genutzt, um Zeugen zu einem Messerangriff zu befragen. Aus datenschutzrechtlicher Sicht durchaus bedenklich. In einem Spiegel Artikel gibt der Rheinland-Pfälzische Datenschutzbeauftragte zu, daß die Polizei bereits angefragt habe, wie und ob man Zugriff auf die Daten der Anwesenheitslisten unter welchen Umständen bekommen könne. -> Spiegel

In Berlin wiederum hat man die SARS-CoV-Infektionsschutzverordnung-> wohl genau gelesen und darin keinen Anhaltspunkt gefunden, der die Überprüfung der Gästeangaben vorsieht. In der Folge ist es nun schwierig für die Behörden, Gäste eines Abends zu verständigen, an dem Anwesende Gäste nachweislich infiziert waren. -> Tagesspiegel

Update: mittlerweile wurden auch schon Lecks solcher Datensammlungen bekannt, so konnte man ganz einfach mittels offener URL die gesamte Datenbank beim Züricher Startup Lunchgate saugen. -> Golem.de

Update 2: Die Behörden greifen mittlerweile Bundesweit und durchaus Zahlreich auf die Listen der Anwesenden in Gaststätten zu. Immer lauter wird der Ruf nach einer gesetzlichen Regelung. Wahrscheinlich besser, wenn man weiterhin “echte” Daten von Gästen haben möchte, da die Restaurants zwar die Daten erheben, sie jedoch nicht überprüfen müssen. Wahrscheinlich gehen Frau und Herr Mustermann gerade verdächtig häufig essen. -> Tagesspiegel

Update 3: Auch der CCC rät von digitalen Cloudlösungen ab, nachdem ein Reservierungssystem komplett eingesehen werden konnte. -> CCC Blog

Posted on

Bußgeldhöhe für DSGVO Verstöße mit neuem Rekord

Der Modekonzern H&M hat für intensives Ausspähen von Mitarbeitenden und dem damit verbundenen Dateschutzverstoß die neue Rekordmarke für DSGVO Bußgelder gerissen: 35,3 Millionen. Bemerkenswert: die Höhe des Bußgeldes soll ausdrücklich abschreckende Wirkung haben. Herausgekommen war der Skandal durch einen Fehler, da die entsprechende Datei auf dem Firmenserver für einige Stunden offen einsehbar war. Alle Details dazu bei – -> Heise.de v. 2.10.20

Posted on

Privacy Shield und die Zukunft der Datenübertragung in die USA

Der EUGH hat auf langes Betreiben von Max Schrems (NOYB.eu) am 16. July endlich ein ziemlich klares Urteil zur Datenverarbeitung in den USA gefällt. Im Kern geht es um den Schutz der ausländischen Daten aus Europa vor dem Zugriff und der Weitergabe in Firmen und Behörden der USA. Die DSGVO hat hierzu eine eindeutige Pflicht zur Verantwortung für die anvertrauten Daten auf europäischem Niveau. Wenn diese Daten nicht über SDK, sog Standarddatenschutzklauseln, wie zum Beispiel beim Datenverkehr mit Drittstaaten wie Indien garantiert sind, geht ein Transfer nur mit einer eindeutigen Einwilligung des Datenbesitzenden. In diesem Fall muss aber mitgeteilt werden, was mit den Daten genau passiert und wer alles potenziell Einsicht haben könnte. Mehr Details zu den Folgen dieses Urteils bei -> Heise.de

Mehr dazu auch hier im Blog -> Meldung vom 16.July 2020