October 04, 2024

91 Mio Euro Bußgeld gegen Meta - Datenschutz News KW 40-2024

22 minutes

Was ist in der KW 40 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

DPC verhängt 91 Mio. € Bußgeld gegen Meta

EU-Kommission fordert Informationen von Plattformbetreiber auf Basis des DSA

VW konsultiert Datenschutzaufsicht Niedersachsen „Datenschutzbehörden im Austausch mit der Volkswagen AG über neuartige Datenverarbeitung in Kundenfahrzeugen“

Prinzip „Passkey“ offenbar nicht hinreichend bekannt

Veröffentlichungen und Veranstaltungen

FTC-Bericht: Untersuchung der Datenverarbeitungspraktiken von sozialen Medien und Video-Streaming-Diensten

CNIL: Leitfaden für Anbieter und Entwickler von Apps

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/91-mio-euro-bußgeld-gegen-meta-datenschutz-news-kw-40-2024/

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge:

Können wir loslegen. Man hat

mir auch tatsächlich einen Hocker hier hingestellt. Das ist sehr angenehm.

Wenn du möchtest, ich habe noch einen zweiten hier.

Nee, zwei. Einer geht. Einer geht.

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.

Wir starten heute wieder gemeinsam ins Wochenende. Mein Name ist Lothar Somanowski.

Und mein Name ist Natalia Wozniak.

Hallo Natalia.

Hi Lothar.

Schön, dich zu sehen. Gemeinsam schauen wir wieder auf die Woche des Datenschutzes zurück.

Hier bei dem BigoSense behalten wir ja die Neuigkeiten der Woche immer im Blick

und fassen das Wichtigste für unsere Datenschutzpraxis zusammen.

Heute ist Freitag, der 4.

Oktober 2024 und unser Redaktionsschluss war heute wie immer um 10 Uhr.

Liebe Natalia, was hast du mitgebracht?

Ich habe mitgebracht einmal die irische Aufsichtsbehörde und das Bußgeld in

Höhe von 91 Millionen Euro gegen Meta.

Dann habe ich den VW-Konzern, der die Datenschutzaufsichtsbehörden konsultiert

und ich habe noch einen Veröffentlichungshinweis.

Das hört sich alles sehr gut an. Gerade bei deinem ersten Thema bin ich sehr gespannt.

Ich habe mitgebracht heute auch zwei Themen und zwar eine Forderung der Europäischen

Kommission an Plattformbetreiber und was Wissenswertes über das PASKI-Verfahren

sowie noch Hinweise zur Veröffentlichung.

Natalia, dann lass uns loslegen.

Lass uns loslegen. Die irische Datenschutzaufsichtsbehörde, die DPC,

gab nun den Abschluss einer bereits länger andauernden Untersuchung bekannt.

Und zwar Pressemitteilung vom letzten Freitag. Ich habe mich gerade auch gewundert,

warum wir nicht letzten Freitag schon berichtet haben.

Aber die kam leider nach unserem Redaktionsschluss rein.

Insofern heute Druck frisch und es geht los mit der Meldung.

Die Meta-Plattforms Irland Limited, kurz MPIL oder auch Meta.

Hatte der Datenschutzaufsicht im März 2019 schon mitgeteilt,

dass er es unbeabsichtigt, also versehentlich, bestimmte Passwörter von Nutzern

sozialer Medien, konkret Facebook und Instagram,

im Klartext und damit ohne kryptografischen Schutz oder Verschlüsselung auf

sein internes System gespeichert hatte.

Diese Passwörter wurden nach Eingabe von Meta jedoch weder externen Parteien

zugänglich gemacht, Noch gab es einen Datenschutzvorfall von externer Seite.

Vielmehr fiel dies so Meta bzw. damals noch Facebook im Rahmen einer routinemäßigen Kontrolle auf.

Daraufhin leitete die Behörde, also anlässlich der Meldung, die von Meta eingeleitet

wurde, die Untersuchung im April 2019 ein. Im Ergebnis, mit Entscheidung vom 26.

September diesen Jahres, hat die Aufsichtsbehörde die folgenden Feststellungen

gemacht und mit einem Bußgeld von insgesamt 91 Millionen Euro bewährt.

Zum einen einen Verstoß gegen Artikel 33 Absatz 1 DSGVO, damit er es versäumt

hat, den eigenen DSB über die Verletzung des Schutzes personenbezogene Daten zu informieren.

Zum anderen einen Verstoß gegen Artikel 33 Absatz 5, damit er es versäumt hat,

die Verstöße zu dokumentieren.

Ferner aber auch ein Verstoß gegen Artikel 5 Absatz 1 Buchstabe f der DSGVO

und gegen Artikel 32 Absatz 1 DSGVO, da keine geeigneten TOM,

also technischen und organisatorischen Maßnahmen, ergriffen wurden,

um die Passwörter der Nutzer vor unbefugter Verarbeitung zu schützen bzw.

Ein dem Risiko angemessene Sicherheitsniveau zu gewährleisten.

Insofern wurde auch die Fähigkeit, die ständige Vertraulichkeit der Benutzer

Passwörter sicherzustellen, durch die Aufsichtsbehörde bemängelt.

Die Aufsichtsbehörde hat dazu erklärt, dass es allgemein anerkannt sei,

dass Benutzerpasswörter nicht im Klartext gespeichert werden sollten.

Daraus könne sich ein Missbrauchsrisiko ergeben, das entsteht,

wenn Personen auf solche Daten zugreifen würden.

Dies gilt insbesondere, wenn die Passwörter, wie hier, besonders sensibel sind,

da sie den Zugriff auf die Social-Media-Konten der Benutzer ermöglichen würden im Falle eines Falles.

Die vollständige Entscheidung und weitere Informationen werden noch durch die DPC veröffentlicht.

Das war jetzt erstmal nur die Pressemeldung dazu.

Was hältst du davon, Lothar? Ich finde, 91 Millionen ist ein sehr abschreckend

hohes Bußgeld. Wir haben ja tatsächlich immer die 10 Millionen,

20 Millionen Grenze in der DSGVO, wo viele uns natürlich im Rahmen der Beratung danach fragen.

Das Beispiel zeigt, dass es auch deutlich höher ausfallen kann.

Das heißt, wir sind ja hier bei dem 4 Prozent des Umsatzes, der ja genauso steht.

Es soll ja abschreckend sein. Es ist aber natürlich sehr viel,

wenn wir überlegen, dass das Unternehmen den Vorfall selbst gemeldet hat und

es an sich die fehlenden Toms waren, die bei der Routinekontrolle aufgefallen

sind und es an sich keinen Schaden gegeben hat.

Es riecht danach, dass noch mehr dahinter steckt, dass da noch einige Informationen

jetzt noch nicht bekannt sind.

Also wie du schon sagst, die haben es selber gemeldet und kriegen trotzdem 91 Millionen Euro.

Und in dem Zusammenhang, ich glaube, das ist die Antwort auf die Frage,

wie wichtig ist denn so ein Prozess zur Behandlung von Datenschutzverletzungen?

Dass das prozessual geregelt ist, dass die Fristen eingehalten werden,

dass dokumentiert wird, das steht mal außer Frage.

Und dafür dann jetzt 91 Millionen Euro zu bekommen, ist schon starker Tobak.

Und auch der Umgang mit Passwörtern.

Das ist der zweite Aspekt, der mir gerade gekommen ist, als du davon berichtet hast.

Wir werden gleich noch zum Thema Passkey nochmal darauf eingehen,

aber Passwörter damit umzugehen, das ist schon eine sehr, sehr hohe Verantwortung.

Und in dem Kontext kann ich mir schon vorstellen, dass da die Aufsichtsbehörde

da mal wirklich alle Register zieht.

Und ich glaube, es ist wirklich die Wichtigkeit, die internen Prozesse zu regeln,

so wie du gesagt hast, und vor allem auch den internen DSB zu informieren,

wenn man einen Vorfall feststellt und die TOMs auch angemessen einzuhalten,

vorzuhalten im Unternehmen.

Kommen wir zu unserer nächsten Meldung und zwar die EU-Kommission hat sich den

Digital Service Act mal vorgenommen und auf dieser Basis von YouTube,

Snapchat und TikTok Auskunft verlangt über deren Empfehlungssysteme.

Wir haben die Meldung gesehen, einmal den Daily News der Europäischen Kommission, wonach am 2.10.

Gemäß dem Gesetz über digitale Dienste, also das Digital Service Act,

kurz DSA, ein Auskunftsersuchen an YouTube, Snapchat und TikTok gerichtet worden ist.

Die Plattformen sind aufgefordert, mehr Informationen über die Gestaltung und

Funktionsweisen ihrer Empfehlungssysteme vorzulegen, denn nach dem DSA müssen

diese Plattformen die Risiken ihrer Empfehlungssysteme bewerten und auch angemessen mindern.

Das einschließlich der Risiken für die psychische Gesundheit der Nutzer und

der Verbreitung schädlicher Inhalte, die sich aus der Gestaltung dieser Algorithmen ergeben.

YouTube und Snapchat sind aufgefordert, detaillierte Informationen über die

Parameter der Algorithmen bereitzustellen, die verwendet werden,

um den Nutzern Inhalte zu empfehlen und darüber hinaus über deren Rollen bei

der Verstärkung bestimmter systemischer Risiken.

Also im Zusammenhang mit Wahlprozessen und den zivilgesellschaftlichen Diskursen,

dem psychischen Wohlergehen der Nutzer, zum Beispiel bei Suchtverhalten und

Inhalten, die in eine Abwärtsspirale führen können.

Und last not least, dem Schutz von Minderjährigen.

Die Fragen der EU-Kommission beziehen sich auch auf die Maßnahmen,

die die Plattform ergreifen, um den potenziellen Einfluss ihrer Empfehlungssysteme

auf die Verbreitung illegaler Inhalte, zum Beispiel illegaler Drogen oder Hassreden, zu verringern.

TikTok als dritter im Bunde wurde aufgefordert, weitere Informationen zu den

Maßnahmen vorzulegen, um die Manipulation des Dienstes durch böswillige Akteure zu verhindern.

Und die Risiken für Wahlen, Medienpluralismus und den öffentlichen Diskurs zu

mindern, die durch bestimmte Empfehlungssysteme verstärkt werden können.

Die drei, also YouTube, Snapchat und TikTok, müssen die angeforderten Informationen bis zum 15.

November diesen Jahres vorlegen. Und ich glaube, den Termin sollten die drei

Konzerne sich fest notieren,

denn auf Grundlage der Auswertung können nicht nur die nächsten Schritte eingeleitet

werden, Auch formale Einleitungen von Verfahren nach Artikel 66 ist das,

glaube ich, das Digital Service Act.

Und auf dieser Basis kann die Kommission auch Geldbußen verhängen,

wenn in der Beantwortung dieses Auskunftsersuchens unrichtige,

unvollständige oder irreführende Angaben gemacht werden.

Falls die drei nicht antworten, kann die Kommission ein förmliches Auskunftsverlangen

per Entscheidung erlassen und in diesem Fall kann die nicht fristgerechte Beantwortung

zur Verhängung von Zwangsgeldern führen.

Ja, das ist schon ein starker Tobak, aber ich glaube, man kann festhalten, mal endlich.

Mal endlich zum einen und ich glaube, es ist der erste und auch wichtige Schritt,

ein bisschen mehr Transparenz in das ganze System reinzubringen,

weil viele Unternehmen, die die Dienste oder Produkte von Facebook,

TikTok und wie sie alle heißen, nutzen, die sind einfach gezwungen,

die Verträge abzuschließen, so wie die sind.

Sind teilweise ohne Einfluss, ohne Möglichkeit, etwas an den Verträgen,

Vertragsgestaltung zu ändern und ohne dabei zu wissen, was tatsächlich im Hintergrund passiert.

Von daher, ich finde das sehr gut. Es schafft Transparenz, es schafft ein bisschen

mehr Bewusstsein für die Prozesse dahinter und ja, mal schauen, was daraus wird.

Wir sind gespannt auf den 15. November. Oh ja, unbedingt.

Ich habe ein weiteres Beispiel mitgebracht oder eine weitere Meldung mitgebracht

über die Aktivität der Aufsichtsbehörde.

Ein weiteres positives Beispiel neben dem, was du gerade hattest,

Lothar, wo jetzt die Kommission natürlich mit einbezogen war.

Und zwar hat VW, der Konzern, die Datenschutzaufsicht konsultiert.

Die Datenschutzaufsichtsbehörden in Niedersachsen, in Baden-Württemberg und

in Bayern stehen aktuell im engen Austausch mit der Volkswagen AG und mit den

deutschen Tochtermarken.

VW und die Tochterunternehmen Audi und Porsche haben zuvor ihre jeweils zuständige

Datenschutzaufsicht kontaktiert,

um über neuartige Datenverarbeitungen in den Kundenfahrzeugen zu informieren,

um datenschutzrechtliche Rahmenbedingungen zu besprechen und in einen Austausch zu gehen.

Es geht um die Einführung neuer Verfahren zur Verarbeitung von Fahrzeugdaten

zur Verbesserung und Fortentwicklung der Fahrassistenz- und Fahrsicherheitssysteme.

Szenarien können hier zum Beispiel der Einsatz des Notbremsassistenten oder

plötzliche Ausweichmanöver sein.

Die Volkswagen AG beabsichtigt, künftig Sequenzen von Sensor- und Bilddaten

der Umgebung aus Kundenfahrzeugen zu nutzen,

um ihre Fahrassistenzsysteme und automatisierte Fahrfunktionen als zentrale

Technologien für die Verbesserung der Verkehrssicherheit schneller und kontinuierlicher

weiterentwickeln zu können.

Die Aufsichtsbehörden stimmen überein, so der aktuelle Stand,

dass die neuen Verfahren bei zielgerichtetem Einsatz dazu geeignet sein können,

die Fahrassistenzsysteme weiter zu verbessern und damit auch die Verkehrssicherheit zu erhöhen.

Gemeinsames Ziel des Austauschs ist es, die Unternehmen frühzeitig für datenschutzrechtliche

Risiken und geeignete Maßnahmen zur Gewährleistung der betroffenen Rechte zu

sensibilisieren und zur Einhaltung datenschutzrechtlicher Anforderungen anzuhalten.

Es geht hier also darum, diese Verfahren, diese angedachten neuen Verfahren bzw.

Die damit einhergehende Datenverarbeitung von Anfang an, also zu einem möglichst

frühen Stand der Entwicklung, datenschutzkonform zu planen.

Meine Meinung dazu, gerade die frühzeitige Unterstützung kann ja helfen,

die Prozesse von Anfang an datenschutzkonform zu entwickeln,

die Ressourcen sowohl personell als auch finanziell, damit von Anfang an zielgerichtet zu investieren.

Es verhindert, dass Prozesse geschaffen werden, die sich vielleicht erst nachträglich

als nicht gangbar erweisen und dann nochmal angepasst werden müssten.

Das heißt, wir verhindern hier Stolpersteine oder auch Risiken.

Insofern, ich finde es gut. Mein Appell wäre, Unternehmen sollten öfter überlegen,

die Aufsichtsbehörde gerade bei größeren Projekten frühzeitig einzubinden und nicht,

wenn ein Projekt schon kurz vor Abschluss steht oder vielleicht schon implementiert

und aktiv gesetzt wurde.

Von daher eine wichtige Aufgabe der Aufsichtsbehörden, auch als Sparing-Partner

für Unternehmen zur Verfügung zu stehen und von Anfang an zu unterstützen und

Guidance zu geben, finde ich gut.

Ja, gute Einwand, gute Einwand, Natalia. Ja, sehe ich auch so.

Die Aufsichtsbehörden in der Regel verstehen die sich auch als Beratungsinstanz

und als Mithelfer bei vielen Dingen.

So geht es uns ja auch in der täglichen Praxis. Wenn wir Prozesse bewerten sollen

und mitgestalten sollen, die schon fertig sind, da ist es deutlich schwieriger,

als wenn man sehr, sehr früh mit einbezogen wird und schon im Vorfeld den einen

oder anderen Hinweis gibt.

Ich finde es gut. Wir hatten ja

vor ein paar Wochen auch schon mal so ein ähnliches Beispiel aus Hamburg.

Da ging es ja um einen Online-Shop, der auch sehr eng mit dem hamburgischen

Datenschutzbeauftragten kooperiert hat, wo es dann auch sehr datenschutzfreundlich,

aber auch praktikabel unsetzbar gelöst wurde. Das ist auch so ein Beispiel. Ich finde das sehr gut.

Ich finde es auch gut, vor allem weil viele vergessen glaube ich,

dass Aufsichtsbehörden nicht nur dafür da sind, Bußgelder zu verhängen,

sondern tatsächlich auch ihre Unterstützung auch anbieten und auch gerne anbieten.

Also meine persönliche Erfahrung ist jedes Mal, wenn ich mal angerufen hatte

bei der Aufsichtsbehörde und ein Sachverhalt für einen Kunden geschildert habe,

es wurde immer geholfen, es wurde immer drüber gesprochen.

Von daher, ich kann es aus persönlicher Erfahrung auch nur empfehlen.

Unsere letzte Meldung zieht sich auch durch die Themen Passwörter.

Und zwar, wir gucken uns mal das Thema Passkey an.

Wir haben eine Veröffentlichung vom BSI, vom Bundesamt für Sicherheit in der

Informationstechnologie, veröffentlicht am 1.10., also auch brandneu,

zu einer Umfrage, die gestartet wurde, die in Auftrag gegeben wurde.

Jetzt wurden die Ergebnisse aus einer Umfrage zur passwortlosen Authentifizierung

per Passkey veröffentlicht.

Zu finden auf der BSI-Seite und auch bei Heise gut kommentiert.

Hintergrund dieses Berichtes ist, dass wir auch schon gerade bei Meta kurz angerissen

haben, dass das Anmeldeverfahren per Passwort sehr, sehr risikobehaftet ist.

Passwörter und E-Mail-Adressen sind in der Regel die ersten Beuteziele von Cyberangreifern

und nicht überall sind Passwortkonzepte im Einsatz.

Auch sie sind sehr stark von der Kooperation der Mitarbeiter abhängig.

Das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI,

empfiehlt den Einsatz von Passkeys

und hat zur Bestandsaufnahme eine Verbraucherbefragung in Auftrag gegeben.

Und diese ergab jetzt eine positive Resonanz durchweg bei den Nutzern,

aber auch Nachholbedarf bei der Bekanntheit.

Kurz mal für uns beleuchtet, was ist ein Pass-Key, ein Pass-Key-Verfahren,

das läuft ohne Passwörter.

Es gibt also keine Passwörter mehr, es kommt vielmehr eine asymmetrische Verschlüsselung

zum Einsatz, bei der als Geheimnis ein privater Schlüssel dient.

Ein privater Schlüssel, das ist in dem Zusammenhang eine sehr lange zufällig

generierte Zeichenfolge. Diese werden über biometrische Merkmale wie Fingerabdruck

oder Gesichtserkennung von Geräten freigegeben.

Bei der Anmeldung eines Dienstes, also wenn ein User sich anmelden möchte,

sendet dieser Dienst Daten an das Gerät des Users.

Man spricht hier da von einer Challenge, von einer Aufgabe.

Das lokale Gerät des Users löst diese Aufgabe, indem es die Daten mit seinem

privaten Schlüssel digital signiert und wieder an den Dienst zurücksendet.

Und das ist letztendlich das Signal für diesen Dienst oder Webdienst,

dass diese Aufgabe, die Challenge mit dem privaten Schlüssel signiert wurde.

Vereinfacht gesprochen, der User beweist dem Dienst, dass der private Schlüssel

vorliegt, ohne ihn allerdings preiszugeben oder zu übermitteln.

Das BSI weist darauf hin, dass in dem Zusammenhang gestohlene oder erratene

Passwörter den Identitätsdiebstahl von Verbraucherinnen und Verbrauchern und

sogar den Zugang zu Unternehmensnetzwerk ermöglichen.

Benutzername-Passwort-Kombinationen gelten daher mittlerweile als unsicher,

während eine Zwei-Faktor-Authentifizierung eine gewisse Abhilfe schaffen kann,

aber von vielen als umständlich empfunden wird.

In Summe, das sind die Ergebnisse der Umfrage, kann man schon von einer geringen

Bekanntheit und von einem Aufklärungsbedarf sprechen.

Von den Befragten kannten zwar immerhin 38% den Begriff Passkey,

aber nur 18% nutzen sie auch.

Aber diejenigen, die PASKI bereits einsetzen, bewerten, um das Verfahren als

unkompliziert einzurichten.

Schnelle Anmeldungen sind möglich und die hohe Benutzerfreundlichkeit wird positiv herausgehoben.

Die Option der Nutzung von PASKI ist laut der Untersuchung für Verbraucherinnen

und Verbraucher schwer zu erkennen und wird daher häufig mit anderen Verfahren

verwechselt, so schreibt das BSI.

Anbieter sollten daher besser informieren und aufklären. Insgesamt sind auch

44 Prozent der Befragten skeptisch, vor allem wegen Sicherheitsbedenken und der Komplexität.

Und viele geben an, sich zwar für IT-Themen zu interessieren,

aber noch nicht ausreichend darüber informiert zu sein.

Andere wiederum gaben an, dass neue technische Entwicklungen zunächst abzuwarten

sind, bis das Verfahren in der Praxis erprobt ist und es explizite Nutzungsempfehlungen gibt.

Aber ich glaube, hier mit der Empfehlung des BSI kann das durchaus eine willkommene

Gelegenheit sein, sich mal mit dem Thema zu beschäftigen.

Also ich glaube schon, dass es eine sehr gute Idee ist, sich mit dem Thema Passkey

zu beschäftigen, um die Risiken des Anmeldeverfahrens Username, Passwort zu mildern.

In der Regel ist die E-Mail-Adresse der Username und die E-Mail-Adresse ist

sehr schnell ermittelbar.

Wenn ich die Syntax des Unternehmens kenne, kann ich simulieren,

Name, Vorname oder Vorname, bename.unternehmen.de oder ähnlicher Syntax,

dann habe ich schon mal 50 Prozent des Anmeldeverfahrens.

Und bei den Passwörtern, wir sehen es am Beispiel von Meta, die können durchaus

in Klartext verarbeitet werden.

Ja, wir wissen alle, die müssen entsprechend verschlüsselt sein,

die müssen kryptografischen Verfahren unterliegen. Aber es ist nicht überall so.

Und letztendlich sind das die ersten Angriffssiele von Cyberkriminellen.

Das ist auch immer so der erste, zweite Schritt bei Pentests.

Wenn man in Unternehmen geht und dort untersucht, dann prüft man schon mal nach.

Gibt es E-Mail-Adressen im geschäftlichen Kontext, die veröffentlicht sind,

tauchen Passwörter auf in Listen,

Und da ist man echt immer überrascht, wie hoch die Trefferquote ist.

Und fehlende oder nicht gelebte Passwortrichtlinien tun hier übrigens dazu,

wenn dasselbe Passwort sowohl im geschäftlichen Kontext als auch im privaten genutzt werden.

Also da ist man nie vorgefeit, dass die bei Meta gespeicherten Facebook-Passwörter

nicht auch im Unternehmen genannt werden.

Also von daher ist ein, wir haben dieses Anmeldeverfahren, Username,

Passwort, ist sehr, sehr risikobehaftet und PASKI kann da Abhilfe schaffen.

Ich finde das tatsächlich einen guten Startpunkt, um Anreize zu schaffen bei Unternehmen,

dass einfach die Tom, die vorhanden sind, die vielleicht gestern noch angemessen

waren, aber heute quasi im Rahmen einer regelmäßigen Überprüfung oder einer

aus diesem Anlass zur erfolgenden Überprüfung vielleicht nicht mehr so ganz

angemessen sind und eine Aktualisierung bedürfen.

Das zeigt ja auch, dass man sich nicht auf guten Tom ausruhen sollte,

sondern natürlich auch Prozesse vorhalten sollte, wo dann die Tom regelmäßig

überprüft werden, was hat sich denn in der Technik getan.

Und das ist einfach ein Beispiel, wo sich was getan hat, wo Unternehmen auch

tätig werden sollten, um zu prüfen, inwiefern kann und soll das umgesetzt werden.

Ist es vielleicht schon umgesetzt?

Von daher, ja, es ist ein gelebter Prozess. Und ich glaube, da sind Unternehmen

gut beraten, auch nicht nur das Thema PASCI in Angriff zu nehmen,

sondern auch nochmal ihre eigenen

Toms auf Aktualität zu prüfen oder auf Aktualisierungsbedarf zu prüfen.

Wie heißt es so schön in der DSGVO? Dem Risiko angemessen und nach dem Stand der Technik.

So ist es.

Natalia, wir wären durch mit unseren Meldungen. Wir kommen zu unseren Hinweisen

nach Events, Veröffentlichungen.

Ist dir da was über den Weg gelaufen?

Ja, natürlich. Ich habe eine Veröffentlichung. Und zwar, die FTC,

also Federal Trade Commission, hat einen aktuellen Bericht, A Look Behind the Screens,

Examining the Data Practices of Social Media and Video Streaming Services,

veröffentlicht. Druck frisch.

Dieser Bericht beleuchtet die Praktiken von mehreren Social-Media- und Video-Streaming-Diensten,

die als mobile Anwendungen oder Websites verfügbar sind.

Er behandelt in seinen Abschnitten unter anderem die folgenden Themen,

also die Datenverarbeitungspraktiken, wie zum Beispiel die Erhebung,

Verwendung oder Offenlegung, Speicherung und Löschung von Daten,

auch das Thema Werbung bzw.

Gezielte Werbung. Es geht dann auch um die Verwendung von Technologien zur automatischen

Entscheidungsfindung, aber auch Praktiken in Bezug auf Kinder und Jugendliche

und Bedenken in Bezug auf den Wettbewerb.

Der Bericht ist das Ergebnis einer vierjährigen Untersuchung.

Das heißt, da ist schon einiges an Erfahrungen und Wissen reingeflossen.

Die FTC kommt dabei zu dem Ergebnis, dass die Unternehmen, wie zum Beispiel,

ich glaube geprüft wurde, Amazon,

Nebstochter Twitch, Meta mit Facebook und WhatsApp,

YouTube von Google, Twitter und weitere Unternehmen, dass die Unternehmen die

Privatsphäre der Verbraucher, insbesondere die von Kindern und Jugendlichen

nicht ausreichend schützen. Der Bericht ist ca.

80 Seiten lang, bislang nur auf Englisch verfügbar. Insofern planen Sie genügend Zeit ein.

Da geht schon ein bisschen was drauf, aber es ist bestimmt eine spannende Wochenendlektüre.

Das hört sich so an, ja. Ich habe auch was mitgebracht und zwar von der KNILL,

also der französischen Datenschutzaufsicht.

Sie bietet einen Leitfaden für Anbieter und Entwickler von Apps an.

Denn nach einer offiziellen Konsultation hat die KNILL die endgültige Fassung

ihrer Empfehlung veröffentlicht, um den Fachleuten bei der Entwicklung datenschutzfreundlicher

mobiler Anwendung zu helfen.

Ab 2025 wird die KNILL mit Durchsetzungsmaßnahmen dafür sorgen,

dass diese Empfehlungen eingehalten werden.

Dieser Leitfaden steht auf der Homepage der KNILL zur Verfügung.

Na klar in französischer Sprache und Gott sei Dank auch in englischer Sprache.

Damit ich nicht mit meinem miserablen Schulfranzösisch mich da durchquälen muss,

war ich sehr froh, das auch so zu erblicken.

Wir sind durch und es hat mir wie immer sehr viel Spaß gemacht,

liebe Natalia, mit dir. Das war ein sehr schöner Podcast.

Kann ich nur zurückgeben.

Vielen Dank.

Danke dir.

Wir wünschen euch ein schönes Wochenende, falls ihr den Podcast heute hört.

Falls ihr den zum Wochenstart hört, wünschen wir euch einen angenehmen Start in die Woche.

Und ja, wir sagen bis bald.

Bis bald, bis zum nächsten Mal.

Der Beitrag 91 Mio Euro Bußgeld gegen Meta – Datenschutz News KW 40-2024 erschien zuerst auf migosens.

...more

View all episodes

By migosens - Datenschutz und Informationssicherheit mit Praxisnähe, Transparenz und Kompetenz