Sign up to save your podcasts
Or
Share Die UEFA TicketApp und der Datenschutz - Datenschutz News KW 27/2024
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Die UEFA TicketApp und der Datenschutz - Datenschutz News KW 27/2024
Was ist in der KW 27 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
Empfehlungen & Lesetipps:
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/die-uefa-ticketapp-und-der-datenschutz-datenschutz-news-kw-27-2024
TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge:
Premiere ich freue mich drauf.
Es ist sowas von Premiere für uns. Ich mich auch.
Herzlich willkommen zum Datenschutztalk, eurem wöchentlichen Datenschutz ab,
Wir haben Freitag den fünften Juli 224 unser Redaktionsschluss war wie immer um zehn Uhr und wir berichten wieder über die aktuellen Themen aus dieser Woche. Mein Name ist Lotharnowski und an meiner Seite heute ist.
Natalia Wosnak, hallo.
Grüß dich Natalia. So, Natalia, wir sind wieder im Datenschutz Podcast, welche Themen hast du mitgebracht.
Ich habe heute eigentlich zwei ganz tolle Themen mitgebracht. Ich habe einmal das verpflichtende Nutzerkonto und ich habe unser Highlight, nämlich die UEFA Ticket App und das Wasser datenschutzrechtlich zu berichten gibt.
Ja spannend,
auf meinem Blog haben es geschafft ein Vorgang äh bei Vinted und zwar geht es dabei um nicht durchgeführte Löschungsaufträge. Des Weiteren schauen wir uns mal ein
Urteil aus äh Norwegen an und zwar gegen Grinder und abschließend haben wir noch einige Hinweise zu Veröffentlichungen,
Natalia, starte durch.
Ich starte durch mit einer Ergänzung. Ich habe nämlich vergessen zu sagen, dass wir auch ein Update zu einer Millionenzahlung für die Anti-Viren-Firma erfasst haben,
Kommt aber erst später dran. Von daher, ich fange mal mit unserem ersten Thema für heute an, nämlich mit dem verpflichtenden Nutzerkonto.
Und zwar hat der Landesbeauftragte von Sachsen-Anhalt kritisiert, in einer Pressemitteilung relativ frisch vom Juni diesen Jahres, weil das eine Auszahlung einer 200 Euro Energiepauschale
Die zwangsweise von der Eingabe personenbezogener Daten bei dem Bund-ID-Nutzerkonto abhängig gemacht wurde,
unzulässig sei, beziehungsweise nicht die Auszahlung selber, aber diese zwangsweise Nutzung des Kontos ist unzulässig.
Hintergrund war, dass Studierende und Fachschüler durch eine Einmalzahlung in Höhe von 200 Euro als Umsetzung des Energiepauschalengesetzes finanziell entlastet werden sollten. Insofern ein sehr positiver Gedanke
Dabei wurde auch über das Portal Einmalzahlung 200 eine, ja, eine schnelle Auszahlung ähm in die Wege geleitet und ein bundesweites, digitales Online-Zugangsportprojekt umgesetzt. Insofern auch sehr erfreulich.
Allerdings und das wurde eben durch den Datenschutzbeauftragten Sachsen-Anhalt bemängelt, gab es für diese Antragstellung keine andere Möglichkeit, als das über dieses Portal zu machen.
Und ähm ja, wer also seine Daten nicht bei der Bund ID eingab, bei dem Portal eingab, bekamen auch kein Geld ausgezahlt.
Obwohl es nach dem Gesetz zustand. Mit anderen Worten, die 2,8 Millionen Antragsteller
hatten keine freie Wahl und mussten sich bei der Bund ID registrieren, wenn sie nicht auf die 200 Euro verzichten wollten
Nach Ansicht des Landesdatumsbeauftragten stellte dies einen Eingriff in die Grundrechte der Betroffenen aus Artikel acht, Absatz eins, Absatz zwei, Satz eins, EU-Grundrechtschader
Und ähm ein Verstoß gegen das Recht auf informationelle Selbstbestimmung. Artikel eins, Absatz eins, Satz eins und so weiter, Grundgesetz da.
Dies zeigt glaube ich für die Praxis auch die Relevanz, dass die verpflichtende Nutzung von Nutzerkonten, ohne dass auch Alternativen,
geboten werden, auch in anderen Bereichen mit Vorsicht zu genießen ist. Ich denke hier zum Beispiel an ein verpflichtendes Kundenkonto in einem Onlineshop wenn für den Kauf der Ware zum Beispiel auch einen Gastzugang ausreichend wäre.
Insofern auch hier muss es wirklich verpflichtend sein oder reicht es denn oder gibt es denn auch Alternativen dazu.
So eine Art Zwangsregistrierung, ne? Also wir kennen das tatsächlich aus den Onlineshops, ne, wo
Registrierung auch einen Gastzugang angeboten werden mussten. Das hat alles so seine Vor- und Nachteile sich als Gast anzumelden, aber gerade so in dem Bereich, ne, wenn’s äh ich sage mal eine gesetzliche, definiertes Recht ist, ne ähm auf diese Zahlung
Kann ich nachvollziehen, ne.
Ich auch, absolut. Absolut.
Gut, wir kommen zu gebraucht Kleidung, ne? Also wir bleiben im im Onlinehandel bei,
Online-Shops und zwar ähm kennen wir die äh Plattform,
Handelsplattform, ähm wo sich schon einige europäische Mitgliedsstaaten bei Vinted beschwert haben.
Mittlerweile hat jetzt die litauische Regulierungsbehörde die Untersuchung gegen Vinted aufgenommen
Unter anderem wurde bei den Untersuchungen gegen Vinted herausgefunden, dass das Unternehmen, die Kunden irrtümlicher Weise um einen bestimmten Grund gebeten hatte, um ihre Daten zu löschen.
Darüber hinaus gab Winted den Kunden keine eindeutige Erklärung dafür, weshalb das Unternehmen den Antrag auf Löschung abgelehnt hat
Es wird ein Bußgeld ausgesprochen und zwar in Höhe von 2,4 Millionen Euro. Oder annähernd 2,4 Millionen Euro.
Was ist der Hintergrund dabei und zwar bei der Prüfung der Beschwerde wurde festgestellt, dass das Unternehmen in seiner Antwort auf die Anträge der Antragsstelle angegeben hatte, dass sie keinen konkreten,
Grund für die Löschung der Daten angegeben hätten
Also sie sehen den Artikel siebzehn Absatz eins nicht erfüllt wonach der konkrete Grund der ähm betroffenen Person gefehlt hatte,
Und die Antwortschreiben waren offensichtlich so unklar, dass äh es nicht eindeutig und ersichtlich war, äh was jetzt die Ablehnung der Löschung anbelangt,
Des Weiteren hat die Prüfung auch ergeben, dass das Unternehmen zur Gewährleistung der Sicherheit der Plattform und ihre Nutzer rechtswidrig einen Shadowblocking eingesetzt hat
Das heißt, dass man ohne das Wissen der betroffenen Personen diese von der Plattform ausgeschlossen hat, was natürlich,
Gegen die Grundsätze der Fairness und transparent entgegenstehen, was auch letztendlich dazu geführt hat, dass die betroffenen Personen ihre Rechte als Auskunft Einschränkungen,
nicht mehr ausüben konnten
Das Fazit, der Verstoß, so sieht’s auch die litauische Regulierungsbehörde sieht Verstöße gegen Artikel fünf, Absatz eins, Artikel fünf, Absatz zwei, also schon die Grundsätze und auch Artikel 12 der DSGVO.
Ich finde das Vorgehen tatsächlich habe ich bisher noch nie so gehört
ist eine neue Idee, den Kunden überhaupt erst mal daran zu hindern, dass er die Webseite besucht und dementsprechend sich vielleicht noch nicht mals die E-Mail-Adresse raussuchen kann, wo er seine betroffenen Rechte ähm hinschicken kann oder geltend machen kann. Das ist schon eine neue,
eine neue Vorgehensweise und ich find’s tatsächlich sehr gut, dass hier die Aufsichtsbehörde ja einen Riegel vorgeschoben hat, weil ähm ja Betroffenenrechte gehen vor,
dahinter. Wahnsinn.
Ist abenteuerlich, ne, also hatte ich auch so noch nicht gehabt, ne. Also wer wer stört, ne, wird ausgeschlossen, dann passiert da nichts mehr.
Ja so apropos wer es stört, wir haben so ein bisschen in die Richtung von unserem nächsten Thema, nämlich das UEFA Ticket App,
Und zwar für den Einlass in das Stadion. Wir haben ja aktuell die Europameisterschaft bei uns in Deutschland und um in ein Stadion ein Spiel, weil sie sich anschauen in einem Stadium anschauen zu können,
Bedarf ist ja jetzt eine digitalen Eintrittskarte. Das heißt Papier, Eintrittskarten funktionieren nicht mehr. Wir brauchen jetzt, um quasi ein Spiel in live anschauen zu können, eine UEFA Ticket.
Eine Fälschung der Karten, der Eintrittskarten
innerhalb dieser Ticket-App durch weitere technische Maßnahmen unterbunden, zum Beispiel ähm reicht es nicht aus, einen Screenshot mitzubringen. Man muss schon wirklich die App auf dem Handy installiert haben und sodass dann der der QR-Code direkt vom Handy eingescannt werden kann.
Wer sich die App auf seinem Smartphone installiert, wird dabei über den ähm ja Google oder oder Apple Store auch informiert, dass äh persönliche Daten wie Name, E-Mail-Adresse, Telefonnummer,
gesammelt werden und auch die App Aktivitäten selbst zu Analysezwecken geteilt werden können. Nicht informiert wird allerdings darüber.
Dass die App auch Standortdaten an die Polizeibehörden übermittelt. Ähm dies hat den Zweck, dass den Einsatzkräften ermöglicht werden soll, sich schnell zu eventuellen Brennpunkten hin zu verschieben und,
vor Ort zu sein, wenn eben Störer oder ähm ja große Menschenmassen oder Menschengruppen Sachen machen, die sie nicht machen sollten
Allerdings und das ist sehr erfreulich,
wird nicht weitergegeben, wer sich grade an welchem Standort konkret befindet, das ist nicht erkennbar, denn die Standortdaten werden nur anonymisiert übertragen,
Insofern ist nach unserer Ansicht, ähm wir hatten uns ja vorher dazu ausgetauscht, eine
ja Informationen über den Google Store oder Apple Store ja gar nicht erforderlich war, dann sind wir ja gar nicht mehr im Bereich der personenbezogenen Daten. Der personenbezug fällt also weg bei einer anonymisierten Übermittlung.
So, damit zeigt die UEFA tatsächlich, wie gelebte Datenschutz geht. Es werden,
sowohl Interessen der UEFA, an der Fälschungssicherheit der Tickets, berücksichtigt über die Verwendung der App.
Als auch die Interessen der Allgemeinheit an mehr Sicherheit durch die Ermöglichung ähm eines gezielteren Einsatz von Einsatzkräften. Das wird auch berücksichtigt. Und die Anonymisierung,
Die sichert eben ab, dass äh das allgemeine Persönlichkeitsrecht der Betroffenen, also der Karteninhaber, auch beachtet wird.
Insofern, wir können nur sagen, gut gemacht. So geht Datenschutz.
Ich finde das super. Also ganz ehrlich, als wir auch im im Vorfeld uns darüber unterhalten haben, das ist so ein Paradebeispiel, wie man tatsächlich auch,
Digitalisierungsprozesse gestalten kann, denn man hat wirklich dann beides geschafft. Man hat die äh Interessen der UEFA, wie du schon gerade gesagt hast, aber auch die Sicherheitsaspekt,
berücksichtigt, ne? Und die Polizei hat natürlich ein sehr großes Interesse und das ist, glaube ich, auch sehr, sehr hilfreich, ne, wenn man sieht, wo Massen unterwegs sind, ne, wo sich Dinge vielleicht zuspitzen könnten. Ich finde das super.
Also es.
Das ist der Gelebte, die Gelebte Umsetzung des Grundsatzes der Erforderlichkeit.
Zur nächsten Meldung, es ist ein Update und zwar wir hatten in der KW siebzehn schon einmal darüber berichtet, es geht um,
ist eine Dating-App für die LGBTQ-Community die in, sogar die Meldung in der KW siebzehn in einer Sammelklage in England schon beinhaltet war und zwar,
Nach Meldung von Heise äh gibt es dazu ein Update
dass es äh weiterhin zu nichtkonformen Weitergaben von personenbezogenen Daten an Dritte, in Klammern Werbetreibende gegangen ist.
Jetzt ein norwegisches Gericht ein Bußgeld gegen Rinder bestätigt und zwar in Höhe von umgerechnet 5,7 Millionen Euro weil auch hier
erkannt wurde, die Daten wurden an die Werbeindustrie weitergegeben und zwar es wurden hier ganz konkret Standortdaten weitergegeben.
Das Interessante nun ist, dass die Zahlung innerhalb von 14 Tagen an die norwegische Staatskasse gezahlt werden muss und zwar weil ähm Gründer zwischen zweitausendachtzehn und zweitausendzwanzig genau diese.
Weitergeleitet hat. Fazit
Es ist bei Datenweiterleitung unbedingt ähm ja der Umfang und die Art der Daten zu prüfen. Auch die Erforderlichkeit. Natürlich auch die Rechtsgrundlage,
Datenschutzverträge sind zu prüfen, also es haben auch enorme Auswirkungen, zeigt auch, ne, was ich welche Dinge zu beachten sind, wenn man,
weiterleitet, ne? Über die Wahrung der betroffenen Rechte, die Informationspflichten müssen gewahrt bleiben und natürlich auch ein entsprechendes Einwilligungsmanagement. Das sind die Punkte, die am Ende des Tages,
Berücksichtigt worden sind und.
Und vor allem auch, dass je nachdem, welche Daten auch weitergeleitet werden, auch die entsprechenden Maßnahmen getroffen werden müssen. Wir haben jetzt gerade bei bei Grindel ist ja allein die
Ja, die Meldung als Mitglied
oder die Information, dass jemand Mitglied in dieser Dating-App ist, ist ja schon ein besonders sensibles Datum. Insofern da wäre noch mehr Vorsicht geboten gewesen, noch mehr Sicherheit, die hätte eigentlich ähm gewährleistet sein müssen, als bei vielleicht einer anderen Dating-App.
Ja, Datenweitergabe ist ein Stichwort, was ich auch habe und zwar bei der nächsten Meldung, die ebenfalls ein Update ist,
Und zwar hatten wir ähm auch in der KW 19 dieses Jahre schon davon berichtet,
Dass die tschechische Datenschutzaufsicht gegen den Antivirensoftwarehersteller erwast, ein Bußgeld in Höhe von fast 14 Millionen Euro verhängt hat.
Dabei ginge es um die Datenweitergabe von Avast an die Schwesterfirma Damschott und diese hat dann die Daten dann auch weiterverkauft.
Aktuell sind wir in den USA,
Und äh was wurde nun in den USA zur Zahlung von 16,5 Millionen Dollar, also umgerechnet 15,4 Millionen Euro verpflichtet.
Allerdings nicht durch eine Datenschutzaufsichtsbehörde sind tatsächlich durch die Handelsbehörde FTC, also Federwald Trade Commission
Der hat in diesem Fall einen anderen rechtlichen Hebel als die Datenschutzgesetze gefunden, indem sie im Grunde genommen denselben Sachverhalt, den auch die tschechische Aufsichtsbehörde schon betrachtet hatte, aus einem anderen Blickwinkel ähm bewertet hatte.
Und die heimliche Sammlung, Speicherung, den Verkauf der Daten als unlautere Geschäftspraktik und Irreführung eingestuft hat.
Es handelt sich daher auch anders als in Tschechien, nicht um eine Geldstrafe, sondern um die Zahlung in einen FTC-Fond, aus dem die Opfer entschädigt werden sollen,
Auch nicht schlecht, finde ich,
On top macht die Behörde noch weitere Auflagen gegenüber ähm wie zum Beispiel das Verbot der Offenlegung von Brausedaten und falschen Behauptungen, wie zum Beispiel der Behauptung, dass die Daten aggregiert und anonymisiert, vorgehalten oder weitergegeben werden.
Von daher, wir werden schauen,
wie dieser Hebel funktioniert, aber wir sehen das, nur weil etwas schon datenschutzrechtlich beanstandet wurde, von einer datenschutzaufsichtsbehörde,
Natürlich, dass sehr ähnliche oder gleiche Sachverhalt, das war jetzt für uns nicht genau erkennbar bis es genau der identische Sachverhalt war oder ein
ein ähnliches Sachverhalt, aber auch durch andere Behörden geahndet werden kann.
Und in dem Fall muss ich sagen, finde ich die Auflagen und ich glaube auch, die Entschädigung der Opfer hier auch als sehr wirksam und als sehr zielführend.
Absolut und gerade bei, wenn man jetzt äh wird schon,
gehörige Auswirkungen haben, ne, die die Strafzahlung beziehungsweise das Bußgeld allerdings erfasst, als Antivieren-Hersteller, sie leben von der Reputation, ne? Also das äh Thema Vertrauen in das Produkt der der äh User,
genau das Ausschlaggebende, warum die User das kaufen oder auch nicht kaufen und ich glaube, das ist ein Betrag, der gegebenenfalls höher liegen wird.
Und vor allem ähm vielleicht noch einen weiteren Hinweis dazu, dass sich Unternehmen,
Nicht ausruhen sollten, wenn sie vielleicht schon ein Bußgeld bekommen haben, eine datenschutzrechtliche Buß, ein datenschutz rechtliches Bußgeld, wenn der Verstoß, der dazu geführt hat, möglicherweise auch gegen andere gesetzliche Vorschriften mit verstößt.
Die dann natürlich auch noch mal zusätzlich geahndet werden könnten. Ja, das war’s zu dem Thema.
Natalia, vielen Dank. Ja, wir sind auch mit allen Meldungen so weit durch. Ist tatsächlich, wir haben alles,
gearbeitet von der Liste. Sehr schön. Uns bleibt jetzt nur noch zwei Hinweise zu geben und zwar auf,
Veröffentlichungen von Literatur und zwar unser ausscheidender Bundesdatenschutzbeauftragter Professor Ulrich Kelber hat nochmal auf der Seite des BFTI eine Stellungnahme beziehungsweise nochmal einen.
Zu seinem Amtsaustritt, ne. Er zieht nochmal Resümee über seine Tätigkeit, er bezieht nochmal Stellung zu den Dingen, die in Deutschland vorangehen im Sinne der Digitalisierung oder auch nicht vorangehen.
Ist lesenswert. Ich werd’s am Wochenende mir mal anschauen und noch ein weiterer Hinweis zu einer Veröffentlichung und zwar geht es dabei um die
Medienkompetenzen in Rheinland-Pfalz, der ähm Datenschutzbeauftragte in Rheinland-Pfalz,
eine sehr schöne Kampagne gestartet und zwar geht’s ähm ja um eine Medienkompetenz zu vermitteln im Kita- und Schulbereich.
Sehr lesenswert auch. Es gibt da eine FAQ zum Beispiel im im äh Kitabereich, die sich an Erzieherinnen und Erzieher richtet und auch ähm das ganze Thema in der Schule betrachtet. Auch,
Ich denke, es wird sehr lesenswert sein. Gut, Natalia, wir sind wir sind am Ende, wir sind durch.
Nur nicht mit den Nerven, aber am Ende der Folge.
Das ist richtig.
Ja, uns bleiben uns nur noch bei euch zu bedanken für eure Aufmerksamkeit. Wir wünschen euch, wenn ihr das heute, am Freitag hört, ein
schönes Wochenende, in Klammern ein schönes Fußballwochenende. Wenn ihr das am Montag hört, wünschen wir euch einen schönen und erfolgreichen Start in die,
erste Ferienwoche, glaube ich, in NRW, ne. Wir haben ab heute, heute ist Zeugnisausgabe, nächste Woche gehen die Ferien los. Äh für alle die, die in den Ferien fahren,
Einen schönen und erholsamen Urlaub. Kommt gesund wieder.
Bis zum nächsten Mal.
Bis zum nächsten Mal, macht’s gut, tschüss.
Der Beitrag Die UEFA TicketApp und der Datenschutz – Datenschutz News KW 27/2024 erschien zuerst auf migosens.
View all episodes
By migosens - Datenschutz und Informationssicherheit mit Praxisnähe, Transparenz und KompetenzWas ist in der KW 27 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
Empfehlungen & Lesetipps:
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/die-uefa-ticketapp-und-der-datenschutz-datenschutz-news-kw-27-2024
TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge:
Premiere ich freue mich drauf.
Es ist sowas von Premiere für uns. Ich mich auch.
Herzlich willkommen zum Datenschutztalk, eurem wöchentlichen Datenschutz ab,
Wir haben Freitag den fünften Juli 224 unser Redaktionsschluss war wie immer um zehn Uhr und wir berichten wieder über die aktuellen Themen aus dieser Woche. Mein Name ist Lotharnowski und an meiner Seite heute ist.
Natalia Wosnak, hallo.
Grüß dich Natalia. So, Natalia, wir sind wieder im Datenschutz Podcast, welche Themen hast du mitgebracht.
Ich habe heute eigentlich zwei ganz tolle Themen mitgebracht. Ich habe einmal das verpflichtende Nutzerkonto und ich habe unser Highlight, nämlich die UEFA Ticket App und das Wasser datenschutzrechtlich zu berichten gibt.
Ja spannend,
auf meinem Blog haben es geschafft ein Vorgang äh bei Vinted und zwar geht es dabei um nicht durchgeführte Löschungsaufträge. Des Weiteren schauen wir uns mal ein
Urteil aus äh Norwegen an und zwar gegen Grinder und abschließend haben wir noch einige Hinweise zu Veröffentlichungen,
Natalia, starte durch.
Ich starte durch mit einer Ergänzung. Ich habe nämlich vergessen zu sagen, dass wir auch ein Update zu einer Millionenzahlung für die Anti-Viren-Firma erfasst haben,
Kommt aber erst später dran. Von daher, ich fange mal mit unserem ersten Thema für heute an, nämlich mit dem verpflichtenden Nutzerkonto.
Und zwar hat der Landesbeauftragte von Sachsen-Anhalt kritisiert, in einer Pressemitteilung relativ frisch vom Juni diesen Jahres, weil das eine Auszahlung einer 200 Euro Energiepauschale
Die zwangsweise von der Eingabe personenbezogener Daten bei dem Bund-ID-Nutzerkonto abhängig gemacht wurde,
unzulässig sei, beziehungsweise nicht die Auszahlung selber, aber diese zwangsweise Nutzung des Kontos ist unzulässig.
Hintergrund war, dass Studierende und Fachschüler durch eine Einmalzahlung in Höhe von 200 Euro als Umsetzung des Energiepauschalengesetzes finanziell entlastet werden sollten. Insofern ein sehr positiver Gedanke
Dabei wurde auch über das Portal Einmalzahlung 200 eine, ja, eine schnelle Auszahlung ähm in die Wege geleitet und ein bundesweites, digitales Online-Zugangsportprojekt umgesetzt. Insofern auch sehr erfreulich.
Allerdings und das wurde eben durch den Datenschutzbeauftragten Sachsen-Anhalt bemängelt, gab es für diese Antragstellung keine andere Möglichkeit, als das über dieses Portal zu machen.
Und ähm ja, wer also seine Daten nicht bei der Bund ID eingab, bei dem Portal eingab, bekamen auch kein Geld ausgezahlt.
Obwohl es nach dem Gesetz zustand. Mit anderen Worten, die 2,8 Millionen Antragsteller
hatten keine freie Wahl und mussten sich bei der Bund ID registrieren, wenn sie nicht auf die 200 Euro verzichten wollten
Nach Ansicht des Landesdatumsbeauftragten stellte dies einen Eingriff in die Grundrechte der Betroffenen aus Artikel acht, Absatz eins, Absatz zwei, Satz eins, EU-Grundrechtschader
Und ähm ein Verstoß gegen das Recht auf informationelle Selbstbestimmung. Artikel eins, Absatz eins, Satz eins und so weiter, Grundgesetz da.
Dies zeigt glaube ich für die Praxis auch die Relevanz, dass die verpflichtende Nutzung von Nutzerkonten, ohne dass auch Alternativen,
geboten werden, auch in anderen Bereichen mit Vorsicht zu genießen ist. Ich denke hier zum Beispiel an ein verpflichtendes Kundenkonto in einem Onlineshop wenn für den Kauf der Ware zum Beispiel auch einen Gastzugang ausreichend wäre.
Insofern auch hier muss es wirklich verpflichtend sein oder reicht es denn oder gibt es denn auch Alternativen dazu.
So eine Art Zwangsregistrierung, ne? Also wir kennen das tatsächlich aus den Onlineshops, ne, wo
Registrierung auch einen Gastzugang angeboten werden mussten. Das hat alles so seine Vor- und Nachteile sich als Gast anzumelden, aber gerade so in dem Bereich, ne, wenn’s äh ich sage mal eine gesetzliche, definiertes Recht ist, ne ähm auf diese Zahlung
Kann ich nachvollziehen, ne.
Ich auch, absolut. Absolut.
Gut, wir kommen zu gebraucht Kleidung, ne? Also wir bleiben im im Onlinehandel bei,
Online-Shops und zwar ähm kennen wir die äh Plattform,
Handelsplattform, ähm wo sich schon einige europäische Mitgliedsstaaten bei Vinted beschwert haben.
Mittlerweile hat jetzt die litauische Regulierungsbehörde die Untersuchung gegen Vinted aufgenommen
Unter anderem wurde bei den Untersuchungen gegen Vinted herausgefunden, dass das Unternehmen, die Kunden irrtümlicher Weise um einen bestimmten Grund gebeten hatte, um ihre Daten zu löschen.
Darüber hinaus gab Winted den Kunden keine eindeutige Erklärung dafür, weshalb das Unternehmen den Antrag auf Löschung abgelehnt hat
Es wird ein Bußgeld ausgesprochen und zwar in Höhe von 2,4 Millionen Euro. Oder annähernd 2,4 Millionen Euro.
Was ist der Hintergrund dabei und zwar bei der Prüfung der Beschwerde wurde festgestellt, dass das Unternehmen in seiner Antwort auf die Anträge der Antragsstelle angegeben hatte, dass sie keinen konkreten,
Grund für die Löschung der Daten angegeben hätten
Also sie sehen den Artikel siebzehn Absatz eins nicht erfüllt wonach der konkrete Grund der ähm betroffenen Person gefehlt hatte,
Und die Antwortschreiben waren offensichtlich so unklar, dass äh es nicht eindeutig und ersichtlich war, äh was jetzt die Ablehnung der Löschung anbelangt,
Des Weiteren hat die Prüfung auch ergeben, dass das Unternehmen zur Gewährleistung der Sicherheit der Plattform und ihre Nutzer rechtswidrig einen Shadowblocking eingesetzt hat
Das heißt, dass man ohne das Wissen der betroffenen Personen diese von der Plattform ausgeschlossen hat, was natürlich,
Gegen die Grundsätze der Fairness und transparent entgegenstehen, was auch letztendlich dazu geführt hat, dass die betroffenen Personen ihre Rechte als Auskunft Einschränkungen,
nicht mehr ausüben konnten
Das Fazit, der Verstoß, so sieht’s auch die litauische Regulierungsbehörde sieht Verstöße gegen Artikel fünf, Absatz eins, Artikel fünf, Absatz zwei, also schon die Grundsätze und auch Artikel 12 der DSGVO.
Ich finde das Vorgehen tatsächlich habe ich bisher noch nie so gehört
ist eine neue Idee, den Kunden überhaupt erst mal daran zu hindern, dass er die Webseite besucht und dementsprechend sich vielleicht noch nicht mals die E-Mail-Adresse raussuchen kann, wo er seine betroffenen Rechte ähm hinschicken kann oder geltend machen kann. Das ist schon eine neue,
eine neue Vorgehensweise und ich find’s tatsächlich sehr gut, dass hier die Aufsichtsbehörde ja einen Riegel vorgeschoben hat, weil ähm ja Betroffenenrechte gehen vor,
dahinter. Wahnsinn.
Ist abenteuerlich, ne, also hatte ich auch so noch nicht gehabt, ne. Also wer wer stört, ne, wird ausgeschlossen, dann passiert da nichts mehr.
Ja so apropos wer es stört, wir haben so ein bisschen in die Richtung von unserem nächsten Thema, nämlich das UEFA Ticket App,
Und zwar für den Einlass in das Stadion. Wir haben ja aktuell die Europameisterschaft bei uns in Deutschland und um in ein Stadion ein Spiel, weil sie sich anschauen in einem Stadium anschauen zu können,
Bedarf ist ja jetzt eine digitalen Eintrittskarte. Das heißt Papier, Eintrittskarten funktionieren nicht mehr. Wir brauchen jetzt, um quasi ein Spiel in live anschauen zu können, eine UEFA Ticket.
Eine Fälschung der Karten, der Eintrittskarten
innerhalb dieser Ticket-App durch weitere technische Maßnahmen unterbunden, zum Beispiel ähm reicht es nicht aus, einen Screenshot mitzubringen. Man muss schon wirklich die App auf dem Handy installiert haben und sodass dann der der QR-Code direkt vom Handy eingescannt werden kann.
Wer sich die App auf seinem Smartphone installiert, wird dabei über den ähm ja Google oder oder Apple Store auch informiert, dass äh persönliche Daten wie Name, E-Mail-Adresse, Telefonnummer,
gesammelt werden und auch die App Aktivitäten selbst zu Analysezwecken geteilt werden können. Nicht informiert wird allerdings darüber.
Dass die App auch Standortdaten an die Polizeibehörden übermittelt. Ähm dies hat den Zweck, dass den Einsatzkräften ermöglicht werden soll, sich schnell zu eventuellen Brennpunkten hin zu verschieben und,
vor Ort zu sein, wenn eben Störer oder ähm ja große Menschenmassen oder Menschengruppen Sachen machen, die sie nicht machen sollten
Allerdings und das ist sehr erfreulich,
wird nicht weitergegeben, wer sich grade an welchem Standort konkret befindet, das ist nicht erkennbar, denn die Standortdaten werden nur anonymisiert übertragen,
Insofern ist nach unserer Ansicht, ähm wir hatten uns ja vorher dazu ausgetauscht, eine
ja Informationen über den Google Store oder Apple Store ja gar nicht erforderlich war, dann sind wir ja gar nicht mehr im Bereich der personenbezogenen Daten. Der personenbezug fällt also weg bei einer anonymisierten Übermittlung.
So, damit zeigt die UEFA tatsächlich, wie gelebte Datenschutz geht. Es werden,
sowohl Interessen der UEFA, an der Fälschungssicherheit der Tickets, berücksichtigt über die Verwendung der App.
Als auch die Interessen der Allgemeinheit an mehr Sicherheit durch die Ermöglichung ähm eines gezielteren Einsatz von Einsatzkräften. Das wird auch berücksichtigt. Und die Anonymisierung,
Die sichert eben ab, dass äh das allgemeine Persönlichkeitsrecht der Betroffenen, also der Karteninhaber, auch beachtet wird.
Insofern, wir können nur sagen, gut gemacht. So geht Datenschutz.
Ich finde das super. Also ganz ehrlich, als wir auch im im Vorfeld uns darüber unterhalten haben, das ist so ein Paradebeispiel, wie man tatsächlich auch,
Digitalisierungsprozesse gestalten kann, denn man hat wirklich dann beides geschafft. Man hat die äh Interessen der UEFA, wie du schon gerade gesagt hast, aber auch die Sicherheitsaspekt,
berücksichtigt, ne? Und die Polizei hat natürlich ein sehr großes Interesse und das ist, glaube ich, auch sehr, sehr hilfreich, ne, wenn man sieht, wo Massen unterwegs sind, ne, wo sich Dinge vielleicht zuspitzen könnten. Ich finde das super.
Also es.
Das ist der Gelebte, die Gelebte Umsetzung des Grundsatzes der Erforderlichkeit.
Zur nächsten Meldung, es ist ein Update und zwar wir hatten in der KW siebzehn schon einmal darüber berichtet, es geht um,
ist eine Dating-App für die LGBTQ-Community die in, sogar die Meldung in der KW siebzehn in einer Sammelklage in England schon beinhaltet war und zwar,
Nach Meldung von Heise äh gibt es dazu ein Update
dass es äh weiterhin zu nichtkonformen Weitergaben von personenbezogenen Daten an Dritte, in Klammern Werbetreibende gegangen ist.
Jetzt ein norwegisches Gericht ein Bußgeld gegen Rinder bestätigt und zwar in Höhe von umgerechnet 5,7 Millionen Euro weil auch hier
erkannt wurde, die Daten wurden an die Werbeindustrie weitergegeben und zwar es wurden hier ganz konkret Standortdaten weitergegeben.
Das Interessante nun ist, dass die Zahlung innerhalb von 14 Tagen an die norwegische Staatskasse gezahlt werden muss und zwar weil ähm Gründer zwischen zweitausendachtzehn und zweitausendzwanzig genau diese.
Weitergeleitet hat. Fazit
Es ist bei Datenweiterleitung unbedingt ähm ja der Umfang und die Art der Daten zu prüfen. Auch die Erforderlichkeit. Natürlich auch die Rechtsgrundlage,
Datenschutzverträge sind zu prüfen, also es haben auch enorme Auswirkungen, zeigt auch, ne, was ich welche Dinge zu beachten sind, wenn man,
weiterleitet, ne? Über die Wahrung der betroffenen Rechte, die Informationspflichten müssen gewahrt bleiben und natürlich auch ein entsprechendes Einwilligungsmanagement. Das sind die Punkte, die am Ende des Tages,
Berücksichtigt worden sind und.
Und vor allem auch, dass je nachdem, welche Daten auch weitergeleitet werden, auch die entsprechenden Maßnahmen getroffen werden müssen. Wir haben jetzt gerade bei bei Grindel ist ja allein die
Ja, die Meldung als Mitglied
oder die Information, dass jemand Mitglied in dieser Dating-App ist, ist ja schon ein besonders sensibles Datum. Insofern da wäre noch mehr Vorsicht geboten gewesen, noch mehr Sicherheit, die hätte eigentlich ähm gewährleistet sein müssen, als bei vielleicht einer anderen Dating-App.
Ja, Datenweitergabe ist ein Stichwort, was ich auch habe und zwar bei der nächsten Meldung, die ebenfalls ein Update ist,
Und zwar hatten wir ähm auch in der KW 19 dieses Jahre schon davon berichtet,
Dass die tschechische Datenschutzaufsicht gegen den Antivirensoftwarehersteller erwast, ein Bußgeld in Höhe von fast 14 Millionen Euro verhängt hat.
Dabei ginge es um die Datenweitergabe von Avast an die Schwesterfirma Damschott und diese hat dann die Daten dann auch weiterverkauft.
Aktuell sind wir in den USA,
Und äh was wurde nun in den USA zur Zahlung von 16,5 Millionen Dollar, also umgerechnet 15,4 Millionen Euro verpflichtet.
Allerdings nicht durch eine Datenschutzaufsichtsbehörde sind tatsächlich durch die Handelsbehörde FTC, also Federwald Trade Commission
Der hat in diesem Fall einen anderen rechtlichen Hebel als die Datenschutzgesetze gefunden, indem sie im Grunde genommen denselben Sachverhalt, den auch die tschechische Aufsichtsbehörde schon betrachtet hatte, aus einem anderen Blickwinkel ähm bewertet hatte.
Und die heimliche Sammlung, Speicherung, den Verkauf der Daten als unlautere Geschäftspraktik und Irreführung eingestuft hat.
Es handelt sich daher auch anders als in Tschechien, nicht um eine Geldstrafe, sondern um die Zahlung in einen FTC-Fond, aus dem die Opfer entschädigt werden sollen,
Auch nicht schlecht, finde ich,
On top macht die Behörde noch weitere Auflagen gegenüber ähm wie zum Beispiel das Verbot der Offenlegung von Brausedaten und falschen Behauptungen, wie zum Beispiel der Behauptung, dass die Daten aggregiert und anonymisiert, vorgehalten oder weitergegeben werden.
Von daher, wir werden schauen,
wie dieser Hebel funktioniert, aber wir sehen das, nur weil etwas schon datenschutzrechtlich beanstandet wurde, von einer datenschutzaufsichtsbehörde,
Natürlich, dass sehr ähnliche oder gleiche Sachverhalt, das war jetzt für uns nicht genau erkennbar bis es genau der identische Sachverhalt war oder ein
ein ähnliches Sachverhalt, aber auch durch andere Behörden geahndet werden kann.
Und in dem Fall muss ich sagen, finde ich die Auflagen und ich glaube auch, die Entschädigung der Opfer hier auch als sehr wirksam und als sehr zielführend.
Absolut und gerade bei, wenn man jetzt äh wird schon,
gehörige Auswirkungen haben, ne, die die Strafzahlung beziehungsweise das Bußgeld allerdings erfasst, als Antivieren-Hersteller, sie leben von der Reputation, ne? Also das äh Thema Vertrauen in das Produkt der der äh User,
genau das Ausschlaggebende, warum die User das kaufen oder auch nicht kaufen und ich glaube, das ist ein Betrag, der gegebenenfalls höher liegen wird.
Und vor allem ähm vielleicht noch einen weiteren Hinweis dazu, dass sich Unternehmen,
Nicht ausruhen sollten, wenn sie vielleicht schon ein Bußgeld bekommen haben, eine datenschutzrechtliche Buß, ein datenschutz rechtliches Bußgeld, wenn der Verstoß, der dazu geführt hat, möglicherweise auch gegen andere gesetzliche Vorschriften mit verstößt.
Die dann natürlich auch noch mal zusätzlich geahndet werden könnten. Ja, das war’s zu dem Thema.
Natalia, vielen Dank. Ja, wir sind auch mit allen Meldungen so weit durch. Ist tatsächlich, wir haben alles,
gearbeitet von der Liste. Sehr schön. Uns bleibt jetzt nur noch zwei Hinweise zu geben und zwar auf,
Veröffentlichungen von Literatur und zwar unser ausscheidender Bundesdatenschutzbeauftragter Professor Ulrich Kelber hat nochmal auf der Seite des BFTI eine Stellungnahme beziehungsweise nochmal einen.
Zu seinem Amtsaustritt, ne. Er zieht nochmal Resümee über seine Tätigkeit, er bezieht nochmal Stellung zu den Dingen, die in Deutschland vorangehen im Sinne der Digitalisierung oder auch nicht vorangehen.
Ist lesenswert. Ich werd’s am Wochenende mir mal anschauen und noch ein weiterer Hinweis zu einer Veröffentlichung und zwar geht es dabei um die
Medienkompetenzen in Rheinland-Pfalz, der ähm Datenschutzbeauftragte in Rheinland-Pfalz,
eine sehr schöne Kampagne gestartet und zwar geht’s ähm ja um eine Medienkompetenz zu vermitteln im Kita- und Schulbereich.
Sehr lesenswert auch. Es gibt da eine FAQ zum Beispiel im im äh Kitabereich, die sich an Erzieherinnen und Erzieher richtet und auch ähm das ganze Thema in der Schule betrachtet. Auch,
Ich denke, es wird sehr lesenswert sein. Gut, Natalia, wir sind wir sind am Ende, wir sind durch.
Nur nicht mit den Nerven, aber am Ende der Folge.
Das ist richtig.
Ja, uns bleiben uns nur noch bei euch zu bedanken für eure Aufmerksamkeit. Wir wünschen euch, wenn ihr das heute, am Freitag hört, ein
schönes Wochenende, in Klammern ein schönes Fußballwochenende. Wenn ihr das am Montag hört, wünschen wir euch einen schönen und erfolgreichen Start in die,
erste Ferienwoche, glaube ich, in NRW, ne. Wir haben ab heute, heute ist Zeugnisausgabe, nächste Woche gehen die Ferien los. Äh für alle die, die in den Ferien fahren,
Einen schönen und erholsamen Urlaub. Kommt gesund wieder.
Bis zum nächsten Mal.
Bis zum nächsten Mal, macht’s gut, tschüss.
Der Beitrag Die UEFA TicketApp und der Datenschutz – Datenschutz News KW 27/2024 erschien zuerst auf migosens.
More shows like Der Datenschutz Talk
View all
Computer und Kommunikation
10 Listeners
IQ - Wissenschaft und Forschung
51 Listeners
c’t uplink - der IT-Podcast aus Nerdistan
8 Listeners
Dr. Datenschutz Podcast
0 Listeners
Datenschutz PRAXIS - Der Podcast
0 Listeners
Auslegungssache – der c't-Datenschutz-Podcast
1 Listeners
kurz informiert by heise online
1 Listeners
Datenfreiheit!
0 Listeners
F.A.Z. Künstliche Intelligenz
0 Listeners
11KM: der tagesschau-Podcast
26 Listeners
Dark Matters – Geheimnisse der Geheimdienste
19 Listeners
KI-Update – ein heise-Podcast
4 Listeners
Der KI-Podcast
6 Listeners
15 Minuten. Der tagesschau-Podcast am Morgen
9 Listeners
Passwort - der Podcast von heise security
3 Listeners