Sign up to save your podcasts
Or
Share Facebook Scraping erstes Leitentscheidungsverfahren des BGH - Datenschutz News KW 45/2024
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Facebook Scraping erstes Leitentscheidungsverfahren des BGH - Datenschutz News KW 45/2024
Was ist in der KW 45 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
Veröffentlichungen & Veranstaltungen
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/facebook-scraping-erstes-leitentscheidungsverfahren-des-bgh-datenschutz-news-kw-45-2024
#TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge:
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Heute ist Freitag, der 8. November und unser Redaktionsschluss war heute um
9.30 Uhr. Ich bin heute nicht alleine.
Ich freue mich, dass wir wieder eine neue Woche des Datenschutzes euch näher bringen können.
Und bei mir ist Natalia Bosniak.
Hallo Gregor.
Genau, mein Name ist Gregor Wortberg. Ich habe ganz vergessen,
mich vorzustellen. Wir starten etwas knubbelig in die heutige Folge rein,
aber ich glaube, das machen wir auch einfach mal anders. Das gehört dazu und
wir sind heute ein bisschen kürzer.
Vielleicht haben Sie es auch schon gesehen an der Aufnahmedauer.
Man sieht es ja auch schon, bevor man die Folge startet. Aber deswegen auch
mal die Frage, welche Themen hast du denn mitgebracht heute, Natalia?
Ich habe heute tatsächlich zwei Urteile des OLG Dresden mitgebracht.
Aber es ist eigentlich das gleiche Thema, aber da kommen wir gleich zu.
Also auf jeden Fall OLG Dresden zum Thema Löschpflichten.
Und ich habe einen Veranstaltungstipp bzw. einen Lesehinweis.
Wunderbar. Ich bringe das erste Leitentscheidungsverfahren des BGH mit und eine
FBI-Warnung zu neuen Risiken durch Session-Cookies.
Und darüber hinaus habe ich auch noch eine Veröffentlichung,
auf die wir gerne hinweisen möchten, dabei.
Ich starte auch einfach direkt rein. Das Scraping öffentlich einsehbarer Informationen
durch Facebook wird nämlich Gegenstand des ersten Leitentscheidungsverfahren des BGH sein.
Das hat der Bundesgerichtshof in einer Pressemitteilung bekannt gegeben.
Die umstrittene Praktik, welche das automatisch und massenhafte Auslesen von
öffentlich einsehbarer Information auf Profilen des sozialen Netzwerks beinhaltet,
ist in mehreren Fällen dem BGH vorliegend und wie Heise berichtet,
beziehen sich diese Fälle unter anderem auch zum Beispiel auf das Jahr 2021.
In welchem etwa 533 Millionen Datensätze von Facebook-Nutzern aus 106 Ländern
im Netz aufgetaucht sind.
Der BGH handelt übrigens sehr, sehr flott, denn erst zum 31.
Oktober ist es möglich, ein sogenanntes Verfahren zu Leitentscheidungsverfahren
zu benennen nach der neuen Zivilprozessordnung.
Leitentscheidungsverfahren sollen die Justiz vor vielen vergleichbaren Einzelverfahren schützen.
Beispiele sind zum Beispiel der Dieselskandal oder weitere gleichartige Ansprüche
von Verbraucherinnen und Verbrauchern wie Vertragsklauseln, zum Beispiel Bankverträgen etc.
Eine Besonderheit ist dabei, dass der BGH auch entscheidet, wenn Revisionen
bereits zurückgezogen wurden oder die Revisionsverfahren auf anderem Wege beendet worden sind.
An anderen Instanzen wird dadurch natürlich die Entscheidung leichter gemacht
und man kann sich in vergleichbaren Verfahren dann auf diese Leitentscheidungsverfahren
dann beziehen und hat eine Orientierung.
Man könnte auch sagen, dass es ein anderer Begriff ist für eine Grundsatzentscheidung,
die der BGH dann treffen kann.
Ja, ich habe mich tatsächlich gefragt, als wir kurz darüber gesprochen haben,
was dieses Leitentscheidungsverfahren eigentlich an Mehrwert bringt,
weil wir haben ja bisher auch schon so die Praxis,
dass Entscheidungen des BGHs schon so eine gewisse Leitwirkung haben,
dass sich eben andere Gerichte auch daran orientieren,
sodass es natürlich keine Bindungswirkung im rechtlichsten Sinne gibt.
Aber ja, wir werden schauen, wie sich das weiterentwickelt.
Allerdings kann man jetzt natürlich dem, es gibt das Sprichwort,
was mir gerade eingefallen ist, die Mühlen der Gerichte oder der Justiz malen langsam.
Ich glaube, das können wir jetzt hier nicht mehr sagen für diesen Fall.
Ganz genau. Aber man muss auch dazu sagen, es ist erstmal nur eine Information
darüber, dass es das erste Verfahren ist.
Und wie das halt so ist beim ersten Mal, ist es dann auch vielleicht besonders
spannend, was dabei rauskommt, bei so einem Verfahren und wie dann die Geltungswirkung
halt auch sein wird für die anderen Verfahren, die anhängig sind.
Da wird man dann wahrscheinlich auch einfach nochmal Erfahrungswerte sammeln
müssen, was das dann in Zukunft mit sich bringen wird bei weiteren Verfahren durch den BDH.
Okay, ich komme mal zu meinen Urteilen vom OLG Dresden.
Ich habe mich bei der Vorbereitung tatsächlich gewundert, warum wir zeitnah
im Abstand von ungefähr einem Monat direkt zwei Urteile des OLG Dresden zum
Thema Löschung durch den Auftragsverarbeiter haben.
Es sind tatsächlich beides Urteile, wo der Beklagte ein Musikstreaming-Dienst
ist und die beiden Kläger in beiden Verfahren, also in dem einen und in dem anderen Verfahren,
sind jeweils die Kunden des Musikstreaming-Dienstes, die versuchen einen Schadensersatzanspruch
gegen den Musikstreaming-Dienst geltend zu machen.
Hintergrund war ein Datenabwandern, ein Hackerangriff bei dem Auftragsverarbeiter
und insofern sollen Daten abhandengekommen sein.
Von diesem Abhandenkommen sollen die beiden Kläger, also die beiden Kunden oder
ehemaligen Kunden betroffen sein.
Das Gericht hat sich hier mit mehreren Klagebegehren der Kläger auseinandergesetzt.
Relevant und was ich hier mitgebracht habe, ist tatsächlich eines davon.
Es geht um die Pflicht des Verantwortlichen eben auch zu kontrollieren,
dass die Löschung durch den Auftragsverarbeiter ordnungsgemäß und bei Ende der
Vertragsbeziehung sichergestellt und gewährleistet ist.
Der OLG hat dazu ausgeführt, dass Artikel 28 eben die Pflicht des Verantwortlichen
mit sich bringt, nur mit geeigneten Auftragsverarbeitern zusammenzuarbeiten.
Und Artikel 28 Absatz 3 Lit H DSGVO setzt eben diese Kontrollpflicht voraus,
auch bezüglich der ordnungsgemäßen Datenlöschung.
Diese Pflicht zur Überwachung, die auch damit einhergeht, die enthält keine
konkreten zeitlichen Vorgaben und so das OLG ist, diese Pflicht eben als Dauerpflicht zu verstehen.
Und mit dieser Pflicht geht einher, dass in der Auftragsverarbeitungsvereinbarung
nicht nur die Pflichten des Auftragsverarbeiters, sondern auch die korrespondierenden
Prüfpflichten des Unternehmers zu konkretisieren sind, also des Verantwortlichen.
Das heißt, die Details zu den Prüfrechten sind auszugestalten und hierdurch
soll eben eine effektive Kontrolle durch den Verantwortlichen sichergestellt werden.
In beiden hier zugrunde liegenden Fällen haben die Parteien vereinbart,
dass der Auftragsverarbeiter die vorhandenen Daten nach 21 Kalendertagen nach
Beendigung vollständig gelöscht haben muss und dies auch zu bestätigen hat.
Hier hat der Verantwortliche nach Ablauf dieser 21-tägigen Frist,
die für eine Löschung vereinbart war,
weder die schriftliche Bestätigung der tatsächlich durchgeführten Löschung verlangt,
noch von seinem Wahlrecht Gebrauch gemacht, dass ihm alternativ die Daten wieder
zurück übermittelt werden.
Insofern, so das OLG, hat der Verantwortliche gegen seine Kontrollpflichten
aus Artikel 28 verstoßen.
Wir nehmen aus dem Urteil daher mit, dass eine Auftragsverarbeitungsvereinbarung
nicht nur im Standard die Pflichten beider Parteien festhalten sollte,
sondern dass damit eben auch Pflichten für den Verantwortlichen einhergehen,
die im Idealfall auch geregelt und ein bisschen detaillierter ausgestaltet sein
sollten in der AV-Vereinbarung.
Und diese Kontrollpflichten auch tatsächlich ausgeübt werden sollten durch den Verantwortlichen.
Es reicht also nicht aus zu sagen, der Auftragsverarbeiter soll löschen.
Der Verantwortliche muss die erfolgte Löschung auch kontrollieren.
Ich glaube, da kann man als Sensibilisierung nehmen, einfach nochmal reinzuschauen
und gerade bei Beendigung, wenn man gerade weiß, dass man einen Auftragsverarbeiter
vielleicht gerade gekündigt hat,
in die Verträge reinzuschauen und dann natürlich auch nochmal nachzuhaken,
ob eine Löschung dann auch erfolgt ist.
Genau, ich glaube, das ist ein Punkt, das bei vielen Unternehmen vielleicht
nicht so ganz auf dem Schirm ist.
Von daher einfach mal die Auftragsverarbeitungsverträge reinschauen und gucken,
welche laufen demnächst aus, welche Verträge laufen aus und sich einfach mal
vielleicht die Löschung bestätigen lassen.
Das sind ja auch die eigenen Daten. Von daher sollte man auch ein Interesse
haben, was damit passiert, wenn man ein Unternehmen dann nicht mehr beauftragt.
Ganz anderes Thema. Wir gehen so ein bisschen in die Cybersicherheit rein.
Wie Heise in dieser Woche berichtet, hat das FBI eine Warnung veröffentlicht,
welche einem sogenannten Session-Cookie-Diebstahl warnt.
Das ist nicht ganz neu, diese Variante, aber konkret sei ein zunehmendes Risiko
zu erkennen, dass durch Malware versucht wird, Session-Cookies aus den Browsern
der betroffenen Rechner zu übernehmen.
Und dies ermöglicht dann beispielsweise die Anmeldung am E-Mail oder anderen
Accounts zu übernehmen, um dann halt weitere Informationen zu erlangen,
ob es jetzt E-Mail-Accounts sind, Banking-Accounts und so weiter und so fort.
Besonders tricky ist das Ganze, weil durch den Diebstahl der Session-Cookies
sogar Pass-Keys und Zwei-Faktor-Authentifizierung umgangen werden,
da die Cookies erst nach erfolgter Anmeldung gesetzt werden und somit diese
ganzen Sicherheitsmerkmale scheinbar nicht mehr abgefragt werden.
Der beste Schutz ist eigentlich davor, sich erst gar keine Malware einzufangen,
also weiterhin seine Systeme zu sichern, vor solchen Schadsoftwaren,
aber auch seine Beschäftigten zu sensibilisieren hinsichtlich Phishing, Spam,
Malware, Ransomware und so weiter und so fort.
Aktuell ist wohl des Weiteren in Entwicklung, dass es bald gerätebezogene Session-Cookies
geben soll, welche dann die Übernahme auf Fremdgeräte verhindern bzw.
Den Cookie dann für diesen Zweck halt auch unbrauchbar machen.
Technisch ist es dann wohl so, dass es einen privaten Schlüssel geben wird,
der auf dem Gerät gespeichert wird, des Webseitenbesuchers und dann einen öffentlichen
zweiten Schlüssel, der auf dem Webserver der jeweiligen Webseite, die man dann besucht,
gespeichert wird und nur mit beiden ist dann eine Anmeldung möglich.
Aber da sehen wir tatsächlich, wie wichtig angemessene und auch aktuelle Toms sind.
Das heißt, es reicht nicht aus, einmal seine Toms festzulegen, zu definieren.
Man muss wirklich immer auf dem Laufenden bleiben und schauen,
was ist denn jetzt wirklich der Stand der Technik und da auch mitzugehen.
Okay, ja und wir kommen jetzt auch schon zu unseren Veranstaltungs- und Lesetipps bzw.
Lesehinweisen. Ich habe ein bzw.
Zwei Papiere des ETSA mitgebracht. Das erste Papier beschäftigt sich mit dem
Angemessenheitsbeschluss für die USA.
Der ETSA sieht hier an verschiedenen Stellen Bemühungen der US-Behörden,
die datenschutzrechtliche Situation zu verbessern.
Aus Sicht der europäischen Datenschützer braucht es jedoch in einigen Punkten
weitere Klarstellungen. Ich finde es auch schon positiv, dass das Papier tatsächlich
einen positiven Eindruck macht.
Das lässt auf jeden Fall auf gutes Hoffen für die Zukunft.
In dem zweiten Papier hat sich der ETSA mit einem anderen Thema beschäftigt.
Hier hat der ETSA ein Statement zu den Empfehlungen der sogenannten High-Level-Group
on Access to Data for Effective Law Enforcement beschlossen.
Die Gruppe soll Lösungen insbesondere zu den Themen Vorratsdatenspeicherung
und Verschlüsselung vorschlagen.
Das Statement richtet sich an die Europäische Kommission und die Mitgliedstaaten,
bei allen weiteren Schritten sicherzustellen, dass die Datenschutzgrundrechte
gewahrt bleiben und die Rechtsprechung des EuGH beachtet wird.
Beide Papiere, also beide Dokumente, wurden unter wesentlicher Beteiligung der
Bundesbeauftragten für den Datenschutz und Informationsfreiheit erarbeitet.
Wir verlinken in den Shownotes, vielleicht für den einen oder anderen schon
mal interessant und als Leselekturier fürs Wochenende. ein dankenswertes Dokument.
Ein weiteres dankenswertes Dokument, um das mal direkt aufzugleichen,
oder vielleicht einen Leitfaden, hat die EU-Kommission veröffentlicht.
Nämlich einen Leitfaden zur Verhinderung von Cyber-Diebstählen von Geschäftsgeheimnissen.
Zielgruppe sind kleine und mittelständische Unternehmen. Ein ganz besonderer
Schwerpunkt liegt dabei auf Hochrisikosektoren wie Energie, Biotechnologie,
Verkehr, Verteidigung und Halbleiter.
Die Leitlinie ist recht interaktiv aufgestellt. Also es gibt Best Practices,
interaktive Tools, nachgebildete Risikoszenarien in Rollenspielen und auch Trainingskurse.
Wird angepriesen auch, dass man nicht zwingend Datenschutzexperte sein muss,
um da sein Wissen mit aufzubessern.
Und ich denke, das können wir auch dann guten Gewissens ans Herz legen.
Ich würde sagen, das Wochenende ist gerettet.
Genau, das Wochenende ist gerettet, also da wird keine Langeweile aufkommen.
Da bleibt mir auch in dem Augenblick gar nichts anderes übrig,
weil wir haben es ja schon gesagt, wir sind heute etwas kürzer unterwegs.
Dann euch, liebe Hörerinnen und Hörern, ein gutes Wochenende,
ein schönes Wochenende zu wünschen, wenn ihr uns am Freitag hört.
Falls heute bei euch Montag sein sollte, dann einen guten Wochenstart.
Dir, Natalia, vielen Dank.
Und dir, Gregor, ebenfalls vielen Dank. Es hat sehr viel Spaß gehabt.
Und in diesem Sinne, bis bald, bis nächste Woche.
Bis bald, tschüss.
Der Beitrag Facebook Scraping erstes Leitentscheidungsverfahren des BGH – Datenschutz News KW 45/2024 erschien zuerst auf migosens.
View all episodes
By migosens - Datenschutz und Informationssicherheit mit Praxisnähe, Transparenz und KompetenzWas ist in der KW 45 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
Veröffentlichungen & Veranstaltungen
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/facebook-scraping-erstes-leitentscheidungsverfahren-des-bgh-datenschutz-news-kw-45-2024
#TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge:
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Heute ist Freitag, der 8. November und unser Redaktionsschluss war heute um
9.30 Uhr. Ich bin heute nicht alleine.
Ich freue mich, dass wir wieder eine neue Woche des Datenschutzes euch näher bringen können.
Und bei mir ist Natalia Bosniak.
Hallo Gregor.
Genau, mein Name ist Gregor Wortberg. Ich habe ganz vergessen,
mich vorzustellen. Wir starten etwas knubbelig in die heutige Folge rein,
aber ich glaube, das machen wir auch einfach mal anders. Das gehört dazu und
wir sind heute ein bisschen kürzer.
Vielleicht haben Sie es auch schon gesehen an der Aufnahmedauer.
Man sieht es ja auch schon, bevor man die Folge startet. Aber deswegen auch
mal die Frage, welche Themen hast du denn mitgebracht heute, Natalia?
Ich habe heute tatsächlich zwei Urteile des OLG Dresden mitgebracht.
Aber es ist eigentlich das gleiche Thema, aber da kommen wir gleich zu.
Also auf jeden Fall OLG Dresden zum Thema Löschpflichten.
Und ich habe einen Veranstaltungstipp bzw. einen Lesehinweis.
Wunderbar. Ich bringe das erste Leitentscheidungsverfahren des BGH mit und eine
FBI-Warnung zu neuen Risiken durch Session-Cookies.
Und darüber hinaus habe ich auch noch eine Veröffentlichung,
auf die wir gerne hinweisen möchten, dabei.
Ich starte auch einfach direkt rein. Das Scraping öffentlich einsehbarer Informationen
durch Facebook wird nämlich Gegenstand des ersten Leitentscheidungsverfahren des BGH sein.
Das hat der Bundesgerichtshof in einer Pressemitteilung bekannt gegeben.
Die umstrittene Praktik, welche das automatisch und massenhafte Auslesen von
öffentlich einsehbarer Information auf Profilen des sozialen Netzwerks beinhaltet,
ist in mehreren Fällen dem BGH vorliegend und wie Heise berichtet,
beziehen sich diese Fälle unter anderem auch zum Beispiel auf das Jahr 2021.
In welchem etwa 533 Millionen Datensätze von Facebook-Nutzern aus 106 Ländern
im Netz aufgetaucht sind.
Der BGH handelt übrigens sehr, sehr flott, denn erst zum 31.
Oktober ist es möglich, ein sogenanntes Verfahren zu Leitentscheidungsverfahren
zu benennen nach der neuen Zivilprozessordnung.
Leitentscheidungsverfahren sollen die Justiz vor vielen vergleichbaren Einzelverfahren schützen.
Beispiele sind zum Beispiel der Dieselskandal oder weitere gleichartige Ansprüche
von Verbraucherinnen und Verbrauchern wie Vertragsklauseln, zum Beispiel Bankverträgen etc.
Eine Besonderheit ist dabei, dass der BGH auch entscheidet, wenn Revisionen
bereits zurückgezogen wurden oder die Revisionsverfahren auf anderem Wege beendet worden sind.
An anderen Instanzen wird dadurch natürlich die Entscheidung leichter gemacht
und man kann sich in vergleichbaren Verfahren dann auf diese Leitentscheidungsverfahren
dann beziehen und hat eine Orientierung.
Man könnte auch sagen, dass es ein anderer Begriff ist für eine Grundsatzentscheidung,
die der BGH dann treffen kann.
Ja, ich habe mich tatsächlich gefragt, als wir kurz darüber gesprochen haben,
was dieses Leitentscheidungsverfahren eigentlich an Mehrwert bringt,
weil wir haben ja bisher auch schon so die Praxis,
dass Entscheidungen des BGHs schon so eine gewisse Leitwirkung haben,
dass sich eben andere Gerichte auch daran orientieren,
sodass es natürlich keine Bindungswirkung im rechtlichsten Sinne gibt.
Aber ja, wir werden schauen, wie sich das weiterentwickelt.
Allerdings kann man jetzt natürlich dem, es gibt das Sprichwort,
was mir gerade eingefallen ist, die Mühlen der Gerichte oder der Justiz malen langsam.
Ich glaube, das können wir jetzt hier nicht mehr sagen für diesen Fall.
Ganz genau. Aber man muss auch dazu sagen, es ist erstmal nur eine Information
darüber, dass es das erste Verfahren ist.
Und wie das halt so ist beim ersten Mal, ist es dann auch vielleicht besonders
spannend, was dabei rauskommt, bei so einem Verfahren und wie dann die Geltungswirkung
halt auch sein wird für die anderen Verfahren, die anhängig sind.
Da wird man dann wahrscheinlich auch einfach nochmal Erfahrungswerte sammeln
müssen, was das dann in Zukunft mit sich bringen wird bei weiteren Verfahren durch den BDH.
Okay, ich komme mal zu meinen Urteilen vom OLG Dresden.
Ich habe mich bei der Vorbereitung tatsächlich gewundert, warum wir zeitnah
im Abstand von ungefähr einem Monat direkt zwei Urteile des OLG Dresden zum
Thema Löschung durch den Auftragsverarbeiter haben.
Es sind tatsächlich beides Urteile, wo der Beklagte ein Musikstreaming-Dienst
ist und die beiden Kläger in beiden Verfahren, also in dem einen und in dem anderen Verfahren,
sind jeweils die Kunden des Musikstreaming-Dienstes, die versuchen einen Schadensersatzanspruch
gegen den Musikstreaming-Dienst geltend zu machen.
Hintergrund war ein Datenabwandern, ein Hackerangriff bei dem Auftragsverarbeiter
und insofern sollen Daten abhandengekommen sein.
Von diesem Abhandenkommen sollen die beiden Kläger, also die beiden Kunden oder
ehemaligen Kunden betroffen sein.
Das Gericht hat sich hier mit mehreren Klagebegehren der Kläger auseinandergesetzt.
Relevant und was ich hier mitgebracht habe, ist tatsächlich eines davon.
Es geht um die Pflicht des Verantwortlichen eben auch zu kontrollieren,
dass die Löschung durch den Auftragsverarbeiter ordnungsgemäß und bei Ende der
Vertragsbeziehung sichergestellt und gewährleistet ist.
Der OLG hat dazu ausgeführt, dass Artikel 28 eben die Pflicht des Verantwortlichen
mit sich bringt, nur mit geeigneten Auftragsverarbeitern zusammenzuarbeiten.
Und Artikel 28 Absatz 3 Lit H DSGVO setzt eben diese Kontrollpflicht voraus,
auch bezüglich der ordnungsgemäßen Datenlöschung.
Diese Pflicht zur Überwachung, die auch damit einhergeht, die enthält keine
konkreten zeitlichen Vorgaben und so das OLG ist, diese Pflicht eben als Dauerpflicht zu verstehen.
Und mit dieser Pflicht geht einher, dass in der Auftragsverarbeitungsvereinbarung
nicht nur die Pflichten des Auftragsverarbeiters, sondern auch die korrespondierenden
Prüfpflichten des Unternehmers zu konkretisieren sind, also des Verantwortlichen.
Das heißt, die Details zu den Prüfrechten sind auszugestalten und hierdurch
soll eben eine effektive Kontrolle durch den Verantwortlichen sichergestellt werden.
In beiden hier zugrunde liegenden Fällen haben die Parteien vereinbart,
dass der Auftragsverarbeiter die vorhandenen Daten nach 21 Kalendertagen nach
Beendigung vollständig gelöscht haben muss und dies auch zu bestätigen hat.
Hier hat der Verantwortliche nach Ablauf dieser 21-tägigen Frist,
die für eine Löschung vereinbart war,
weder die schriftliche Bestätigung der tatsächlich durchgeführten Löschung verlangt,
noch von seinem Wahlrecht Gebrauch gemacht, dass ihm alternativ die Daten wieder
zurück übermittelt werden.
Insofern, so das OLG, hat der Verantwortliche gegen seine Kontrollpflichten
aus Artikel 28 verstoßen.
Wir nehmen aus dem Urteil daher mit, dass eine Auftragsverarbeitungsvereinbarung
nicht nur im Standard die Pflichten beider Parteien festhalten sollte,
sondern dass damit eben auch Pflichten für den Verantwortlichen einhergehen,
die im Idealfall auch geregelt und ein bisschen detaillierter ausgestaltet sein
sollten in der AV-Vereinbarung.
Und diese Kontrollpflichten auch tatsächlich ausgeübt werden sollten durch den Verantwortlichen.
Es reicht also nicht aus zu sagen, der Auftragsverarbeiter soll löschen.
Der Verantwortliche muss die erfolgte Löschung auch kontrollieren.
Ich glaube, da kann man als Sensibilisierung nehmen, einfach nochmal reinzuschauen
und gerade bei Beendigung, wenn man gerade weiß, dass man einen Auftragsverarbeiter
vielleicht gerade gekündigt hat,
in die Verträge reinzuschauen und dann natürlich auch nochmal nachzuhaken,
ob eine Löschung dann auch erfolgt ist.
Genau, ich glaube, das ist ein Punkt, das bei vielen Unternehmen vielleicht
nicht so ganz auf dem Schirm ist.
Von daher einfach mal die Auftragsverarbeitungsverträge reinschauen und gucken,
welche laufen demnächst aus, welche Verträge laufen aus und sich einfach mal
vielleicht die Löschung bestätigen lassen.
Das sind ja auch die eigenen Daten. Von daher sollte man auch ein Interesse
haben, was damit passiert, wenn man ein Unternehmen dann nicht mehr beauftragt.
Ganz anderes Thema. Wir gehen so ein bisschen in die Cybersicherheit rein.
Wie Heise in dieser Woche berichtet, hat das FBI eine Warnung veröffentlicht,
welche einem sogenannten Session-Cookie-Diebstahl warnt.
Das ist nicht ganz neu, diese Variante, aber konkret sei ein zunehmendes Risiko
zu erkennen, dass durch Malware versucht wird, Session-Cookies aus den Browsern
der betroffenen Rechner zu übernehmen.
Und dies ermöglicht dann beispielsweise die Anmeldung am E-Mail oder anderen
Accounts zu übernehmen, um dann halt weitere Informationen zu erlangen,
ob es jetzt E-Mail-Accounts sind, Banking-Accounts und so weiter und so fort.
Besonders tricky ist das Ganze, weil durch den Diebstahl der Session-Cookies
sogar Pass-Keys und Zwei-Faktor-Authentifizierung umgangen werden,
da die Cookies erst nach erfolgter Anmeldung gesetzt werden und somit diese
ganzen Sicherheitsmerkmale scheinbar nicht mehr abgefragt werden.
Der beste Schutz ist eigentlich davor, sich erst gar keine Malware einzufangen,
also weiterhin seine Systeme zu sichern, vor solchen Schadsoftwaren,
aber auch seine Beschäftigten zu sensibilisieren hinsichtlich Phishing, Spam,
Malware, Ransomware und so weiter und so fort.
Aktuell ist wohl des Weiteren in Entwicklung, dass es bald gerätebezogene Session-Cookies
geben soll, welche dann die Übernahme auf Fremdgeräte verhindern bzw.
Den Cookie dann für diesen Zweck halt auch unbrauchbar machen.
Technisch ist es dann wohl so, dass es einen privaten Schlüssel geben wird,
der auf dem Gerät gespeichert wird, des Webseitenbesuchers und dann einen öffentlichen
zweiten Schlüssel, der auf dem Webserver der jeweiligen Webseite, die man dann besucht,
gespeichert wird und nur mit beiden ist dann eine Anmeldung möglich.
Aber da sehen wir tatsächlich, wie wichtig angemessene und auch aktuelle Toms sind.
Das heißt, es reicht nicht aus, einmal seine Toms festzulegen, zu definieren.
Man muss wirklich immer auf dem Laufenden bleiben und schauen,
was ist denn jetzt wirklich der Stand der Technik und da auch mitzugehen.
Okay, ja und wir kommen jetzt auch schon zu unseren Veranstaltungs- und Lesetipps bzw.
Lesehinweisen. Ich habe ein bzw.
Zwei Papiere des ETSA mitgebracht. Das erste Papier beschäftigt sich mit dem
Angemessenheitsbeschluss für die USA.
Der ETSA sieht hier an verschiedenen Stellen Bemühungen der US-Behörden,
die datenschutzrechtliche Situation zu verbessern.
Aus Sicht der europäischen Datenschützer braucht es jedoch in einigen Punkten
weitere Klarstellungen. Ich finde es auch schon positiv, dass das Papier tatsächlich
einen positiven Eindruck macht.
Das lässt auf jeden Fall auf gutes Hoffen für die Zukunft.
In dem zweiten Papier hat sich der ETSA mit einem anderen Thema beschäftigt.
Hier hat der ETSA ein Statement zu den Empfehlungen der sogenannten High-Level-Group
on Access to Data for Effective Law Enforcement beschlossen.
Die Gruppe soll Lösungen insbesondere zu den Themen Vorratsdatenspeicherung
und Verschlüsselung vorschlagen.
Das Statement richtet sich an die Europäische Kommission und die Mitgliedstaaten,
bei allen weiteren Schritten sicherzustellen, dass die Datenschutzgrundrechte
gewahrt bleiben und die Rechtsprechung des EuGH beachtet wird.
Beide Papiere, also beide Dokumente, wurden unter wesentlicher Beteiligung der
Bundesbeauftragten für den Datenschutz und Informationsfreiheit erarbeitet.
Wir verlinken in den Shownotes, vielleicht für den einen oder anderen schon
mal interessant und als Leselekturier fürs Wochenende. ein dankenswertes Dokument.
Ein weiteres dankenswertes Dokument, um das mal direkt aufzugleichen,
oder vielleicht einen Leitfaden, hat die EU-Kommission veröffentlicht.
Nämlich einen Leitfaden zur Verhinderung von Cyber-Diebstählen von Geschäftsgeheimnissen.
Zielgruppe sind kleine und mittelständische Unternehmen. Ein ganz besonderer
Schwerpunkt liegt dabei auf Hochrisikosektoren wie Energie, Biotechnologie,
Verkehr, Verteidigung und Halbleiter.
Die Leitlinie ist recht interaktiv aufgestellt. Also es gibt Best Practices,
interaktive Tools, nachgebildete Risikoszenarien in Rollenspielen und auch Trainingskurse.
Wird angepriesen auch, dass man nicht zwingend Datenschutzexperte sein muss,
um da sein Wissen mit aufzubessern.
Und ich denke, das können wir auch dann guten Gewissens ans Herz legen.
Ich würde sagen, das Wochenende ist gerettet.
Genau, das Wochenende ist gerettet, also da wird keine Langeweile aufkommen.
Da bleibt mir auch in dem Augenblick gar nichts anderes übrig,
weil wir haben es ja schon gesagt, wir sind heute etwas kürzer unterwegs.
Dann euch, liebe Hörerinnen und Hörern, ein gutes Wochenende,
ein schönes Wochenende zu wünschen, wenn ihr uns am Freitag hört.
Falls heute bei euch Montag sein sollte, dann einen guten Wochenstart.
Dir, Natalia, vielen Dank.
Und dir, Gregor, ebenfalls vielen Dank. Es hat sehr viel Spaß gehabt.
Und in diesem Sinne, bis bald, bis nächste Woche.
Bis bald, tschüss.
Der Beitrag Facebook Scraping erstes Leitentscheidungsverfahren des BGH – Datenschutz News KW 45/2024 erschien zuerst auf migosens.
More shows like Der Datenschutz Talk
View all
Computer und Kommunikation
10 Listeners
IQ - Wissenschaft und Forschung
51 Listeners
c’t uplink - der IT-Podcast aus Nerdistan
8 Listeners
Dr. Datenschutz Podcast
0 Listeners
Datenschutz PRAXIS - Der Podcast
0 Listeners
Auslegungssache – der c't-Datenschutz-Podcast
1 Listeners
kurz informiert by heise online
1 Listeners
Datenfreiheit!
0 Listeners
F.A.Z. Künstliche Intelligenz
0 Listeners
11KM: der tagesschau-Podcast
26 Listeners
Dark Matters – Geheimnisse der Geheimdienste
19 Listeners
KI-Update – ein heise-Podcast
4 Listeners
Der KI-Podcast
6 Listeners
15 Minuten. Der tagesschau-Podcast am Morgen
9 Listeners
Passwort - der Podcast von heise security
3 Listeners