Sign up to save your podcasts
Or
Share Fingerabdruck im Perso bleibt Pflicht - Datenschutz News KW 01/2025
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Fingerabdruck im Perso bleibt Pflicht - Datenschutz News KW 01/2025
Was ist in der KW 01 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
Veröffentlichungen & Veranstaltungen
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/https://migosens.de/fingerabdruck-im-perso-bleibt-pflicht-datenschutz-news-kw-01-2025/
#TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge:
Sicherheitsforscher haben auf dem 38. Computer Chaos, Computer Club,
Congregation Center, nee.
Lady Wandsworth.
Ich fang nochmal an.
Ein frohes neues Jahr wünscht der Datenschutz-Talk, euer wöchentliches Datenschutz-Update.
Heute ist Freitag, der 3. Januar 2025. Unser Redaktionsschluss war um 10 Uhr.
Und mein Name ist Heiko Gossen.
Und mein Name ist Lothar Sumanowski.
Ein neues Jahr, neues Glück würde ich sagen.
Es ist das erste Mal, dass ich die Jahreszahl, glaube ich, nicht nur im Podcast
ausspreche, sondern irgendwie überhaupt offiziell mal ausspreche. Deswegen 25.
2025. Ja, tatsächlich. Hast du dir denn Vorsätze vorgenommen?
Ich habe mir Vorsätze vorgenommen. Ich weiß ja nicht, ob du schon reingehört hast.
In der Silvester-Show habe ich es schon verkündet, dass ich mir vorgenommen
habe, dieses Jahr wieder mehr Themenfolgen zu machen.
Ah, sehr gut.
Ja. Und wie sieht es bei dir aus?
Ich habe Vorsätze gefasst. Die halten alle noch. Also ich war tatsächlich gestern beim Sport.
Hervorragend.
Beim nächsten Podcast werde ich berichten, ob sie immer noch halten.
Aber ich bin guter Dinge. Ja, also ich habe auch richtig Lust auf das neue Jahr.
Es war sehr ereignisreich, auch für uns bei der Migosens. Es war mit einigen
Herausforderungen aber ein schönes Jahr.
Und ja, wir können frohen Mutes in das neue starten. Ich habe da richtig Lust zu.
So tun wir das. Vielleicht der eine oder andere hat ja auch schon mit unserer
Silvester-Show reingestartet.
Wir hoffen das natürlich sehr. Ansonsten sei an der Stelle nochmal der Hinweis
erlaubt, dass wir die ja veröffentlicht haben, letzte Woche Freitag, den 27. und…
Nicht nur als Audioformat, sondern es gibt es auch als Video.
Ich habe auch gesehen, es gibt da auch schon sehr, sehr, sehr zahlreiche Zugriffe drauf.
Das freut uns natürlich sehr, wenn viele reinhören. Und was mich sehr gefreut
hat, es gibt auch schon zwei Kommentare auf unserer Webseite.
Frank T. Passer hatte kommentiert, auch mit einem Vorschlag für neue Themenfolgen
zum Thema NIST 2, was wir gerne aufnehmen. Vielen Dank dafür.
Aber auch Ansgar Jans hatte uns ein paar nette Worte dagelassen.
Auch dafür ganz, ganz herzlichen Dank.
Ich würde mich gerne einreihen. Also ich habe die Themenfolge,
die Silvester-Show auch gehört, sehr gut geworden. Herzlichen Glückwunsch dazu.
Vielen Dank. Damit können wir einsteigen, Lothar, in die Themen für heute.
Es ist ja auch über den Jahreswechsel ein bisschen was passiert.
Wir hatten ja jetzt im Prinzip zwei Wochen über die Feiertage,
die wir betrachtet haben. Von daher, was hast du mitgebracht?
Ich habe insgesamt drei Themen mitgebracht. Starten möchte ich gerne mit der
Einwilligungsverordnung, die wir kurz vor Weihnachten und kurz vor dem Jahreswechsel gesehen haben.
Es geht dann weiter über ein Bußgeld gegen OpenAI in Italien.
Und abschließend würde ich das Thema zum Volkswagen-Konzern und eine Datenpanne,
die wir in der Elektromobilität gesehen haben.
Wunderbar. Ich schaue einmal auf die Entscheidung des Verwaltungsgerichts Wiesbaden
zum Fingerabdruck im Personalausweis.
Dann hätte ich ein Update zum Thema elektronische Patientenakte und erhebliche
Sicherheitsmängel, die dort bestehen. Und last but not least eine Veröffentlichung,
die wir hier auch kurz erläutern möchten.
Sehr gut. Starten wir mit der Einwilligungsverordnung. Einige Stellen berichten
über die vom Bundesrat zugestimmte Einwilligungsverordnung.
Ja, unter anderem die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit BFDI, aber auch HEISE.
Damit ist nach § 26 Absatz 2 des Gesetzes über den Datenschutz bei Telekommunikationsdiensten
der rechtliche Rahmen für ein alternatives Einwilligungsverfahren zu Cookie-Bannern
geschaffen worden. Kurz nochmal zur Einordnung.
Artikel 25 im T3DG normiert die Einwilligungsmaßnahmen zum Schutz der Privatsphäre
in Endeinrichtungen und Artikel 26 öffnet die Möglichkeit zur Anerkennung der
dazugehörigen Dienste durch unabhängige Stellen.
Das ist nun mit der Zustimmung des Bundesrates vom 20.12.
Vollzogen worden und die Inkraftsetzung der Verordnung ist mit dem 1.4.
Diesen Jahres festgelegt und je nach ist die Anerkennung neuer Dienste für das
Einwilligungsmanagement durch den Bundesbeauftragten für den Datenschutz und
die Informationsfreiheit geregelt.
Neue Einwilligungsverordnung richtet sich nicht an die Endnutzer,
sondern an die Anbieter, die Dienste für ein zentrales Einwilligungsmanagement
entwickeln und zur Verfügung stellen.
Diese Dienste sollen es den Endnutzern ermöglichen, ihre Einstellungen und Präferenzen
für Cookies und andere Technologien transparent festzulegen und jederzeit ändern und anpassen zu können.
Die Betreiber von Webangeboten fragen dann den individuellen Einwilligungspräferenzen
ihrer Endnutzer bei diesen Diensten ab und setzen diese dann entsprechend um.
Und damit entfällt natürlich die Notwendigkeit, einen Cookie-Banner einzublenden
und ein eigenständiges Einwilligungsmanagement durchzuführen.
Aber laut dieser Verordnung ist es den Betreibern der Webangebote jedoch weiterhin
frei und offen, dieses anzuwenden oder nicht doch die herkömmlichen Cookie-Banner.
Es besteht keine Verpflichtung für die Einwilligungsdienste, diese zu nutzen.
Und im Ergebnis sollen die Dienste also nicht in die Lage versetzt werden,
nutzerfreundliche und wettbewerbskonforme Verfahren zur Verwaltung der nach
dem T3DG erforderlichen Einwilligung von Endnutzern anzubieten.
Die Wirksamkeit der Neuregelung der Einwilligungsverordnung soll innerhalb von
zwei Jahren evaluiert werden.
Dann soll geprüft werden, ob die Regelung und die damit verbundenen Sicherheitsmaßnahmen
ausreichen, um einen positiven Effekt für die Nutzerinnen und Nutzer zu erzielen.
Auch soll geprüft werden, ob sich die Anzahl der Cookie-Banner reduziert hat
und ob diese nutzerfreundlich sind.
Also bis hierhin hört sich das sehr, sehr gut an, dass man da auch der Vielzahl
von Cookie-Bannern, auch der teilweise komplexen Cookie-Banner,
so gestalten möchte, dass es nutzerfreundlicher und transparenter ist.
Aber wenn man mal in die Details sieht, dann sieht man schon einige Dinge,
die skeptisch werden lassen.
Es gibt auch schon Stimmen aus den Reihen der Datenschutzaufsichtsbehörden,
unter anderem der LFD aus Niedersachsen.
Dennis Lehmkämper sieht skeptisch, denn auf der einen Seite erkennt er an,
dass der Gesetzgeber den ursprünglichen Entwurf nach der Stellungnahme der DSK
an einigen Stellen verbessert und auch deutlich präzisiert hat.
Und dass es jetzt klargestellt ist, dass Webseitenbetreiber für die Einhaltung
der datenschutzrechtlichen Anforderungen verantwortlich sind,
aber, und das hatten wir auch gerade gehört, ist die Nutzung dieses Verfahrens optional.
Es ist freigestellt, zugelassene Services zu nutzen und demnach wäre es erwartbar, laut dem LFD,
dass die einschlägigen und etablierten Cookie-Banner weiterhin genutzt werden.
Und darüber hinaus sieht der LFD in diesem Verfahren einige Lücken,
da die einschlägigen Normen der DSGVO nicht berücksichtigt sind,
sondern nur die des T3DG.
Naja, und die Welt der einwilligungspflichtigen Techniken sind aus Datenschutzsicht
tatsächlich noch ein wenig variantenreicher als die aus Artikel 25 T3DG.
Lehm Kemper geht daher davon aus, dass sich die bisherige Praxis im Umgang mit
Einwilligung auf Webseiten leider wenig ändern wird.
Und seiner Meinung nach wäre es leichter zu lösen gewesen, dass Webseitenbetreiber
ihr Angebot konsequent datenschutzfreundlicher gestalten, indem etwa auf Drittdienste
und Cookies verzichtet,
wird insbesondere auf für ausuferndes und für den Nutzer nicht vorhersehbares digitales Marketing.
Also ich finde ja erstmal den Ansatz, dass man drüber nachdenkt und versucht
Alternativen zu den Cookie-Bannern zu finden oder die Menge der Cookie-Banner
zu reduzieren grundsätzlich sehr lobenswert.
Ich glaube aber, dass man hier auf nationaler Ebene da auch sehr limitiert ist,
weil wir halt natürlich durch das EU-Recht da auch nicht so ganz freie Gestaltungsräume
haben und natürlich auch die DSGVO hier an der Stelle an bestimmte Grenzen setzt.
Deswegen kann ich schon verstehen, dass man sich hier auf die T3DG konzentriert hat.
Ich fürchte aber tatsächlich durch diese Freiwilligkeit und letztendlich halt
auch das, so habe ich das zumindest verstanden, auch, dass man das für jede
Webseite neu machen muss.
Also es nutzt halt nichts, wenn ich irgendwo in Google Analytics zum Beispiel
eingewilligt habe oder widersprochen habe, dann kommt auf der nächsten Webseite
die Abfrage trotzdem wieder.
Also ich glaube auch, die Chancen, dass wir damit den Durchbruch erlangen, wird eher gering sein.
Das sehe ich auch so. Gerade auch diese Freiwilligkeit. Ich glaube,
dass da die Betreiber schon sehr abwartend sind, was wie die weitere Entwicklung in dem Bereich ist.
Und es ist zu befürchten, dass es eher noch komplizierter wird und auch für
den Nutzer aus Nutzersicht, dass das Ganze intransparenter wird.
Machen wir weiter. Das Verwaltungsgericht Wiesbaden hat entschieden,
dass Personalausweise ohne Fingerabdrücke nicht ausgestellt werden müssen und
es kein Recht darauf gibt.
Ein Kläger hatte argumentiert, dass die Fingerabdrücke im Personalausweis seine
Grundrechte verletzen und jetzt unterlag er trotzdem vor Gericht.
Er hatte unter anderem damit argumentiert, die Speicherpflicht verletze seine
europäischen Grundrechte auf Schutz des Privatlebens, also Artikel 7 der Grundrechtscharta
und auf den Schutz personenbezogenen Daten nach Artikel 8 der Grundrechtscharta.
Das Verwaltungsgericht hat jetzt aber entschieden, dass die Fingerabdrücke bleiben
und dass halt diese Entscheidung auch beruhend auf der Europäischen Verordnung aus 2019-1157,
die halt die Fingerabdrücke in den Ausweisen vorschreibt, rechtmäßig ist.
Also nicht die Verordnung, aber das Erheben der Fingerabdrücke.
Ja, Hintergrund ist, der Europäische Gerichtshof hatte ja zuvor zwar in den
Vorlagefragen, die das Verwaltungsgericht Wiesbaden ihm vorgelegt hatte, festgestellt,
dass diese Verordnung nicht gültig ist oder zumindest nicht rechtskonform ist,
weil es halt Verfahrensfehler bei der Erstellung der Verordnung gab,
hat sie aber vorerst weiterhin für gültig erklärt.
Da hatten wir hier auch in der KW 12 letzten Jahres bereits darüber berichtet.
Laut EuGH und dem Verwaltungsgericht verstößt die Speicherung der Fingerabdrücke
aber nicht gegen den Grundsatz der Verhältnismäßigkeit oder die Grundrechte.
Und deswegen ist das Verwaltungsgericht Wiesbaden auch zu dem entsprechenden Ergebnis gekommen.
Das Urteil des Verwaltungsgerichts Wiesbaden ist allerdings noch nicht rechtskräftig.
Der Kläger kann noch Berufung einlegen.
Seit August 21 ist ja die Speicherung eines Fingerabdrucks im Personalausweis verpflichtend.
Die EU hat nun bis Ende nächsten Jahres, also Ende 2026 Zeit,
eine neue Rechtsgrundlage für die Fingerabdruckspeicherung zu schaffen.
Kommen wir zu unserer nächsten Meldung, die führt nach Italien.
Und zwar hat die italienische Datenschutzaufsichtsbehörde ein Bußgeld gegen
OpenAI verhängt, also der Hersteller und Anbieter von ChatGPT oder GPT als Modell.
Und zwar als Ergebnis einer Untersuchung, die am 20.
März 2023 begonnen hatte. Die Aufsichtsbehörde hatte auch zeitnah am 31.03.2023
per Pressemitteilung die Nutzung von ChatGPT gestoppt.
Nach Auffassung der Aufsichtsbehörde hat das US-amerikanische Unternehmen nicht
nur versäumt, die Behörde über die im März erledene Datenschutzverletzung zu informieren.
Es ging damals um die Veröffentlichung von Unterhaltungen von Chat-GPT-Nutzern
und Veröffentlichung von Zahlungsinformationen.
Sondern auch um personenbezogene Daten der Nutzer, die für das Training von
Chat-GPT verarbeitet werden, ohne zuvor eine geeignete Rechtsgrundlage ermittelt
zu haben und offensichtlich auch informiert haben.
Denn offiziell heißt es gegen den Grundsatz der transparent und damit verbundene
Informationspflichten gegenüber den Nutzern verstoßen. Um.
Darüber hinaus sah OpenAI keine Mechanismen zur Altersüberprüfung vor,
sodass die Gefahr bestand, dass Kinder unter 13 Jahren Antworten erhielten,
die ihrem Entwicklungsstand und ihrem Selbstverständnis nicht angemessen waren.
Um insbesondere eine wirksame Transparenz bei der Weiterverarbeitung personenbezogener
Daten zu gewährleisten, wies darüber hinaus die Behörde OpenAI an,
eine sechsmonatige Kommunikationskampagne durchzuführen in Radio,
Fernsehen, Zeitung und im Internet.
Der Inhalt sollte mit der Behörde abgestimmt sein und das Verständnis und Bewusstsein
der Öffentlichkeit für die Funktionsweise von ChatGPT im Besonderen zu fördern,
insbesondere für die Sammlung von Daten und Nutzern und Nichtnutzern für das
Training der generativen künstlichen Intelligenz und für die Rechte,
die von den betroffenen Personen ausgeübt werden können,
einschließlich der Recht auf Widerspruch, Berichtigung und Löschung.
Die Aufsichtsbehörde verhängte daher ein Bußgeld in Höhe von 15 Millionen Euro,
die auch unter Berücksichtigung des kooperativen Verhaltens des Unternehmens berechnet wurden.
Da das Unternehmen im Laufe der Untersuchung seine europäische Hauptniederlassung
in Irland errichtete, leitete die Aufsichtsbehörde das Verfahren an die irische
Datenschutzbehörde DPC weiter, die gemäß der DSGVO zur federführenden Aufsichtsbehörde wurde.
OpenAI will allerdings das Bußgeld nicht akzeptieren und hat auch den Bescheid
nicht akzeptiert, aber trotzdem, da sieht
man schon, dass sich auch die Aufsichtsbehörden sich ganz stark mit KI,
mit Artificial Intelligence auseinandersetzen und auch die Anforderungen und
Auflagen sehr, sehr ernst nehmen.
Ja, das kennen wir ja mittlerweile doch zu Genüge, dass die großen amerikanischen
Unternehmen immer erstmal von irgendeinem europäischen Aufsichtsbehörde abgewatscht werden müssen,
damit sie dann entsprechend nachbessern und das Ganze sich dann so langsam auch
in datenschutzkonforme Lösungen entwickelt.
Sicherheitsforscher haben auf dem 38. CCC gravierende Schwachstellen in der EPA 3.0 nachgewiesen.
Jahreswechsel bedeutet hier auch, der Chaos Computer Club lädt wieder zu seinem
alljährlichen Kongress ein.
Und dieses Mal entdeckten Martin Tschirsich und Bianca Kassel gravierende Sicherheitslücken
in der elektronischen Patientenakte 3.0 auf.
Trotz der Behauptungen der Verantwortlichen, die EPA sei sicher,
konnten diese beiden Experten nachweisen, dass Angriffe auf die neue Version
einfach durchführbar sind.
Beispielsweise umfassten diese unkontrollierte Ausgabe von Gesundheitskarten,
Angriffe durch SQL-Injection oder aber auch gefälschten IT-Support,
die auch unter anderem durch Beschaffung von entsprechenden Lesegeräten den
Zugriff ohne PIN ermöglichten.
Kritisch ist, dass viele dieser Schwachstellen auch schon seit Jahren bekannt
sind und Zugriffe auf so ziemlich alle Gesundheitsakten damit möglich sind.
Die Gematik, die das Ganze entwickelt, reagierte laut Heise mit der Aussage,
dass Angriffe in der Praxis nicht sehr wahrscheinlich seien,
arbeitet jedoch laut eigenen Angaben bereits an technischen Lösungen in Zusammenarbeit
mit den Sicherheitsbehörden.
Der Start der EPA 3.0 ist ja vorher auf die Modellregion beschränkt.
Sie soll später aber automatisch für alle Bürger kommen, die der Erstellung
der EPA nicht widersprechen.
Würde auch der Gematik dahingehend entgegenhalten, dass wenn man mit einer Sicherheitslücke
auf alle Gesundheitsakten von Bundesbürgern zugreifen kann,
dass das schon sehr wahrscheinlich ist, dass die jemand ausnutzen wird und dass
das nicht irgendwie nur eine theoretische Lücke ist.
Also von daher bin ich mal wieder ein wenig entsetzt darüber, wie bei so einem großen,
teuren, langfristig und wirklich, wirklich umfangreich geplanten Projekt so
gravierende Sicherheitslücken so lange bestehen können. Das ist mir unverständlich.
Also du siehst mich auch fassungslos. Also es ist ja nicht so,
dass jetzt hier sehr ausgeklügelte und kaskadierte und mehrstufige Angriffsszenarien
nötig sind, um das zu knacken.
Also wenn man das hört, SQL Injections, das ist ja schon so alt wie der Rechner
selber, dass man so etwas macht. oder gefälschte IT-Support-Anrufe.
Es ist ein Wahnsinn.
Und ich bin da voll bei dir. Also die Eintrittswahrscheinlichkeit bei der Masse
an Daten und Akten, die da unterwegs ist, die ist jetzt nicht verschwindend gering.
Also da halten wir uns dann schon im hohen Bereich auf.
Und wenn ich mir die Risikomatrix mal vor Augen halte, nicht nur die Eintrittswahrscheinlichkeit
ist hoch, sondern auch die Schadensauswirkung ist mega hoch.
Also von daher, wir sind schon im Risikoquadranten ganz weit rechts oben.
Ja, ich verstehe es wirklich nicht. Also das ist eine Herausforderung, es ist keine Frage.
Also wie gesagt, die heterogenen Strukturen bei Ärzten, Krankenhäusern,
Heilpraktikern, wer auch immer, Apotheken, wer da alles mitspielt am Ende,
ist bestimmt nicht einfach.
Und wir haben auch, wie gesagt, sehr unterschiedliche Qualifikationen bei so
Arztpraxen bis hin zu sehr unterschiedlichen technischen Voraussetzungen.
Aber das ist ja jetzt auch keine Garagenbude, die halt irgendwie mit einem Budget
von 3,50 Euro machen muss. Und das ist das, was mich so entsetzt.
Und auch gerade, weil es so eine heterogene Landschaft ist, muss sich doch alles
da dran setzen, dass es safe ist.
Richtig.
Ja, wir bleiben dabei. Wir bleiben beim Cars Computer Club.
Wir wechseln die Stadt. Wir gehen nach Wolfsburg und zwar zum Volkswagen-Konzern.
Dort hat der CCC Bewegungsdaten von
800.000 Elektroautos bei einem Tochterunternehmen festgestellt und zwar,
das ergab eine Recherche in Zusammenarbeit mit dem Spiegel auf Basis eines anonymen Hinweisgebers,
eine Überprüfung mit den Daten eines niedersächsischen Landtagsabgeordneten
und eines Bundestagsabgeordneten ergab, dass sie von der VW-Tochter Carriott stammt.
Die für die Softwareentwicklung des Autokonzerns zuständig ist.
Und zwar wurden da diese 800.000 Datensätze, Datasets von Elektroautos im Amazon-Cloud-Speicher gefunden.
Laut dem Nachrichtenmagazin Spiegel handelt es sich um mehrere Terabyte an Standortdaten
von Fahrzeugen der Marke VW, Seat, Audi und Skoda, die über die Volkswagen-App gesammelt wurden.
Mit verschiedenen Informationen über den Zustand des Fahrzeugs,
Standorten und so weiter.
Von diesen 800 waren 460.000 Fahrzeuge, waren die Daten so genau,
dass sie Rückschlüsse auf das Leben der Menschen hinter dem Steuer zuließen.
Bei VW- und SEAT-Modellen sind die Geodaten bis auf 10 cm genau.
Im Brisant hierbei ist, dass solche Daten auch mit den Fahrzeugnutzern verbunden werden konnten.
Was wäre mit solchen Daten möglich? Zum Beispiel für,
wenn wir mal so ein bisschen in die Geheimdienste-Welt gehen,
es wäre für Geheimdienste aus dem Ausland möglicherweise interessant auch zu
sehen, welches Auto täglich zwischen 8 und 17 Uhr im Umfeld von Gebäuden des
Bundesnachrichtendienstes parken.
Aber auch aus der Privatwirtschaft, wenn man das mal weiterspinnt,
Betrüger hätten wirklich ein sehr, sehr gutes Datenmaterial aus diesen Daten
glaubwürdige Phishing-Mails generieren zu können, in denen sie beispielsweise als Volkswagen,
als Zulieferer oder als Tochterfirma Kreditkarten, Daten und Zahlungsinformationen abfragen würden.
Die Daten konnten zwar ohne nennenswerten Aufwand eingesehen werden,
aber der CCC hat dann auch im Anschluss tatsächlich den VW-Konzern bzw.
Carriott gelobt. Carriott reagierte binnen weniger Stunden und versuchte erst
gar nicht die Sache kleinzureden, was für die Sicherheitsvorfälle zuständigen
Leute Anlass war, sich zu bedanken und um weitere Details gebeten hat.
Mittlerweile ist die Lücke auch gestopft.
Der CCC-Sprecher Neumann lobt, das Technische vom Team von Carriott hat zügig,
gründlich und verantwortungsbewusst reagiert.
Ich hoffe, dass das eine Datenpanne war, so aus der Rubrik, das war mir eine Lehre.
Welche Daten da zur Verfügung stehen, natürlich hat das Einfluss auf Angriffe,
wie zum Beispiel die beschriebenen Phishing-Adressen, aber auch auf Daten,
die während des Fahrens generiert werden.
Also ich glaube, die Datensicherheit und der Datenschutz in der Elektromobilität
bei den vernetzten Autos, da ist noch gehörig was zu tun.
Ich hoffe, das wird als Anlass genommen, sich da auch gründlicher dem Thema zu widmen.
800.000 Betroffene, das ist ja nicht wenig. Ich könnte mir vorstellen,
dass es nicht das letzte Mal ist, dass wir von dem Fall jetzt gehört haben.
Nehmen wir jetzt mal die BGH-Entscheidung zum Facebook-Scraping,
Kontrollverlust über die Daten.
Wenn man das jetzt hier mal mit 800.000 mal 100 Euro, wenn die jetzt alle klagen
würden, auf Schadensersatz, das sind ja auch schon mal 800 Millionen.
Wenn es noch ein kleines Bußgeld dazu gibt, das ist schon schnell bei einer Milliarde.
Mal sehen. Wir werden berichten.
Kommen wir zu unserer Rubrik Veröffentlichungen und Veranstaltungen,
die heute aber nur Veröffentlichungen heißt, weil wir keine Veranstaltungen haben.
Die internationale Arbeitsgruppe für Datenschutz in der Technologie,
auch bekannt als Berlin Group,
Berlin Group, ich weiß gar nicht, wie man das richtig ausspricht,
ist ja eine Berlin-Gruppe.
Klingt übrigens eh so ein bisschen dubios, finde ich. Also das klingt so,
als wenn die sich immer so ein bisschen im Untergrund treffen, oder?
Das hört sich nach Kapuzenpulli an.
Absolut, ja. Wahrscheinlich die Hälfte ist Hacker. Naja, auf jeden Fall,
die Berlin Group hat unter dem Vorsitz der BFD zwei neue Arbeitspapiere angenommen.
Eines zum sogenannten Large Language Models, LLMs und eines zum Thema Data Sharing.
Die internationalen Experten betonen in dem Papier zu den großen Sprachmodellen,
dass LLMs bei der Verarbeitung natürlicher Sprache zwar große Fortschritte zeigen,
sehen jedoch weiterhin komplexe Risiken für die Privatsphäre.
Kritische Punkte seien unter anderem die unkontrollierte Datensammlung,
algorithmische Verzerrungen und sie sehen natürlich auch die Gefahr von Desinformation.
Gemäß der Berlin Group ist die Kombination aus der technischen Analyse,
Risikoabschätzung, datenschutzrechtlichen Best Practices ist essentiell,
um LLMs verantwortungsvoll in der Praxis zu nutzen.
Im zweiten Papier zum Data Sharing fordert die Berlin Group eine stärkere Integration
von Privacy Enhancing Technologies,
wie man auch kurz PETs nennt, also hat nichts mit den Haustieren zu tun,
nicht Pets, sondern PETs, um sichere und effizientere Datenverarbeitung zu gewährleisten.
Wir verlinken die natürlich in den Shownotes, dann kann man sich die auch nochmal
in Ruhe angucken, wenn die Silvester-Show rum ist.
Ja, wir sind durch.
Wir sind durch, Lothar. So ist es. Dann haben wir doch, glaube ich,
einen guten Start ins neue Jahr hingelegt. Dir vielen Dank.
Danke dir, lieber Heiko.
Und euch wünschen wir natürlich jetzt auch neben dem gelungenen Start ins neue
Jahr ein schönes Wochenende.
Wir freuen uns in 2025 mit euch wieder regelmäßig hier auf die Datenschutz-News
zurückblicken zu dürfen, die so in der Woche passiert sind.
Hier bei der MikroSense versuchen wir das einmal einen Blick zu behalten für
uns und für euch. In diesem Sinne, bleibt uns gewogen und auf bald.
Bis bald.
Der Beitrag Fingerabdruck im Perso bleibt Pflicht – Datenschutz News KW 01/2025 erschien zuerst auf migosens.
View all episodes
By migosens - Datenschutz und Informationssicherheit mit Praxisnähe, Transparenz und KompetenzWas ist in der KW 01 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
Veröffentlichungen & Veranstaltungen
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/https://migosens.de/fingerabdruck-im-perso-bleibt-pflicht-datenschutz-news-kw-01-2025/
#TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge:
Sicherheitsforscher haben auf dem 38. Computer Chaos, Computer Club,
Congregation Center, nee.
Lady Wandsworth.
Ich fang nochmal an.
Ein frohes neues Jahr wünscht der Datenschutz-Talk, euer wöchentliches Datenschutz-Update.
Heute ist Freitag, der 3. Januar 2025. Unser Redaktionsschluss war um 10 Uhr.
Und mein Name ist Heiko Gossen.
Und mein Name ist Lothar Sumanowski.
Ein neues Jahr, neues Glück würde ich sagen.
Es ist das erste Mal, dass ich die Jahreszahl, glaube ich, nicht nur im Podcast
ausspreche, sondern irgendwie überhaupt offiziell mal ausspreche. Deswegen 25.
2025. Ja, tatsächlich. Hast du dir denn Vorsätze vorgenommen?
Ich habe mir Vorsätze vorgenommen. Ich weiß ja nicht, ob du schon reingehört hast.
In der Silvester-Show habe ich es schon verkündet, dass ich mir vorgenommen
habe, dieses Jahr wieder mehr Themenfolgen zu machen.
Ah, sehr gut.
Ja. Und wie sieht es bei dir aus?
Ich habe Vorsätze gefasst. Die halten alle noch. Also ich war tatsächlich gestern beim Sport.
Hervorragend.
Beim nächsten Podcast werde ich berichten, ob sie immer noch halten.
Aber ich bin guter Dinge. Ja, also ich habe auch richtig Lust auf das neue Jahr.
Es war sehr ereignisreich, auch für uns bei der Migosens. Es war mit einigen
Herausforderungen aber ein schönes Jahr.
Und ja, wir können frohen Mutes in das neue starten. Ich habe da richtig Lust zu.
So tun wir das. Vielleicht der eine oder andere hat ja auch schon mit unserer
Silvester-Show reingestartet.
Wir hoffen das natürlich sehr. Ansonsten sei an der Stelle nochmal der Hinweis
erlaubt, dass wir die ja veröffentlicht haben, letzte Woche Freitag, den 27. und…
Nicht nur als Audioformat, sondern es gibt es auch als Video.
Ich habe auch gesehen, es gibt da auch schon sehr, sehr, sehr zahlreiche Zugriffe drauf.
Das freut uns natürlich sehr, wenn viele reinhören. Und was mich sehr gefreut
hat, es gibt auch schon zwei Kommentare auf unserer Webseite.
Frank T. Passer hatte kommentiert, auch mit einem Vorschlag für neue Themenfolgen
zum Thema NIST 2, was wir gerne aufnehmen. Vielen Dank dafür.
Aber auch Ansgar Jans hatte uns ein paar nette Worte dagelassen.
Auch dafür ganz, ganz herzlichen Dank.
Ich würde mich gerne einreihen. Also ich habe die Themenfolge,
die Silvester-Show auch gehört, sehr gut geworden. Herzlichen Glückwunsch dazu.
Vielen Dank. Damit können wir einsteigen, Lothar, in die Themen für heute.
Es ist ja auch über den Jahreswechsel ein bisschen was passiert.
Wir hatten ja jetzt im Prinzip zwei Wochen über die Feiertage,
die wir betrachtet haben. Von daher, was hast du mitgebracht?
Ich habe insgesamt drei Themen mitgebracht. Starten möchte ich gerne mit der
Einwilligungsverordnung, die wir kurz vor Weihnachten und kurz vor dem Jahreswechsel gesehen haben.
Es geht dann weiter über ein Bußgeld gegen OpenAI in Italien.
Und abschließend würde ich das Thema zum Volkswagen-Konzern und eine Datenpanne,
die wir in der Elektromobilität gesehen haben.
Wunderbar. Ich schaue einmal auf die Entscheidung des Verwaltungsgerichts Wiesbaden
zum Fingerabdruck im Personalausweis.
Dann hätte ich ein Update zum Thema elektronische Patientenakte und erhebliche
Sicherheitsmängel, die dort bestehen. Und last but not least eine Veröffentlichung,
die wir hier auch kurz erläutern möchten.
Sehr gut. Starten wir mit der Einwilligungsverordnung. Einige Stellen berichten
über die vom Bundesrat zugestimmte Einwilligungsverordnung.
Ja, unter anderem die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit BFDI, aber auch HEISE.
Damit ist nach § 26 Absatz 2 des Gesetzes über den Datenschutz bei Telekommunikationsdiensten
der rechtliche Rahmen für ein alternatives Einwilligungsverfahren zu Cookie-Bannern
geschaffen worden. Kurz nochmal zur Einordnung.
Artikel 25 im T3DG normiert die Einwilligungsmaßnahmen zum Schutz der Privatsphäre
in Endeinrichtungen und Artikel 26 öffnet die Möglichkeit zur Anerkennung der
dazugehörigen Dienste durch unabhängige Stellen.
Das ist nun mit der Zustimmung des Bundesrates vom 20.12.
Vollzogen worden und die Inkraftsetzung der Verordnung ist mit dem 1.4.
Diesen Jahres festgelegt und je nach ist die Anerkennung neuer Dienste für das
Einwilligungsmanagement durch den Bundesbeauftragten für den Datenschutz und
die Informationsfreiheit geregelt.
Neue Einwilligungsverordnung richtet sich nicht an die Endnutzer,
sondern an die Anbieter, die Dienste für ein zentrales Einwilligungsmanagement
entwickeln und zur Verfügung stellen.
Diese Dienste sollen es den Endnutzern ermöglichen, ihre Einstellungen und Präferenzen
für Cookies und andere Technologien transparent festzulegen und jederzeit ändern und anpassen zu können.
Die Betreiber von Webangeboten fragen dann den individuellen Einwilligungspräferenzen
ihrer Endnutzer bei diesen Diensten ab und setzen diese dann entsprechend um.
Und damit entfällt natürlich die Notwendigkeit, einen Cookie-Banner einzublenden
und ein eigenständiges Einwilligungsmanagement durchzuführen.
Aber laut dieser Verordnung ist es den Betreibern der Webangebote jedoch weiterhin
frei und offen, dieses anzuwenden oder nicht doch die herkömmlichen Cookie-Banner.
Es besteht keine Verpflichtung für die Einwilligungsdienste, diese zu nutzen.
Und im Ergebnis sollen die Dienste also nicht in die Lage versetzt werden,
nutzerfreundliche und wettbewerbskonforme Verfahren zur Verwaltung der nach
dem T3DG erforderlichen Einwilligung von Endnutzern anzubieten.
Die Wirksamkeit der Neuregelung der Einwilligungsverordnung soll innerhalb von
zwei Jahren evaluiert werden.
Dann soll geprüft werden, ob die Regelung und die damit verbundenen Sicherheitsmaßnahmen
ausreichen, um einen positiven Effekt für die Nutzerinnen und Nutzer zu erzielen.
Auch soll geprüft werden, ob sich die Anzahl der Cookie-Banner reduziert hat
und ob diese nutzerfreundlich sind.
Also bis hierhin hört sich das sehr, sehr gut an, dass man da auch der Vielzahl
von Cookie-Bannern, auch der teilweise komplexen Cookie-Banner,
so gestalten möchte, dass es nutzerfreundlicher und transparenter ist.
Aber wenn man mal in die Details sieht, dann sieht man schon einige Dinge,
die skeptisch werden lassen.
Es gibt auch schon Stimmen aus den Reihen der Datenschutzaufsichtsbehörden,
unter anderem der LFD aus Niedersachsen.
Dennis Lehmkämper sieht skeptisch, denn auf der einen Seite erkennt er an,
dass der Gesetzgeber den ursprünglichen Entwurf nach der Stellungnahme der DSK
an einigen Stellen verbessert und auch deutlich präzisiert hat.
Und dass es jetzt klargestellt ist, dass Webseitenbetreiber für die Einhaltung
der datenschutzrechtlichen Anforderungen verantwortlich sind,
aber, und das hatten wir auch gerade gehört, ist die Nutzung dieses Verfahrens optional.
Es ist freigestellt, zugelassene Services zu nutzen und demnach wäre es erwartbar, laut dem LFD,
dass die einschlägigen und etablierten Cookie-Banner weiterhin genutzt werden.
Und darüber hinaus sieht der LFD in diesem Verfahren einige Lücken,
da die einschlägigen Normen der DSGVO nicht berücksichtigt sind,
sondern nur die des T3DG.
Naja, und die Welt der einwilligungspflichtigen Techniken sind aus Datenschutzsicht
tatsächlich noch ein wenig variantenreicher als die aus Artikel 25 T3DG.
Lehm Kemper geht daher davon aus, dass sich die bisherige Praxis im Umgang mit
Einwilligung auf Webseiten leider wenig ändern wird.
Und seiner Meinung nach wäre es leichter zu lösen gewesen, dass Webseitenbetreiber
ihr Angebot konsequent datenschutzfreundlicher gestalten, indem etwa auf Drittdienste
und Cookies verzichtet,
wird insbesondere auf für ausuferndes und für den Nutzer nicht vorhersehbares digitales Marketing.
Also ich finde ja erstmal den Ansatz, dass man drüber nachdenkt und versucht
Alternativen zu den Cookie-Bannern zu finden oder die Menge der Cookie-Banner
zu reduzieren grundsätzlich sehr lobenswert.
Ich glaube aber, dass man hier auf nationaler Ebene da auch sehr limitiert ist,
weil wir halt natürlich durch das EU-Recht da auch nicht so ganz freie Gestaltungsräume
haben und natürlich auch die DSGVO hier an der Stelle an bestimmte Grenzen setzt.
Deswegen kann ich schon verstehen, dass man sich hier auf die T3DG konzentriert hat.
Ich fürchte aber tatsächlich durch diese Freiwilligkeit und letztendlich halt
auch das, so habe ich das zumindest verstanden, auch, dass man das für jede
Webseite neu machen muss.
Also es nutzt halt nichts, wenn ich irgendwo in Google Analytics zum Beispiel
eingewilligt habe oder widersprochen habe, dann kommt auf der nächsten Webseite
die Abfrage trotzdem wieder.
Also ich glaube auch, die Chancen, dass wir damit den Durchbruch erlangen, wird eher gering sein.
Das sehe ich auch so. Gerade auch diese Freiwilligkeit. Ich glaube,
dass da die Betreiber schon sehr abwartend sind, was wie die weitere Entwicklung in dem Bereich ist.
Und es ist zu befürchten, dass es eher noch komplizierter wird und auch für
den Nutzer aus Nutzersicht, dass das Ganze intransparenter wird.
Machen wir weiter. Das Verwaltungsgericht Wiesbaden hat entschieden,
dass Personalausweise ohne Fingerabdrücke nicht ausgestellt werden müssen und
es kein Recht darauf gibt.
Ein Kläger hatte argumentiert, dass die Fingerabdrücke im Personalausweis seine
Grundrechte verletzen und jetzt unterlag er trotzdem vor Gericht.
Er hatte unter anderem damit argumentiert, die Speicherpflicht verletze seine
europäischen Grundrechte auf Schutz des Privatlebens, also Artikel 7 der Grundrechtscharta
und auf den Schutz personenbezogenen Daten nach Artikel 8 der Grundrechtscharta.
Das Verwaltungsgericht hat jetzt aber entschieden, dass die Fingerabdrücke bleiben
und dass halt diese Entscheidung auch beruhend auf der Europäischen Verordnung aus 2019-1157,
die halt die Fingerabdrücke in den Ausweisen vorschreibt, rechtmäßig ist.
Also nicht die Verordnung, aber das Erheben der Fingerabdrücke.
Ja, Hintergrund ist, der Europäische Gerichtshof hatte ja zuvor zwar in den
Vorlagefragen, die das Verwaltungsgericht Wiesbaden ihm vorgelegt hatte, festgestellt,
dass diese Verordnung nicht gültig ist oder zumindest nicht rechtskonform ist,
weil es halt Verfahrensfehler bei der Erstellung der Verordnung gab,
hat sie aber vorerst weiterhin für gültig erklärt.
Da hatten wir hier auch in der KW 12 letzten Jahres bereits darüber berichtet.
Laut EuGH und dem Verwaltungsgericht verstößt die Speicherung der Fingerabdrücke
aber nicht gegen den Grundsatz der Verhältnismäßigkeit oder die Grundrechte.
Und deswegen ist das Verwaltungsgericht Wiesbaden auch zu dem entsprechenden Ergebnis gekommen.
Das Urteil des Verwaltungsgerichts Wiesbaden ist allerdings noch nicht rechtskräftig.
Der Kläger kann noch Berufung einlegen.
Seit August 21 ist ja die Speicherung eines Fingerabdrucks im Personalausweis verpflichtend.
Die EU hat nun bis Ende nächsten Jahres, also Ende 2026 Zeit,
eine neue Rechtsgrundlage für die Fingerabdruckspeicherung zu schaffen.
Kommen wir zu unserer nächsten Meldung, die führt nach Italien.
Und zwar hat die italienische Datenschutzaufsichtsbehörde ein Bußgeld gegen
OpenAI verhängt, also der Hersteller und Anbieter von ChatGPT oder GPT als Modell.
Und zwar als Ergebnis einer Untersuchung, die am 20.
März 2023 begonnen hatte. Die Aufsichtsbehörde hatte auch zeitnah am 31.03.2023
per Pressemitteilung die Nutzung von ChatGPT gestoppt.
Nach Auffassung der Aufsichtsbehörde hat das US-amerikanische Unternehmen nicht
nur versäumt, die Behörde über die im März erledene Datenschutzverletzung zu informieren.
Es ging damals um die Veröffentlichung von Unterhaltungen von Chat-GPT-Nutzern
und Veröffentlichung von Zahlungsinformationen.
Sondern auch um personenbezogene Daten der Nutzer, die für das Training von
Chat-GPT verarbeitet werden, ohne zuvor eine geeignete Rechtsgrundlage ermittelt
zu haben und offensichtlich auch informiert haben.
Denn offiziell heißt es gegen den Grundsatz der transparent und damit verbundene
Informationspflichten gegenüber den Nutzern verstoßen. Um.
Darüber hinaus sah OpenAI keine Mechanismen zur Altersüberprüfung vor,
sodass die Gefahr bestand, dass Kinder unter 13 Jahren Antworten erhielten,
die ihrem Entwicklungsstand und ihrem Selbstverständnis nicht angemessen waren.
Um insbesondere eine wirksame Transparenz bei der Weiterverarbeitung personenbezogener
Daten zu gewährleisten, wies darüber hinaus die Behörde OpenAI an,
eine sechsmonatige Kommunikationskampagne durchzuführen in Radio,
Fernsehen, Zeitung und im Internet.
Der Inhalt sollte mit der Behörde abgestimmt sein und das Verständnis und Bewusstsein
der Öffentlichkeit für die Funktionsweise von ChatGPT im Besonderen zu fördern,
insbesondere für die Sammlung von Daten und Nutzern und Nichtnutzern für das
Training der generativen künstlichen Intelligenz und für die Rechte,
die von den betroffenen Personen ausgeübt werden können,
einschließlich der Recht auf Widerspruch, Berichtigung und Löschung.
Die Aufsichtsbehörde verhängte daher ein Bußgeld in Höhe von 15 Millionen Euro,
die auch unter Berücksichtigung des kooperativen Verhaltens des Unternehmens berechnet wurden.
Da das Unternehmen im Laufe der Untersuchung seine europäische Hauptniederlassung
in Irland errichtete, leitete die Aufsichtsbehörde das Verfahren an die irische
Datenschutzbehörde DPC weiter, die gemäß der DSGVO zur federführenden Aufsichtsbehörde wurde.
OpenAI will allerdings das Bußgeld nicht akzeptieren und hat auch den Bescheid
nicht akzeptiert, aber trotzdem, da sieht
man schon, dass sich auch die Aufsichtsbehörden sich ganz stark mit KI,
mit Artificial Intelligence auseinandersetzen und auch die Anforderungen und
Auflagen sehr, sehr ernst nehmen.
Ja, das kennen wir ja mittlerweile doch zu Genüge, dass die großen amerikanischen
Unternehmen immer erstmal von irgendeinem europäischen Aufsichtsbehörde abgewatscht werden müssen,
damit sie dann entsprechend nachbessern und das Ganze sich dann so langsam auch
in datenschutzkonforme Lösungen entwickelt.
Sicherheitsforscher haben auf dem 38. CCC gravierende Schwachstellen in der EPA 3.0 nachgewiesen.
Jahreswechsel bedeutet hier auch, der Chaos Computer Club lädt wieder zu seinem
alljährlichen Kongress ein.
Und dieses Mal entdeckten Martin Tschirsich und Bianca Kassel gravierende Sicherheitslücken
in der elektronischen Patientenakte 3.0 auf.
Trotz der Behauptungen der Verantwortlichen, die EPA sei sicher,
konnten diese beiden Experten nachweisen, dass Angriffe auf die neue Version
einfach durchführbar sind.
Beispielsweise umfassten diese unkontrollierte Ausgabe von Gesundheitskarten,
Angriffe durch SQL-Injection oder aber auch gefälschten IT-Support,
die auch unter anderem durch Beschaffung von entsprechenden Lesegeräten den
Zugriff ohne PIN ermöglichten.
Kritisch ist, dass viele dieser Schwachstellen auch schon seit Jahren bekannt
sind und Zugriffe auf so ziemlich alle Gesundheitsakten damit möglich sind.
Die Gematik, die das Ganze entwickelt, reagierte laut Heise mit der Aussage,
dass Angriffe in der Praxis nicht sehr wahrscheinlich seien,
arbeitet jedoch laut eigenen Angaben bereits an technischen Lösungen in Zusammenarbeit
mit den Sicherheitsbehörden.
Der Start der EPA 3.0 ist ja vorher auf die Modellregion beschränkt.
Sie soll später aber automatisch für alle Bürger kommen, die der Erstellung
der EPA nicht widersprechen.
Würde auch der Gematik dahingehend entgegenhalten, dass wenn man mit einer Sicherheitslücke
auf alle Gesundheitsakten von Bundesbürgern zugreifen kann,
dass das schon sehr wahrscheinlich ist, dass die jemand ausnutzen wird und dass
das nicht irgendwie nur eine theoretische Lücke ist.
Also von daher bin ich mal wieder ein wenig entsetzt darüber, wie bei so einem großen,
teuren, langfristig und wirklich, wirklich umfangreich geplanten Projekt so
gravierende Sicherheitslücken so lange bestehen können. Das ist mir unverständlich.
Also du siehst mich auch fassungslos. Also es ist ja nicht so,
dass jetzt hier sehr ausgeklügelte und kaskadierte und mehrstufige Angriffsszenarien
nötig sind, um das zu knacken.
Also wenn man das hört, SQL Injections, das ist ja schon so alt wie der Rechner
selber, dass man so etwas macht. oder gefälschte IT-Support-Anrufe.
Es ist ein Wahnsinn.
Und ich bin da voll bei dir. Also die Eintrittswahrscheinlichkeit bei der Masse
an Daten und Akten, die da unterwegs ist, die ist jetzt nicht verschwindend gering.
Also da halten wir uns dann schon im hohen Bereich auf.
Und wenn ich mir die Risikomatrix mal vor Augen halte, nicht nur die Eintrittswahrscheinlichkeit
ist hoch, sondern auch die Schadensauswirkung ist mega hoch.
Also von daher, wir sind schon im Risikoquadranten ganz weit rechts oben.
Ja, ich verstehe es wirklich nicht. Also das ist eine Herausforderung, es ist keine Frage.
Also wie gesagt, die heterogenen Strukturen bei Ärzten, Krankenhäusern,
Heilpraktikern, wer auch immer, Apotheken, wer da alles mitspielt am Ende,
ist bestimmt nicht einfach.
Und wir haben auch, wie gesagt, sehr unterschiedliche Qualifikationen bei so
Arztpraxen bis hin zu sehr unterschiedlichen technischen Voraussetzungen.
Aber das ist ja jetzt auch keine Garagenbude, die halt irgendwie mit einem Budget
von 3,50 Euro machen muss. Und das ist das, was mich so entsetzt.
Und auch gerade, weil es so eine heterogene Landschaft ist, muss sich doch alles
da dran setzen, dass es safe ist.
Richtig.
Ja, wir bleiben dabei. Wir bleiben beim Cars Computer Club.
Wir wechseln die Stadt. Wir gehen nach Wolfsburg und zwar zum Volkswagen-Konzern.
Dort hat der CCC Bewegungsdaten von
800.000 Elektroautos bei einem Tochterunternehmen festgestellt und zwar,
das ergab eine Recherche in Zusammenarbeit mit dem Spiegel auf Basis eines anonymen Hinweisgebers,
eine Überprüfung mit den Daten eines niedersächsischen Landtagsabgeordneten
und eines Bundestagsabgeordneten ergab, dass sie von der VW-Tochter Carriott stammt.
Die für die Softwareentwicklung des Autokonzerns zuständig ist.
Und zwar wurden da diese 800.000 Datensätze, Datasets von Elektroautos im Amazon-Cloud-Speicher gefunden.
Laut dem Nachrichtenmagazin Spiegel handelt es sich um mehrere Terabyte an Standortdaten
von Fahrzeugen der Marke VW, Seat, Audi und Skoda, die über die Volkswagen-App gesammelt wurden.
Mit verschiedenen Informationen über den Zustand des Fahrzeugs,
Standorten und so weiter.
Von diesen 800 waren 460.000 Fahrzeuge, waren die Daten so genau,
dass sie Rückschlüsse auf das Leben der Menschen hinter dem Steuer zuließen.
Bei VW- und SEAT-Modellen sind die Geodaten bis auf 10 cm genau.
Im Brisant hierbei ist, dass solche Daten auch mit den Fahrzeugnutzern verbunden werden konnten.
Was wäre mit solchen Daten möglich? Zum Beispiel für,
wenn wir mal so ein bisschen in die Geheimdienste-Welt gehen,
es wäre für Geheimdienste aus dem Ausland möglicherweise interessant auch zu
sehen, welches Auto täglich zwischen 8 und 17 Uhr im Umfeld von Gebäuden des
Bundesnachrichtendienstes parken.
Aber auch aus der Privatwirtschaft, wenn man das mal weiterspinnt,
Betrüger hätten wirklich ein sehr, sehr gutes Datenmaterial aus diesen Daten
glaubwürdige Phishing-Mails generieren zu können, in denen sie beispielsweise als Volkswagen,
als Zulieferer oder als Tochterfirma Kreditkarten, Daten und Zahlungsinformationen abfragen würden.
Die Daten konnten zwar ohne nennenswerten Aufwand eingesehen werden,
aber der CCC hat dann auch im Anschluss tatsächlich den VW-Konzern bzw.
Carriott gelobt. Carriott reagierte binnen weniger Stunden und versuchte erst
gar nicht die Sache kleinzureden, was für die Sicherheitsvorfälle zuständigen
Leute Anlass war, sich zu bedanken und um weitere Details gebeten hat.
Mittlerweile ist die Lücke auch gestopft.
Der CCC-Sprecher Neumann lobt, das Technische vom Team von Carriott hat zügig,
gründlich und verantwortungsbewusst reagiert.
Ich hoffe, dass das eine Datenpanne war, so aus der Rubrik, das war mir eine Lehre.
Welche Daten da zur Verfügung stehen, natürlich hat das Einfluss auf Angriffe,
wie zum Beispiel die beschriebenen Phishing-Adressen, aber auch auf Daten,
die während des Fahrens generiert werden.
Also ich glaube, die Datensicherheit und der Datenschutz in der Elektromobilität
bei den vernetzten Autos, da ist noch gehörig was zu tun.
Ich hoffe, das wird als Anlass genommen, sich da auch gründlicher dem Thema zu widmen.
800.000 Betroffene, das ist ja nicht wenig. Ich könnte mir vorstellen,
dass es nicht das letzte Mal ist, dass wir von dem Fall jetzt gehört haben.
Nehmen wir jetzt mal die BGH-Entscheidung zum Facebook-Scraping,
Kontrollverlust über die Daten.
Wenn man das jetzt hier mal mit 800.000 mal 100 Euro, wenn die jetzt alle klagen
würden, auf Schadensersatz, das sind ja auch schon mal 800 Millionen.
Wenn es noch ein kleines Bußgeld dazu gibt, das ist schon schnell bei einer Milliarde.
Mal sehen. Wir werden berichten.
Kommen wir zu unserer Rubrik Veröffentlichungen und Veranstaltungen,
die heute aber nur Veröffentlichungen heißt, weil wir keine Veranstaltungen haben.
Die internationale Arbeitsgruppe für Datenschutz in der Technologie,
auch bekannt als Berlin Group,
Berlin Group, ich weiß gar nicht, wie man das richtig ausspricht,
ist ja eine Berlin-Gruppe.
Klingt übrigens eh so ein bisschen dubios, finde ich. Also das klingt so,
als wenn die sich immer so ein bisschen im Untergrund treffen, oder?
Das hört sich nach Kapuzenpulli an.
Absolut, ja. Wahrscheinlich die Hälfte ist Hacker. Naja, auf jeden Fall,
die Berlin Group hat unter dem Vorsitz der BFD zwei neue Arbeitspapiere angenommen.
Eines zum sogenannten Large Language Models, LLMs und eines zum Thema Data Sharing.
Die internationalen Experten betonen in dem Papier zu den großen Sprachmodellen,
dass LLMs bei der Verarbeitung natürlicher Sprache zwar große Fortschritte zeigen,
sehen jedoch weiterhin komplexe Risiken für die Privatsphäre.
Kritische Punkte seien unter anderem die unkontrollierte Datensammlung,
algorithmische Verzerrungen und sie sehen natürlich auch die Gefahr von Desinformation.
Gemäß der Berlin Group ist die Kombination aus der technischen Analyse,
Risikoabschätzung, datenschutzrechtlichen Best Practices ist essentiell,
um LLMs verantwortungsvoll in der Praxis zu nutzen.
Im zweiten Papier zum Data Sharing fordert die Berlin Group eine stärkere Integration
von Privacy Enhancing Technologies,
wie man auch kurz PETs nennt, also hat nichts mit den Haustieren zu tun,
nicht Pets, sondern PETs, um sichere und effizientere Datenverarbeitung zu gewährleisten.
Wir verlinken die natürlich in den Shownotes, dann kann man sich die auch nochmal
in Ruhe angucken, wenn die Silvester-Show rum ist.
Ja, wir sind durch.
Wir sind durch, Lothar. So ist es. Dann haben wir doch, glaube ich,
einen guten Start ins neue Jahr hingelegt. Dir vielen Dank.
Danke dir, lieber Heiko.
Und euch wünschen wir natürlich jetzt auch neben dem gelungenen Start ins neue
Jahr ein schönes Wochenende.
Wir freuen uns in 2025 mit euch wieder regelmäßig hier auf die Datenschutz-News
zurückblicken zu dürfen, die so in der Woche passiert sind.
Hier bei der MikroSense versuchen wir das einmal einen Blick zu behalten für
uns und für euch. In diesem Sinne, bleibt uns gewogen und auf bald.
Bis bald.
Der Beitrag Fingerabdruck im Perso bleibt Pflicht – Datenschutz News KW 01/2025 erschien zuerst auf migosens.
More shows like Der Datenschutz Talk
View all
Computer und Kommunikation
10 Listeners
IQ - Wissenschaft und Forschung
51 Listeners
c’t uplink - der IT-Podcast aus Nerdistan
8 Listeners
Dr. Datenschutz Podcast
0 Listeners
Datenschutz PRAXIS - Der Podcast
0 Listeners
Auslegungssache – der c't-Datenschutz-Podcast
1 Listeners
kurz informiert by heise online
1 Listeners
Datenfreiheit!
0 Listeners
F.A.Z. Künstliche Intelligenz
0 Listeners
11KM: der tagesschau-Podcast
26 Listeners
Dark Matters – Geheimnisse der Geheimdienste
19 Listeners
KI-Update – ein heise-Podcast
4 Listeners
Der KI-Podcast
6 Listeners
15 Minuten. Der tagesschau-Podcast am Morgen
9 Listeners
Passwort - der Podcast von heise security
3 Listeners