Wir starten in das Jahr 2024 mit einer weiteren Ausgabe von Privacy Monthly - und dieses Mal steht Google im Mittelpunkt. Der Silicon-Valley-Gigant hat ein großes Kartellverfahren wegen seines Play Stores verloren, musste eine Datenschutz-Sammelklage wegen des Inkognito-Modus von Chrome beilegen und muss sich mit einer großen (und noch ungepatchten) Sicherheitslücke in seinem weit verbreiteten OAuth-Autorisierungssystem auseinandersetzen. Neben Google steht die EU kurz vor der Verabschiedung des KI-Gesetzes, Meta verschlüsselt (endlich) Messenger-Chats und vieles mehr!
- Großer Ärger für Google
- KI-Gesetz fast fertiggestellt
- Messenger jetzt standardmäßig verschlüsselt
- Kongress verlängert vorübergehend FISA 702
- EDPB erörtert Pay-or-ok-Ansatz zum Datenschutz
- Wegweisende EuGH-Urteile zur Kreditwürdigkeitsprüfung
- X unter DSA-Untersuchung
- Noyb fordert X wegen politischer Werbung heraus
- Morgan Stanley erreicht Vergleich wegen peinlicher Datenpanne
Großer Ärger für Google
Im Dezember hat Google eine Sammelklage wegen des Trackings im Inkognito-Modus beigelegt. Die Klage forderte ** 5 Milliarden Dollar** Schadenersatz, aber die Höhe des Vergleichs wurde nicht bekannt gegeben. Wir haben hier mehr über Googles Incognito-Modus-Fehler geschrieben.
In der Zwischenzeit verhängte die isländische Datenschutzbehörde gegen mehrere Gemeinden Geldstrafen für die Nutzung von Google Workspace und anderen Google Cloud-Diensten in Schulen. Google selbst war zwar nicht für die Verstöße verantwortlich, aber die Entscheidung deutet darauf hin, dass einige seiner Dienste zu sehr in die Privatsphäre eingreifen, wenn sie im Bildungsbereich eingesetzt werden.
Eine weitere Nachricht, die nicht mit dem Datenschutz zusammenhängt, ist, dass Google einen großen Kartellrechtsprozess gegen Epic Games wegen des Google Play Store verloren hat. Sollte Google in der Berufung verlieren, könnte der Fall einen gefährlichen Präzedenzfall für Google schaffen und das lukrative Monopol des Play Store für den Vertrieb von Apps auf der Android-Plattform schwächen.
Als ob die rechtlichen Probleme nicht schon genug wären, hat ein Sicherheitsforscher kürzlich eine große Schwachstelle in Googles OAuth-Systemen aufgedeckt. Ein Versehen im E-Mail-Verknüpfungssystem für Google-Konten ermöglicht es ehemaligen Mitarbeitern, auch nach der Deaktivierung ihres Google-Firmenkontos weiterhin Zugang zu den Dienstanbietern ihres Unternehmens zu erhalten. Durch diese Schwachstelle könnten sowohl persönliche Daten als auch unschätzbare Geschäftsinformationen, einschließlich Geschäftsgeheimnisse, abgegriffen werden.
Der Forscher informierte Google im August und ging mit den Details erst an die Öffentlichkeit, nachdem Google die Schwachstelle nicht behoben hatte. Große Dienstanbieter wie Slack wurden frühzeitig über die Schwachstelle informiert, um die negativen Folgen der Enthüllung zu begrenzen. Bis heute hat Google diese Sicherheitslücke weder in seinem Blog erwähnt noch eine Behebung angekündigt.
KI-Gesetz fast fertiggestellt
Nach einem dreitägigen Verhandlungsmarathon haben die EU-Gesetzgeber eine vorläufige Einigung über das KI-Gesetz erzielt.
Die Einigung wurde durch gegenseitige Zugeständnisse zwischen dem Parlament und dem Rat ermöglicht: So stimmte das Parlament zu, enge Ausnahmen für den Einsatz biometrischer Echtzeit-Identifikation in der Strafverfolgung zuzulassen und im Gegenzug ein Verbot von Emotionserkennungstechnologie am Arbeitsplatz und in Schulen auszusprechen.
Das Gesetz wird wahrscheinlich bald fertiggestellt werden, da die EU-Gesetzgeber beabsichtigen, es vor der Wahl eines neuen Parlaments unter Dach und Fach zu bringen.
Messenger jetzt standardmäßig verschlüsselt
Meta kündigte an, dass es eine Ende-zu-Ende-Verschlüsselung für den Messenger einführen wird. Die Ende-zu-Ende-Verschlüsselung von Messenger verwendet das gleiche Signal-Protokoll wie WhatsApp.
Die Ende-zu-Ende-Verschlüsselung war bereits seit 2016 über die Benutzereinstellungen verfügbar, wird nun aber standardmäßig eingeführt. Besser spät als nie, nehme ich an.
Kongress verlängert vorübergehend FISA 702
Der US-Kongress hat den FISA-Abschnitt 702 um vier Monate verlängert und damit die vorgeschlagene und heftig diskutierte Reform des Gesetzes verschoben. Die vorgeschlagenen Reformen zielen darauf ab, das Reverse Targeting einzuschränken - eine Form der Überwachung ohne richterliche Anordnung, bei der einige der den US-Bürgern durch das Gesetz gewährten Schutzmaßnahmen umgangen werden.
Das FISA-Gesetz ist für das EU-Datenschutzrecht von großer Bedeutung. Da Abschnitt 702 eine umfassende Überwachung europäischer Daten ermöglicht, stellt er ein Risiko für den Datenschutz beim Datentransfer zwischen der EU und den USA dar. Eine Reform von Abschnitt 702 könnte erhebliche Auswirkungen auf Datenübermittlungen und die Zukunft des neuen Datenschutzrahmens zwischen der EU und den USA haben.
EDPB erörtert Pay-or-ok-Ansatz zum Datenschutz
Im Dezember erörterte der Europäische Datenschutzausschuss (d. h. das europäische Gremium, in dem alle Datenschutzbehörden des EWR zusammengeschlossen sind) den Pay-or-ok-Ansatz zum Schutz der Privatsphäre und seine Vereinbarkeit mit der Datenschutz-Grundverordnung. Der Ausschuss hat noch keine Dokumente zu diesem Thema veröffentlicht.
Pay-or-ok ist zwar keineswegs ein neues Thema, wurde aber zu einem heißen Eisen, nachdem Meta im Rahmen seiner neuen (und umstrittenen) Compliance-Strategie für gezielte Werbung begonnen hatte, kostenpflichtige, werbefreie Abonnements anzubieten. Das ist eine lange Geschichte, über die wir hier berichtet haben.
Wegweisende EuGH-Urteile zur Kreditwürdigkeitsprüfung
Der EU-Gerichtshof hat zwei Urteile zu Praktiken der Kreditwürdigkeitsprüfung gefällt. Angesichts der zunehmenden Verbreitung der Kreditwürdigkeitsprüfung könnten diese Urteile in Zukunft eine wichtige Rolle spielen.
Die wichtigste Erkenntnis ist, dass Personen, die von der Kreditwürdigkeitsprüfung betroffen sind, gemäß der Datenschutz-Grundverordnung besondere Rechte und Garantien genießen (insbesondere diejenigen, die für bestimmte Formen der automatisierten Entscheidungsfindung gemäß Artikel 22 vorgesehen sind). Der Gerichtshof entschied auch, dass eine Kreditbewertungsagentur Informationen über Insolvenzen nicht länger speichern darf als öffentliche Register.
X unter DSA-Untersuchung
Am 18. Dezember hat die Europäische Kommission damit begonnen, die Einhaltung des Gesetzes über digitale Dienste (Digital Services Act) durch X zu untersuchen - eine kürzlich erlassene Verordnung, die großen Online-Plattformen Pflichten zur Moderation von Inhalten auferlegt.
Dies ist nicht überraschend. X (damals noch unter dem Namen Twitter) hat den EU-Verhaltenskodex für Desinformation im Juni 2023 aufgegeben, kurz bevor das DSA in Kraft trat. Damit kehrte die Plattform freiwilligen Verpflichtungen den Rücken, die in wenigen Monaten zu rechtlichen Verpflichtungen werden sollten. Dieser verwirrende Schritt machte die Plattform zu einem offensichtlichen Ziel für die Durchsetzung des DSA und zog die Kritik der EU-Kommission auf sich.
Langer Rede kurzer Sinn: Die Untersuchung war zu erwarten, und X hat einen schlechten Start hingelegt.
Noyb fordert X wegen politischer Werbung heraus
Die Nichtregierungsorganisation noyb hat eine Beschwerde wegen gezielter politischer Werbung eingereicht, die von X im Auftrag der Europäischen Kommission durchgeführt wurde. Diese Beschwerde ist eine Folgemaßnahme zu einer anderen, kürzlich eingereichten Beschwerde gegen die Kommission selbst.
Noyb behauptet, dass einem niederländischen Bürger Anzeigen gezeigt wurden, die auf politikbezogenen Schlüsselwörtern basierten, einschließlich der Namen prominenter rechtsgerichteter Politiker. Die Organisation ist der Ansicht, dass diese Targeting-Strategie sowohl gegen die Datenschutz-Grundverordnung als auch gegen das Gesetz über digitale Dienste verstößt (und wir stimmen ihr zu).
Unterm Strich macht die** Kommission genau die Praktiken, die die EU zu verbieten versucht**. Dieser Fall ist für die Kommission ziemlich peinlich, egal wie er ausgeht.
Morgan Stanley erreicht Vergleich wegen peinlicher Datenpanne
Der Finanzriese Morgan Stanley hat einen Vergleich in Höhe von 6,5 Millionen Dollar wegen einer Datenschutzverletzung geschlossen. Die Klage wurde von einer Koalition aus mehreren Bundesstaaten angestrengt, nachdem das Unternehmen personenbezogene Daten kompromittiert hatte, indem es sie nicht von ausgemusterten Geräten löschte.
Morgan Stanley hatte die Stilllegung an ein Umzugsunternehmen ausgelagert, das keine IT-Kenntnisse hatte. Dies hatte zur Folge, dass Computer und Server des Unternehmens auf dem Markt verkauft wurden, auf denen noch Unternehmensdaten und personenbezogene Daten im Speicher des Geräts vorhanden waren - manchmal in unverschlüsselter Form.