ChatGPT, Gemini & Co. haben laut einer Umfrage des Digitalverbandes Bitkom in deutschen Unternehmen noch wenig Fuß gefasst.

Der Europäische Gerichtshof hat geurteilt, dass im Fall der unbefugten Offenlegung oder des Zugangs zu personenbezogenen Daten der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein kann.

Nach fünf Jahren im Einsatz bekommt die Datenschutzgrundverordnung (DSGVO) laut einer Umfrage des Digitalverbandes Bitkom von deutschen Unternehmen schlechte Noten.  Die DSGVO sei praxisfern und zu kompliziert, wird bemängelt.

Obwohl inzwischen zwei Drittel (65 Prozent) der Unternehmen die Regelungen vollständig oder größtenteils umgesetzt haben, sind die Herausforderungen nach wie vor groß, teilt der Bitkom mit. Beklagt werde in der repräsentativen Umfrage unter 503 Unternehmen ab 20 Beschäftigten in Deutschland vor allem, dass die DSGVO Geschäftsprozesse komplizierter mache (78 Prozent) und zu praxisfern sei (77 Prozent). 56 Prozent berichten, dass durch die DSGVO die Entwicklung neuer Produkte und Dienstleistungen verzögert werde und rund die Hälfte (48 Prozent) stelle fest, dass Innovationen aus anderen Regionen wegen der DSGVO in der EU nicht genutzt werden könnten.

Zugleich heben die Unternehmen in der Fünf-Jahres-Rückschau auch Vorteile der Datenschutzregeln hervor: Die Datensicherheit im Unternehmen habe sich verbessert und die DSGVO setze weltweit Maßstäbe (jeweils 61 Prozent), zudem sei das Vertrauen in digitale Prozesse gestärkt worden (51 Prozent) und die Wettbewerbsbedingungen in der EU seien nun einheitlicher (45 Prozent). 12 Prozent meinen, dass die DSGVO verschärft werden solle, um Bürgerinnen und Bürger besser zu schützen.

Jedes zweite Unternehmen (50 Prozent) hat seit der DSGVO-Einführung höheren Aufwand für den Datenschutz und geht davon aus, dass dies auch so bleiben wird (2022: 47 Prozent). Jedes Dritte (33 Prozent) hat einen höheren Aufwand und erwartet, dass dieser weiter zunehmen wird (2022: 30 Prozent). 86 Prozent der Datenschutz-Verantwortlichen in den Unternehmen schaffen es kaum, allen aktuellen Entwicklungen beim Datenschutz in der Rechtsprechung zu folgen (2022: 81 Prozent). Drei Viertel (74 Prozent, 2022: 64 Prozent) stellen fest, dass Datenschutz in Deutschland so kompliziert geworden ist, dass es ihnen schwerfällt, Mitarbeiter über Datenschutz aufzuklären.

Eine deutliche Mehrheit von 7 von 10 Unternehmen (69 Prozent) sieht in der DSGVO einen Nachteil im internationalen Wettbewerb gegenüber anderen Unternehmen, die nicht der DSGVO unterliegen.

Der Beitrag Schlechte Noten für DSGVO erschien zuerst auf Linux-Magazin.

Der gemeinsame Ausschuss der deutschen Bundesdatenschutzbehörde kommt nach 2 Jahren Verhandlungen zu dem Schluss, MS365 sei derzeit für den Schulbetrieb in Deutschland ungeeignet.

Quelle

Die irische Datenschutzbehörde Data Protection Commission (DPC) hat wegen Verstößen gegen den Datenschutz eine Strafe in Höhe von 256 Millionen Euro gegen den Facebook-Mutterkonzern Meta verhängt.

Wie die DPC mitteilt, Die Datenschutzkommission (DPC) hat sie eine Untersuchung gegen Meta Platforms Ireland Limited (MPIL), den für die Datenverarbeitung Verantwortlichen des sozialen Netzwerks “Facebook” abgeschlossen und die Strafe verhängt. Die Datenschützer sehen es als erwiesen an, dass Meta sich zu wenig um den Schutz der Daten seiner Kunden gekümmert hat. Nachdem bereits im Jahr 2018 Nutzerdaten über eine API abgegeriffen werden konnten, waren 2019 millionenfach Datensätze von Nutzern im Internet zum Verkauf angeboten worden. Dass im Jahr 2021 erneut Nutzerdaten im Web veröffentlicht wurden, hat die Data Protection Commission auf den Plan gerufen.

Deren Untersuchung betraf eine Prüfung und Bewertung der Tools Facebook Search, Facebook Messenger Contact Importer und Instagram Contact Importer in Bezug auf die von Meta Platforms Ireland Limited im Zeitraum zwischen dem 25. Mai 2018 und September 2019 durchgeführte Verarbeitung. Die wesentlichen Punkte in dieser Untersuchung betrafen laut DPC Fragen der Einhaltung der DSGVO-Verpflichtung zum Datenschutz durch Design und Standard. Der Datenschutzbeauftragte habe die Umsetzung der technischen und organisatorischen Maßnahmen gemäß Artikel 25 DSGVO geprüft, der sich mit diesem Konzept befasse, heißt es weiter.

In der jetzt veröffentlichten Entscheidung wird ein Verstoß gegen Artikel 25 Absätze 1 und 2 der Datenschutzgrundverordnung festgestellt, teilt die DPC mit. Der Beschluss enthalte eine Rüge und eine Anordnung, wonach Meta innerhalb einer bestimmten Frist Abhilfemaßnahmen ergreifen muss, um die Verarbeitung in Einklang zu bringen. Darüber hinaus wurden in der Entscheidung Geldbußen in Höhe von insgesamt 265 Millionen Euro gegen MPIL verhängt, heißt es weiter.

Der Beitrag Irland verhängt Millionen-Strafe gegen Meta erschien zuerst auf Linux-Magazin.

Eine Entscheidung im Sinne des Datenschutzes traf kürzlich die Vergabekammer Baden-Württemberg in einem aktuellen Verfahren.

Quelle

Nach Ansicht der Vergabekammer Baden-Württemberg ist das Übermitteln von personenbezogenen Daten an europäische Tochterunternehmen von US-Konzernen unzulässig – selbst dann, wenn der Server in Europa steht.

Nach dem Wegfall des sogenannten Privacy-Shields-Abkommen ist es aufgrund der strengen europäischen Datenschutzbedingungen unzulässig, personenbezogene Daten an einen Dienst in den USA zu übermitteln. Eine Nutzung von Cloud-Diensten in den USA ist damit zumindest nur erschwert möglich.

Einige US-Konzerne besitzen jedoch europäische Tochterunternehmen, die ihrerseits Server in der EU betreiben. Eine Übermittlung von personenbezogenen Daten an solche Tochtergesellschaften ist ebenfalls unzulässig. Zu diesem Schluss kommt zumindest die Vergabekammer Baden-Württemberg. Ihrer Ansicht nach reicht es aus, dass der US-amerikanischen Mutterkonzern auf die personenbezogenen Daten zugreifen könnte. Dies alleine wäre bereits eine „Weitergabe“ von personenbezogenen Daten im Sinn der DSGVO und somit unter dem Strich unzulässig.

Die Entscheidung der Vergabekammer Baden-Württemberg ist allerdings noch nicht bestandskräftig. Die Vergabekammer prüft, ob öffentliche Einrichtung gegen das Vergaberecht verstoßen hatte. Die jetzige Entscheidung hatte die Kanzlei Gruendelpartner erwirkt.

Der Beitrag Vergabekammer BW: Keine Personenbezogene Daten an US-Tochterfirmen erschien zuerst auf Linux-Magazin.

Nach Ansicht der Vergabekammer Baden-Württemberg ist [...]

Der Beitrag Personenbezogene Daten dürfen nicht an US-Tochterunternehmen übermittelt werden erschien zuerst auf LinuxCommunity.

Der Verbraucherzentrale Bundesverband (vzbv) hat beim Landgericht Berlin Klage gegen Tesla wegen möglicher Verstöße gegen die Datenschutzgrundverordnung erhoben. Der vzbv wirft dem Autokonzern Kunden nicht darüber zu informieren, dass sie bei der Nutzung der Funktion des sogenannten Wächter-Modus zur Einhaltung der Vorschriften der Datenschutzgrundverordnung verpflichtet sind.

 Bei Verstößen gegen diese Vorschriften würden Kunden ein Bußgeld riskieren, teilen die Verbraucherschützer mit. Mit dem Wächter-Modus werde die Umgebung des Fahrzeugs kontinuierlich durch Kameras überwacht.

Werde der Wächter-Modus bei geparkten Autos aktiviert, zeichneten mehrere am Fahrzeug angebrachte Kameras die Umgebung permanent auf und damit in der Regel auch unbeteiligte Passanten. In einigen Fällen werde die Aufnahme im Fahrzeug gespeichert. Damit handelt es sich um die Verarbeitung personenbezogener Daten, die der Datenschutzgrundverordnung unterliegen würden, so der vzbv Zudem sei die anlasslose Aufzeichnung des Geschehens im Fahrzeugumfeld unzulässig. Eine rechtskonforme Nutzung der Funktion des Wächter-Modus im öffentlichen Raum ist nach Ansicht des vzbv damit nicht möglich.

Der Beitrag Datenschutzverstoß: Verbraucherzentrale verklagt Tesla erschien zuerst auf Linux-Magazin.

Noch bevor Nutzer ein Formular auf mancher Webseite abgeschickt haben, landen E-Mail-Adresse oder Passwort bei Trackingdiensten.

Formulare sind im Web allgegenwärtig. Doch bevor die Nutzer auf Senden geklickt haben, werden die Eingaben in einigen Fällen bereits mit Trackingdiensten von Drittanbietern geteilt. Das hat eine Studie der Universitäten Leuven (Belgien), Radboud (Niederlande) und Lausanne (Schweiz) herausgefunden.

Untersucht wurden die 100.000 beliebtesten Webseiten. In drei Prozent der Fälle wurden die Daten bereits vor einem Klick auf den Sendebutton mit anderen Dienste geteilt. Zuerst berichtete das Onlinemagazin Bleepingcomputer.

Demnach verwenden etliche von den Webseitenbetreibern integrierte Trackingdienste Skripte, die in einem Formular Tastenanschläge registrieren und den Inhalt speichern beziehungsweise übermitteln. Dabei werden auch persönliche Daten wie E-Mail-Adressen, Nutzernamen, Passwörter oder sogar Nachrichten, die die Nutzer verschicken wollten oder verschickt haben, an die Trackingdienste übermittelt. Die Nutzer dürften jedoch üblicherweise davon ausgehen, dass die Daten erst nach einem Klick auf den Senden-Button und nicht an Dritte übermittelt werden.

Ihre Ergebnisse veröffentlichten die Forscher sowohl auf einer Webseite als auch in einem Paper. Demnach leiteten unter anderem Shopify.com, Facebook.com, Gravatar.com, Bose.com, Bmw.de und Trello.com die E-Mail-Adresse ihre Nutzer an Trackingdienste weiter – noch bevor die Nutzer auf Senden geklickt hatten oder mittels eines Cookiebanners etwaigem Tracking zugestimmt hatten. Teils wurden die E-Mail-Adressen zuvor gehasht, teils wurden sie wie beispielsweise bei Gearbest.com im Klartext übertragen.

Insgesamt fanden die Forscher 1844 Webseiten, die bei einem Aufruf mit einer IP-Adresse aus der EU E-Mail-Adressen vor dem Absenden eines Formulars an Trackingdienste weitergaben. Laut der Studie verstößt die E-Mail-Exfiltration durch Drittanbieter gegen mindestens drei Anforderungen der Datenschutzgrundverordnung (DSGVO): das Transparenzprinzip, das Zweckbindungsprinzip und das Vorhandensein einer Einwilligung.

Wurden die Webseiten mit einer IP-Adresse aus den USA aufgerufen – also außerhalb des Geltungsbereichs der DSGVO – stieg die Anzahl der Seiten auf 2950, darunter beispielsweise Theverge.com und Businessinsider.com. Der Trackingdienst von Yandex soll auf etlichen Webseiten zudem Passwörter im Klartext gesammelt haben – bei Webseitenbesuchen aus den USA, aber auch aus Europa. Zu den häufig entdeckten Trackingdiensten, an welche die Daten übermittelt wurden, zählten unter anderem Liveramp, Taboola und Adobes Bizible.

Der Beitrag Studie: Wenn Daten schon vor dem Senden weitergegeben werden erschien zuerst auf Linux-Magazin.

Bei einer Untersuchung der Stummschaltefunktion von Videokonferenzsoftware fiel Ciscos Webex negativ auf.

Wer sich in einer Videokonferenzsoftware stumm schaltet, verhindert damit nicht unbedingt die Aufnahme oder Analyse von Audiodaten. Das haben Forscher der Loyola-Universität Chicago sowie der Universität Wisconsin-Madison herausgefunden. Untersucht wurden die Software von Zoom, Slack, Microsoft Teams/Skype, Google Meet, Cisco Webex, Bluejeans, Whereby, Gotomeeting, Jitsi und Discord.

Dabei untersuchten die Forscher, ob die Anwendungen auch im stummgeschalteten Zustand Daten aus dem Mikrofon auslesen und ob diese über das Internet an den jeweiligen Anbieter der Software übertragen werden. Dabei fanden sie heraus, dass alle Anwendungen gelegentlich Audiodaten erhoben, auch wenn sie stummgeschaltet waren. Nur bei den Webclients, die über den Browser aufgerufen wurden, war dies nicht der Fall, da sie die Stummschaltefunktion von WebRTC im Browser nutzen.

“Wir stellen fest, dass die Richtlinien für den Umgang mit Mikrofondaten bei den Videokonferenzsoftwares uneinheitlich sind – einige überwachen den Mikrofoneingang während der Stummschaltung kontinuierlich, andere tun dies in regelmäßigen Abständen”, heißt es in der Studie (PDF). Dabei fiel den Forschern vor allem Cisco Webex negativ auf, das sowohl unter Windows als auch unter MacOS in regelmäßigen Abständen Statistiken über die Audiodaten an ihre Telemetrieserver schickt – unabhängig davon, ob die Stummschaltetaste gedrückt wurde oder nicht.

Dabei werden zwar nicht die Audiodaten selbst übertragen, sondern Informationen über die Hintergrundlautstärke. Aus den übermittelten Telemetriedaten ist es jedoch möglich, Rückschlüsse auf die ursprünglichen Audiosignale zu ziehen. So konnten die Forscher mit einem Proof-of-Concept-Klassifikator mit einer über 80-prozentigen Genauigkeit eine von sechs häufigen Hintergrundaktivitäten wie Kochen, Putzen oder Tippen identifizieren.

Das Verhalten stimme nicht mit der Datenschutzrichtlinie von Cisco überein, in der betont wird, dass die Software “weder den Datenverkehr noch den Inhalt von Meetings überwacht oder stört”. Die Studie kritisiert zudem die Sicherheit von Ciscos Videokonferenzsoftware: “Nur in Webex waren wir in der Lage, Klartext abzufangen, unmittelbar bevor er an die Windows-Netzwerksocket-API weitergeleitet wird”, heißt es in der Studie. Alle anderen Anwendungen hätten die Daten verschlüsselt übertragen.

“Wir haben Cisco bereits im Januar über unsere Erkenntnisse informiert und sie haben versprochen, dies zu untersuchen”, sagte Kassem Fawaz, Assistenzprofessor für Elektro- und Computertechnik an der Universität Wisconsin-Madison, dem Onlinemagazin The Register. “Webex verwendet Mikrofon-Telemetriedaten, um einem Benutzer mitzuteilen, dass er stummgeschaltet ist, was als ‘Stummschaltungsbenachrichtigung’ bezeichnet wird”, erklärte Cisco. Es handle sich daher nicht um eine Schwachstelle in Webex.

Erst Anfang des Jahres entdeckten Wissenschaftler, dass die Videokonferenzsoftware Zoom unter MacOS auch nach einem beendeten Call weiter auf das Mikrofon zugriff. Dass der Einsatz von Videokonferenzsystemen aus den USA rechtlich schwierig ist, hatten die Datenschutzbeauftragten bereits im Jahr 2020 festgehalten. Bei einer kürzlich durchgeführten Prüfung der Videokonferenzsoftware an der Freien Universität Berlin (FU) durch die Berliner Datenschutzbeauftragten fiel Cisco Webex entsprechend durch. Der Einsatz der Software sei rechtswidrig, so das Fazit der Datenschutzbehörde.

Der Beitrag Studie: Ciscos Webex telefoniert stummgeschaltet nach Hause erschien zuerst auf Linux-Magazin.