Legal Watch Nr. 74 – August 2024.  

Telegram, Signal, WhatsApp… Wie gut eignen sich Instant-Messaging-Dienste im beruflichen Kontext?

Die Verhaftung von Pavel Durov, dem Gründer der Messaging-App, in Frankreich hat in den Medien zahlreiche Reaktionen hervorgerufen. Telegramm.

Ungeachtet der politischen Debatten zu diesem Thema bietet uns dieser Fall die Gelegenheit, die Zuverlässigkeit von Instant-Messaging-Diensten zu überprüfen.

Inwieweit sind die ausgetauschten Informationen tatsächlich vertraulich? Sind diese Anwendungen vergleichbar und können sie im beruflichen Kontext eingesetzt werden?

Die meisten Instant-Messaging-Dienste werben heutzutage damit, ihre Kommunikation zu verschlüsseln.

Die Vorgehensweise ist jedoch je nach Messengerdienst unterschiedlich.

Viele Telegram-Nutzer haben daher in den letzten Tagen erfahren müssen, dass ihre Kommunikation nicht standardmäßig geschützt ist.

Geschützt ist lediglich die direkte Kommunikation zwischen zwei Teilnehmern, die die Verschlüsselung in ihren Konversationsoptionen manuell aktiviert haben.

Es ist zu beachten, dass Telegram keine Open-Source-Verschlüsselung wie das Signal-Protokoll verwendet, sondern auf eine „selbst entwickelte“ Technologie setzt, die nicht überprüfbar ist. 

Gruppendiskussionen (oder Chatkanäle) können nicht verschlüsselt werden, und Telegram kann daher sowohl auf deren Inhalte als auch auf Informationen über die Mitglieder und Administratoren dieser Gruppen zugreifen.

Die hier stattfindenden Interaktionen ähneln eher denen eines sozialen Netzwerks als denen eines Messengerdienstes.

Telegram wird seit Jahren dafür kritisiert, dass es seine Diskussionskanäle nicht moderiert, Anfragen zahlreicher Regierungen zur Entfernung illegaler Inhalte ignoriert und sich weigert, Informationen über potenzielle Straftäter weiterzugeben.

Diese Verpflichtungen zur Mäßigung und Zusammenarbeit mit den Strafverfolgungsbehörden sind im französischen Recht und in der europäischen Verordnung über digitale Dienste vorgesehen.

In diesem Kontext wurde der Gründer wegen mangelnder Kooperation und Beihilfe zum organisierten Verbrechen verhaftet.

Diese Kooperationspflicht hat jedoch Grenzen: So bleibt die Ende-zu-Ende-verschlüsselte Kommunikation vertraulich und kann nicht von Dritten abgefangen werden, sei es vom Nachrichtenanbieter, einer Regierung oder einem Hacker.

Einige Staaten sind besorgt über die weitverbreitete Nutzung von Verschlüsselung und setzen sich für regulatorische Änderungen ein, die deren Umgehung ermöglichen würden.

Dies gilt insbesondere im Kontext der vorgeschlagenen europäischen Verordnung über sexuellen Kindesmissbrauch.

Dieser Druck, die Vertraulichkeit der Kommunikation zu schwächen, provoziert zahlreiche Reaktionen von Verteidigern der individuellen Freiheiten und Datenschutzbehörden, für die dies einer weitverbreiteten Überwachung der privaten Kommunikation gleichkäme, die digitale Sicherheit durch das Aufbrechen der Verschlüsselung untergraben würde und keinerlei Beweise dafür liefern würde, dass damit überhaupt das Ziel des Schutzes von Kindern erreicht würde.

Angesichts des aktuellen Stands von Recht und Technologie wird dringend empfohlen, für den Austausch beruflicher Nachrichten Ende-zu-Ende-verschlüsselte Nachrichten zu verwenden, insbesondere wenn der Inhalt der Nachricht sensibel ist (z. B. medizinische oder finanzielle Daten).

Und in dieser Hinsicht sind nicht alle Anwendungen gleich. Zwar kann der Nachrichteninhalt geschützt sein, doch verhindert die Verschlüsselung nicht das Erfassen bestimmter Benutzeridentifikations- und/oder Verbindungsdaten.

Besondere Vorsicht ist bei der Nutzung von Diskussionsgruppen in allen Fällen geboten.

Die Verwendung von Gruppen WhatsApp Der Austausch sensibler Daten im beruflichen Kontext hat somit zur Folge, dass ein Datenverantwortlicher von einer Datenschutzbehörde sanktioniert wurde.

Signal wird allgemein als Anbieter eines hohen Schutzniveaus anerkannt, ist aber nicht der einzige.

Zum Beispiel können wir erwähnen Threema Und Olvid Diese Dienste haben den Vorteil, europäisch zu sein. Allerdings sind sie noch relativ unbekannt. Innerhalb eines Unternehmens können solche Messaging-Systeme dennoch eine interessante Alternative darstellen.

NB / Zahlreiche Analysen beschreiben detailliert die Stärken und Schwächen von Messaging-Anwendungen. Ein Beispiel hierfür ist die Studie von Orange Cyberdefense: https://www.orangecyberdefense.com/fr/insights/blog/data/securite-et-vie-privee-comparatif-des-apps-de-messagerie-instantanee

Eine umfassendere Analyse der Daten, die Strafverfolgungsbehörden über Messengerdienste erhalten können, finden Sie in diesem FBI-Schulungsdokument, das von Property of the People, einer amerikanischen Non-Profit-Organisation für Regierungstransparenz, im Rahmen eines Antrags nach dem Freedom of Information Act (FOIA) angefordert wurde: https://propertyofthepeople.org/document-detail/?doc-id=21114562

 

        

SOS médecins teilte am 2. September mit, dass die CNIL der Einrichtung eines Datenlagers mit dem Namen „Contact“ durch den Verein zugestimmt habe.

Laut SOS médecins widmet sich Contact „der Notfallversorgung und der Verbesserung des Zugangs zur Gesundheitsversorgung und wird Forschung und Innovation im Gesundheitswesen fördern“.

Es wird die Daten von Millionen von Patienten, die jedes Jahr in den 64 Verbänden des Verbandes behandelt werden, sicher und vertraulich zusammenführen.

Laut dem Verband sollten diese Daten zum Wohle der Patienten wiederverwendet werden, um Behandlungsmethoden zu verbessern und die Versorgung zu optimieren.

Die Universität Paris-Saclay gab bekannt, dass sie am 11. August Ziel eines Ransomware-Angriffs geworden ist. Dieser Vorfall ereignete sich eine Woche nach einem weiteren Cyberangriff auf mehr als 40 Kulturinstitutionen in Frankreich: Berichten zufolge drangen Cyberkriminelle in das gemeinsame Computersystem der „Réunion des musées nationaux – Grand Palais“ ein, in dem alle Finanzdaten dieser Institutionen zentralisiert sind, und drohten, die Daten innerhalb von 48 Stunden zu veröffentlichen, falls das Lösegeld nicht gezahlt würde.

Laut L’Usine Digitale waren die 36 Filialen des Netzwerks betroffen und die Systeme vom Netz getrennt. Die Pariser Staatsanwaltschaft hat Ermittlungen eingeleitet.

 

Europäische Institutionen und Gremien

Die Europäische Kommission hat eine Konsultation zum Schutz von Minderjährigen im Internet bis zum 30. September eröffnet. insbesondere im Kontext des Digital Services Act (DSA) und der Meldepflicht für kinderpornografisches Material (CSAM).

Gemäß dem DSA muss die Kommission Richtlinien entwickeln, die den betroffenen Online-Plattformen helfen, die Anforderungen zum Schutz der Privatsphäre und Sicherheit von Minderjährigen zu erfüllen.

„Diese Leitlinien enthalten eine beispielhafte Liste bewährter Verfahren und Empfehlungen für Anbieter von Online-Plattformen, um ihnen zu helfen, Risiken im Zusammenhang mit dem Schutz von Minderjährigen zu reduzieren. Die Leitlinien werden auch der Kommission und den Koordinatoren für digitale Dienste helfen, Plattformen zu überwachen und das DSA durchzusetzen.“

Die Europäische Kommission wird im Herbst ihren ersten Bericht über die Funktionsweise des „Datenschutzrahmens“ (Data Privacy Framework, DPF) zwischen der Europäischen Union und den Vereinigten Staaten veröffentlichen. Im Juli fand zu diesem Thema ein bilaterales Bewertungstreffen statt, und die Kommission hat außerdem eine öffentliche Konsultation eröffnet, zu der bis zum 6. September Stellungnahmen eingereicht werden können.

China und die EU haben Gespräche über Datentransfers im Rahmen eines neuen „grenzüberschreitenden Datenkommunikationsmechanismus“ aufgenommen. Laut der Europäischen Kommission zielt der Mechanismus darauf ab, Wege zu finden, um grenzüberschreitende Übermittlungen nicht personenbezogener Daten für europäische Unternehmen sowie deren Einhaltung der chinesischen Datenschutzgesetze zu erleichtern.

 

Neuigkeiten aus den Mitgliedsländern Europas.

In Deutschland ordnete das Oberlandesgericht Frankfurt Microsoft an, ohne Einwilligung der betroffenen Person keine Cookies auf deren Geräten zu platzieren und zu speichern, selbst wenn dies bedeutet, dass Microsoft aufhört, Tracking-Cookies zu platzieren.

Diese Entscheidung scheint im Einklang mit einem kürzlich ergangenen Urteil eines niederländischen Gerichts zu stehen, das Microsoft, LinkedIn und Xandr untersagte, Tracking-Cookies ohne Zustimmung der Nutzer zu platzieren, und eine Strafe von 1.000 Euro pro Unternehmen für jeden Tag der Nichteinhaltung der Entscheidung verhängte (via GDPRhub).

Die belgische Datenschutzbehörde (DPA) hat eine Beschwerde eines Betroffenen nach einer Datenschutzverletzung zurückgewiesen. Das Gericht befand, dass die vom Verantwortlichen gemäß Artikel 32 der DSGVO getroffenen technischen und organisatorischen Maßnahmen angemessen waren.

Dänische ODA Er ging davon aus, dass für eine freie und ausdrückliche Einwilligung zur Nutzung der Gesichtserkennung für den Zugang zu einem Fitnesscenter die betroffene Person über andere Verifizierungsmethoden verfügen muss, die nicht die Verarbeitung biometrischer Daten beinhalten.

In Spanien verhängte die Datenschutzbehörde (APD) eine Geldstrafe von 145.000 € gegen einen Datenverantwortlichen wegen des Diebstahls eines unverschlüsselten USB-Sticks, der personenbezogene Daten im Zusammenhang mit einem Strafverfahren enthielt.Sie stellte einen Verstoß gegen den Grundsatz der Vertraulichkeit fest, obwohl es keine Beweise dafür gab, dass auf die Daten zugegriffen worden war.

In Italien ist die APD Eine Gemeinde, die die Namen erfolgloser Bewerber in einem öffentlichen Auswahlverfahren unrechtmäßig veröffentlicht hatte, wurde mit einer Geldstrafe von 20.000 Euro belegt. Darüber hinaus hatte die Gemeinde keine verbindliche Vereinbarung mit ihrem Subunternehmer getroffen, was einen Verstoß gegen Artikel 28 Absatz 3 DSGVO darstellt.

Die APD verhängte außerdem eine Geldstrafe von einer Million Euro gegen einen Telekommunikationsanbieter, weil dieser seine Kunden ohne gültige Einwilligung zu kommerziellen Akquisezwecken kontaktiert hatte. Die Datenschutzbehörde vertrat die Auffassung, dass ein Datenverantwortlicher sich nicht auf ein berechtigtes Interesse berufen könne, um seine Kunden zu Marketingzwecken telefonisch anzurufen.

Am 22. Juli verhängte die niederländische Datenschutzbehörde (APD) in Zusammenarbeit mit der CNIL eine Geldbuße in Höhe von 290 Millionen Euro gegen Uber BV (mit Sitz in den Niederlanden) und Uber Technologies INC. (mit Sitz in den Vereinigten Staaten) wegen der Übermittlung personenbezogener Daten außerhalb der EU ohne ausreichende Sicherheitsvorkehrungen.

Die französische Datenschutzbehörde CNIL erhielt eine Sammelbeschwerde der Liga für Menschenrechte, die mehr als 170 Fahrer der Plattform vertritt. Die niederländische Datenschutzbehörde (APD) stellte fest, dass die Verarbeitung personenbezogener Daten von Fahrern, für die Uber BV und Uber Technologies Inc. gemeinsam verantwortlich sind, Übermittlungen in die USA umfasst. Zwischen dem 6. August 2021 und dem 21. November 2023 (dem Datum, an dem Uber in den Data Privacy Framework aufgenommen wurde) unterlagen diese Übermittlungen keinen angemessenen Schutzmaßnahmen. Die APD kam zu dem Schluss, dass ein Verstoß gegen Artikel 44 der DSGVO vorliegt. Uber kündigte an, gegen diese Entscheidung, die das Unternehmen für unbegründet hält, Berufung einzulegen.

Die niederländische Datenschutzbehörde (APD) verhängte am 3. September eine Geldbuße von 30,5 Millionen Euro gegen Clearview AI sowie eine weitere Strafe von 5 Millionen Euro wegen Nichteinhaltung der Datenschutzbestimmungen. Clearview hatte insbesondere eine illegale Datenbank mit Milliarden von Gesichtsbildern, darunter auch Bilder niederländischer Staatsbürger, erstellt. Die APD verbot zudem die Nutzung der Dienste von Clearview. Da das Unternehmen keinerlei Bereitschaft zur Änderung seiner Geschäftspraktiken gezeigt hat, prüft die APD verschiedene rechtliche Schritte, darunter die Möglichkeit, die Führungskräfte des Unternehmens persönlich für diese Verstöße haftbar zu machen.

Die Norwegische Universität für Wissenschaft und Technologie (NTNU) hat unter der Schirmherrschaft der „Sandboxes“ der norwegischen Datenschutzbehörde einen Bericht mit dem Titel „Piloting Copilot for Microsoft 365“ veröffentlicht.

Die Universität testete Microsofts KI-Dienst Copilot und veröffentlichte im Frühsommer 2024 acht wichtige Erkenntnisse, die vor der Einführung dieses neuen Dienstes hilfreich sein können.

Die slowenische Datenschutzbehörde (APD) vertrat die Auffassung, dass eine Schule die Erfüllung eines von einem Elternteil gestellten Auskunftsersuchens teilweise verweigern kann, wenn die Offenlegung bestimmter Daten dem Wohl des Minderjährigen schaden könnte.

Am 14. August verabschiedete die Schweiz einen Angemessenheitsbeschluss für die Vereinigten Staaten, der die Übermittlung von Daten an Unternehmen erlaubt, die nach einem schweizerisch-amerikanischen „Datenschutzrahmen“ zertifiziert sind.

Die Schweiz schließt sich damit der Europäischen Union und dem Vereinigten Königreich an, die es Organisationen erlauben, die personenbezogenen Daten ihrer Einwohner unter ähnlichen Bedingungen in die Vereinigten Staaten zu übermitteln.

Die Nichtregierungsorganisation noyb machte die Medien am 12. August auf das soziale Netzwerk "X" aufmerksam, das illegalerweise begonnen hat, die persönlichen Daten von mehr als 60 Millionen Nutzern in der EU/im EWR zu verwenden, um seine KI-Technologie ("Grok") ohne deren Zustimmung zu trainieren.

Anders als Meta (das sein KI-Training in der EU kürzlich einstellen musste) informierte Twitter laut der NGO seine Nutzer nicht im Voraus. Die irische Datenschutzkommission hat ein Gerichtsverfahren gegen X eingeleitet, und noyb hat in neun europäischen Ländern Beschwerden eingereicht, um diese Praktiken zu unterbinden. Xs Zusage, die Daten nicht mehr zu verwenden, erfolgte schließlich mit der Veröffentlichung der neuen Version von Grok. Laut der NGO wurde das KI-Modell zwischenzeitlich tatsächlich mit EU-Daten trainiert.

 

In Großbritannien wurde ein Datenverantwortlicher gerügt, weil er vor dem Einsatz eines Gesichtserkennungssystems an einer Schule keine Datenschutz-Folgenabschätzung gemäß Artikel 35 der britischen DSGVO durchgeführt hatte. Der Datenverantwortliche hatte zudem keine gültige Einwilligung eingeholt.

Die Vereinten Nationen und die Internationale Arbeitsorganisation haben einen Bericht mit dem Titel „Mind the AI Divide – Shaping a Global Perspective on the Future of Work“ veröffentlicht.

Der Bericht stellt unter anderem fest, dass technologische Fortschritte Arbeitsplätze in Sektoren wie Callcentern und anderen Formen des Business Process Outsourcing gefährden, die in einigen Entwicklungsländern weit verbreitet sind.

Während einige Aufgaben in diesen Berufen potenziell automatisiert werden könnten, heißt es in dem Dokument weiter, dass die meisten weiterhin menschliches Eingreifen erfordern. „Eine solche Teilautomatisierung könnte zu Effizienzsteigerungen führen und es den Menschen ermöglichen, mehr Zeit anderen Arbeitsbereichen zu widmen.“

Ein US-Bundesrichter urteilte am 5. August, dass Google ein illegales Monopol auf die Internetsuche innehatte. Das Gericht kam zu dem Schluss, dass „Google gegen Abschnitt 2 des Sherman Act verstoßen hat, indem es sein Monopol in zwei Produktmärkten in den Vereinigten Staaten – allgemeinen Suchdiensten und allgemeiner Textwerbung – durch seine exklusiven Vertriebsvereinbarungen aufrechterhielt.“

Nigeria veröffentlichte im vergangenen August seine „nationale KI-Strategie“.

Darin heißt es insbesondere: „Nigeria und der gesamte afrikanische Kontinent stehen vor einigen der charakteristischsten und dringlichsten Herausforderungen und Chancen, die KI bewältigen kann. Von der Optimierung der Landwirtschaft in unterschiedlichen Klimazonen bis hin zur Verbesserung der öffentlichen Gesundheitsinfrastruktur sind lokal entwickelte KI-Lösungen, die auf die lokalen Gegebenheiten zugeschnitten sind, weitaus besser geeignet, diese Herausforderungen anzugehen, als extern auferlegte Modelle, die für einen völlig anderen Kontext und eine andere Bevölkerungsgruppe entwickelt wurden. (…) Viele Datensätze in Nigeria weisen Ungenauigkeiten, Unvollständigkeiten und mangelnde Standardisierung auf. Die Datenqualität muss verbessert werden, um die Zuverlässigkeit und Effektivität von KI-Algorithmen zu gewährleisten, die für eine optimale Funktion saubere und genaue Daten benötigen.“

„X“ hat seine Geschäftstätigkeit in Brasilien nach monatelangen Auseinandersetzungen mit einem Richter des Obersten Gerichtshofs eingestellt.

Am 31. August ordnete der Richter ein Verbot der App X und das Einfrieren der Vermögenswerte von Elon Musks Raumfahrtunternehmen Starlink an. Dieser Entscheidung gingen monatelange Ermittlungen wegen der Verbreitung falscher und verleumderischer Informationen über das soziale Netzwerk sowie weitere Ermittlungen gegen Musk wegen des Verdachts der Justizbehinderung voraus.