App-Tracking- Hört mein Handy mich oder nicht?

Bereits seit Jahren ist man sich nicht sicher, ob bzw. in welchem Umfang ein Handy mithören kann. Oder kann es doch
nicht?
Aus Sicht der Technik ist es ein Leichtes durch das eingebaute Mikrofon als Abhör- und Überwachungsinstrument zu
dienen. Nach Recherche des BR AI + Automation Lab kann (theoretisch) heimlich bis zu einer Stunde Tonmaterial
aufgenommen werden.
Allerdings ist ein solches Verhalten von den großen App-Anbietern bisher noch nicht nachgewiesen worden. Aber was ist
mit den „Kleinen“?
Zumindest sollte man die Möglichkeit und somit das Risiko überdenken. Viel wahrscheinlicher ist aber auf jeden Fall, dass
bestimmte Personen gezielt über ihr Gerät Sie überwachen. Moment, geht das nicht in Richtung „Cyber-Kriminalität?
Korrekt! Und shcon haben wir eine „schöne“ Datenpanne.
Auch nicht uninteressant, Apps sind eine hervorragende Quelle für Nutzungs- bzw. Verhaltensdaten. Apps neigen dazu,
regelmäßig „nach Hause zu telefonieren“. Was auf der einen Seite nützlich ist, wie bspw. im Rahmen von Updates sind auf
der anderen Seite die Werbe-IDs: Cookies und Co. Auf den Geräten.
Die Lieferanten von Werbung möchten, genau wie bei der Website, wissen, wie erfolgreich diese ist. Sie möchten sie
auswerten.
App-Tracking-Transparenz (ATT). Bitte was? Kann man das aktivieren bzw. deaktivieren?
ATT ist eine neue Funktion von iOS 14.5, die von den Apps verlangt, dass sie um Erlaubnis fragen. Das klingt doch hart
nach den Einwilligungen auf den Websites.
Nutzerinnen bzw. Nutzer sollen mehr Kontrolle haben, es soll transparenter sein.
Schauen wir uns mal Apple-Geräte an:
• „Einstellungen“-App öffnen
• „Datenschutz“
• „Tracking“
• Aktivieren bzw. Deaktivieren Sie die Option „Apps erlauben, um Erlaubnis zu bitten, mich zu verfolgen“
Daten werden zu früh gelöscht – Datenschutzrechtliche Folgen
Nun wissen wir ja, dass wir nicht dauerhaft personenbezogene Daten aufbewahren bzw. speichern dürfen.
Aber auch ein zu frühes Löschen kann bei den betroffenen Personn ihre Rechte verletzen?
Wann kann das bspw. zutreffen?
Grundsätzlich muss bei diesem Thema der Art. 17 DSGVO berücksichtigt werden. Hier steht aber auch, dass das Recht
auf Löschung dann nicht besteht, wenn die Datenverarbeitung aus anderen, wichtigeren Gründen erforderlich ist, wie
bspw.:
• Recht auf freie Meinungsäußerung und Information
• Erfüllung einer rechtlichen Verpflichtung
• Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
• öffentliches Interesse im Rahmen von Archivzwecken
• Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
Insbesondere der letzte Punkt trifft auf viele Unternehmen zu, die ggf. eine gewisse Zeit haften müssen. Je nachdem um
welche Branche es sich handelt, muss genau geprüft werden, was wann gelöscht werden muss oder eher aufbewahrt
werden sollte.
Aber auch eine begründete „längere“ Aufbewahrung sollte dahingehend sicher erfolgen. Warum? Ggf. kommt das
Unternehmen irgendwann in die Situation, dass es dieses Vorgehendweise darlegen muss. Und, wenn hier die Gegenseite,
wie bspw. Die Datenschutzaufsicht, nicht der gleichen Meinung ist, ist es auf jedem Fall besser, wenn dann diese Daten
nicht für alle Mitarbeiter einsehbar sind. Sondern dann lediglich nur ein bestimmter Personenkreis. Zum anderen darf und
sollte auch nicht die Gefahr eines erfolgreichen Cyberangriffes vergessen werden. Nichts ist shclimmer, wenn
personenbezogene Daten im Darknet verkauft werden.
Und nun?
Sie als verantwortliche Stelle müssen prüfen, was und in welchem Maße für Sie umgesetzt werden muss. Eine solche
Prüfung sollte regelmäßig im Jahr erfolgen. Wichtig ist aber auch, dass Ihre Mitarbeiter darüber informiert werden, falls
diese Löschrechte haben.
Cyberattacken aus Mai 2023 in Deutschland (Textliche Auszüge aus www.dsgvo-portal.de)
Vorab, es geht hier nicht ums „Angstmachen“. Vielmehr ist das Ziel die Sensibilisierung
→ „So etwas ist ja auch bei uns vorgekommen.“
• Chemnitzer City Bahn
Websites waren nicht erreichbar
• Klinikverbund Bremen
Aufgrund von Verdachtsmomenten wurde die Verbindung ins Internet getrennt
• Landkreis Ludwigsburg
Cyberangriff der IT-Struktur
• Bilstein Group
Erbeutung von 60 GB Daten
• Klinikum Hochsauerland
Anwendungen wurden durch Angriff heruntergafhren
Europäische Bußgelder im April 2023? (Textliche Auszüge von Dr-Datenschutz)
Es ist nur eine kleine Übersicht! Aber es sind praxisnahe Fälle, die ggf. auch bei Ihnen auftreten können.
• Mangelhafte Umsetzung von Betroffenenrechten bei skandinavischer Fitnesscenter-Kette
Behörde: Datatilsynet, Branche: Fitnessbranche
Verstoß: Art. 5 Abs. 1 lit. a), e) DSGVO, Art. 6 Abs. 1 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 15 DSGVO,
Art. 17 DSGVO
Bußgeld: 858.590 Euro
• Bußgeld wegen unvollständiger Datenschutzerklärung und fehlender Benennung eines Datenschutzbeauftragten
Behörde: Agencia española protección datos, Branche: Fast-Food-Restaurantkette
Verstoß: Art. 37 DSGVO, Art. 13 DSGVO
Bußgeld: 25.000 Euro
• Kurzer Prozess mit TikTok wegen der Verarbeitung von Daten von Kindern ohne Einwilligung der Eltern
Behörde: Information Commissioner’s Office, Branche: Social-Media-Plattform
Verstoß: Art. 8 DSGVO
Bußgeld: 14,5 Mio. Euro
• Verlust eines USB-Sticks mit sensiblen Daten
Behörde: Integritetsskydds myndigheten
Verstoß: Art. 32 Abs. 1 DSGVO
Bußgeld: 17.566 Euro
• Schwärzen von Daten mit Filzstift ist kein wirksames Verfahren zur Anonymisierung
Behörde: Garante per la protezione dei dati personali, Branche: Gesundheitsbehörde
Verstoß: Art. 5 Abs. 1 lit a), c), f) DSGVO, Art. 9 DSGVO, Art. 25 Abs. 1, 2 DSGVO, Art. 2 lit. f) codice della
privacy
Bußgeld: 50.000 Euro
Fazit?
Man sieht an ganz vielen Stellen, dass der Datenschutz und die Datensicherheit ein Dauerthema sind. Die Unternehmen
müssen immer wieder ihren Stand, die geplante Entwicklung und vor allem die möglichen Angriffsflächen prüfen.
Es geht nicht um das „Ob“, es geht um das „Wann“ … ein Unternehmen eine erfolgreiche Cyberattacke verzeichnen muss.
Wie sagte mal eine Aufsichtsbehörde. Es ist wichtig, dass man das Denken und Handeln dokumentiert, so dass dann ggf.
das Positive herausgezogen werden kann.
Sie haben Fragen? Melden Sie sich bitte bei uns! Es bleibt spannend!