Niedersächsische Datenschutzbeauftragte kontrolliert Amazon

14. Dezember 2017

Ein neues Logistikzentrum von Amazon ist ins Blickfeld der niedersächsischen Datenschutzbeauftragten gerückt. Das Zentrum des Online-Händlers in Winsen/Luhe soll von der niedersächsischen Datenschutzbeauftragten Barbara Thiel überprüft werden.

Das Kontrollverfahren soll bereits angelaufen sein. Bereits zum aktuellen Zeitpunkt soll Amazon ein Fragenkatalog vorliegen, auf den bis zum Jahresende geantwortet werden muss.

Laut dem Magazin Panorama 3 des NDR, besteht ein Verdacht auf Datenschutzverstöße durch das genannte Logistikzentrum des Konzerns, das erst im Sommer den Betrieb aufgenommen hat. In der Kritik steht, dass der Konzern die Leistungen und Arbeitsweise seiner Mitarbeiter ohne Ausnahme erfassen soll. Dafür sollen insbesondere Kameras verwendet werden, die zu diesem Zweck in Räumlichkeiten mit Spinden und anderen Räumen installiert wurden.

Laut Jens Thurow, Mitarbeiter der Pressestelle der Datenschutzbeauftragten, will Barbara Thiel diesen aufgekommenen Verdacht prüfen.

Laut Amazon gebe es keine Datenschutzverstöße. Sprecher des Konzerns verweisen darauf, dass in der Vergangenheit bereits mehrfach die, in Verdacht stehenden, Systeme geprüft wurden. Die genannten Kameras sollen danach nur den Schutz der Mitarbeiter bezwecken. Zudem verweisen die Sprecher darauf, dass nicht alle Räume mit Kameras versehen wurden. Die Leistungsüberwachung werde dagegen gar nicht durchgeführt.

Einkaufs-Apps großer Anbieter sammeln Standortdaten

Einkaufs-Apps von Rossmann, Edeka und Budni stellen für die Nutzer einen großen Vorteil dar. Neben exklusiven Rabatten erhalten die Kunden auch maßgeschneiderte Angebot. Über den Preis der eigentlich kostenlosen Apps machen sich viele wohl keine Gedanken, allerdings ist dieser ein hoher, denn die Kunden geben vor allem persönliche Daten preis.

Das NDR-Verbrauchermagazin „Markt“ lies von Informatikern der Universität Hamburg eine Studie zu diesem Thema durchführen. Die Wissenschaftler untersuchten die Apps eingehend, das Ergebnis der Studie ist, dass die Apps während der Nutzung Standortdaten und Daten zu einkaufsbezogenen Interessen und Vorlieben erfassen. Die Informatiker fanden im Rahmen der Studie heraus, dass Daten der Nutzer an Google, Facebook und Marktforschungsunternehmen übermittelt werden.

Grundsätzlich läuft das über eine Einwilligung der Nutzer. Die Kunden erklären sich mit dem Akzeptieren der Datenschutzerklärungen, mit der Preisgabe der Daten einverstanden, höchstwahrscheinlich unbewusst bzw. ohne sich Gedanken darüber zu machen.

Zu betonen ist allerdings, dass die Übermittlung der Daten mithilfe einer Nutzer-ID und nicht in Kopplung mit dem Klarnamen oder dem Alter des Nutzers übermittelt wird.

Im Praxistest überzeugte die Wissenschaftler im Übrigen keine der Apps.

Kopplungsverbot unter DSGVO – Ein „Killer“ vieler Einwilligungen?

12. Dezember 2017

Das sogenannte Kopplungsverbot für datenschutzrechtliche Einwilligungen von Betroffenen ist grundsätzlich keine Neuheit der Datenschutz-Grundverordnung (DSGVO). Auch nach dem bisherigen Recht des Bundesdatenschutzgesetzes war Voraussetzung für eine wirksame Einwilligung, dass diese freiwillig erteilt und der Zugang zu einer Leistung somit nicht an eine solche Einwilligung gebunden wird.

Das Kopplungsverbot stellt sich jedoch nicht als ein allzu scharfes Schwert dar. Immer wieder gibt es im Internet Angebote, die auf den ersten Blick zwar kostenlos sind, sich aber über die Verarbeitung von Daten und die Platzierung von Werbung refinanzieren. Beispielsweise sind Online-Gewinnspiele, für deren Teilnahme der Nutzer in den Erhalt eines Newsletters einzuwilligen hat, keine Seltenheit. Streng genommen läge hier schon eine Kopplung vor. Das angesprochene Verbot präsentiert sich an dieser Stelle offen für Situationen, in denen der Nutzer sich über die „Bezahlung mit seinen Daten“ im Klaren und mit diesen Bedingungen schlicht einverstanden ist.

Womöglich wird durch die ab Mai 2018 anzuwendende DSGVO hier eine spürbare Verschärfung eintreten. Maßgeblich ist Art. 7 Abs. 4 mit dem dazugehörigen Erwägungsgrund 43 zur DSGVO. Insbesondere der Erwägungsgrund fordert der beispielhaften Gewinnspiel-Situation eine getrennte (und eben nicht gekoppelte) Erteilung von Einwilligungen des Nutzers ab. Genauer gesagt müsste sich der User bedingungslos zu einem Gewinnspiel anmelden dürfen und könnte erst im Nachgang gefragt werden, ob er zusätzlich dem Erhalt von Werbung in Form eines Newsletters zustimmen möchte. Dies hätte natürlich eine drastisch niedrigere Quote von Newsletter-Teilnehmern zur Folge.

Stellt sich die Anwendung der DSGVO an dieser Stelle in der gelebten Praxis so streng heraus, wie es der Wortlaut der gesetzlichen Grundlage verspricht, entspricht dies einer deutlichen Verschärfung gegenüber der bisherigen Rechtslage. Viele etablierte Prozesse werden dann zu überdenken sein.

Google sammelt Standortdaten von Android-Nutzern

Die Nachrichtenseite Quartz berichtet, dass Google seit Monaten Standortdaten von Android-Nutzern weltweit sammelt, selbst dann, wenn Nutzer die Ortungsdienste abgeschaltet haben. Google hat dies auch bestätigt. Die Standortdaten werden dazu genutzt, um die Verteilung von Push-Benachrichtigungen zu verbessern. Eine Speicherung der Daten würde aber nicht stattfinden.

Die Rechtmäßigkeit der heimlichen Ortung stützt Google auf ihre Datenschutzerklärung, welcher Android-Nutzer bei Einrichtung ihres Gerätes zustimmen müssen. Dort heißt es: „Wenn Sie Google-Dienste nutzen, erfassen und verarbeiten wir möglicherweise Informationen über Ihren tatsächlichen Standort.“ Dafür kann Google neben „IP-Adressen und GPS“ auch „andere Sensoren“ verwenden, die Informationen über „WLAN-Zugangspunkte oder Mobilfunkmasten“ liefern.

Nutzer haben zudem keine Möglichkeit dieser Datenschutzerklärung zu widersprechen. Ferner geht auch nicht aus der Datenschutzerklärung hervor, auf welche Weise die Standortdaten erfasst werden.

Laut Google wird die Ortung der Android-Nutzer ab Ende November eingestellt.

Kategorien: Allgemein
Schlagwörter: , ,

ENISA-Bericht mit Empfehlungen zu Zertifizierungen nach der DSGVO

8. Dezember 2017

Die europäische IT-Sicherheitsbehörde ENISA (European Union Agency for Network and Information Security) hat Empfehlungen für Unternehmen bei der Umsetzung der DSGVO-Vorgaben für Zertifizierungen veröffentlicht.
Laut Udo Helmbrecht, dem Chef von ENISA, will die Behörde auf diese Weise Unternehmen eine Hilfestellung geben und eine effektive Umsetzung der Gesetzgebung unterstützen.
Der Bericht stellt die Möglichkeit der freiwilligen Zertifizierung nach Artt. 42, 43 DSGVO für Unternehmen in den Mittelpunkt. Helmbrecht betont, dass es vor allem darum geht Datenverarbeitungsvorgänge zu bewerten, ob sie den Anforderungen der DSGVO genügen. ENISA soll ab nächstem Jahr ein europaweites freiwilliges Zertifizierungsverfahren für IT-Sicherheit etablieren. Eine der Empfehlungen ist, dass sich zwar die Aufsichtsbehörden auf ein gemeinsames Vorgehen verständigen, aber die Zertifizierung von einer akkreditierten Stelle vorgenommen werden soll um Interessenskonflikte zu vermeiden.

EU-Sicherheitskommissar will Datenbanken vernetzen

Der britische EU-Kommissar Julian King kündigte an, mehrere Datenbanken der europäischen Sicherheitsbehörden vernetzen zu wollen um die Terrorabwehr innerhalb Europas zu verstärken.

Dieses Vorhaben soll dazu dienen, Polizisten, Grenzschützer und Visa-Beamte bei der Erkennung und Identifizierung von möglicherweise gefährlichen Personen zu unterstützen. Den Beamten dieser Institutionen sollen damit alle nötigen Informationen zu den potentiell gefährlichen Personen in kurzer Zeit Mitgliedsstaaten übergreifend zur Verfügung gestellt werden.

Bisher gibt es separate Datenbanken für Visa-Inhaber, Asylbewerber, Einreisende in die EU und Gefährder, was zu Informationslücken führt, die es Terroristen möglich macht falsche Identitäten anzunehmen. Daher ist es King ein großes Anliegen, besonders Polizisten zu ermöglichen auf alle Informationen zuzugreifen, welche sie für ihre Arbeit benötigen.

Die in diesem Zusammenhang aufkeimenden Datenschutzbedenken weist King zurück und erläutert, dass es ausschließlich darum geht, ein besseres Zusammenspiel der Datenbanken zu ermöglichen und nicht darum, die Datenbanken zu einer großen Datenbank zu vereinen. Es soll lediglich eine bessere Nutzung der Datenbanken unter Berücksichtigung der geltenden Datenschutzregeln verwirklicht werden.

Um dieses Unterfangen durchsetzen zu können möchte King ebenfalls die Zusammenarbeit der Internetbranche verbessern. Aktuell setzt man in diesem Bereich auf freiwillige Kooperationen. Jedoch behält man sich vor, eine Unterstützung durch die Internetbranche mittels des europäischen Gesetzgebers zu beschleunigen.

Die Pläne zur Verwirklichung dieses Gedankens sollen in den nächsten Wochen vorgestellt werden. Anfang des Jahres soll von der EU-Kommission eine Zwischenbillanz gezogen werden.

Kategorien: Allgemein
Schlagwörter: ,

Datenpanne bei PayPal-Tochter: 1,6 Millionen Kundendaten betroffen

6. Dezember 2017

Aufgrund eines Datenlecks bei TIO Networks, einem Unternehmen von Paypal, hat der Online-Bezahldienst bekanntgegeben, dass circa 1,6 Millionen Kundendaten abhanden gekommen sein könnten.

TIO Networks bietet Dienste an, die Kunden das Bezahlen von Rechnungen ermöglicht, die ansonsten keinen einfachen Zugang zu Banken haben. Paypal hatte das Unternehmen aus Kanada im Juli dieses Jahres für circa 233 Millionen US-Dollar gekauft. Zu den betroffenen Daten gehören die persönlichen Informationen von Kunden, insbesondere deren Bankdaten und Sozialversicherungsnummern. Schon am 10. November hatte Paypal die Angebote von TIO Networks daher vorübergehend eingestellt ohne bisher eine Abschätzung abgeben zu können, wann das Unternehmen wieder den Betrieb aufnehmen kann. Auch ist bislang unklar, wer den Angriff initiiert hat und für das Datenleck verantwortlich ist.

Kunden sind angehalten, einen Service zum Schutz ihrer Identität in Anspruch zu nehmen. Darüber hinaus bietet TIO Networks seinen Kunden als Entschädigung ein kostenloses Credit Monitoring für das nächste Jahr an.

Da TIO Networks völlig unabhängig vom Paypal-Netzwerk agiert, sind Kunden von Paypal selbst allerdings nicht betroffen.

Datenschützer nehmen Uber unter die Lupe

5. Dezember 2017

Die Datenpanne des Uber Unternehmens aus dem vergangenen Jahr zieht nun doch weitreichende Konsequenzen nach sich.

Die Artikel-29 Gruppe der EU-Datenschutzbeauftragten hat, als Folge des Datenabflusses von 57 Millionen Uber-Kunden und Mitarbeitern, eine eigene Projektgruppe ins Leben gerufen, welche den Fall genau prüfen soll.

Beteiligt an der Projektgruppe sind Datenschutzbeauftragte aus Deutschland sowie den EU-Ländern Belgien, Frankreich, Spanien, Italien und Großbritannien.

Wie viele EU-Bürger von der Datenpanne betroffen sind und welchen Verstößen gegen das Datenschutzrecht sich Uber zu stellen hat, ist  aktuell noch nicht klar.

Das Unternehmen ließ verlauten, dass Nutzer der Uber-App aus der ganzen Welt betroffen sind und das Unternehmen sowohl Verbraucher als auch Mitarbeiter nicht unverzüglich über den Verstoß in Kenntnis gesetzt hat.

Laut der britischen Datenschutzbehörde ICO waren allein rund 2,7 Millionen Nutzerkonten aus Großbritannien betroffen, welche umgehend benachrichtigt werden müssen.

Das Vorgehen der Behörden auf EU-Ebene beweist eine gute Kooperation untereinander, was eine gute Prognose für die Durchsetzung der Datenschutzgrundverordnung verspricht, die ab dem 25.Mai.2018 in Kraft tritt.

Datenpanne bei Fahrradverleiher oBike

1. Dezember 2017

Eine Radtour mit einem Leihfahrrad des Anbieters oBike mag gesund, umweltfreundlich und praktisch sein. Doch leider wurden bis vor kurzem bei einer Fahrt mit einem der gelben Fahrräder, die in Berlin, Frankfurt, Hannover und München zum Verleih stehen, auch viele Daten preisgegeben.

Journalisten vom Bayerischen Rundfunk (BR) Data und BR Recherche konnten eine Vielzahl von Nutzerdaten im Internet einsehen. Nicht nur der Abstellort wurde übermittelt, sondern ein umfangreiches Bewegungsprofil. Ohne Verschlüsselung oder anderem Schutz lag der genaue Streckenverlauf online offen. Die Smartphone-App von oBike ermöglichte zudem, den Streckenverlauf in sozialen Netzwerken zu teilen. Damit gab der Fahrradfahrer auch persönliche Daten oder Profilbilder preis. Doch auch ohne Nutzung von Social-Media-Kanälen konnten Kriminelle Nutzerdaten kopieren, darunter Namen und E-Mail-Adressen.

Nachdem sich der BR an oBike gewandt hat, wurde die Sicherheitslücke geschlossen. Das Bayerische Landesamt für Datenschutzaufsicht (LDA) wertete dieses Datenleck als Verstoß gegen das Bundesdatenschutzgesetz (BDSG). Der deutsche Firmensitz von oBike liegt in Berlin. Derzeit prüft die Berliner Beauftragte für Datenschutz und Informationsfreiheit ihre Zuständigkeit für diesen Fall.

Weitergabe von Kundendaten durch einen Kabelnetzbetreiber

30. November 2017

Die Verbraucherzentrale Sachsen hat erfolgreich gegen die Weitergabe von Kundendaten durch den Kabelnetzbetreiber Primacom geklagt. Primacom ist seit dem Jahr 2015 ein Teil von Tele Columbus.

In seiner Entscheidung vom 03.11.2017, wird vom LG Leipzig die Weitergabe der Daten mangels rechtmäßiger Einwilligung verboten. Grundsätzlich ist für die Weitergabe von Kundendaten eine rechtmäßige Einwilligung des Kunden erforderlich. Die Rechtmäßigkeit kann insbesondere versagt werden, wenn der Einwilligung die erforderliche Transparenz fehlt.

Unter die Transparenz fällt auch das Verständnis des Kunden bezüglich der Reichweite seiner Einwilligung. Die Klausel von Primacom enthielt den Zweck der Nutzung von Daten zur Marktforschung. Das LG Leipzig stufte diese Formulierung als zu ungenau ein. Laut dem Gericht formulierte der Verwender den Verwendungszweck und den Verwendungsumfang nicht hinreichend klar.

Nach Angaben eines Pressesprechers von Tele Columbus, findet die beanstandete Formulierung jedoch bereits seit mehr als einem Jahr keine Verwendung mehr. Der Pressesprecher gibt ebenfalls an, dass die Weitergabe der Daten nicht rückgängig gemacht werden kann. Als Hilfe für betroffene Kunden, hat das Unternehmen stattdessen ein Musterformular veröffentlicht. Mit diesem Formular können Kunden sich über ihre personenbezogenen Daten erkundigen.

Laut dem Pressesprecher will das Unternehmen den Prozess nicht weiterführen.

Kategorien: Allgemein
Schlagwörter: ,
1 2 3 154