Kopplungsverbot unter DSGVO – Ein „Killer“ vieler Einwilligungen?

12. Dezember 2017

Das sogenannte Kopplungsverbot für datenschutzrechtliche Einwilligungen von Betroffenen ist grundsätzlich keine Neuheit der Datenschutz-Grundverordnung. Auch nach dem bisherigen Recht des Bundesdatenschutzgesetzes war Voraussetzung für eine wirksame Einwilligung, dass diese freiwillig erteilt und der Zugang zu einer Leistung somit nicht an eine solche Einwilligung gebunden wird.

Das Kopplungsverbot stellt sich jedoch nicht als ein allzu scharfes Schwert dar. Immer wieder gibt es im Internet Angebote, die auf den ersten Blick zwar kostenlos sind, sich aber über die Verarbeitung von Daten und die Platzierung von Werbung refinanzieren. Beispielsweise sind Online-Gewinnspiele, für deren Teilnahme der Nutzer in den Erhalt eines Newsletters einzuwilligen hat, keine Seltenheit. Streng genommen läge hier schon eine Kopplung vor. Das angesprochene Verbot präsentiert sich an dieser Stelle offen für Situationen, in denen der Nutzer sich über die „Bezahlung mit seinen Daten“ im Klaren und mit diesen Bedingungen schlicht einverstanden ist.

Womöglich wird durch die ab Mai 2018 anzuwendende Datenschutz-Grundverordnung hier eine spürbare Verschärfung eintreten. Maßgeblich ist Art. 7 Abs. 4 mit dem dazugehörigen Erwägungsgrund 43 zur DSGVO. Insbesondere der Erwägungsgrund fordert der beispielhaften Gewinnspiel-Situation eine getrennte (und eben nicht gekoppelte) Erteilung von Einwilligungen des Nutzers ab. Genauer gesagt müsste sich der User bedingungslos zu einem Gewinnspiel anmelden dürfen und könnte erst im Nachgang gefragt werden, ob er zusätzlich in dem Erhalt von Werbung in Form eines Newsletters zustimmen möchte. Dies hätte natürlich eine drastisch niedrigere Quote von Newsletter-Teilnehmern zur Folge.

Stellt sich die Anwendung der DSGVO an dieser Stelle in der gelebten Praxis so streng heraus, wie es der Wortlaut der gesetzlichen Grundlage verspricht, entspricht dies einer deutlichen Verschärfung gegenüber der bisherigen Rechtslage. Viele etablierte Prozesse werden dann zu überdenken sein.

Google sammelt Standortdaten von Android-Nutzern

Die Nachrichtenseite Quartz berichtet, dass Google seit Monaten Standortdaten von Android-Nutzern weltweit sammelt, selbst dann, wenn Nutzer die Ortungsdienste abgeschaltet haben. Google hat dies auch bestätigt. Die Standortdaten werden dazu genutzt, um die Verteilung von Push-Benachrichtigungen zu verbessern. Eine Speicherung der Daten würde aber nicht stattfinden.

Die Rechtmäßigkeit der heimlichen Ortung stützt Google auf ihre Datenschutzerklärung, welche Android Nutzer bei Einrichtung ihres Gerätes zustimmen müssen. Dort heißt es: „Wenn Sie Google-Dienste nutzen, erfassen und verarbeiten wir möglicherweise Informationen über Ihren tatsächlichen Standort.“ Dafür kann Google neben „IP-Adressen und GPS“ auch „andere Sensoren“ verwenden, die Informationen über „WLAN-Zugangspunkte oder Mobilfunkmasten“ liefern.

Nutzer haben zudem keine Möglichkeit dieser Datenschutzerklärung zu widersprechen. Ferner geht auch nicht aus der Datenschutzerklärung hervor, auf welche Weise die Standortdaten erfasst werden.

Laut Google wird die Ortung der Android-Nutzer ab Ende November eingestellt.

Kategorien: Allgemein
Schlagwörter: , ,

ENISA-Bericht mit Empfehlungen zu Zertifizierungen nach der DSGVO

8. Dezember 2017

Die europäische IT-Sicherheitsbehörde ENISA (European Union Agency for Network and Information Security) hat Empfehlungen für Unternehmen bei der Umsetzung der DSGVO-Vorgaben für Zertifizierungen veröffentlicht.
Laut Udo Helmbrecht, dem Chef von ENISA, will die Behörde auf diese Weise Unternehmen eine Hilfestellung geben und eine effektive Umsetzung der Gesetzgebung unterstützen.
Der Bericht stellt die Möglichkeit der freiwilligen Zertifizierung nach Artt. 42, 43 DSGVO für Unternehmen in den Mittelpunkt. Helmbrecht betont, dass es vor allem darum geht Datenverarbeitungsvorgänge zu bewerten, ob sie den Anforderungen der DSGVO genügen. ENISA soll ab nächstem Jahr ein europaweites freiwilliges Zertifizierungsverfahren für IT-Sicherheit etablieren. Eine der Empfehlungen ist, dass sich zwar die Aufsichtsbehörden auf ein gemeinsames Vorgehen verständigen, aber die Zertifizierung von einer akkreditierten Stelle vorgenommen werden soll um Interessenskonflikte zu vermeiden.

EU-Sicherheitskommissar will Datenbanken vernetzen

Der britische EU-Kommissar Julian King kündigte an, mehrere Datenbanken der europäischen Sicherheitsbehörden vernetzen zu wollen um die Terrorabwehr innerhalb Europas zu verstärken.

Dieses Vorhaben soll dazu dienen, Polizisten, Grenzschützer und Visa-Beamte bei der Erkennung und Identifizierung von möglicherweise gefährlichen Personen zu unterstützen. Den Beamten dieser Institutionen sollen damit alle nötigen Informationen zu den potentiell gefährlichen Personen in kurzer Zeit Mitgliedsstaaten übergreifend zur Verfügung gestellt werden.

Bisher gibt es separate Datenbanken für Visa-Inhaber, Asylbewerber, Einreisende in die EU und Gefährder, was zu Informationslücken führt, die es Terroristen möglich macht falsche Identitäten anzunehmen. Daher ist es King ein großes Anliegen, besonders Polizisten zu ermöglichen auf alle Informationen zuzugreifen, welche sie für ihre Arbeit benötigen.

Die in diesem Zusammenhang aufkeimenden Datenschutzbedenken weist King zurück und erläutert, dass es ausschließlich darum geht, ein besseres Zusammenspiel der Datenbanken zu ermöglichen und nicht darum, die Datenbanken zu einer großen Datenbank zu vereinen. Es soll lediglich eine bessere Nutzung der Datenbanken unter Berücksichtigung der geltenden Datenschutzregeln verwirklicht werden.

Um dieses Unterfangen durchsetzen zu können möchte King ebenfalls die Zusammenarbeit der Internetbranche verbessern. Aktuell setzt man in diesem Bereich auf freiwillige Kooperationen. Jedoch behält man sich vor, eine Unterstützung durch die Internetbranche mittels des europäischen Gesetzgebers zu beschleunigen.

Die Pläne zur Verwirklichung dieses Gedankens sollen in den nächsten Wochen vorgestellt werden. Anfang des Jahres soll von der EU-Kommission eine Zwischenbillanz gezogen werden.

Kategorien: Allgemein
Schlagwörter: ,

Datenpanne bei PayPal-Tochter: 1,6 Millionen Kundendaten betroffen

6. Dezember 2017

Aufgrund eines Datenlecks bei TIO Networks, einem Unternehmen von Paypal, hat der Online-Bezahldienst bekanntgegeben, dass circa 1,6 Millionen Kundendaten abhanden gekommen sein könnten.

TIO Networks bietet Dienste an, die Kunden das Bezahlen von Rechnungen ermöglicht, die ansonsten keinen einfachen Zugang zu Banken haben. Paypal hatte das Unternehmen aus Kanada im Juli dieses Jahres für circa 233 Millionen US-Dollar gekauft. Zu den betroffenen Daten gehören die persönlichen Informationen von Kunden, insbesondere deren Bankdaten und Sozialversicherungsnummern. Schon am 10. November hatte Paypal die Angebote von TIO Networks daher vorübergehend eingestellt ohne bisher eine Abschätzung abgeben zu können, wann das Unternehmen wieder den Betrieb aufnehmen kann. Auch ist bislang unklar, wer den Angriff initiiert hat und für das Datenleck verantwortlich ist.

Kunden sind angehalten, einen Service zum Schutz ihrer Identität in Anspruch zu nehmen. Darüber hinaus bietet TIO Networks seinen Kunden als Entschädigung ein kostenloses Credit Monitoring für das nächste Jahr an.

Da TIO Networks völlig unabhängig vom Paypal-Netzwerk agiert, sind Kunden von Paypal selbst allerdings nicht betroffen.

Datenschützer nehmen Uber unter die Lupe

5. Dezember 2017

Die Datenpanne des Uber Unternehmens aus dem vergangenen Jahr zieht nun doch weitreichende Konsequenzen nach sich.

Die Artikel-29 Gruppe der EU-Datenschutzbeauftragten hat, als Folge des Datenabflusses von 57 Millionen Uber-Kunden und Mitarbeitern, eine eigene Projektgruppe ins Leben gerufen, welche den Fall genau prüfen soll.

Beteiligt an der Projektgruppe sind Datenschutzbeauftragte aus Deutschland sowie den EU-Ländern Belgien, Frankreich, Spanien, Italien und Großbritannien.

Wie viele EU-Bürger von der Datenpanne betroffen sind und welchen Verstößen gegen das Datenschutzrecht sich Uber zu stellen hat, ist  aktuell noch nicht klar.

Das Unternehmen ließ verlauten, dass Nutzer der Uber-App aus der ganzen Welt betroffen sind und das Unternehmen sowohl Verbraucher als auch Mitarbeiter nicht unverzüglich über den Verstoß in Kenntnis gesetzt hat.

Laut der britischen Datenschutzbehörde ICO waren allein rund 2,7 Millionen Nutzerkonten aus Großbritannien betroffen, welche umgehend benachrichtigt werden müssen.

Das Vorgehen der Behörden auf EU-Ebene beweist eine gute Kooperation untereinander, was eine gute Prognose für die Durchsetzung der Datenschutzgrundverordnung verspricht, die ab dem 25.Mai.2018 in Kraft tritt.

Datenpanne bei Fahrradverleiher oBike

1. Dezember 2017

Eine Radtour mit einem Leihfahrrad des Anbieters oBike mag gesund, umweltfreundlich und praktisch sein. Doch leider wurden bis vor kurzem bei einer Fahrt mit einem der gelben Fahrräder, die in Berlin, Frankfurt, Hannover und München zum Verleih stehen, auch viele Daten preisgegeben.

Journalisten vom Bayerischen Rundfunk (BR) Data und BR Recherche konnten eine Vielzahl von Nutzerdaten im Internet einsehen. Nicht nur der Abstellort wurde übermittelt, sondern ein umfangreiches Bewegungsprofil. Ohne Verschlüsselung oder anderem Schutz lag der genaue Streckenverlauf online offen. Die Smartphone-App von oBike ermöglichte zudem, den Streckenverlauf in sozialen Netzwerken zu teilen. Damit gab der Fahrradfahrer auch persönliche Daten oder Profilbilder preis. Doch auch ohne Nutzung von Social-Media-Kanälen konnten Kriminelle Nutzerdaten kopieren, darunter Namen und E-Mail-Adressen.

Nachdem sich der BR an oBike gewandt hat, wurde die Sicherheitslücke geschlossen. Das Bayerische Landesamt für Datenschutzaufsicht (LDA) wertete dieses Datenleck als Verstoß gegen das Bundesdatenschutzgesetz (BDSG). Der deutsche Firmensitz von oBike liegt in Berlin. Derzeit prüft die Berliner Beauftragte für Datenschutz und Informationsfreiheit ihre Zuständigkeit für diesen Fall.

Weitergabe von Kundendaten durch einen Kabelnetzbetreiber

30. November 2017

Die Verbraucherzentrale Sachsen hat erfolgreich gegen die Weitergabe von Kundendaten durch den Kabelnetzbetreiber Primacom geklagt. Primacom ist seit dem Jahr 2015 ein Teil von Tele Columbus.

In seiner Entscheidung vom 03.11.2017, wird vom LG Leipzig die Weitergabe der Daten mangels rechtmäßiger Einwilligung verboten. Grundsätzlich ist für die Weitergabe von Kundendaten eine rechtmäßige Einwilligung des Kunden erforderlich. Die Rechtmäßigkeit kann insbesondere versagt werden, wenn der Einwilligung die erforderliche Transparenz fehlt.

Unter die Transparenz fällt auch das Verständnis des Kunden bezüglich der Reichweite seiner Einwilligung. Die Klausel von Primacom enthielt den Zweck der Nutzung von Daten zur Marktforschung. Das LG Leipzig stufte diese Formulierung als zu ungenau ein. Laut dem Gericht formulierte der Verwender den Verwendungszweck und den Verwendungsumfang nicht hinreichend klar.

Nach Angaben eines Pressesprechers von Tele Columbus, findet die beanstandete Formulierung jedoch bereits seit mehr als einem Jahr keine Verwendung mehr. Der Pressesprecher gibt ebenfalls an, dass die Weitergabe der Daten nicht rückgängig gemacht werden kann. Als Hilfe für betroffene Kunden, hat das Unternehmen stattdessen ein Musterformular veröffentlicht. Mit diesem Formular können Kunden sich über ihre personenbezogenen Daten erkundigen.

Laut dem Pressesprecher will das Unternehmen den Prozess nicht weiterführen.

Kategorien: Allgemein
Schlagwörter: ,

US-Justizministerium beschuldigt Chinesen des Hackings

29. November 2017

Drei chinesische Mitarbeiter des Unternehmens Guangzhou Bo Yu Information Technologie Company Ltd. werden von dem US-Justizministerium bezichtigt, Cyber-Attacken auf den deutschen Großkonzern Siemens AG ausgeübt zu haben. Die Angriffe auf das Netzwerk von Siemens sowie zwei weiteren deutschen Unternehmen fanden zwischen den Jahren 2011 und 2017 statt.

Bei Siemens versuchten die Hacker im Sommer 2014 Passwörter und Nutzernamen abzugreifen. Im Sommer 2015 wurden erfolgreich 407 Gigabyte geschützter Daten des Unternehmens entwendet.

Siemens äußerte sich dabei aus Prinzip nicht zu Angelegenheiten, welche die interne Sicherheit betreffen. Jedoch betonte der Unternehmenssprecher, dass die Datensicherheit für das Unternehmen weltweit von höchster Priorität sei und Siemens seine Infrastruktur streng überwache und schütze.

Die drei Angeklagten befinden sich derzeit nicht in Gewahrsam und werden als Einzelpersonen behandelt, nicht als vom chinesischen Staat unterstützte Hacker. Beispiele wie dieses bestätigen Studien, die in Cyberangriffen auf Unternehmen eine allgegenwärtige und ernstzunehmende Bedrohung sehen.

Online-Test zur Vorbereitung auf die DSGVO für Unternehmen und Verantwortliche

27. November 2017

Das bayerische Landesamt für Datenschutzaufsicht, kurz BayLDA, hat am vergangenen Freitag einen Online-Selbsttest, für Unternehmen und andere Verantwortliche, hinsichtlich Compliance mit der EU-Datenschutzgrundverordnung (DSGVO) veröffentlicht.

Inzwischen sollte es kein Geheimnis mehr sein, dass die DSGVO am 25.Mai 2018 wirksam wird und bis dahin die Änderungen und Anforderungen der DSGVO umgesetzt sein müssen. Von der 2 jährigen Umsetzungszeit seit in Kraft treten der DSGVO ist nur noch ein Viertel, sechs Monate, über. Es ist also höchste Zeit sich einen Überblick über die Anforderungen zu machen und mit der Umsetzung der erforderlichen Maßnahmen zu beginnen.

Der Test führt bildlich durch alle EU-Mitgliedsstaaten und enthält 28 Fragen mit jeweils drei Antwortmöglichkeiten zu Themen der DSGVO. Die detaillierte Auswertung am Ende des Tests gibt Aufschluss über den Stand der Umsetzung der DSGVO im Unternehmen und zeigt auf, welche gesetzlichen Anforderungen bis zum 25. Mai 2018 noch umgesetzt werden müssen.

Bei dem Selbsttest handelt es sich nicht um ein Wissensquiz, sondern um eine Hilfe für Unternehmen und Verantwortliche, um festzustellen, was noch getan werden muss.

Der Test ist auch in englischer Sprache verfügbar.

1 2 3 154