Spotfiy ändert Datenschutzbestimmungen

27. August 2015

Zum 19.08.2015 hat der Musik-Streamingdienst Spotify seine Nutzungs- und Datenschutzbestimmungen geändert, wie die Süddeutsche Zeitung berichtet.
Nutzer können sich bei Spotify registrieren und auf ein Repertoire von bis zu 30 Millionen verschiedenen Musiktiteln zugreifen. Diese können sie mit verschiedenen Endgeräten wiedergeben. Die Nutzung ist entweder kostenlos mit Werbeunterbrechungen oder für einen monatlich zu entrichtenden Betrag ohne Werbeunterbrechungen möglich.
Neben den für die Registrierung und gegebenenfalls für die Abrechnung erforderlichen Daten erhebt Spotify nun auch weitere auf dem Mobilgerät des Nutzers gespeicherte Daten. Zu diesen Daten gehören Kontaktdaten, Fotos und andere Mediendaten. Darüber hinaus werden teilweise auch Daten über den aktuellen Standort des Nutzers erhoben. Mit Hilfe der Standortdaten kann Spotify Sensordaten erstellen. Aus diesen Sensordaten ergibt sich, mit welcher Geschwindigkeit der Nutzer sich fortbewegt – also ob er beispielsweise gemütlich spazieren geht oder joggt.
Auf Grundlage dieser Daten kann Spotify Profile der Nutzer erstellen und seinen Vertragspartnern anbieten, die Nutzer möglichst individuell zu bewerben.
Zwar können die Nutzer die Werbemaßnahmen teilweise unterbinden, indem sie die Handlungsanweisungen in den Datenschutzbestimmungen befolgen und die technischen Voreinstellungen verändern.
Aus datenschutzrechtlicher Sicht ist jedoch fraglich, weswegen die Erhebung von Kontaktdaten, Fotos und anderen Mediendaten für die Erbringung des Streaming-Dienstes erforderlich ist. Auf diese Frage ergibt sich auch aus den Datenschutzbestimmungen keine plausible Antwort.
Insofern ist die Datenerhebung durch Spotify kritisch zu betrachten, wenngleich sie datenschutzrechtlich zulässig ist, weil die Nutzer ihre Einwilligung hierein erklärt haben. Der Widerspruch eines Nutzers in die Datenerhebung ist nur möglich, indem der Nutzer komplett auf die Nutzung des Streamningdienstes verzichtet.
Es bleibt abzuwarten ob die Nutzer mit einem Wechsel des Streamingsdienst auf die Änderungen der Datenschutzbestimmungen reagieren oder ob möglicherweise noch mit einer Maßnahme der Aufsichtsbehörden zu rechnen ist.

EU-Datenschutzgrundverordnung aktuell (3): Positionspapier der DSK

Der Trilog zwischen Europäischem Parlament, Rat der Europäischen Union und Europäischer Kommission zu den Beratungen zu der EU-Datenschutzgrundverordnung geht in die „heiße Phase“. Daher hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) am gestrigen Tag ein Positionspapier veröffentlicht und darin diverse Nachbesserungen gefordert. Die EU-Datenschutzgrundverordnung müsse im Vergleich zum geltenden Rechtsstand einen verbesserten, mindestens aber dem bisherigen Standard gleichwertigen Grundrechtsschutz gewährleisten. Daher appelliert die DSK an die Trilogpartner, bei ihren Verhandlungen insbesondere zu berücksichtigen:

  • Die Datensparsamkeit muss Gestaltungsziel bleiben!
  • Es darf keine Aufweichung der Zweckbindung geben!
  • Die Einwilligung des Einzelnen muss die Datenhoheit sichern!
  • Die Rechte der Betroffenen dürfen nicht eingeschränkt werden!
  • Die Profilbildung muss wirksam begrenzt werden!
  • Effektiver Datenschutz braucht betriebliche und behördliche Datenschutzbeauftragte!
  • Datenübermittlungen an Behörden und Gerichte in Drittstaaten bedürfen einer stärkeren Kontrolle!

Das Positionspapier steht in detaillierter Version zum Download bereit.

Kategorien: EU-Datenschutzgrundverordnung
Schlagwörter: ,

BayLDA: Achtung auf Kundendaten beim Unternehmensverkauf!

19. August 2015

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nach eigenen Angaben Verkäufer und Käufer eines Unternehmens wegen eines Verstoßes gegen die datenschutzrechtlichen Vorschriften im Umgang mit Kundendaten mit einem  mittlerweile unanfechtbaren Bußgeld in jeweils fünfstelliger Höhe belegt.

Im konkreten Fall ging es um die unzulässige Übertragung von E-Mail-Adressen von Kunden eines Online-Shops im Rahmen eines Asset Deals. Diese erfolgte ohne die explizite Einwilligung der betroffenen Kunden. Damit wurde gegen das Datenschutzgesetz verstoßen, was wegen des Umstandes, dass es sich bei E-Mail-Adressen um personenbezogene Daten handelt, anwendbar ist. Zugleich wurde gegen das Gesetz gegen den unlauteren Wettbewerb verstoßen, wonach ebenfalls eine Einwilligung des Kunden von Nöten ist, wenn der Erwerber die Daten auch zu Werbezwecken verwenden möchte.

Das BayLDA hat klargestellt, dass für die unzulässige Übergabe von Kundendaten sowohl der Veräußerer als auch der Erwerber als sogenannte „verantwortliche Stellen“ die datenschutzrechtliche Verantwortung tragen. Der Veräußerer „übermittelt“ die Daten, während der Erwerber diese Daten „erhebt“. Die unzulässige Übermittlung sowie die unzulässige Erhebung personenbezogener Daten stellen Ordnungswidrigkeiten dar, die je nach Sachverhalt mit Geldbuße von bis zu 300.000,- € geahndet werden können.

Datenschutzrechtliche Bewertung des Einsatzes von Drohnen

17. August 2015

Der Einsatz von Mini-Drohnen nimmt auch in Deutschland mehr und mehr zu. Doch was bedeutet dies eigentlich für den Einzelnen, der von einer Drohne erfasst wird?

Die potenziellen Risiken aus Sicht des Datenschutzes folgen vor allem aus der möglichen Erhebung von Bild- und Tonaufnahmen, wenn eine Person von einer Drohne erfasst wird. Aber auch Ortungsdaten können mit Hilfe dieser Technik „gesammelt“ und verarbeitet werden.

Es mangelt zunächst an der erforderlichen Transparenz über die Tatsache, dass eine solche Datenerhebung stattfinden kann, denn der Betroffene bleibt in der Regel ahnungslos darüber, dass er überhaupt erfasst wird. Darüber hinaus fehlt es an der Zweckbestimmung bezüglich der Datenerhebung und -verarbeitung, an Kenntnis über die Speicherdauer und überhaupt über die konkrete verantwortliche Stelle.

Die Artikel-29-Datenschutzgruppe hat daher nun in einer Stellungnahme die Schaffung eines gesetzlichen Rahmens für den Einsatz von Drohnen auf nationaler und europäischer Ebene gefordert, einhergehend mit der Erarbeitung eines Regelwerks für den verantwortungsvollen Einsatz von Drohnen unter Wahrung der Privatsphäre. Die Empfehlungen der Gruppe gehen zum einen dahin, eine leichtere Identifikation der Betreiber der Drohnen zu ermöglichen, des Weiteren raten sie dazu, über die beabsichtigte Datennutzung im Vorfeld aufzuklären. Im Allgemeinen könnten die für die öffentliche Videoüberwachung geltenden gesetzlichen Regelungen als Maßgabe dienen.

Man darf gespannt sein, wann und in wie weit diese Empfehlungen zur Anwendung kommen.

Kategorien: Allgemein
Schlagwörter: ,

CNIL fordert weltweites Recht auf Vergessen werden

14. August 2015

Wie die Zeit berichtet, hat die französische Datenschutzbehörde CNIL den Suchmaschinenbetreiber Google aufgefordert, das Recht auf Vergessen werden weltweit umzusetzen.
Im Jahr 2014 hatte der EuGH geurteilt, dass Betroffenen im Rahmen ihres Rechts auf informationelle Selbstbestimmung auch das Recht zusteht digital vergessen zu werden. Hiernach können Bürger der EU Google dazu verpflichten, bestimmte Links zu ihrer Vergangenheit nicht mehr in der Liste der Suchergebnisse aufzuführen.
Google entspricht den Ansprüchen von Betroffenen insoweit, als dass Einträge zu den jeweiligen Personen in der europäischen Version der Suchmaschine nicht mehr erscheinen. Der CNIL geht diese Vorgehensweise jedoch nicht weit genug. Sie fordert von Google, dass Einträge aus der Vergangenheit einer Person weltweit zu entfernen sind.
Hiergegen wehrt sich Google mit dem Argument, dass eine französische Behörde nicht die Zuständigkeit habe anzuordnen, wie die weltweiten Suchergebnisse von Google zu gestalten sein.
Ob und wie die CNIL in dieser Angelegenheiten weiter gegen Google vorgeht, bleibt abzuwarten.

Fingerabdruckscan von Androidgeräten bedingt Sicherheitsbedenken

13. August 2015

Die von Android angebotene Fingerabdruck-Technologie wird nach einem Bericht von Spiegel-Online von IT-Spezialisten als unsicher eingestuft. So seien die sensiblen biometrischen Daten der Nutzer, etwa auf dem HTC One Max, unverschlüsselt auf dem Gerät gespeichert und somit für alle Apps relativ problemlos auslesbar. Den Fachkräften gelang es mehrere Fingerabdrücke zu kopieren, was als kritscheres Sicherheitsrisiko angesehen wurde, als etwa das Ausspähen eines Passwortes.

Anders verhielt sich das Thema bei Apple-Produkten. Diese seien weitgehend sicher. Die Daten würden hier unmittelbar nach dem Erfassen verschlüsselt und seien so vor unrechtmäßigen Zugriffen oder Nutzungen ausreichend gesichert.

Kategorien: Mobile Business
Schlagwörter: , , ,

Zeige mir, wie Du tippst und ich sage Dir, wer Du bist

3. August 2015

Neben herkömmlichen Passwörtern, biometrischen Verfahren und Multifaktor-Logins wird zurzeit an einer weiteren Alternative geforscht, um Menschen im Internet zu authentifizieren: Durch Verhaltensanalyse, Behavioral Analysis, also der Art und Weise, wie der Nutzer auf eine Tastatur tippt, ob auf seinem PC, Tablet oder Smartphone. Konkret werden Erkenntnisse vor allem aus der Geschwindigkeit des Tippens, aus dem Tastendruck und aus der Art und Weise der beim Tippen eingelegten Pausen gewonnen, die den IT-Sicherheitsexperten genügend Daten liefern, um individuelle Profile erstellen zu können.

Skandinavische Banken testen dieses Verfahren bereits seit dem vergangenen Jahr, die dänische Danske Bank verwendet es bereits für ihr Online-Banking. Das schwedische Unternehmen BehavioSec biete Websitebetreibern an, mit dieser Technik die Logins ihrer Kunden zu sichern.

Die Kehrseite der Medaille einer neuen Authentifizierungsmethode ist jedoch die Gefahr des Missbrauchs der durch die Verhaltensanalyse gewonnen Daten für eine ungewollte Identifizierung des Nutzers. Das Skript von BehavioSec funktioniert beispielsweise auch bei Usern des (eigentlich) anonymisierten Tor-Browsers. Vor allem aber wird der Nutzer völlig im Unklaren darüber gelassen, ob und in wie weit sein Verhalten aufgenommen und analysiert wird. Auch dafür haben findige Entwickler aber schon eine Lösung parat: Jedenfalls bei Google Chrome kann die Eingaben in Textfeldern durch ein Browser-Add-On zufällig um ein paar Milisekunden verzögert werden, so dass eine versteckte Verhaltensanalyse nicht mehr möglich sein soll.

Ermittlungsverfahren gegen Blogger von Netzpolitik.org wegen Landesverrat gestoppt

31. Juli 2015

Einem Bericht der Frankfurter Allgemeine Zeitung (FAZ) zufolge, wird der Generalsbundesanwalt Harald Range die Ermittlungen gegen zwei Journalisten und Blogger von Netzpolitik.org vorerst ruhen lassen. Range teilte der FAZ mit, dass er „mit Blick auf das hohe Gut der Presse- und Meinungsfreiheit“ von nach der Strafprozessordnung möglichen Exekutivemaßnahmen absehen werde. Es müsse zunächst ein externes Sachverständigengutachten eingeholt werden, um die Frage zu klären, ob es sich bei den Veröffentlichungen um die Bekanntgabe eines Staatsgeheimnisses handele. Dies hätte nur in einem förmlichen Ermittlungsverfahren eingeholt werden können. Bis zum Erhalt dieses Gutachtens sollen keine weiteren Schritte eingeleitet werden.

Am Donnerstagabend war bekannt geworden, dass ein Ermittlungsverfahren gegen die Blogger Markus Beckedahl und Andre Meister von Netzpolitik.org wegen des Verdachts auf Landesverrat eingeleitet worden war. Grund für die Einleitung dieses Ermittlungsverfahrens war das Bekanntwerden eines als geheim eingestuften Budjetplans für das Bundesamt für Verfassungsschutz, den Netzpolitik.org vollständig veröffentlicht und in zwei unterschiedlichen Artikeln erläuert hat. Das vertrauliche Dokument beinhaltete insbesondere das Budjet, welches dem Verfassungsschutz für Massendatenerfassungen in sozialen Netzwerken zur Verfügung steht. Einem Bericht der Süddeutsche Zeitung zufolge, stellte Georg Maaßen, Chef des Verfassungsschutzes, nach der Veröffentlichung Strafanzeige beim Landeskriminalamt in Berlin. Dieses habe den Fall an die Bundesanwaltschaft übergeben.

Die Einleitung des Ermittlungsverfahrens durch den Generalbundesanwalt habe in den sozialen Medien zu einer Solidaritätswelle geführt. Viele Nutzer in den sozialen Netzwerken würden den Blog unterstützen, so die FAZ. Des weiteren schreibt die Zeitung, dass auch in der Politik heftige Kritik zu dem Vorgehen des Generalbundesanwalts geäußert worden sei. Der stellvertretende Bundesvorsitzende der FDP, Wolfgang Kubicki, sehe beispielsweise in den Ermittlungen einen Angriff auf den Rechtsstaat. Gleichzeitig habe er aber auch seine Empörung darüber geäußert, dass gegen das massenhafte Ausspähen der NSA nicht vorgegangen werde.

Hamburgischer Datenschutzbeauftragter geht gegen Facebook vor

30. Juli 2015

Erneut gerät das Soziale Netzwerk Facebook in das Visier von Datenschützern. In Kritik gerät Facebook diesmal wegen der Sperrung eines Nutzerkontos. Eine Nutzerin von Facebook hatte ihr Nutzerprofil unter einem Pseudonym eingerichtet, um unter ihrem bürgerlichen Namen nicht gefunden zu werden, wie der Der Hamburgische Datenschutzbeauftragte: Profilnamen bei Facebook frei wählbar mitteilt.
Facebook veranlasste die Sperrung des Nutzerkontos und forderte die Nutzerin auf, ihren richtigen Namen in ihrem Profil anzugeben. Ihre wahre Identität sollte die Nutzerin mit einem amtlichen Lichtbild nachweisen. Darüber hinaus änderte Facebook den Profilnamen der Nutzerin in deren richtigen Namen und forderte die Nutzerin auf dieser Änderung zuzustimmen, um das Konto wieder freizuschalten. Dieses Vorgehen von Facebook veranlasste die Nutzerin dazu die Aufsichtsbehörde einzuschalten.
Der zuständige hamburgische Beauftragte für den Datenschutz und Informationsfreiheit, Prof. Caspar, hat inzwischen eine Anordnung gegen Facebook erlassen, in der Facebook dazu verpflichtet wird, die anonyme Nutzung seines Dienstes zuzulassen. Sowohl die Verwehrung der Möglichkeit ein Profil unter einem Pseudonym zu führen als auch die Aufforderung, sich digital mit einem amtlichen Lichtbildausweis zu identifizieren, verstoße gegen geltendes Recht.
Gemäß § 13 Abs. 6 Telemediengesetz  sind Diensteanbieter wie Facebook dazu verpflichtet, ihren Nutzern die Nutzung ihrer Dienste entweder anonym oder unter einem Pseudonym zu ermöglichen. Dieser Verpflichtung kommt Facebook im vorliegenden Falle jedoch nicht nach.
Ein weiterer Gesetzesverstoß stellt die Aufforderung der Identifizierung mit einem amtlichen Lichtbildausweis dar. Die Erhebung und Nutzung der Daten des Personalausweises darf gemäß § 14 Personalausweisgesetz nur unter bestimmten Voraussetzungen verlangt werden. Die elektronische Identifizierungsfunktion des Personalausweises darf aus Gründen der Datensicherheit nur unter Verwendung eines gültigen Berechtigungszertifikats von dem Diensteanbieter eingesetzt werden.
Auch die Änderung des Namens der Nutzerin von dem Pseudonym in ihren richtigen Namen stellt einen Gesetzesverstoß. Das Grundgesetz garantiert – abgeleitet aus der Würde des Menschen und dem allgemeinen Persönlichkeitsrecht – das Recht auf informationelle Selbstbestimmung. Dieses Grundrecht wird im Bundesdatenschutzgesetz konkretisiert. Danach hat jeder Einzelne das Recht frei zu entscheiden, ob, wann, in welchem Umfang und wem gegenüber er seine personenbezogenen Daten veröffentlicht.
Wie Facebook auf die Anordnung des Hamburgischen Datenschutzbeauftragten reagiert, bleibt abzuwarten.

Gesundheits-Apps unter Studierenden: Leistungsoptimierung geht über Datenschutz

24. Juli 2015

Im Rahmen eines deutschlandweiten Forschungsprojekts der Universität Bielefeld zur Techniknutzung im Gesundheitssektor, für welches 675 Studierende befragt wurden, bestätigt sich nicht nur, dass das Angebot an Gesundheits-und Fitness-Apps für Smartphone und Smartwatch immer umfangreicher wird, sondern auch, dass die Nutzung in Kreisen der Entscheider von morgen schon längst im Alltag angekommen ist.

Was aus Perspektive der Datenschützer erst mal positiv klingt: Wie die Universität bestätigt, ist die Sensibilität für das Thema Datenschutz unter den Studierenden durchaus vorhanden. Ernüchternd aber: In Zeiten der Selbst- und Leistungsoptimierung fällt die Abwägung der Studierenden zwischen dem Nutzwert dieser Anwendungen und den (berechtigten) Datenschutzbedenken regelmäßig pro Nutzung der Apps aus – und damit pro Preisgabe zahlreicher sensibler Gesundheitsdaten, von denen Versicherer und andere potentielle Interessenten sonst nur hätten träumen können.

„Gerade mit Blick auf Risiken wie den Datenmissbrauch zeigt sich hier ein bemerkenswerter Verdrängungsprozess, der allerdings auch damit einhergeht, dass das bisherige Wissen der Nutzerinnen und Nutzer zu gering ist, zitiert die Universität den Gesundheitswissenschaftler Christoph Dockweiler. „Gerade mal jeder Dritte fühlt sich ausreichend informiert über die potenziellen Risiken der Nutzung“.

Unter 675 Befragten gab mehr als ein Drittel der befragten Studentinnen und Studenten an, täglich Gesundheits- oder Medizin-Apps zu nutzen. Mehr als zwei Drittel dieser Gruppe nutzt dabei Apps zur Gesundheitsüberwachung, beispielsweise hinsichtlich Bewegungspensum oder Schlafverhalten. Immerhin die Hälfte der Befragten nutzt Sport-Apps, welche zurückgelegte Lauf- oder Radstrecken speichern, und dabei auch die Herzfrequenz und den Kalorienverbrauch messen. Ziel dieser Nutzungen ist demnach neben der eigenen Gesundheitskontrolle gerade die Steigerung der individuellen Leistungsfähigkeit – nicht nur ein Nebenaspekt in einer Zeit, in der sich junge Akademiker immer komplexeren Anforderungen ausgesetzt sehen und schon in frühen Semestern um ihre Credits bemüht sein müssen. Der allgemeine Fitnesstrend trägt den Rest dazu bei, einen digitalen Geschäftszweig zu nähren, der nur eines zum Ziel hat: den massenhaften Ertrag von aussagekräftigen personenbezogenen Daten.

Es braucht nicht viel Fantasie um zu erahnen, welche Möglichkeiten und welches Missbrauchspotential diese Datensätze den Interessenten aus der Wirtschaft offerieren – nicht zuletzt im Zeitalter der Big-Data-Technologie, dessen Beginn wir gerade erst erleben.

1 2 3 111