Hamburgischer Beauftragte für Datenschutz und Informationsfreiheit erlässt Anordnung gegen Facebook

28. September 2016

Mit einer Verwaltungsanordnung hat am 27.09.2016 ordnet der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar, Facebook an, es ab sofort zu unterlassen, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Bereits durch WhatsApp übermittelte Daten hat Facebook zu löschen.

Wie bereits berichtet, hatte WhatsApp im August 2016 Änderungen seiner Nutzungsbedingungen bekannt gegeben, die vorsehen, dass WhatsApp die Telefonnummern seiner Nutzer und Informationen wann der Nutzer aktiv war an Facebook übermittelt.

Nach den Regelungen des Bundesdatenschutzgesetzes ist die Übermittlung von personenbezogenen Daten nur dann zulässig, wenn entweder eine gesetzliche Grundlage dies erlaubt oder die Betroffenen hierein eingewilligt haben. Beides liegt bei der Datenübermittlung an Facebook jedoch nicht vor.

Die Anordnung gegen Facebook erfolgt im Sinne des Rechts auf informationelle Selbstbestimmung. Es müsse die Entscheidung der WhatsApp-Nutzer sein, ob sie eine Verbindung ihres Kontos mit Facebook wünschen, so Caspar.

Verwaltungsmitarbeiter verbreitet Stimmung im Fußballstadion – mit Konfetti aus vertraulichem Aktenmaterial

23. September 2016

Angestellten im öffentlichen Dienst eilt nicht unbedingt der Ruf als Stimmungskanone voraus. Dieses Klischee hat ein Mitarbeiter der Kommunalverwaltung im rheinland-pfälzischen Bad Kreuznach eindrucksvoll widerlegt. Auch wenn es wohl kaum die Absicht des Angestellten gewesen sein dürfte, den wohl größten Eindruck ausgerechnet bei Datenschützern zu hinterlassen.

Um sich bei der Fan-Choreografie im Rahmen eines Heimspiels des Fußball-Zweitligisten 1. FC Kaiserslautern zu beteiligen, fertigte der fleißige Fußballfan eine gehörige Menge rosa-weißes Konfetti, welches in der Fankurve in die Luft geschmissen und im Stadion großflächig verteilt wurde. Aufmerksame Besucher der Partie erkannten allerdings in den wohl mehr schlecht als recht zerkleinerten Papierschnipseln vertrauliche Dokumente der Kommunalverwaltung Bad Kreuznachs, so rosafarbene Formulare, mit denen Bedürftige Mietkostenzuschüsse beantragen konnten, aber auch Anwaltspost zu Unterhaltsforderungen.

Diese Dokumente wurden schon von der Behörde nicht geschreddert, sondern unversehrt als Altpapier entsorgt. Einen gehörigen Anteil an der bunten Choreografie darf sich also auch die Stadt Bad Kreuznach als verantwortliche Stelle zuschreiben.

Dass Kaiserslautern sein Heimspiel gegen den Gast aus Dresden auch noch verlor, dürfte den gebrauchten Tag für den Konfettiproduzenten komplettiert haben.

Millionenfacher Datendiebstahl bei Yahoo

Wie Yahoo gestern abend mitteilte, wurden etwa 500 Millionen Nutzer-Accounts von Unbekannten gestohlen. Bei den vom Zugriff betroffenen Daten handelt es sich wohl um Namen, E-Mailadressen, Telefonnumern und Geburtsdaten.

Auch wenn die Nachricht von gestern abend, 22.09.2016, stammt, fand der Diebstahl wohl bereits 2014 statt. Yahoo hat nun an alle betroffenen Nutzer entsprechende informatorische E-Mails versandt mit dem Hinweis, ihr Passwort so schnell wie möglich zu ändern. Zwar seien die Passwörter wohl nach wie vor verschlüsselt gewesen und keinerlei Bankdaten betroffen. Da jedoch auch Sicherheitsfragen nebst deren Antworten für die Angreifer abrufbar waren, können somit nicht nur die Nutzer sondern auch die Angreifer die Passwörter ändern oder zurücksetzen.

Die betroffenen Nutzer sollten nun nicht nur ihr Yahoo Passwort, sondern auch alle anderen Passwörter ändern. Kritisch ist insbesondere die Nutzung eines Passworts für mehrere Konten, ebenso wie die gleichen Antworten auf die häufig genutzten Sicherheitsabfragen.

Immer wieder sind insbesondere Internetplattformen von Angriffen dieser Art betroffen. Allen Nutzern wird empfohlen, ein möglichst sicheres Passwort zu verwenden und verschiedene Passwörter für die unterschiedlichen Nutzerkonten zu verwenden.

Unzulässige Weitergabe von Mobiltelefonnummern an Facebook: Verbraucherschützer mahnen WhatsApp ab

20. September 2016

Was nach der Übernahme des Messenger-Dienstes WhatsApp durch den Social-Network-Anbieter Facebook von Datenschützern befürchtet wurde, hat sich nunmehr bewahrheitet – Facebook nutzt personenbezogene Daten, welche WhatsApp von den Nutzern erhebt und schließlich weitergibt.

Auch wenn beide Unternehmen nunmehr einem Konzern angehören, ist ein solcher Datenaustausch nicht ohne Weiteres zulässig – im Datenschutzrecht gilt kein sogenanntes Konzernprivileg.

So sah sich nun der Bundesverband der Verbraucherzentralen (VZBV) gezwungen, WhatsApp dafür abzumahnen, dass personenbezogene Daten an die Konzernmutter Facebook weitergegeben werden. Die Juristen des VZBV sehen insbesondere die Einwilligungserklärungen der Nutzer, auf die sich WhatsApp beruft, als unzureichend an, und den Tatbestand der Verbrauchertäuschung dadurch erfüllt, dass sich der Konzern zuvor öffentlich dahingehend erklärt hatte, WhatsApp solle auch nach der Übernahme durch Facebook unabhängig bleiben. Der Verband verlangt daher auch die Abgabe einer entsprechenden Unterlassungserklärung.

Im Fokus steht dabei vor allem die Weitergabe von Telefonnummern aus der Kontaktliste der Nutzer, welche Facebook unter anderem nutzt, um im Netzwerk die Nummernhalter als Freunde vorzuschlagen. Vorausgegangen war eine Änderung der Nutzungsbedingungen seitens WhatsApp, die eben einen solchen Datenaustausch rechtfertigen soll. Eine Einwilligung in die Datenübermittlung muss allerdings aktiv vom Betroffenen erklärt werden. Das sieht der gegenwärtige Prozess nicht vor. Dazu kommt, dass die Einwilligung jeweils nur vom Betroffenen höchstpersönlich erklärt werden kann; der Nummernhalter wird aber gar nicht miteinbezogen.

Sollte WhatsApp die Unterlassungserklärung nicht abgeben und die monierte Praxis abstellen, wird der Verband Klage erheben. Erst im Februar 2016 hatte eine Änderung des Unterlassungsklagegesetzes das Verbandsklagerecht auch bei Datenschutzverstößen überhaupt ermöglicht.

Kategorien: Allgemein

EuGH-Entscheidung zu offenen WLANs

16. September 2016

Während in der geplanten Reform des Telekommunikationsgesetzes (TKG) die Störerhaftung nahezu abgeschafft werden soll, hat nun der Europäische Gerichtshof (EuGH) eine nicht unerhebliche Entscheidung zur Urheberrechtsverletzung in offenen WLANs entschieden.

Die Störerhaftung besagt, dass der Betreiber eines offenen WLAN-Netzes für Rechtsverletzungen verantwortlich ist, und zwar auch dann, wenn ein anderer als der Betreiber, die Handlung begangen hat. Aus diesem Grund gibt es hierzulande nur selten offene Netze, da es für den Betreiber kaum nachzuvollziehen ist, wer sich in seinem Netz befindet und welche Handlungen der Nutzer dort vornimmt. Damit setzt sich der Betreiber eines offenen WLANs einem großen Rechtsrisiko aus.

Mit der Reform des Telekommunikationsgesetzes soll nun das sogenannte Providerprivileg ausgebaut werden. Dadurch, dass nicht automatisch der Betreiber eines Netzes haftet, sollen im Bundesgebiet mehr offene Netze entstehen können, da das Rechtsrisiko für den Betreiber deutlich geringer ausfällt.

Das Landgericht München hatte sich mit einem Fall der Störerhaftung zu befassen, bei dem ein Geschäftsbetreiber, der ein offenes WLAN angeboten hat, über das ein Nutzer illegal Musik heruntergeladen hat, für die Tathandlung haften soll. Das Landgericht München hat in diesem Fall den EuGH um Stellungnahme angerufen.

Der Europäische Gerichtshof hat nun entschieden, dass Geschäftsleute, die kostenloses WLAN anbieten, nicht für Urheberrechtsverletzungen, die durch andere Nutzer innerhalb dieses Netzes verursacht werden, haften. Den Betreiber des WLANs treffen jedoch Pflichten, das Netzwerk, zum Beispiel durch ein Passwort, zu sichern, wie chip online berichtet.

Was die geplante Verbreitung offener WLANs betrifft, zeigt sich einmal mehr, wie deutlich Realität und Wunsch auseinander liegen. Die Kontroversen zur Störerhaftung werden trotz des Urteils erhalten bleiben.

Oberlandesgericht Frankfurt urteilt über zulässige E-Mail- und Telefonwerbung

14. September 2016

Das Oberlandesgericht Frankfurt entschied in seinem Urteil vom 28.07.2016 Az. U 93/15, dass Einwilligungserklärungen in E-Mail- und Telefonwerbung dann unzulässig sind, wenn sich die Erklärung auf eine Vielzahl werbender Unternehmen bezieht und die Geschäftsbereiche der Unternehmen so unbestimmt formuliert sind, dass für den Erklärenden nicht klar erkennbar ist, welche Produkte und Dienstleistungen beworben werden.

Im vorliegenden Fall klagten Verbraucherschützer gegen den Veranstalter eines Online-Gewinnspiels. Auf der Webseite des Beklagten konnten Nutzer an einem Gewinnspiel teilnehmen und gleichzeitig einwilligen, dass ihre personenbezogene Daten von den „…in der Liste aufgeführten Sponsoren für die jeweils angegebenen Produkte und Dienstleistungen…“ zu E-Mail- und Telefonwerbung verwendet werden dürfen. Die Begriffe „Liste“, „Sponsoren“, „Produkte“ und „Dienstleistungen“ waren jeweils mit Links zu einer Liste hinterlegt, welche die einzelnen teilnehmenden Unternehmen sowie deren Geschäftsbereich enthielt. Die so erhobenen personenbezogenen Daten wurden von dem Beklagten an die teilnehmenden Unternehmen übermittelt.

Das Landgericht verpflichtete den Beklagten, die beschriebene Einwilligungserklärung nicht mehr zu verwenden. Die Berufung des Beklagten gegen das Urteil des Landgerichts blieb erfolglos. Als Begründung führt das OLG an, dass eine wirksame Einwilligungserklärung stets Freiwilligkeit und Kenntnis der konkreten Sachlage beim Betroffenen voraussetzt. Die Kenntnis über die konkrete Sachlage bezweckt, dass der Betroffene informiert entscheiden kann, wem er zu welchen Zwecken seine personenbezogenen Daten mitteilt.

Eine informierte Entscheidung kann der Betroffene jedenfalls dann nicht treffen, wenn die beworbenen Produkte und Dienstleistungen lediglich pauschaliert mit Oberbegriffen wie „Vermögenswirksame Leistungen“, „Telekommunikationsprodukte“ oder „Versandhandel“ beschrieben werden.

Wirksame Einwilligungen, die den Anforderungen der §§ 4a und 28 Abs. 3 Bundesdatenschutzgesetz entsprechen, lagen im vorliegenden Falle somit nicht vor.

SPD plant Verschiebung der Datenschutz-Zuständigkeit ins Justizministerium

Die anstehende Bundestagswahl im Herbst 2017 wirft ihre Schatten voraus, der Wahlkampf hat begonnen, auch wenn noch keine Plakate die Straßen zieren. Die SPD plant die Neuordnung der Zuständigkeit für den Datenschutz in ihr Wahlprogramm aufzunehmen. Ziel der Sozialdemokraten ist es, diesen aus dem Bereich des Innen- in den des Justizministeriums zu verschieben. Dies begründen Sie mit der veränderten Charakteristik des Datenschutzes, der mehr und mehr Bürgerrechte und Verbraucherschutz betrifft, so Gerold Reichenbach, Berichterstatter für Datenschutz der SPD-Bundestagsfraktion. Beides seien nach Auffassung der Partei „originäre Bereiche“ dieses Ressorts.

Für das Innenministerium bestünde hingegen zunehmend ein „innerer Interessenkonflikt zwischen dem Schutz der Vertraulichkeit und der Integrität der Daten der Bürger einerseits und dem Aufklärungsinteresse der Sicherheitsbehörden andererseits“. Daher sei die Zuordnung veraltet und überholt.

EU-DSGVO: Referentenentwurf zur Anpassung des deutschen Datenschutzrechts veröffentlicht

8. September 2016

Am Mittwoch, den 07.09.2016, hat Netzpolitik.org einen aktuellen Referentenentwurf des Bundesinnenministeriums (BMI) für das „Datenschutz-Anpassungs und Umsetzungsgesetz EU“ veröffentlicht.

Im April 2016 hatte das Europäische Parlament die EU-Datenschutzgrundverordnung (EU-DSGVO) verabschiedet, die die bisher geltende EU-Datenschutz-Richtlinie 95/46/EG ablösen soll. Ziel der EU-DSGVO ist die weitestgehende Harmonisierung des Datenschutzrechtes durch unmittelbare Geltung der Regelungen in den EU-Mitgliedsstaaten. Anders als bei einer Richtlinie müssen die Regelungen einer Verordnung nicht mehr in nationales Recht umgesetzt werden. Allerdings sieht die EU-DSGVO in einigen Regelungen sogenannte Öffnungsklauseln vor, die den EU-Mitgliedsstaaten die Möglichkeit für nationale, unter Umständen abweichende, Detailregelungen einräumen. Bis Mai 2018 müssen die EU-Mitgliedsstaaten von dieser Möglichkeit Gebrauch gemacht haben und entsprechende Anpassungen und Neuregelungen im nationalen Datenschutzrecht vornehmen. Der in dem veröffentlichten Referentenentwurf des BMI dargestellte Gesetzesentwurf soll in Deutschland die erforderlichen Anpassungen des Datenschutzrechtes, insbesondere des Bundesdatenschutzgesetzes, umsetzen.

Die ebenfalls auf Netzpolituk.org dargestellte Kritik, insbesondere des Bundesjustizministeriums sowie der Bundesdatenschutzbeauftragten, in Bezug auf den Referentenentwurf ist vernichtend. So sollen beispielsweise in Zukunft nicht nur Datenschutzverstöße von Nachrichtendiensten vollständig sanktionslos sowie die verdachtsunabhängige Datenverarbeitung zur Verhütung, Aufdeckung und Verfolgung von Verstößen gegen Berufsstandregeln reglementierter Berufe durch öffentliche Stellen möglich sein, sondern auch der Zweckbindungsgrundsatz ausgehöhlt werden. Dadurch bestünde die Gefahr, dass das deutsche Datenschutzrecht unter das Niveau des bisherigen Bundesdatenschutzgesetzes sinken würde. Die Kritik des Bundesjustizministeriums sowie der Bundesdatenschutzbeauftragten bezieht sich nicht nur auf rechtliche, sondern auch auf strukturelle Mängel. Das Bundesjustizministerium legt dem BMI daher nahe, die streitigen Fragen in der kommenden Legislaturperiode zu klären. Laut Netzpolitik.org erscheine es vor diesem Hintergrund am sinnvollsten, zurück auf Null zu gehen und einen Neuanfang zu starten.

Videoüberwachung im Wald

7. September 2016

Wer duch den Wald spaziert denkt zunächst nicht an Videoüberwachung. Schließlich befindet er sich in der freien Natur, umgeben von Bäumen und vielleicht dem ein oder anderen Tier.

In vielen Waldgebieten werden jedoch Wildkameras eingesetzt. In der Hauptsache sollen diese Kameras der Dokumentation von Wildvorkommen sowie einer störungsarmen Jagd dienen. Die Kameras sind mit Bewegungsmeldern ausgestattet und zeichnen die Bewegungen auf. Ob es sich bei der Bewegung um ein Tier oder einen Menschen handelt, kann die Kamera jedoch nicht unterscheiden.

So kann es vorkommen, dass die Kamera nicht das Reh sondern die Spaziergänger aufzeichnet. Damit sind die Spaziergänger jedoch in ihrem Recht auf informationelle Selbstbestimmung verletzt. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland Pfalz hat sich eindeutig zum Einsatz von Wildkameras in Rheinland-Pfalz positioniert und sieht das Recht der Spaziergänger als eindeutig überwiegend gegenüber dem Interesse der Jäger an. Nachdem in der Vergangenheit zahlreiche Beschwerden von Bürgerinnen und Bürgern beim LfDI RLP eingingen und eine Vielzahl von aufsichtsbehördlichen Verfahren gegen die Betreiber der Wildkameras durchgeführt wurden, haben sich der LfDI RLP und der Landesjagdverband (LJV) nun auf eine gemeinsame Position geeinigt. Die gemeinsam erarbeiteten Bedingunen regeln den datenschutzkonformen Einsatz von Wildkameras in Jagdgebieten in Rheinland-Pfalz und sollen eine Verletzung des Rechts auf informationelle Selbstbestimmung der Spaziergänger vermeiden.

Kategorien: Allgemein

Dropbox verliert durch Datenleck mehr als 68 Mio. Passwörter

1. September 2016

Quasi unendlicher Speicherplatz und stete, vom Endgerät unabhängige Erreichbarkeit. Die offensichtlichen Vorzüge des Cloud-Hostings liegen auf der Hand, doch birgt das Thema nicht unerhebliche Datenschutzrisiken. Insbesondere wenn internationale Anbieter genutzt werden, ist die datenschutzrechtlich vorgeschriebene Kontrolle über die eigenen Daten schnell nicht mehr vorhanden. Subunternehmer sind nicht erkennbar, Verschlüsselungen fehlen oder Auftragsdatenverarbeitungsverträge können nicht abgeschlossen werden, diese Punkte sind nur beispielhaft für die Probleme die sich daraus ergeben.

Nichts desto trotz taucht in der Mandatsarbeit regelmäßig die Frage nach der Nutzbarkeit von Clouds auf, und nicht selten wird dabei Dropbox als Wunschanbieter genannt. Der US-amerikanische Anbieter ist jedoch aus den oben benannten Gründen keine Option für den Einsatz im Unternehmen. Die Sicherheitsbedenken bestätigen sich nun durch einen Vorfall im Jahr 2012, der aber erst jetzt publik wurde. Dabei waren mehr als 68 Mio. Passwörter von Nutzern gehackt worden. Laut Dropbox soll es jedoch keinen unbefugten Zugriff auf Kundenkonten gegeben haben. Dropbox rät den Nutzern, die sich vor 2012 registriert haben und seitdem ihr Passwort nicht geändert haben, dies nun nachzuholen.

Kategorien: Hackerangriffe · Mobile Business · Online-Datenschutz
Schlagwörter:
1 2 3 126