Auch EU-Datenschutzbeauftragter kritisiert Privacy Shield

31. Mai 2016

Als Nachfolger des im Oktober vergangenen Jahres vom EuGH gekippten Safe Harbor Abkommens wurde zwischen den USA und der EU das Privacy Shield ausgehandelt, das künftig als Rechtsgrundlage für den Transfer personenbezogener Daten zwischen beiden Staatenbunden dienen soll.

Datenschutzbeauftragte der EU-Mitgliedsstaaten sowie Verbraucherschützer hatten das neue Abkommen bereits stark kritisiert und teilweise sogar als Rückschritt bezeichnet, da es nicht mit dem europäischen Datenschutzstandard vergleichbar sei.

Auch der europäische Datenschutzbeauftragte Giovanni Buttarelli gehe davon aus, dass das neue Abkommen vor europäischen Gerichten nicht bestehen werde, wie Medien berichten. Das Privacy Shield schütze europäische Bürger nicht hinreichend vor willkürlicher Massenüberwachung. Buttarelli fordert Transparenz, nachträgliche Korrekturmöglichkeiten, eine Kontrollaufsicht sowie die Gewährleistungen von Datenschutzrechten. Dass diese Forderungen keinen Einzug in das neue Abkommen gefunden haben, liegt in erster Linie an den USA. Dort wären entsprechende Gesetzesänderungen nötig, die jedoch kaum durchzusetzen wären. Stattdessen vertraut das Privacy Shield auf eine Selbstverpflichtung internationaler Unternehmen.

Datenschutz Made in Germany

25. Mai 2016

Deutsche Datenschutzbestimmungen zählen zu den strengsten weltweit. Nicht selten werden die Reglementierungen besonders aus Wirtschaftskreisen als zu unflexibel bezeichnet. Stimmen aus den USA, woher die meisten Internetgiganten stammen, sprechen oft von der „German Angst“. Wie groß die globalen Diskrepanzen beim Verständnis zum Thema Datenschutz sind, zeigte unlängst das richtungsweisende Safe-Harbor-Urteil des Europäischen Gerichtshofs, wonach die USA kein sicheres Datenschutzniveau nach europäischem Verständnis aufweisen. Das europäische Verständnis von Datenschutz wiederum orientiert sich stark an dem deutschen Verständnis, das während der Erarbeitung der EU-Datenschutz-Grundverordnung (EU-DSGVO) immer wieder als Maßstab herangezogen wurde. Nicht ohne Grund leitete das Bundesverfassungsgericht in seinem berühmten Volkszählungsurteil bereits 1983 den Datenschutz aus den Artikeln eins und zwei des Grundgesetzes ab und manifestierte auf diese Weise das Grundrecht zur informationellen Selbstbestimmung. Der Schutz persönlicher Daten ist somit Ausprägung des Schutzes der eigenen Persönlichkeit.

US-Amerikanische Internetfirmen, für die der europäische Markt besonders bedeutend ist, passen sich zunehmend dem Verständnis europäischer Kunden nach hiesigen Datenschutzerfordernissen an, indem sie ihr liberal geprägtes Datenschutzniveau für den europäischen Markt freiwillig anpassen. Marktführer aus den USA wie Google, Microsoft, Amazon und viele weitere investieren große Summen, um künftig Rechenzentren in Europa und vermehrt in Deutschland betreiben zu können. Dies bedeutet deutlich größeren Datenschutz für Nutzer und Kunden, denn mit einem Rechencenter in Deutschland gilt auch das strenge deutsche Datenschutzrecht für diese unternehmen.

Wie heise online aktuell mitteilt, wird demnächst auch der Online-Speicherdienst Dropbox Datenschutz made in Germany anbieten und seinen Kunden (zunächst nur Geschäftskunden) die Möglichkeit der Datenspeicherung auf in Deutschland stationierten Servern anbieten. Das Unternehmen bestätigte, dass die Nachfrage nach lokaler Datenspeicherung zunimmt. Dies hängt natürlich mit der steigenden Sensibilisierung für den Datenschutz, also unserem Verständnis und der hohen Gewichtung für den Datenschutz hierzulande zusammen. Nicht ganz unbegründet kann Datenschutz made in Germany daher als eine Art Gütesiegel betrachtet werden.

EU-Kommission zögert beim Privacy Shield

Der Nachfolger des Safe Harbor Abkommens, das EU-US Privacy Shield, hat von dem zuständigen Ausschluss der EU-Kommission nicht die erforderliche Angemessenheit bescheinigt bekommen.

Die Entscheidung über die Angemessenheit des Privacy Shields ist ein EU-interner Schritt im Gesetzgebungsverfahren des transatlantischen Abkommens. Mit der Bescheinigung der Angemessenheit soll erreicht werden, dass personenbezogene Daten von Europäern in den USA mit einem ausreichenden Schutzniveau verarbeitet und gespeichert werden. Die Ausschussmitglieder sehen jedoch noch Nachbesserungsbedarf. Insbesondere durch die umfassende Datenüberwachung der NSA wird in das Recht auf informationelle Selbstbestimmung unverhältnismäßig stark eingegriffen.

Das EU-US Privacy Shield, welches als den Datentransfern zwischen der EU und den USA regeln und legitimieren soll, wurde von Anfang an von Datenschützern stark kritisiert.

Nachdem nun die Angemessenheitsentscheidung nicht erteilt wurde, zeichnet sich einmal mehr ab, dass auch das EU-US Privacy Shield von dem EuGH überprüft werden wird.

LinkedIn verliert 2012 über 100 Mio. Kundenpasswörter

20. Mai 2016

LinkedIn ist mit 400 Millionen Nutzer die derzeit größte Plattform für das Knüpfen neuer und die Pflege von bestehenden geschäftlichen Kontakten und gehört zu den 20 meistbesuchten Websites im World Wide Web. 2012 kam es bei dem Netzwerk zu einem Daten-Leak von dem nach Informationen LinkedIns damals circa 6 Millionen Kundenpassörter betrofffen waren. Diese waren in gehashter Form ohne Salt zwar nicht als Klartext vorhanden, stellten jedoch in dieser Form nur eine geringfühgig verschlüsstelte Datenart dar, die auch von Amateur-Hackern entschlüsselt werden konnte. LinkedIn kommunizierte neben der Tatsache an sich in einer Presseerklärung keine weiteren Details, auch nicht an die betroffenen Nutzer.

Wie sich nun herausstellte, waren jedoch tatsächlich weit mehr Passwörter betroffen. Publik wurde dies, nachdem ein Unbekannter unter dem Pseudonym „Peace“ im Untergrund für 5 Bitcoins rund 117 Millionen LinkedIn-Passwörter zum Kauf anbot und sich diese tatsächlich als echt herausstellten. Es muss davon ausgegangen werden, dass diese die gleiche verhältnismäßig unsichere Verschlüsselung haben, wie bereits 2012 angenommen. Nutzern von LinkedIn sei daher angeraten, ihr Passwort umgehend zu ändern, insbesondere, wenn dies nicht nur für den Zugang zu dem Netzwerk verwendet wird.

Kategorien: Hackerangriffe · Online-Datenschutz
Schlagwörter:

Urteil: WhatsApp AGB müssen auf Deutsch angeboten werden

19. Mai 2016

Der zu Facebook gehörende Messenger-Dienst WhatsApp bietet eine deutschsprachige Internetseite an, auf der der Messenger und seine Funktionen ausführlich dargestellt und beworben wird. Die juristischen Einzelheiten, zu denen auch die immer wieder im Fokus stehenden Datenschutzbestimmungen gehören, die hinter der Technik stecken, finden sich – wie üblich – in den Allgemeinen Geschäftsbedingungen (AGB). Ausgerechnet die für den Laien ohnehin meist schwer verständlichen AGB sind als einziger Teil der Webpräsenz auf Englisch.

Der Bundesverband der Verbraucherzentralen (VZBV) kritisiert die fremdsprachlichen AGB und streitet bereits seit zwei Jahren mit dem Betreiber des Messengers vor deutschen Gerichten über die Notwendigkeit einer deutschen Version der AGB. Wie der Verbraucherverband mitteilte, hat nach dem Landgericht Berlin nun auch das Berliner Kammergericht festgestellt, dass die AGB auf englischer Sprache ungültig seinen, da es für den Verbraucher nicht zumutbar sei, seitenlange AGB mit einer Fülle an Fachausdrücken in englischer Sprache umfangreich und richtig erfassen zu können.

Das Kammergericht stellte bei der Überprüfung der AGB zudem einen Verstoß gegen das Telemediengesetz fest, gemäß diesem mindestens zwei Möglichkeiten zur Kontaktaufnahme angeboten werden müssen, z.B. neben einer E-Mail-Adresse auch eine Telefonnummer oder ein Kontaktformular.

Eine Revision gegen das Urteil haben die Berliner Richter nicht zugelassen. Einzige Möglichkeit für den Betreiber von WhatsApp hiergegen vorzugehen, stellt eine Nichtzulassungsbeschwerde vor dem Bundesgerichtshof (BGH) dar, ansonsten wird das Urteil rechtskräftig und WhatsApp wird seine AGB auch auf Deutsch zur Verfügung stellen müssen. Wird dem nicht nachgekommen, droht dem Unternehmen ein Ordnungsgeld von bis zu 250.000 €.

Das Urteil des Berliner Kammergerichts sei zugleich auch ein wichtiges Signal an andere international agierende Unternehmen, wie die Verbraucherzentrale positiv feststellend zitiert wird.

BITKOM: Praxisleitfaden für Verfahrensverzeichnisse

17. Mai 2016

Der Digitalverband BITKOM hat eine Neuauflage des Praxisleitfadens „Das Verfahrensverzeichnis“ veröffentlicht.

Das Verfahrensverzeichnis dient der Transparenz über die Verarbeitung personenbezogener Daten und der rechtlichen Absicherung des Unternehmens. Es dient dem betrieblichen Datenschutzbeauftragten sowie der Aufsichtsbehörde zur Erfüllung ihrer Aufgaben. Dabei muss der betriebliche Datenschutzbeauftragte nach § 4g Abs. 2 Bundesdatenschutzgesetz das Verfahrensverzeichnis auf Antrag jedermann verfügbar machen. Außenstehende und Betroffene sollen die Verarbeitung personenbezogener Daten innerhalb der verantwortlichen Stelle abschätzen können.

Der Leitfaden gibt Datenschutzbeauftragten von Unternehmen und anderen Organisationen Hinweise, wie sie den gesetzlichen Anforderungen gerecht werden können. Neben Erläuterungen und Praxisbeispielen zu den gesetzlichen Vorgaben werden die einzelnen Schritte bei der Führung des Verfahrensverzeichnisses dargestellt. Auch enthalten sind Hinweise zur Aufsichtspraxis der Datenschutzbehörden und zur aktuellen Rechtsprechung.

Kategorien: Allgemein
Schlagwörter: , ,

Generalanwalt beim EuGH: Dynamische IP-Adressen sind personenbezogene Daten

13. Mai 2016

In Kürze wird der Europäische Gerichtshof (EuGH) über eine Vorlagefrage des Bundesgerichtshofs entscheiden. Dabei geht es u. a. um die Frage, ob dynamische IP-Adressen als personenbezogene Daten anzusehen sind und in Folge dem Schutz des Bundesdatenschutzgesetzes unterliegen. Dies ist in juristischen Fachkreisen ein seit Jahren umstrittenes Thema. Am gestrigen Tag hat der Generalanwalt beim EuGH Manuel Campos Sánchez-Bordoma seine Schlussanträge vorgestellt. Er schlägt dem EuGH im Hinblick auf die Einordnung dynamischer IP-Adressen vor, auch diese als personenbezogenes Datum zu klassifizieren.

Gemäß Art. 2 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sei eine dynamische IP-Adresse, über die ein Nutzer die Internetseite eines Telemedienanbieters aufgerufen hat, für Letzteren ein „personenbezogenes Datum“, soweit ein Internetzugangsanbieter über weitere zusätzlichen Daten verfügt, die in Verbindung mit der dynamischen IP-Adresse die Identifizierung des Nutzers ermöglichen.

Es bleibt abzuwarten, ob der EuGH den Vorschlägen des Generalanwalts Folge leisten wird. In der Regel ist dies der Fall.

Deutsche Bahn übermittelt Kundendaten an Auskunftei

12. Mai 2016

Wie Recherchen des SWR ergeben haben, übermittelt die Deutsche Bahn personenbezogene Daten ihrer Kunden an eine Auskunftei.

Hintergrund ist Folgender: Wird ein Fahrgast ohne vermeintlich gültigen Fahrschein vom Schaffner kontrolliert, nimmt der Schaffner die Daten des Fahrgasts auf, welche anschließend an die Fahrpreisnachermittlungsstelle der Deutschen Bahn zum Zwecke der Begleichung der offenen Forderungen der Bahn gegen den Fahrgast übermittelt werden.

Hinter der Fahrpreisnachermittlungsstelle steht jedoch nicht die Deutsche Bahn, sondern nach Angaben des SWR das zum Bertelsmann-Konzern gehörende Unternehmen Avarto Infoscore. Dies wird dem betroffenen Fahrgast jedoch nicht erkennbar mitgteilt.

Dass ein externer Dienstleister – wie in dem vorliegenden Falle mit der Zahlungsabwicklung – beauftragt wird und, dass in diesem Zusammenhang personenbezogene Daten weitergegeben werden, ist zunächst nicht per se datenschutzrechtlich unzulässig. Die Deutsche Bahn versäumt jedoch, ihre Kunden auf die Weitergabe der Daten hinzuweisen und, dass es sich bei dem Unternehmen Avarto Infoscore um eine Auskunftei handelt. Damit verstößt die Deutsche Bahn zum einen gegen das im Datenschutzrecht geltende Transparenzgebot. Außerdem ist die Übermittlung von personenbezogenen Daten an Auskunfteien an strenge gesetzliche Voraussetzungen geknüpft, die pauschal nicht für alle Fälle von Schwarzfahrten vorliegen. Betroffenen Fahrgästen droht durch den geschilderten Umgang mit ihren Daten eine negative Bewertung ihrer Kreditwürdigkeit.

OLG Hamm: Datenspeicherung ist kein Sachmangel!

2. Mai 2016

Das Oberlandesgericht (OLG) Hamm hat beschlossen (Beschluss vom 02.06.2015, Az. 28 U 46/15), dass ein in einem Land Rover Discovery eingebautes Navigationsgerät nicht mit einem Sachmangel behaftet ist, wenn es personenbezogene Daten und Routendaten speichert. Eine ggf. unzulässige Datenweiterleitung findet laut Gutachten nicht statt.

In dem zugrunde liegenden Sachverhalt bestellte der Beklagte beim klagenden Autohaus einen individuell konfigurierten Land Rover Discovery 3.0 SDV6 zum Preis von 60.450 EUR. Vor der Auslieferung des Fahrzeugs verlangte der Beklagte neben einer Betriebsanleitung, dass die Fahrzeugtechnik „Ort, Zeit und Kilometer-Stand“ nicht speichern und diese Daten nicht weiter senden dürfe. Andernfalls verletze eine Fahrzeugnutzung sein Recht auf informationelle Selbstbestimmung. Unter Hinweis hierauf verweigerte der Beklagte die ihm von der Klägerin angetragene Fahrzeugabnahme. Die Klägerin hatte ihn daraufhin auf Schadensersatz in Höhe von ca. 9.000 EUR verklagt.

Mit Erfolg. Nach dem Beschluss des OLG Hamm hatte der Beklagte kein Recht, die Abnahme des Neufahrzeugs zu verweigern. Vor der Übergabe des Fahrzeugs habe er, so das Gericht, keinen Anspruch auf das Übersenden einer Betriebsanleitung. Er habe die Abnahme auch nicht verweigern dürfen, weil das bestellte Fahrzeug mangelhaft gewesen sei. Seine Behauptung, der von ihm bestellte Land Rover verfüge bauartbedingt über unzulässige Vorrichtungen zum Ausspähen und zur permanenten Speicherung seiner persönlichen Daten, treffe nicht zu. Die von einem Kfz-Sachverständigen überprüfte Fahrzeugtechnik habe keinen Anhaltspunkt dafür ergeben, dass das Navigationsgerät Daten über den Fahrzeugstandort permanent speichere oder an andere Bauteile des Fahrzeugs weitergeben könne. Eine derartige Datenverarbeitung sei auch technisch nicht plausibel, weil diese Daten für eine elektronische Fehlerauswertung nicht von Bedeutung sein. Das im Fahrzeug überhaupt Daten gespeichert werden könnten, stelle keinen Verstoß gegen das Recht des Nutzers auf informationelle Selbstbestimmung dar und sei per se kein Sachmangel. Der Beklagte hätte das Fahrzeug als Nutzer erwerben und dann selbst über die abgelegten Daten verfügen können. Ähnlich verhalte es sich bei der Anschaffung eines Computers oder eines Smartphones, bei denen ebenfalls Daten der Nutzer gespeichert würden. Auch dieser Umstand sei kein technischer Fehler des jeweiligen Geräts.

 

Kategorien: Allgemein
Schlagwörter: ,
1 2 3 122