27. Februar 2019
Das Bundesamtes für Sicherheit in der Informationstechnik (BSI) warnt vor Schadsoftware auf neu gekauften Geräten.
Fachleute des BSI hatten über den Internethändler Amazon drei Billiggeräte bestellt. Getestet wurden das Tablet Eagle 804 von Krüger&Matz, das Smartphone S8 Pro von Ulefone und das Smartphone A10 von Blackview.
Dabei konnte nachgewiesen werden, dass das Tablet Eagle 804 im Auslieferungszustand über eine vorinstallierte Schadsoftware mit einem bekannten Command&Control-Server Kontakt aufnimmt.
Das Bundesamt spricht von der Möglichkeit, dass aufgrund der Schadsoftware Banking-Trojaner auf den jeweiligen Geräten Kontodaten ausspionieren können.
Eine manuelle Entfernung der Schadsoftware sei aufgrund der Verankerung im internen Bereich der Firmware nicht möglich.
Nicht nachgewiesen wurde die Schadsoftware bei den Smartphones Ulefone S8 Pro und Blackview A10 in ihrem aktuellen Auslieferungszustand. Allerdings ist die Schadsoftware in früheren Firmware-Versionen enthalten, also im Softwaregerüst des Geräts.
Die Hersteller boten diese auf ihren Webseiten als einzige Variante zum Download an. Es ist daher davon auszugehen, dass mit diesen Firmwareversionen ausgelieferte Geräte ebenfalls betroffen sind. Nach Angaben des BSI liegen Daten vor, die zeigen, dass über 20.000 Verbindungen unterschiedlicher deutscher IP-Adressen am Tag mit dem Server kommunizieren würden.
Die Hersteller der Geräte wurden über die Erkenntnisse vom BSI informiert.
Reagiert hat darauf der Hersteller Blackview , der am 27.02.2019 ein Firmware-Update für das Smartphone A10 bereitstellte. Das BSI hat das angebotene Update überprüft und seine Unbedenklichkeit bezüglich der Schadsoftware bestätigen können.
Amazon hat gegenüber dem BSI angegeben, die drei genannten Geräte nach der Kontaktaufnahme durch das BSI gegenwärtig aus dem Sortiment genommen zu haben.
Aus Sicht des Bundesdatenschutzbeauftragten für Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kleber bringt die aktuelle Urheberrechtsreform auf europäischer Ebene datenschutzrechtliche Probleme mit sich.
Um die Rechte von Urhebern zu schützen, will die EU die Anbieter von gewerblichen Internet-Plattformen in die Haftung nehmen, wenn sie keine Maßnahmen ergreifen, um der Verbreitung geschützter Werke entgegenzuwirken. Eine naheliegende Möglichkeit ist es hochgeladene Dateien zu filtern.
Da kleine Plattform-Anbieter nicht die Kapazitäten hätten, um eine hohe Anzahl an Lizenzverträgen zu schließen oder sich einen eigenen sog. Uploadfilter zu programmieren, werden sie auf große IT-Unternehmen zurückgreifen. So würde heute beispielsweise bei Analysetools bereits auf Bausteine von Facebook, Google und Amazon zurückgegriffen.
Laut BfDI “entstünde so ein Oligopol weniger Anbieter von Filtertechniken, über die dann mehr oder weniger der gesamte Internetverkehr relevanter Plattformen und Dienste läuft. Welche weitreichenden Informationen diese dann dabei über alle Nutzerinnen und Nutzer erhalten, verdeutlicht unter anderem die aktuelle Berichterstattung zur Datenübermittlung von Gesundheitsapps an Facebook.“
Kelber sieht Handlungsbedarf auf Seiten der EU: „Wenn die EU der Auffassung ist, dass Plattformbetreiber auch ohne Uploadfilter ihrer neuen Verantwortung sinnvoll nachkommen können, muss sie dies klar darlegen. Ich bin insofern auf die angekündigte Handlungsempfehlung der Kommission sehr gespannt. Andernfalls müssen die Pläne aus datenschutzrechtlicher Sicht noch einmal grundlegend überarbeitet werden.“
26. Februar 2019
Das Wall Street Journal hat herausgefunden, dass Apps wie Menstruationskalender und Herzfrequenzmesser sensible Daten an Facebook weitergeben. Davon wissen die meisten Nutzer jedoch nichts. Facebook sieht sich nicht in der Verantwortung, da die App-Entwickler selbst entscheiden, welche Angaben über bereitgestellte Tools übermittelt werden. Zweck dieser Datenübermittlung ist es, personalisierte Facebook-Werbung zu ermöglichen.
Mithilfe einer Software haben die Journalisten untersucht, welche Daten 70 populäre Apps aus dem Apple Store weitergeben. Elf davon übermitteln sensible Daten, ohne dass der Nutzer darüber gemäß Art. 13 DSGVO informiert wurde. Laut Experten verstößt diese Praxis gegen die DSGVO.
Die App Flo, mit der Frauen ihre Menstruationszyklen festhalten können, sendet die gesammelten Daten, wie etwa zum Eisprung, welche die Nutzerin eingibt.
Facebook reagiert auf die Recherchen und teilt mit, dass diese Apps gegen die Vorgaben von Facebook verstoßen und fordert die Betreiber auf, die Daten nicht mehr an Facebook zu übermitteln.
25. Februar 2019
Das Kammergericht Berling (KG) hat mit einem Urteil vom 27.12.2018 (23 U 196/13), entschieden, dass die von Apple im Jahr 2011 verwendete “Datenschutzrichtlinie” teilweise rechtswidrig war. Diese – noch nicht rechtskräftige – Entscheidung veröffentlichte der klagende Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (vzbv) auf seiner Homepage.
Der vzbv betonte überdies, dass das KG festgestellt habe, dass auch ältere Klauseln zur Nutzung personenbezogener Daten die Anforderungen der seit Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) erfüllen müssten. (Heiko Dünkel, Rechtsreferent beim vzbv in einer Mitteilung vom 22.02.2019).
Die praktische Relevanz dieser Entscheidung bleibt allerdings abzuwarten. So ist aufgrund der aktuellen medialen Präsenz datenschutzrechtlicher Themen davon auszugehen, dass viele Unternehmen ihre Datenschutzrichtlinien im Hinblick auf die Anfordernungen der DSGVO modifiziert haben.
22. Februar 2019
Der Bundesbeauftragte für Datenschutz und die Informationsfreiheit Ulrich Kelber sieht große datenschutzrechtliche Mängel beim aktuelle Gesetzentwurf zur Änderung der Strafprozessordnung (StPO). Im Rahmen einer Anhörung im Rechtsausschuss am 20.02.2019 des Bundestages äußerte er seine Kritikpunkte in einer Stellungnahme.
Der Gesetzesentwurf enthält beispielsweise eine Regelung, die eine Datenübermittlung an den Nachrichtendienst erlaubt. Der BfDI kritisierte die Norm, weil sie zu unbestimmt sei und keine ausreichende Schwelle, wann eine Übermittlung erlaubt sein soll, enthielte. Darüber hinaus äußerte er Bedenken hinsichtlich der datenschutzrechtlichen Konformität der sog. „Mitziehautomatik“ (§ 489 StPO-Entwurf), bei der auch nach einer eigentlich beendeten „kriminellen Karriere“ auch ein leichtes Fahrlässigkeitsdelikt nach einem Verkehrsunfall alte Speicherungen mitziehen kann. Der BfDI kritisierte, dass diese Klausel zu einer unabsehbaren Speicherdauer führen würde, ohne im Einzelfall die Verhältnismäßigkeit hinreichend sicherzustellen
Erheblichen Nachbesserungsbedarf sieht der BfDI darüber hinaus bei den Regelungen zum Umgang mit Strafverfolgungsdateien. Dazu führte Ulrich Kelber aus: „Der Plan, Daten aus individuellen Strafverfahren, auf die bislang nur die mit dem Verfahren betrauten Ermittler Zugriff hatten, künftig allgemein abrufbar in den polizeilichen Informationssystemen auf Vorrat zu speichern, ist aus datenschutzrechtlicher Sicht nicht hinnehmbar. Mit dieser Vorschrift würde ein weiterer Schritt gegangen, die verfassungsrechtlich gebotenen Zweckbindungen bei der Speicherung von Daten aufzulösen. Konkret hätte ein erheblich größerer Kreis als bisher Zugang zu diesen teils sehr sensiblen Dateien. Diese betreffen nicht nur verurteilte Täter, sondern auch Verdächtige, Beschuldigte, Zeugen, Hinweisgeber und durch die Straftat geschädigte Personen. Sie können unbegrenzte Datenmengen und sehr sensible Informationen enthalten, etwa zu Opfern von Sexualstraftaten, die keinen Anlass dafür gegeben haben, dass ihre Daten in einem derart großen Maßstab abrufbar sind. Es wäre deshalb ein unbedingt zu vermeidender Fehler, diese bisherigen Spezialdateien auf breiter Ebene in die Informationssysteme der Polizeibehörden zu integrieren.”
Durch die Gesetzesänderung soll die Datenschutzrichtlinie (EU) 2016/680 für den Bereich der Strafverfolgung umgesetzt und die StPO an die Vorgaben der DSGVO angepasst werden.
21. Februar 2019
Nach der erreichten Einigkeit zwischen Bund und Ländern hinsichtlich des Digitalpakts für Schulen soll das Grundgesetz geändert werden.
Der Kernpunkt der Einigung ist, dass der Bund zukünftig die Möglichkeit hat, die Länder finanziell bei der Digitalisierung von Schulen zu unterstützen, eine gemeinsame Finanzierung der Mittel wurde aber abgelehnt. Der Bund erhält Kontrollrechte, wonach er Unterlagen der Länder über die Ausgabe und Verwendung der Bundesmittel anfordern darf.
“Finanziert werden damit etwa WLAN-Anschlüsse, die Anschaffung digitaler Lerngeräte oder entsprechender Anzeigegeräte wie ‘digitale Tafeln’. Damit soll erreicht werden, dass schnelles Internet in allen Schulen verfügbar wird und der Einsatz digitaler Medien in die Lerninhalte integriert werden kann. Sie sollen die traditionellen Lernmethoden ergänzen, aber können sie keinesfalls ersetzen“ – teilte der Vizechef der Unionsfraktion, Andreas Jung (CDU) der FAZ mit.
Auch das Thema des Einsatzes von Schul-Clouds wird diskutiert. Dadurch soll erreicht werden, dass die zentralen Cloudlösungen die Anschaffung und Wartung von Serverstrukturen, die Auswahl und Aktualisierung der Software sowie eine grundlegende Gewährleistung des Datenschutzes übernehmen. Sollte die Bundesregierung eine bundesweit oder länderübergreifend flächendeckende Schul-Cloud-Dienste einsetzen wollen, sind vorab viele wichtige datenschutzrechtlichen Fragen zu klären. Aus datenschutzrechtlicher Sicht bringt daher der Digitalparkt eine Reihe von Nuancen, die bei der Digitalisierung von Schulen zukünftig zu beachten sind.
20. Februar 2019
Fast 95 Prozent der Unternehmen betreiben E-Mail- und Newsletter-Marketing. Die aktuelle Benchmark-Studie der Unternehmensberatung absolit hat über 5000 Top-Unternehmen im deutschsprachigen Raum untersucht und kommt zu dem Ergebnis, dass jedem 5. Unternehmen ein Bußgeld droht, weil das E-Mail- und Newsletter-Marketing nicht rechtskonform ausgestaltet ist. Besonders nachholbedürftig in Sachen Datenschutz sei der Newsletter-Versand im B2B-Bereich. Als größte Schwachstelle stellt sich dabei ein nicht DSGVO-konformer Eintragungsprozess in den Newsletter-Verteiler heraus.
Folgende Fakten lassen sich der Studie entnehmen:
- 38 Prozent der Unternehmen fragen zu viele Daten ab und ignorieren den Grundsatz der Datensparsamkeit
- mehr als 75 Prozent informieren unzureichend oder gar nicht über die Datenverarbeitung
- 20 Prozent der Unternehmen verzichten auf die Bestätigung einer Formulareintragung mittels Double-Opt-In
- knapp die Hälfte der B2B-Unternehmen (57 Prozent) haben eine rechtskonforme Anmeldung zum Newsletter
Wegen einer nicht rechtskonformen Umsetzung können gegen die Unternehmen hohe Bußgelder verhängt werden (Art. 83 DSGVO). Im schlimmsten Fall von bis zu 20 Millionen oder von bis zu vier Prozent seines gesamten weltweiten erzielten Jahresumsatzes verhängt werden.
Aus diesem Grund sollten Unternehmen folgende Punkte beim Thema Newsletter-Versand beachten:
- ausdrückliche und nachweisliche Einwilligung des Empfängers erforderlich
- idealerweise Nutzung eines Double-Opt-In-Verfahrens
- vorherige Aufklärung des Empfängers über alle Datenverarbeitungsvorgänge – Implementierung einer Checkbox mit Einwilligungserklärung im direkten Umfeld des Anmeldeformulars
- Grundsatz der Datensparsamkeit beachten – nur so viele Daten wie notwendig erheben
- umfangreiche Datenschutzhinweise mit Hinweis zum Widerrufsrecht – müssen durch einen jederzeit abrufbaren und von allen Seiten zugänglicher Link erreichbar sein
- Impressum aktuell halten
- Verzeichnis für Verarbeitungstätigkeiten anlegen
- Abschluss eines Auftragsverarbeitungsvertrages, wenn ein externer Dienstleister eingesetzt wird
In einer Handelsblatt-Umfrage, in der sich die Datenschutzbeauftragten der Länder zu diesem Thema äußerten, heißt es, dass bereits zahlreiche Bußgeldverfahren eingeleitet worden sind und zudem etliche Verwarnungen ausgesprochen wurden. Aus diesem Grund gilt nach wie vor, dass die Vorgaben der DSGVO schnellsmöglichst umgesetzt werden müssen, um Bußgelder zu vermeiden.
19. Februar 2019
Kinder werden, aufgrund der geringeren Einsichts- und Urteilsfähigkeit für die Tragweite eigenen Handelns, vom Datenschutzrecht besonders geschützt.
Nach Art. 8 Abs. 1 DSGVO bedarf es der Zustimmung des Trägers der elterlichen Verantwortung, wenn ein Kind seine Einwilligung zu einem Dienst einer Informationsgesellschaft erteilt. Damit gilt diese Vorschrift ausschließlich, wenn Rechtsgrundlage für die Verarbeitung eine Einwilligung des Kindes ist. Ein Kind im Sinne der Vorschrift ist eine Person, die das 16. Lebensjahr noch nicht vollendet hat.
Die Definition des Begriffs „Dienst der Informationsgesellschaft“ in Art. 4 Nr. 25 DSGVO verweist auf die Richtlinie (EU) 2015/1535. Danach ist ein Dienst der Informationsgesellschaft jede
- in der Regel gegen Entgelt
- elektronisch
- im Fernabsatz und
- auf individuellen Abruf eines Empfängers
- erbrachte Dienstleistung.
Liegen diese 5 Voraussetzungen kumulativ vor, bedarf die Einwilligung in das Angebot der Zustimmung der Eltern. Typische Beispiele für einen solchen Dienst sind Soziale Medien und Online-Spiele. Anhang 1 der Richtlinie (EU) 2015/1535 beinhaltet hierzu einen Negativ-Katalog.
Nach Art. 8 Abs. 2 DSGVO sind angemessene Anstrengungen zu unternehmen, um sich der Zustimmung der elterlichen Verantwortung zu versichern. Als sicheres Verfahren käme eine Videoaufzeichnung oder andere Identifizierungsverfahren in Betracht. Allerdings könnten diese Verfahren mit dem Grundsatz der Datensparsamkeit in Konflikt geraten. Diese beiden Forderungen der DSGVO sind in Einklang zu bringen. Es ist daher zu prüfen, wie sensibel die Daten sind, die von dem Kind erhoben werden. Je sensibler die Daten desto höhere Anforderungen sind an die Anstrengung zur Sicherstellung der Zustimmung der Eltern zu stellen.
Es ist zu empfehlen, bei der Erhebung von personenbezogenen Daten eines Kindes immer den Datenschutzbeauftragten mit einzubeziehen, um zu prüfen, ob die Voraussetzungen des Art. 8 Abs. 1 DSGVO vorliegen und ob die Anforderungen des Art. 8 Abs. 2 DSGVO erfüllt werden.
In den modernen Zeiten kommt es immer öfter dazu, dass Lehrer mit den Eltern ihrer Schüler via WhatsApp kommunizieren. Der Präsident der
Kultusministerkonferenz sieht dies datenschutzrechtlich jedoch als bedenklich an. Seiner Ansicht nach dürften keine personenbezogene Daten durch WhatsApp ausgetauscht werden. In besonderem Maße gälte dies für sensible personenbezogene Daten wie beispielsweise Krankmeldungen aber auch für unterrichtsbezogene sowie notenrelevante Daten, die mittels des Messenger-Dienstes ausgetauscht werden können.
In Deutschland fällt eine solche Kommunikation zwischen Lehrern und Eltern oftmals in eine Grauzone. Eine Umfrage der Deutschen Presse-Agentur ergab, dass manche Bundesländer ihren Lehrkräften untersagen, arbeitsbezogene Nachrichten mittels des Messenger-Dienstes auszutauschen. Eine genaue Regelung gibt es diesbezüglich jedoch nicht. Das Bundesland Niedersachsen eruiert zu dieser Zeit einen datenschutzrechtlich unbedenklicheren, alternativen Messenger-Dienst.
Um die Kommunikation zwischen den Lehrkräften und den Eltern auf datenschutzrechtlich konforme Art und Weise gewährleisten zu können, fordert der Lehrerverband die Einrichtung von Elternportalen. Diese sollen so konzipiert sein, dass eine Kommunikation unter Aufsicht der Schule in einem passwortgeschützten Bereich stattfindet.
18. Februar 2019
Die Vollversammlung des Verbandes der Diözesen Deutschlands hat am 19. November 2018 eine neue Durchführungsverordnung zum „Gesetz über den Kirchlichen Datenschutz“ (KDG-DVO) beschlossen. Die Durchführungsverordnung soll zum 1. März 2019 in Kraft treten. Hintergrund ist, dass die bisherige Durchführungsverordnung zur Anordnung über den Kirchlichen Datenschutz (KDO-DVO), welche vor Inkrafttreten des “Gesetzes über den kirchlichen Datenschutz” (KDG) Anwendung fand, gemäß der in § 57 Abs. 5 KDG festgelegten Übergangsfrist längstens bis zum 30.06.2019 in Kraft bleibt, sodass eine Anpassung der bisherigen DSGVO erforderlich war.
Für das Inkraftsetzung der neuen KDG-DVO bedarf es eines Beschlusses des Bischofs der jeweiligen Diözese. Die Inkraftsetzung der KDG-DVO wurde bislang noch nicht in allen Deutschen (Erz-) Diözesen beschlossen.
In der neuen KDG-DVO finden sich Inhalte, welche bereits in der KDO-DVO enthalten waren, aber auch solche, die neu sind. Die Verantwortlichen müssen insbesondere weiterhin ein Datenschutzkonzept vorhalten. Dies ergibt aus der Pflicht des Verantwortlichen den Schutzbedarf personenbezogener Daten anhand einer Risikoanalyse festzustellen (Kapitel 3 KDG-DVO). Interessant sind vor allem die in § 6 KDG-DVO enthaltenen Vorgaben zu den technischen und organisatorischen Maßnahmen, welche auch die Anforderungen an deren Weiterentwicklung betreffen. Die KDG-DVO sieht weiterhin die Einordung personenbezogener Daten in eine Datenschutzklasse vor und erfolgt durch den Verantwortlichen. Sie soll in der Regel bei der Erstellung des Verarbeitungsverzeichnisses vorgenommen werden. In diesem Zusammenhang soll auch der betriebliche DSB angehört werden. Zusätzlich enthält die KDG-DVO diverse Beispiele für besondere Gefahrenlagen (Kapitel 5). Diese dürften insbesondere für die Pflicht zur Durchführung einer Datenschutzfolgenabschätzung relevant sein.
Jede unter den Anwendungsbereich der neuen KDG-DVO fallende Einrichtung sollte bereits jetzt prüfen, welche Auswirkungen die Neuregelung z. B. auf das bereits erstellte Datenschutzkonzept haben wird, so der Diözesandatenschutzbeauftragte der norddeutschen Bistümer.
Pages: 1 2 ... 92 93 94 95 96 ... 275 276 
