Kategorie: Allgemein
12. Dezember 2017
Die Nachrichtenseite Quartz berichtet, dass Google seit Monaten Standortdaten von Android-Nutzern weltweit sammelt, selbst dann, wenn Nutzer die Ortungsdienste abgeschaltet haben. Google hat dies auch bestätigt. Die Standortdaten werden dazu genutzt, um die Verteilung von Push-Benachrichtigungen zu verbessern. Eine Speicherung der Daten würde aber nicht stattfinden.
Die Rechtmäßigkeit der heimlichen Ortung stützt Google auf ihre Datenschutzerklärung, welcher Android-Nutzer bei Einrichtung ihres Gerätes zustimmen müssen. Dort heißt es: “Wenn Sie Google-Dienste nutzen, erfassen und verarbeiten wir möglicherweise Informationen über Ihren tatsächlichen Standort.” Dafür kann Google neben “IP-Adressen und GPS” auch “andere Sensoren” verwenden, die Informationen über “WLAN-Zugangspunkte oder Mobilfunkmasten” liefern.
Nutzer haben zudem keine Möglichkeit dieser Datenschutzerklärung zu widersprechen. Ferner geht auch nicht aus der Datenschutzerklärung hervor, auf welche Weise die Standortdaten erfasst werden.
Laut Google wird die Ortung der Android-Nutzer ab Ende November eingestellt.
8. Dezember 2017
Die europäische IT-Sicherheitsbehörde ENISA (European Union Agency for Network and Information Security) hat Empfehlungen für Unternehmen bei der Umsetzung der DSGVO-Vorgaben für Zertifizierungen veröffentlicht.
Laut Udo Helmbrecht, dem Chef von ENISA, will die Behörde auf diese Weise Unternehmen eine Hilfestellung geben und eine effektive Umsetzung der Gesetzgebung unterstützen.
Der Bericht stellt die Möglichkeit der freiwilligen Zertifizierung nach Artt. 42, 43 DSGVO für Unternehmen in den Mittelpunkt. Helmbrecht betont, dass es vor allem darum geht Datenverarbeitungsvorgänge zu bewerten, ob sie den Anforderungen der DSGVO genügen. ENISA soll ab nächstem Jahr ein europaweites freiwilliges Zertifizierungsverfahren für IT-Sicherheit etablieren. Eine der Empfehlungen ist, dass sich zwar die Aufsichtsbehörden auf ein gemeinsames Vorgehen verständigen, aber die Zertifizierung von einer akkreditierten Stelle vorgenommen werden soll um Interessenskonflikte zu vermeiden.
Der britische EU-Kommissar Julian King kündigte an, mehrere Datenbanken der europäischen Sicherheitsbehörden vernetzen zu wollen um die Terrorabwehr innerhalb Europas zu verstärken.
Dieses Vorhaben soll dazu dienen, Polizisten, Grenzschützer und Visa-Beamte bei der Erkennung und Identifizierung von möglicherweise gefährlichen Personen zu unterstützen. Den Beamten dieser Institutionen sollen damit alle nötigen Informationen zu den potentiell gefährlichen Personen in kurzer Zeit Mitgliedsstaaten übergreifend zur Verfügung gestellt werden.
Bisher gibt es separate Datenbanken für Visa-Inhaber, Asylbewerber, Einreisende in die EU und Gefährder, was zu Informationslücken führt, die es Terroristen möglich macht falsche Identitäten anzunehmen. Daher ist es King ein großes Anliegen, besonders Polizisten zu ermöglichen auf alle Informationen zuzugreifen, welche sie für ihre Arbeit benötigen.
Die in diesem Zusammenhang aufkeimenden Datenschutzbedenken weist King zurück und erläutert, dass es ausschließlich darum geht, ein besseres Zusammenspiel der Datenbanken zu ermöglichen und nicht darum, die Datenbanken zu einer großen Datenbank zu vereinen. Es soll lediglich eine bessere Nutzung der Datenbanken unter Berücksichtigung der geltenden Datenschutzregeln verwirklicht werden.
Um dieses Unterfangen durchsetzen zu können möchte King ebenfalls die Zusammenarbeit der Internetbranche verbessern. Aktuell setzt man in diesem Bereich auf freiwillige Kooperationen. Jedoch behält man sich vor, eine Unterstützung durch die Internetbranche mittels des europäischen Gesetzgebers zu beschleunigen.
Die Pläne zur Verwirklichung dieses Gedankens sollen in den nächsten Wochen vorgestellt werden. Anfang des Jahres soll von der EU-Kommission eine Zwischenbillanz gezogen werden.
6. Dezember 2017
Aufgrund eines Datenlecks bei TIO Networks, einem Unternehmen von Paypal, hat der Online-Bezahldienst bekanntgegeben, dass circa 1,6 Millionen Kundendaten abhanden gekommen sein könnten.
TIO Networks bietet Dienste an, die Kunden das Bezahlen von Rechnungen ermöglicht, die ansonsten keinen einfachen Zugang zu Banken haben. Paypal hatte das Unternehmen aus Kanada im Juli dieses Jahres für circa 233 Millionen US-Dollar gekauft. Zu den betroffenen Daten gehören die persönlichen Informationen von Kunden, insbesondere deren Bankdaten und Sozialversicherungsnummern. Schon am 10. November hatte Paypal die Angebote von TIO Networks daher vorübergehend eingestellt ohne bisher eine Abschätzung abgeben zu können, wann das Unternehmen wieder den Betrieb aufnehmen kann. Auch ist bislang unklar, wer den Angriff initiiert hat und für das Datenleck verantwortlich ist.
Kunden sind angehalten, einen Service zum Schutz ihrer Identität in Anspruch zu nehmen. Darüber hinaus bietet TIO Networks seinen Kunden als Entschädigung ein kostenloses Credit Monitoring für das nächste Jahr an.
Da TIO Networks völlig unabhängig vom Paypal-Netzwerk agiert, sind Kunden von Paypal selbst allerdings nicht betroffen.
5. Dezember 2017
Die Datenpanne des Uber Unternehmens aus dem vergangenen Jahr zieht nun doch weitreichende Konsequenzen nach sich.
Die Artikel-29 Gruppe der EU-Datenschutzbeauftragten hat, als Folge des Datenabflusses von 57 Millionen Uber-Kunden und Mitarbeitern, eine eigene Projektgruppe ins Leben gerufen, welche den Fall genau prüfen soll.
Beteiligt an der Projektgruppe sind Datenschutzbeauftragte aus Deutschland sowie den EU-Ländern Belgien, Frankreich, Spanien, Italien und Großbritannien.
Wie viele EU-Bürger von der Datenpanne betroffen sind und welchen Verstößen gegen das Datenschutzrecht sich Uber zu stellen hat, ist aktuell noch nicht klar.
Das Unternehmen ließ verlauten, dass Nutzer der Uber-App aus der ganzen Welt betroffen sind und das Unternehmen sowohl Verbraucher als auch Mitarbeiter nicht unverzüglich über den Verstoß in Kenntnis gesetzt hat.
Laut der britischen Datenschutzbehörde ICO waren allein rund 2,7 Millionen Nutzerkonten aus Großbritannien betroffen, welche umgehend benachrichtigt werden müssen.
Das Vorgehen der Behörden auf EU-Ebene beweist eine gute Kooperation untereinander, was eine gute Prognose für die Durchsetzung der Datenschutzgrundverordnung verspricht, die ab dem 25.Mai.2018 in Kraft tritt.
1. Dezember 2017
Eine Radtour mit einem Leihfahrrad des Anbieters oBike mag gesund, umweltfreundlich und praktisch sein. Doch leider wurden bis vor kurzem bei einer Fahrt mit einem der gelben Fahrräder, die in Berlin, Frankfurt, Hannover und München zum Verleih stehen, auch viele Daten preisgegeben.
Journalisten vom Bayerischen Rundfunk (BR) Data und BR Recherche konnten eine Vielzahl von Nutzerdaten im Internet einsehen. Nicht nur der Abstellort wurde übermittelt, sondern ein umfangreiches Bewegungsprofil. Ohne Verschlüsselung oder anderem Schutz lag der genaue Streckenverlauf online offen. Die Smartphone-App von oBike ermöglichte zudem, den Streckenverlauf in sozialen Netzwerken zu teilen. Damit gab der Fahrradfahrer auch persönliche Daten oder Profilbilder preis. Doch auch ohne Nutzung von Social-Media-Kanälen konnten Kriminelle Nutzerdaten kopieren, darunter Namen und E-Mail-Adressen.
Nachdem sich der BR an oBike gewandt hat, wurde die Sicherheitslücke geschlossen. Das Bayerische Landesamt für Datenschutzaufsicht (LDA) wertete dieses Datenleck als Verstoß gegen das Bundesdatenschutzgesetz (BDSG). Der deutsche Firmensitz von oBike liegt in Berlin. Derzeit prüft die Berliner Beauftragte für Datenschutz und Informationsfreiheit ihre Zuständigkeit für diesen Fall.
30. November 2017
Die Verbraucherzentrale Sachsen hat erfolgreich gegen die Weitergabe von Kundendaten durch den Kabelnetzbetreiber Primacom geklagt. Primacom ist seit dem Jahr 2015 ein Teil von Tele Columbus.
In seiner Entscheidung vom 03.11.2017, wird vom LG Leipzig die Weitergabe der Daten mangels rechtmäßiger Einwilligung verboten. Grundsätzlich ist für die Weitergabe von Kundendaten eine rechtmäßige Einwilligung des Kunden erforderlich. Die Rechtmäßigkeit kann insbesondere versagt werden, wenn der Einwilligung die erforderliche Transparenz fehlt.
Unter die Transparenz fällt auch das Verständnis des Kunden bezüglich der Reichweite seiner Einwilligung. Die Klausel von Primacom enthielt den Zweck der Nutzung von Daten zur Marktforschung. Das LG Leipzig stufte diese Formulierung als zu ungenau ein. Laut dem Gericht formulierte der Verwender den Verwendungszweck und den Verwendungsumfang nicht hinreichend klar.
Nach Angaben eines Pressesprechers von Tele Columbus, findet die beanstandete Formulierung jedoch bereits seit mehr als einem Jahr keine Verwendung mehr. Der Pressesprecher gibt ebenfalls an, dass die Weitergabe der Daten nicht rückgängig gemacht werden kann. Als Hilfe für betroffene Kunden, hat das Unternehmen stattdessen ein Musterformular veröffentlicht. Mit diesem Formular können Kunden sich über ihre personenbezogenen Daten erkundigen.
Laut dem Pressesprecher will das Unternehmen den Prozess nicht weiterführen.
24. November 2017
Bereits seit 2013 existiert der Rechtsstreit zwischen den Verbraucherzentralen und Facebook über den fehlenden Datenschutz im Umgang mit den Facebook-Onlinesspielen. Nun hat der Bundesverband der Verbraucherzentralen in einer aktuellen Pressemitteilung zum Urteil der Berufungsinstanz Stellung genommen.
In Facebooks App-Zentrum, in dem Spiele von externen Drittanbietern angeboten werden, gibt der Facebook-Nutzer nur dadurch, dass er den Button „Sofort spielen“ betätigt, eine Erklärung im Sinne der Datenschutzbestimmungen von Facebook ab. Damit stimmt er einer Übermittlung seiner personenbezogener Daten (z.B. E-Mail-Adresse, Statusmeldungen und weitere Informationen über den Nutzer) an externe App- und Spiele-Anbieter zu. Eine aktive Aufklärung über den Zweck und Umfang der Datenübermittlung durch Facebook findet nicht statt.
Auf die Klage von Verbraucherschützern hatte 2013 das Landgericht Berlin Facebook diese Vorgehensweise verboten. Dieses Urteil wurde im September 2017 durch das Kammergericht Berlin bestätigt.
Datenschutzrechtlich ist das Urteil des Kammergerichts deshalb von großer Bedeutung, weil das Gericht trotz des irischen Unternehmenssitzes von Facebook deutsches Datenschutzrecht für anwendbar erklärt hatte. Facebook Germany GmbH sei – so das Gericht – als eine Niederlassung von Facebook Ireland zu betrachten.
Der Begriff der Niederlassung sei weit zu verstehen. Maßgeblich sei das arbeitsteilige Vorgehen und Zusammenarbeiten von Facebook Ireland und der Facebook Germany GmbH und die – letztlich – maßgebliche Entscheidungsbefugnis der Konzernmutter dieser Gesellschaften in den USA. Insoweit nehme die Facebook Germany GmbH tatsächlich Aufgaben einer Niederlassung (auch) von Facebook Ireland in Deutschland war.
Dass die Daten nicht von der deutschen Niederlassung selbst verarbeitet werden, ändert nach Ansicht des Kammergerichts nichts, denn es genüge, wenn die Datenverarbeitungsvorgänge inhaltlich mit der Tätigkeit der Niederlassung verbunden seien. Dies sei der Fall, weil Facebook sein Angebot auch an deutsche Nutzer richte und in Hamburg eine für die Förderung des Anzeigengeschäfts zuständige Schwestergesellschaft unterhalte. Dies zeige, dass die Facebook Germany GmbH für die Werbung in Deutschland zuständig sei. Das KG stützte sich in seiner Begründung insbesondere auf die Fälle Weltimmo Az. C-230/14 , Amazon EU Sàrl Az. C‑191/15 und Google Spain SE Az. C‑131/12.
Das Berliner Urteil von 2017 verpflichtet Facebook dazu, seine Nutzer zunächst detailliert über die Weitergabe der Daten aufzuklären und hierüber eine ausdrückliche Einwilligung des Nutzers einzuholen.
Wegen der grundsätzlichen Bedeutung des Falls hat das Kammergericht aber die Revision zum Bundesgerichtshof zugelassen. Ob Facebook hiervon Gebrauch machen wird, bleibt abzuwarten.
Drei Forscher der US-amerikanischen Universität Princeton haben in einem Testverfahren versucht, herauszufinden, wie viele Webseiten die Technik „Session-Replay“ anwenden.
Mit dieser Technik lässt sich in Echtzeit erfassen und anschließend speichern, welche Eingaben der Webseiten-Besucher in Textfelder macht. So lassen sich auch Eingaben speichern, die ein Nutzer zwar gemacht, aber nicht abgesendet hat.
In dem Testverfahren wurden 50.000 hochfrequentierte Webseiten untersucht, mit dem Ergebnis, dass davon mindestens 485 ein oder mehrere Skripte einer der Anbieter von „Session-Replay“ anwenden. Die Forscher gehen jedoch davon aus, dass weit mehr Webseiten entsprechende Skripte einsetzen. Verursacht wird die Speicherung von Daten, die der Nutzer eigentlich nicht preisgeben will, insbesondere durch Fehler von Seiten der Webseiten-Anbieter, die die Skripte nicht ordnungsgemäß konfigurieren.
Darüber hinaus kritisieren die Forscher, dass einige Anbieter die über das „Session-Replay“ erlangten Daten nicht einmal verschlüsselten.
Nutzer, die sich einen Überblick über die Webseiten verschaffen wollen, können dies auf einer von den Forschern erstellten Liste tun.
23. November 2017
Nach einem Praxistest und einem Bericht des Marktwächter-Teams aus April 2017 zieht die Verbraucherzentrale NRW den Schluss, dass die persönliche Datenkontrolle bei Fitness-Apps und den dazugehörigen Geräten (Wearables) nicht hinreichend gewährleistet ist.
Grundsätzlich können Nutzer einen Antrag stellen um eine Auskunft über die Erhebung, Speicherung und Nutzung ihrer Daten zu bekommen. Dies haben zwölf Testpersonen nach einer vierwöchigen Nutzung der Geräte mit den Apps gemacht.
Von den zwölf Auskunftsanfragen wurde immerhin auf acht geantwortet, aber lediglich drei Antworten waren angemessen.
Einge Antworten enthielten pauschale Hinweise, ohne auf die Anfrage des Nutzers einzugehen. Zwei Anbieter forderten nach dem Auskunftsantrag sogar weitere Informationen zur Identifikation (Personalausweis und Produktbestellnummer) an, eine darauffolgende konkrete Auskunft blieb dennoch aus.
Als Folge der unzureichenden oder ausbleibenden Antworten wurden sechs Anbieter von der Verbraucherzentrale wegen Verstoßes gegen Datenschutzrecht abgemahnt. Daraufhin haben vier von ihnen die geforderten Unterlassungserklärungen abgegeben. Ein Anbieter, der keine Unterlassungserklärung abgegeben hat, wurde sogar verklagt.
Pages: 1 2 ... 98 99 100 101 102 ... 205 206 
