Kategorie: Aufsichtsbehördliche Maßnahmen

Windows 10 Enterprise kann datenschutzkonform im Unternehmen eingesetzt werden

19. September 2017

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat die Datenströme in Microsofts Betriebssystem Windows 10 untersucht. Im 19-seitigen Prüfbericht kommen die Datenschützer zu dem Ergebnis, dass die Enterprise-Version des Betriebssystems mit gewissen Einstellungen an den Gruppenrichtlinien datenschutzkonform eingesetzt werden kann.

Im Mittelpunkt der Prüfung stand die automatisierte Übermittlung von Nutzerdaten an Microsoft. Auch sog. Telemetrie-Daten sorgten im Vorfeld für Kritik an Windows 10. Die Windows-Telemetrie ist meist voreingestellt und übermittelt im Hintergrund Daten über die Art der Nutzung an Microsoft. Dazu gehören technische Daten wie z.B. Absturzberichte oder Typ der verwendeten Hardware. Die vom Betriebssystem ermittelten Daten kann Microsoft u.a. für Werbung oder Produktverbesserungen verwenden.

Die Prüfer des BayLDA stellten fest, dass die Unternehmensversion von Windows 10 mit wenig Aufwand datenschutzkonform konfiguriert werden kann. Kritische Datenübertragungen lassen sich mit gezielten Einstellungen in den Windows Gruppenrichtlinien unterbinden. Die Prüfung des BayLDA fand in Abstimmung mit anderen europäischen Aufsichtsbehörden statt. Vorgaben der europäischen Datenschutzgrundverordnung (DSGVO) wie z.B. „Privacy by Design“ bewerteten die Prüfer nicht.

Bis Mai 2018 plant Microsoft zwei neue Betriebssystem-Updates. Wie die Aufsichtsbehörden das aktualisierte Windows 10 mit Blick auf den Datenschutz und eventuell der DSGVO bewerten, bleibt abzuwarten.

Spanische Datenschutzbehörde verhängt Geldbuße gegen Facebook

12. September 2017

Die spanische Datenschutzbehörde hat aufgrund mehrerer Datenschutzverstöße eine Geldbuße in Höhe von 1,2 Millionen Euro gegen Facebook verhängt. Die Behörde wirft dem Unternehmen zwei schwere Verstöße und einen sehr schweren Verstoß gegen das spanische Datenschutzrecht vor.

So habe Facebook personenbezogene Daten wie die Ideologie, religiöse Ansichten, das Geschlecht oder persönliche Vorlieben ohne ausdrückliche Zustimmung seiner Nutzer erhoben und ohne sie darüber zu informieren, zu welchem Zweck die Daten genutzt werden. Dabei sollen die Daten anhand von Cookies nicht nur bei Facebook-Nutzern, sondern auch bei Nicht-Mitgliedern, die sich auf den Seiten von Facebook aufgehalten haben, erhoben worden sein. Laut der spanischen Datenschutzbehörde greife Facebook nicht nur Informationen über die eigene, sondern auch über Drittseiten ab.

Darüber hinaus kritisiert die Behörde, dass Facebook seine Mitglieder über die Nutzung ihrer Daten nicht ausreichend informiere und die vorhandenen Datenschutzbestimmungen für den Durchschnittsnutzer nicht ausreichend und verständlich genug seien.

Neben Spanien ermitteln auch die Behörden in Belgien, Frankreich, Deutschland und den Niederlanden wegen ähnlicher Vorwürfe.

 

Identitätsdiebstahl im Onlinehandel: die Berliner Datenschutzbeauftragte möchte die Unternehmen stärker in die Verantwortung nehmen

In einer Pressemitteilung vom 8. September 2017 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit im Onlinehandel tätige Unternehmen dazu aufgefordert, Identitätsdiebstähle effektiver zu bekämpfen.

Beim Identitätsdiebstahl verwenden Betrüger unter Angabe einer alternativen Lieferadresse den Vornamen, Namen und/oder das Geburtsdatum einer anderen Person, um Ware auf Rechnung zu bestellen, ohne diese zu bezahlen. Weil die Betrüger zudem häufig auch falsche E-Mail-Adressen nutzen, erfahren die Opfer oft erst dann von ihrer vermeintlichen Bestellung, wenn sie Post von Inkassounternehmen und Wirtschaftsauskunfteien erhalten.

Gerade in Bezug auf die Auskunfteien stellt der Identitätsdiebstahl eine starke Belastung für die Opfer dar, da die Bestellung eine negative Eintragung und eine damit verbundenen Herabstufung ihrer Bonität zur Folge haben kann.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, die als Aufsichtsbehörde vermehrt Fälle des Identitätsdiebstahls prüft, stellt in ihrer Pressemitteilung fest, „dass Unternehmen nicht genügend Maßnahmen ergreifen, um Identitätsdiebstähle zu verhindern.“ Die Datenschutzbeauftragte Maja Smoltczyk kritisiert unter anderem, dass die Unternehmen teilweise selbst offensichtliche Unklarheiten hinsichtlich des Bestellers in Kauf nähmen und die Pakete trotzdem versendeten. In einem Originalzitat, das in der Pressemitteilung veröffentlicht wurde, heißt es: „Unternehmen dürfen den Schutz von Betroffenen nicht hinten anstellen, um Lieferungen möglichst rasch versenden und Umsatz erzeugen zu können. Wenn es zu einem Identitätsdiebstahl kommt, brauchen die Opfer zudem Unterstützung. Sie dürfen nicht wie potentielle Betrüger behandelt werden. Es wird Zeit, dass der Onlinehandel seiner Verantwortung in diesem Bereich stärker gerecht wird.“

In ihrer Pressemitteilung fordert die Datenschutzbeauftragte insbesondere folgende Maßnahmen:

  • „Unternehmen müssen geeignete Methoden zur Identifizierung ihrer Kunden einsetzen. Bei Auffälligkeiten, die auf Betrug hinweisen können, wie etwa einer abweichenden Lieferanschrift, müssen durch die Onlinehändler oder deren Zahlungsdienstleister Kontrollen durchgeführt werden (z. B. eine Melderegisterauskunft oder persönliche Rückfragen).
  • Eine Erstbestellung mit einer von der Rechnungsadresse abweichenden Lieferadresse sollte nicht auf Rechnung möglich sein.
  • Werden Wirtschaftsauskunfteien im Rahmen der Bestellung angefragt, um die bestellende Person zu identifizieren, müssen sie auf Abweichungen, z. B. bei der Adresse, ausdrücklich hinweisen.
  • Mahnungen sollten nicht ausschließlich per E-Mail versendet werden. Betrüger geben gern falsche E-Mail-Adressen an, sodass Opfer nicht oder erst sehr spät von dem Identitätsdiebstahl Kenntnis erlangen.
  • Wenn bei der Bestellung Unstimmigkeiten hinsichtlich der Identität der bestellenden Person aufgekommen sind, muss dieser Umstand auch einem ggf. später eingeschalteten Inkassounternehmen als Anhaltspunkt für einen möglichen Identitätsdiebstahl mitgeteilt werden.
  • Eine negative Meldung an eine Wirtschaftsauskunftei und ein gerichtliches Vorgehen wegen Nichtzahlung gegen die Betroffenen dürfen nur erfolgen, wenn keine Anhaltspunkte für einen Identitätsdiebstahl vorliegen.
  • Alle beteiligten Branchen müssen eine effektive und einfache Beschwerdemöglichkeit ohne unnötigen Verwaltungsaufwand schaffen. In jedem Fall muss der Kundenservice für das Thema Identitätsdiebstahl sensibilisiert werden.
  • Alle Fälle von Identitätsdiebstahl müssen zur Anzeige gebracht werden. Das ist auch deshalb wichtig, damit die Kriminalstatistik ein aussagekräftiges Bild von dem Phänomen Identitätsdiebstahl geben kann.“

Urteil zur Datenschutzgrundverordnung

10. September 2017

Verwaltungsgericht Karlsruhe Urteil vom 6.7.2017 – 10 K 7698/16

Das Verwaltungsgericht Karlsruhe ist der Auffassung, dass die Datenschutzbehörde Baden-Württemberg sich nicht auf eine Rechtsvorschrift der DSGVO vor dem 25. Mai 2018 berufen kann.

Der Sachverhalt bezieht sich auf einen Bescheid der Datenschutzbehörde vom 25.11.2016, mit der die Behörde von der Klägerin, die eine Auskunftei ist, verlangte Forderungen nach § 28a Bundesdatenschutzgesetz (BDSG) und die damit zusammenhängenden Informationen über eine Person nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei.

Zur Begründung führte die Behörde aus, dass aktuell zwar kein BDSG relevanter Datenschutzverstoß vorliege, aber mit der Datenschutzgrundverordnung (DSGVO) Anpassungen vorgenommen werden müssten, die einen zukünftigen Datenschutzverstoß verhindern sollen. Darauf erwiderte die Klägerin, dass sie ihre Löschkonzepte an die DSGVO anpassen werde.

Die Datenschutzbehörde legte diese Erklärung jedoch nicht als eine vollstreckbare Zusicherung, sondern lediglich als eine Absichtserklärung aus. Gegen die daraufhin erlassene Anordnung wehrte sich die Klägerin mit Erfolg. Das Verwaltungsgericht Karlsruhe hob den entsprechenden Bescheid wieder auf.

Zur Begründung führte das Gericht folgendes aus:

Dem Bescheid fehlt die Rechtsgrundlage. Er kann weder auf das BDSG noch auf die DSGVO gestützt werden. Die Klägerin verstößt nicht gegen das BDSG. Auf die DSGVO kann sich die Behörde zum jetzigen Zeitpunkt nicht berufen, da die Datenschutz-Grundverordnung noch nicht bzw. erst ab dem 25.05.2018 anwendbar ist. Daher ergibt sich hieraus keinerlei Handhabe für die Behörde. Inhaltlich betont das Gericht, dass künftig Art. 6 Abs. 1 lit. f DSGVO bei der Frage nach Löschfristen heranzuziehen ist. Art. 6 Abs. 1 lit. f DSGVO schreibe allerdings nur vor, dass über Löschfristen im Rahmen der berechtigten Interessen abzuwägen ist. Eine feste Vorgabe durch die Behörde wird diesen Voraussetzungen nicht gerecht.

Das Urteil zeigt zweierlei ganz deutlich. Einerseits wird ersichtlich, dass die Behörden inhaltlich noch nicht alle Feinheiten der DSGVO durchdacht haben und andererseits wird die Wichtigkeit einer sauberen Umsetzung der DSGVO deutlich. Die zuständigen Behörden werden sich nicht lange Zeit lassen bis sie auf die Verantwortlichen zugehen werden.

Unterschätzen Unternehmen die „Gefahren“ der DSGVO?

8. September 2017

Den allermeisten Unternehmen dürfte dieser Einleitungssatz bekannt vorkommen: Bis zum 25.05.2018 sind die Anforderungen der Datenschutz-Grundverordnung (DSGVO) umzusetzen.

Der Studie Veritas 2017 GDPR Report zufolge sind viele (31%) Unternehmen der Meinung, die von der  DSGVO normierten Pflichten bereits abzudecken. Als diese Unternehmen im Rahmen der Studie allerdings zur konkreten Umsetzung der Maßnahmen befragt wurden, trat häufig ein deutlich anderes Bild verbunden mit der Einsicht zutage, eine Compliance mit dem Regelwerk sei nun doch noch nicht erreicht. Nach Abzug dieser Fälle ist ein Ergebnis der Studie, dass letztlich nur 2% der Unternehmen tatsächlich auf die DSGVO vorbereitet sind.

Die befragten Unternehmen sehen bei sich unter anderem in den folgenden Bereichen akuten Nachholbedarf:

  • Etablierung eines Prozesses zur Meldung von Datenverlusten innerhalb von 72 Stunden,
  • Regelungen zur Löschung (jetzt auch „Recht auf Vergessenwerden“),
  • Neue Rechtslage zur Auftragsdatenverarbeitung (künftig nur „Auftragsverarbeitung“).

Angesichts der respektablen Bußgelder der DSGVO bleibt es wohl weiterhin bei dem gebetsmühlenartigen Verweis auf die „Stunde Null“: Stellen Sie bis zum 25.05.2018 sicher, dass Sie auf die Anforderungen der DSGVO (tatsächlich) vorbereitet sind.

G-20-Akkreditierungen – Vermutlich rechtswidrige Daten in der BKA-Datei

1. September 2017

Nach einem Bericht des ARD-Hauptstadtstudio speichert das Bundeskriminalamt (BKA) vermutlich Millionen Daten illegal. Im Zuges des G-20 Gipfels und der Entziehung von Akkreditierungen einiger Journalisten wurde festgestellt, dass einige Eintragungen zu Straftaten in den Datenbanken des BKA schlichtweg falsch sind oder längst hätten gelöscht werden müssen.

In der Behörde der Bundesbeauftragten für den Datenschutz wartet man schon auf die Beschwerden der betroffenen Journalisten. Der unrechtmäßige Entzug von Akkreditierungen zeigt nämlich, dass fehlerhaft gespeicherte Daten extreme Folgen für die berufliche und private Existenz von Bürgern haben können.

Gemäß des § 8 des Bundeskriminalamtgesetzes ist zwar die Speicherung von Ermittlungen, die nicht zu einer Verurteilung vor Gericht geführt haben erlaubt – im Gegenzug wird dafür aber in jedem Einzelfall eine sogenannte Negativprognose gefordert: Es muss konkret begründet werden, warum von der Person auch in Zukunft Straftaten zu erwarten sind und die Speicherung früherer Ermittlungen deshalb wichtig ist. Das diese Negativprogonse überhaupt durchgeführt wird, ist aufgrund der vielen Datensätze fraglich.

Schon einmal hatte der Bundesdatenschutzbeauftragte mit seiner Prüfung einer Datenbank Erfolg.  Im Jahre 2012 überprüfte der damalige Bundesdatenschutzbeauftagte Peter Schaar die Datenbank „PMK-links Z“ , in der politisch motivierte Kriminelle gespeichert werden und fand eine Menge an illegal gespeicherten Daten. Dies führte zu einer Löschung seitens des BKA, so dass statt 3819 Personen im März 2012 nur noch 331 Personen im Juli 2015 gespeichert waren.

Delivery Hero – Keine Heldentaten beim Datenschutz

31. August 2017

In immer mehr Städten etablieren sich Lieferdienste, die einem aus dem bevorzugten Restaurant schnell und bequem das Lieblingsessen nach Hause auf die Couch liefern. Für die Inanspruchnahme eines solchen Essenslieferdienstes muss sich der Kunde lediglich ein Benutzerkonto bei dem Anbieter seiner Wahl zulegen und sich hierzu mit seinen persönlichen Daten registrieren. Selbstverständlich sichern die Lieferdienste den Schutz der personenbezogenen Daten und die Achtung des Datenschutzrechts zu.

Bei der Berliner Beauftragten für den Datenschutz häufen sich nun aber Beschwerden gegen solche Lieferdienste. Alleine gegen Delivery Hero (u.a. Foodora, Lieferheld, Pizza.de) liegen bei der Berliner Beauftragten für den Datenschutz 14 Beschwerden vor. Bei diesen Beschwerden geht es darum, dass es den Kunden vielfach nur unter erschwerten Bedingungen ermöglicht wurde das angelegte Kundenkonto wieder zu löschen. So sollten die Kunden als Bedingung für die Löschung etwa einen Identitätsnachweis in Form eines kopierten Personalausweises darbringen. Teilweise wurde sogar gerügt, dass das Löschen des Kundenkontos überhaupt nicht ermöglicht wurde. Dabei ist ein Anspruch auf Löschung der personenbezogenen Daten sogar in § 35 Bundesdatenschutzgesetz normiert. Mittlerweile hat Delivery Hero zumindest bei Lieferheld und Pizza.de den Zwang zur Vorlage des Personalausweises wieder aufgehoben. Auch die komplette Löschung personenbezogener Daten soll nun wieder komplett möglich sein.

Ihre Erfahrungen mit den Essenslieferdiensten brachte die Berliner Beauftragten für den Datenschutz nun auch in den Düsseldorfer Kreis ein und schlug dort vor, bundesweit koordinierte Prüfaktionen bei den Essenslieferdiensten durchzuführen. Damit solle die Sensibilität der Essenslieferdienste für das Thema Datenschutz erhöht werden.

Bundesdatenschutzbeauftragte kritisiert Pilotprojekt der automatischen Gesichtserkennung

24. August 2017

Die Bundesdatenschutzbeauftragte, Andrea Voßhoff, betonte heute in einer Stellungnahme, dass eine automatische biometrische Gesichtserkennung, wie sie seit Anfang August in einem Pilotprojekt am Berliner Bahnhof Südkreuz stattfindet, nur bei Vorliegen einer informierten, umfassenden Einwilligungserklärung der Betroffenen datenschutzrechtlich legitimiert sei.

Die Einwilligungserklärung müsse insbesondere auch die Tatsache umfassen, dass bei dem Projekt ein aktiv sendender Bluetooth-Transponder (iBeacon) verwendet wird, der jeweils als Token an die Teilnehmer ausgehändigt worden war.

Vorausgegangen war die Meldung der Datenschutzorganisation Digitalcourage, die aufgedeckt hatte, dass es sich bei dem ausgeteilten Token eben nicht um eine Art passiven RFID-Chip handelt, sondern um einen sogenannten iBeacon. Mit diesem lassen sich Daten wie Temperatur, Neigung und Beschleunigung messen, speichern und weitergeben und theoretisch aussagekräftige Profile auch außerhalb des Bahnhofs erstellen.

Bis zum Vorliegen derartiger neu eingeholter Einwilligungserklärungen finde der Testlauf laut Voßhoff derzeit ohne Rechtsgrundlage statt und sei daher auszusetzen.

Hamburgischer Beauftragter für den Datenschutz setzt Recht auf Vergessenwerden durch

17. August 2017

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) konnte dieser Tage durchsetzen, dass die Google Inc. mehrere Internetangebote, auf denen personenbezogene Daten aus Insolvenzverfahren unzulässig veröffentlicht werden, generell nicht mehr als Suchergebnisse verlinkt.

Vorausgegangen waren zahlreiche Beschwerden von Bürgerinnen und Bürgern über die Auffindbarkeit ihrer Insolvenzdaten über die Google-Suchmaschine. Nach Einschätzung des HmbBfDI stellt die Auffindbarkeit von Informationen über die Insolvenzverfahren der Betroffenen bei bloßer Namenssuche einen erheblichen Eingriff in deren Recht auf informationelle Selbstbestimmung dar. Diese Informationspreisgabe könne erhebliche Auswirkungen auf die Teilnahme der Betroffenen am geschäftlichen Verkehr haben, zudem mangele es bei den Nutzern der Suchmaschine häufig am diesbezüglichen Informationsinteresse, wenn sie bei bloßer Namenssuche über die Suchmaschine Informationen aus Insolvenzverfahren erhalten.

Dazu äußerte sich der HmbBfDI, Prof. Dr. Johannes Caspar, erfreut: „In Fällen wie diesem (…) hat das Recht auf Vergessenwerden gegenüber Suchmaschinen eine besondere Bedeutung für die Betroffenen.“

Höchstmögliches Bußgeld wegen unerlaubter Telefonwerbung

9. August 2017

Nachdem sich bei der Bundesnetzagentur rund 2.500 Verbraucher über Werbeanrufe der Energy2day GmbH  über rechtswidrige Werbeanrufe für Energielieferverträge beschwert hatten, verhängte die Behörde in der vergangenen Woche ein Bußgeld in Höhe von 300.00 Euro gegenüber dem Unternehmen. Dies ist das nach Gesetz gegen den Unlauteren Wettbewerb (UWG) höchstmögliche Bußgeld.

Energy2day hatte sich in den Anrufen als örtlicher Energieversorger ausgegeben oder behauptet, es würde mit diesem zusammenarbeiten. Ziel war es, die Verbraucher zum Wechsel ihres Stromlieferanten zu bewegen. Das Unternehmen hatte dazu in der Vergangenheit eine komplexe Vertriebsstruktur aufgebaut und mit einer Vielzahl an Untervertriebspartnern u.a. auch im Ausland zusammengearbeitet, die als Subunternehmer derartige Anrufe getätigt haben.

Inwiefern Energy2day ihrer Aussage nachkommt, kein Telefonmarketing gegenüber Verbrauchern mehr betreiben zu wollen, wird die Bundesnetzagentur beobachten.

1 2 3 13