Kategorie: Internationaler Datenschutz/Konzerndatenschutz

China: Einführung eines „Sozialkreditsystems“

23. August 2017

Der chinesische Staat möchte bis 2020 ein „Sozialkreditsystem“ einsetzen. Es soll auf einer Erhebung der personenbezogenen Daten chinesischer Bürger beruhen, und als Rating-System gestaltet werden, das ihre „Ehrenhaftigkeit“ bewertet. Mehrere Pilotprojekte sollen derzeit schon existieren. Außerdem verwenden bereits manche große chinesische Unternehmen wie Alibaba eigene ähnliche Systeme zur Berechnung der Kreditwürdigkeit ihrer Kunden.

Das staatliche Projekt wird u.a. von dem chinesischen Softwareunternehmen Kingdee programmiert. Kingdee entwickelt die Plattformen, die von den Lokalregierungen zu Zwecken der Durchführung des Rating-Systems genutzt werden können. Die bereits beteiligten Behörden speichern über die Plattformen die personenbezogenen Daten, die sie online oder in staatlichen Registern über die Bürger sammeln konnten. Die eingesetzte Software bewertet sie anschließend mittels eines Algorithmus. Die chinesischen Machthaber planen dabei eine Bewertung der Bürger anhand von vier Hauptkriterien: Ihr Verhalten gegenüber der Verwaltung, ihre Einhaltung der Gesetze, ihre finanzielle Aktivität und ihr soziales Verhalten.

Diese Bewertung ermöglicht anschließend eine Belohnung oder Bestrafung der Betroffenen. Die Lokalregierungen, die das Sozialkreditsystem bereits eingeführt haben, verwenden eine Bewertungsskala mit den Noten A, B, C und D. Die unter A eingestuften Bürger werden in vieler Hinsichten bevorzugt behandelt: Sie erhalten leichter Visen, bekommen mehr Sozialleistungen, und ihre Kinder werden ggf. für Schulzulassungen privilegiert. Dagegen werden die „C- und D-Bürger“ bestraft: Sie dürfen teilweise keine Flug- oder Zugtickets mehr buchen, ihre Visa-Anträge werden abgelehnt, ihre Sozialleistungen werden gekürzt oder sogar gestrichen.

Dies besorgt vor allem Regierungskritiker, die eine noch weitere Einschränkung ihrer Meinungsfreiheit im Netz durch die Androhung dieser Strafen befürchten.

Datenschutz-Grundverordnung in Großbritannien trotz Brexit?

8. August 2017

Auch aus datenschutzrechtlicher Sicht ist bereits viel diskutiert worden, welche Folgen der Ausstieg des Vereinigten Königreichs aus der EU haben wird. Die britische Regierung hat nun aber verlauten lassen, trotz oder gerade wegen der Austrittsverhandlungen eine Anpassung des UK-Datenschutzrechts an die neuen EU-Maßstäbe der Datenschutz-Grundverordnung vornehmen zu wollen. Hierzu wurde die Pressemitteilung „Government to strengthen UK data protection law“ veröffentlicht.

Die EU-Datenschutz-Grundverordnung gilt ab dem 25.05.2018 unmittelbar und zwingend in jedem EU-Mitgliedsstaat, lässt durch sogenannte Öffnungsklauseln aber zum Teil Spielraum für national individuelle Gestaltung. Als erster Mitgliedsstaat hat Deutschland hiervon Gebrauch gemacht und ein neues Bundesdatenschutzgesetz konzipiert, das die bestehenden Spielräume für sich nutzt. Dieses Vorgehen plant nun auch die britische Regierung und will die Regelungen der Datenschutz-Grundverordnung in die Zeit nach der Durchführung des Brexit „retten“. Durch ein an die EU-Verordnung angepasstes Datenschutzrecht soll der ungehinderte Datenfluss zwischen Großbritannien und den kontinentaleuropäischen Staaten über den Brexit hinaus sichergestellt werden. Dass man durch ein neues Gesetz die Datenschutz-Grundverordnung in britisches Recht überführe, sei ein wichtiger Baustein für eine erfolgreiche Durchführung des Brexits, so die Pressemeldung.

Für die Zulässigkeit der Datenübermittlung an Stellen außerhalb der EU (sogenanntes „Drittland“) verlangt die Datenschutz-Grundverordnung in Art. 45 ein „angemessenes Schutzniveau“ in der betreffenden Region, welches von der Europäischen Kommission festgestellt werden kann. Hintergrund der geplanten Auferlegung der EU-Datenschutzregeln durch die britische Regierung dürfte daher sein, den Weg für einen entsprechenden Angemessenheitsbeschluss frühzeitig zu ebnen.

Cyberangriff auf UniCredit-Bank: Informationen von 400.000 Kunden ausgelesen

28. Juli 2017

Hackern gelang es durch einen Cyberangriff an Kontodaten von über 400.000 italienischen Kunden der UniCredit-Bank zu kommen. Das Unternehmen bestätigte den Angriff, unterstreicht allerdings auch, dass keine besonders kritischen Daten, wie Passwörter, kopiert wurden, die für einen Zugriff auf Kundenaccounts oder illegale Transaktionen genutzt werden könnten. Sicher ist jedoch, dass persönliche Informationen und die IBAN-Nummern der Kunden abhanden gekommen sind.

Bereits Ende 2016 war die UniCredit-Bank in das Visier von Hackern geraten und erlebt damit nun bereits den zweiten Cyberangriff innerhalb von zehn Monaten. Nach Angaben des Unternehmens soll der Zugriff auf die Daten über einen „unautorisierten Zugang durch einen italienischen Dienstleister“ erfolgt sein.

Die UniCredit-Bank will nun 2,3 Milliarden Euro investieren, um die eigene IT-Sicherheit zu stärken. Zu beachten ist hierbei, dass das Unternehmen für die Datensicherheit ihrer Kunden und Partner stets selbst verantwortlich bleibt, auch wenn verschiedene Prozesse – wie hier – durch Outsourcing von anderen Unternehmen im Wege der Auftragsdatenverarbeitung übernommen werden. Das Outsourcing stellt aber oftmals auch ein erhöhtes Sicherheitsrisiko dar, weshalb bei der Auswahl des Dienstleisters und den zu treffenden Sicherheitsvorkehrungen höchste Sorgfalt geboten ist. Erst recht, wenn 2018 die DSGVO in Kraft tritt und solche Datenpannen mit erhöhten Bußgeldern geahndet werden können.

Dobrindt will als Folge von WannaCry das IT-Sicherheitsgesetz verschärfen

17. Mai 2017

Der Bundesminister für digitale Infrastruktur, Alexander Dobrindt (CSU), will das IT-Sicherheitsgesetz verschärfen. Grund für seinen Vorstoß ist der Krypto-Trojaner WannaCry, der in den letzten Tagen für Aufsehen sorgte.

Der Trojaner hat weltweit hunderttausende Windows-Rechner lahmgelegt. Die Ransomware WannaCry ist ein Erpressungstrojaner. Ist der Rechner einmal befallen verschlüsselt das Programm Benutzer- und Systemdateien und fordert den Nutzer auf, einen bestimmten Betrag in Bitcoins zu zahlen, damit die die Dateien wieder freigegeben werden. Zudem versucht das Programm noch weitere Rechner zu infizieren.

Steven Wilson, der Chef der Ermittlergruppe EC3, des europäischen Cybercrimezentrums, sagt: „Das ist der größte Cyberangriff, den wir weltweit bisher gesehen haben und wir können sein Ausmaß auf die Wirtschaft nicht vorhersagen“.

Das Ausmaß des Angriffs ist enorm, auch wenn der Trojaner inzwischen durch Zufall gestoppt wurde und das erpresste Geld wahrscheinlich nicht mehr als 30.000€ einbringen wird. Der Schaden ist riesig. Betroffen sind nicht nur tausende Rechner von Privatpersonen, sondern auch beispielsweise die Deutsche Bahn, die Probleme mit den Anzeigetafeln und Ticketautomaten seit Tagen versucht wieder in den Griff zu kriegen.

Auf Grundlage dessen fordert Bundesminister Dobrindt ein schärferes IT-Sicherheitsgesetz und bringt eine Meldepflicht ins Spiel, damit Infrastrukturen besser geschützt werden. „IT-Störungen sollen zwingend dem Bundesamt für Sicherheit in der Informationstechnik gemeldet werden“.

Unroll.me verkauft Daten seiner Nutzer an Dritte

26. April 2017

Bei dem kostenlosen unroll.me handelt es sich um ein Programm, das das Email-Postfach seiner Nutzer aufräumt. Dazu werden beispielsweise Gmail-Konten nach Newslettern und Spam durchsucht, so dass diese im Anschluss abbestellt werden können.

Während ihrer Recherche-Arbeit über den Fahrdienstvermittler Uber ist die New York Times gleichzeitig auf die Praktiken von unroll.me aufmerksam geworden. Der Dienst nutzt den Zugriff auf die E-Mail-Konten seiner Nutzer neben dem Aufräumen nämlich auch dazu, Informationen über diese herauszufinden und sie anschließend anonymisiert weiter zu verkaufen.

Nutzer kritisieren den Verkauf ihrer Daten und argumentieren, dass auch ihre nicht-personenbezogenen Daten Rückschlüsse auf sie zuließen.

Der Gründer und Geschäftsführer von unroll.me, Jojo Hedaya, verweist in einer Stellungnahme auf seinem Blog ausdrücklich auf die Datenschutzbestimmungen seines Dienstes, in denen darauf hingewiesen wird, dass unroll.me nicht-personenbezogene Daten seiner Nutzer sammeln, nutzen, übertragen, verkaufen und offenlegen darf. Er versichert jedoch, dass unroll.me nicht auf die persönlichen Daten zugreift und diese dementsprechend auch nicht veröffentlicht oder verkauft werden.

Zum Abschluss verspricht er, dass die Praktiken für die Nutzer in Zukunft deutlicher zu erkennen sein sollen, als dies bisher in den Datenschutzbestimmungen der Fall ist.

Datenaustausch zwischen WhatsApp und Facebook gerichtlich überprüft

Nach dem Kauf von WhatsApp durch Facebook vor zwei Jahren bewahrheitete sich die Befürchtung, dass Facebook auf die Nutzerdaten von WhatsApp-Nutzern zugreifen will relativ schnell. Der Bundesverband der Verbraucherzentralen (VZBV) mahnte WhatsApp im vergangenen September ab, dadurch wurde die Weitergabe der Nutzerdaten zumindest vorläufig gestoppt.

Um zu erreichen, dass die Datenkrake Facebook auch zukünftig nicht auf Nutzerdaten zugreifen darf wurde zudem Klage eingereicht. Das Verwaltungsgericht Hamburg (VG) hat am Dienstag beschlossen, dass eine Nutzung von personenbezogenen Daten deutscher WhatsApp-Nutzer nur bei Vorliegen einer den deutschen Datenschutzvorschriften entsprechenden Einwilligung erfolgen darf.

Weiterhin problematisch und noch nicht hinreichend geklärt ist allerdings, ob deutsches Datenschutzrecht überhaupt zur Anwendung kommt und der Datenschutzbeauftragte gegen die in Irland firmierende Facebook Ltd. vorgehen kann. Sofern das deutsche Datenschutzrecht angewendet werden kann, dürfte der Beschluss des VG Hamburg Bestand haben, denn die von WhatsApp benutzten Einwilligungserklärungen genügen den Anforderungen des deutschen Datenschutzrechts nicht.

Somit bleibt abzuwarten, ob ein von Facebook eingereichter Widerspruch gegen den Beschluss des VG Hamburg Erfolg haben wird.

Kritische Resolution des Europäischen Parlaments zum „Privacy Shield“

12. April 2017

In der vergangenen Woche hat das EU-Parlament eine sehr kritische Resolution zum EU-US Privacy Shield angenommen und damit die bereits seit der Existenz des Übereinkommens existierenden Zweifel an seiner Vereinbarkeit mit europäischen Datenschutzgrundsätzen bekräftigt.

Zwar erkennt es Verbesserungen im Vergleich zu dem vor dem Privacy Shield bestehenden Verfahren nach der „Safe-Harbour“-Entscheidung, jedoch werden nach wie vor gravierende Mängel bei der Weitergabe von personenbezogenen Daten in die USA gesehen. Vor allem kritisieren die Parlamentarier

  • einen ungenügenden Schutz personenbezogener Daten von Betroffenen aus der EU vor dem Zugriff durch US-Geheimdienste,
  • keine durchsetzbaren und damit wirkungsvollen Rechte von Betroffenen auf Widerspruch, Löschung oder Auskunft gegenüber US-Unternehmen.

Jan Philipp Albrecht, stellvertretender Vorsitzender des Innen- und Justizausschusses des EU-Parlaments, fordert die EU-Justizkommissarin Jourovà auf, umgehend zu handeln und den Druck auf die US-Regierung zu erhöhen. Das Privacy Shield müsse zu einem echten Schutzschild gemacht werden, andernfalls gehe die Europäische Kommission das Risiko ein, dass der Europäische Gerichtshof die Regelung zukünftig (erneut – wie schon bei „Safe Harbour“ geschehen -) für ungültig erklärt.

Vor diesem Hintergrund ist es nach wie vor empfehlenswert, alternative rechtliche Absicherungen neben einem Beitritt im EU-US Privacy Shield für solche Unternehmen vorzusehen, für die eine Übermittlung von personenbezogenen Daten in die USA relevant ist.

iCloud-Account Fernlöschung durch Erpresser am 7.April 2017

29. März 2017

Unbekannte Erpresser drohen Apple, dass sie iCloud-Accounts aus der Ferne löschen, wenn Apple die geforderte Summe in bitcoins nicht zahlt.

Die Erpresser nennen sich “Turkish Crime Family“ und behaupten sie seien im Besitz von mehreren hundert Millionen iCloud-Zugangsdaten, wie ZDNet berichtet.

Mit Hilfe dieser Zugangsdaten lässt sich die iCloud-Fernortungsfunktion aktivieren. Durch diese Funktion lassen sich Apple-Geräte orten, aus der Ferne sperren und löschen. Wie die Angreifer an diese Daten gekommen sind ist fraglich, denn Apple betonte bereits, dass kein Einbruch in iCloud vorliegt. Allerdings lässt sich die Echtheit anhand einer übermittelten Liste überprüfen.

Was kann der Apple-Nutzer, gegen die Ankündigung der Erpresser eine Fernlöschung des iCloud-Accounts am 7.April vorzunehmen, tun?  Die Nutzer sollten das Passwort ihrer Apple-ID ändern und kein Passwort benutzen, dass sie bereits anderswo nutzen. Zudem sollte das iOs-Backup auf den aktuellsten Stand gebracht werden, sodass falls etwas passiert die gelöschten Daten wieder aufgespielt werden können. Außerdem kann die Funktion “Mein iPhone suchen“ abgeschaltet werden. Das führt zwar dazu, dass das iPhone nicht mehr von Dritten gelöscht werden kann, aber auch der Nutzer selbst kann es im Falle eines Verlustes nicht mehr aufspüren und aus der Ferne löschen.

Neues Gesetz in den USA: Arbeitnehmer müssen Gentests vorlegen

23. März 2017

Wie die Süddeutsche Zeitung berichtet wurde in den USA, unter Ausschluss der Öffentlichkeit, ein neues Gesetz zu Gentests auf den Weg gebracht. Laut dieses Gesetzes müssen Arbeitnehmer ihrem Arbeitgeber Gentests vorlegen.

Die Gentests beruhen nicht auf einer freiwilligen Basis, denn den Unternehmen ist es zukünftig gestattet Gentests einzufordern. Die Arbeitnehmer müssen also einen Gentest durchführen lassen und die Ergebnisse offen legen. Hierin liegt ein starker Eingriff in die Privatsphäre, da „Gentests freiwillig sein sollten und vor allem kein Zwang bestehen darf die Ergebnisse zu veröffentlichen“,  European Society of Human Genetics (ESHG).

Nicht nur amerikanische Gentechniker sind von dem Gesetz entsetzt. Auch europäische Wissenschaftler äußerten ihre Befürchtungen, weil Neuerungen im Bereich der Bioethik irgendwann von den USA nach Europa kommen und damit auch hier die Gefahr eines solchen Eingriffs besteht. Ob im europäischen Raum tatsächlich ein solcher Vorstoß geplant ist, ist nicht bekannt und wenn muss ein solches Gesetz auch erst mal verabschiedet werden und der rechtlichen Prüfung durch die obersten Gerichte standhalten. Somit besteht, vorerst jedenfalls, hier keine Gefahr.

Noch im Jahr 2008 wurde in den USA ein Gesetz beschlossen, dass genau solche Gentests verboten hat.

Jedoch lässt sich das Interesse der Unternehmen an einer solchen Untersuchung nicht von der Hand weisen. Die Unternehmen können genetische Informationen in Erfahrung bringen und aufgrund dieser über ihre Arbeitnehmer entscheiden. Ein risikobelasteter Arbeitnehmer kann für das Unternehmen im Krankheitsfall höhere Kosten bedeuten. Für die Arbeitgeber ist es demnach nur logisch, dass sie Konsequenzen aus den Ergebnissen ziehen. Diese könnten zum Beispiel auch eine Nicht-Verlängerung des Arbeitsvertrages sein oder eine Nichteinstellung. Jedoch darf nicht außer Acht gelassen werden, dass das bloße Risiko einer Erkrankung noch keine Gewissheit auf einen späteren Ausbruch der Krankheit darstellt. Was aber feststeht ist der Eingriff in die Privatsphäre.

Die E-Privacy-Verordnung

15. März 2017

Wir berichteten bereits Anfang des Jahres über den offiziellen Entwurf der E-Privacy-Verordnung. Dieser wurde am 10. Januar 2017 veröffentlicht. Nachdem er im November bereits geleakt wurde.

Die E-Privacy-Verordnung soll die EU-Datenschutzgrundverordnung (DSGVO) ab Mai 2018 ergänzen und parallel zu dieser in Kraft treten. Die Notwendigkeit einer ergänzenden Verordnung liegt darin, dass es in den verschiedenen Mitgliedsstaaten der EU unterschiedliche Regelungen gibt. Deutlich wird dies am Beispiel der Cookies. In Deutschland gilt die sogenannte Opt-Out Regelung, diese benötigt keine aktive Zustimmung des Nutzers, wohingegen in anderen Ländern die Opt-In Regelung genutzt wird. Bei Opt-In werden umfassende Informationen an den Nutzer heran getragen und es Bedarf einer aktiven Einverständniserlärung.

Die E-Privacy-Verordnung wird die E-Privacy-Richtlinie (RL 2002/58/EG) und die Cookie-Richtlinie (RL 2009/136/EG) ersetzen. Zweck der neuen Verordnung ist die Anpassung der elektronischen Kommunikation an das Schutzniveau der DSGVO, zudem soll das Vertrauen der Bürger in den digitalen Binnenmarkt gestärkt werden.

Die neue Verordnung ist, ähnlich wie die DSGVO, nicht abschließend, sondern enthält Öffnungsklauseln. Demnach steht dem nationalen Gesetzgeber Spielraum für Regelungen zur Verfügung.

Die E-Privacy-Verordnung erweitert den sachlichen Anwendungsbereich deutlich. Es sind nunmehr nicht mehr nur die klassischen Telekommunikationsanbieter von der Verordnung erfasst, sondern auch die sogenannten „Over-The-Top-Dienste“ (OTT). Zu diesen zählen beispielsweise WhatsApp, Skype und Facebook.

Bemerkenswert sind auch die Neuerungen.

So wird bei Cookies in Zukunft differenziert zwischen Cookies die keine Auswirkung auf die Privatsphäre des Nutzers haben und solchen die für die Privatsphäre des Nutzers relevant sind. Erstere bedürfen keiner vorherigen Information und auch keiner Einwilligung des Nutzer. Letzere dürfen nur nach ausdrücklicher Zustimmung des Nutzer benutzt werden. Dies lässt sich über die, bereits aus der DSGVO bekannten, ‚benutzerfreundlichen Voreinstellungen‘ im Web-Browser realisieren. Dort kann der Nutzer die Zustimmung in allgemeiner Form für solche Arten von Cookies erteilen und muss diesen nicht bei jedem Besuch auf einer Website separat zustimmen. Die Betreiber von Web-Browsern sind folglich in der Pflicht die Browser so zu updaten, dass dem Nutzer eine solche Voreinstellung ab Mai 2018 zur Verfügung steht.

Auch das Direktmarketing wird erneuert. Sowohl via E-Mail als auch was das Telefonmarketing betrifft gilt ab in Kraft treten der Verordnung, dass Marketing nur noch nach vorheriger Einwilligung erlaubt ist. Eine Ausnahme betrifft die bereits bestehenden Kundenbeziehungen. Bei diesen darf solange weiter Marketing betrieben werden, bis der Kunde einen Widerspruch dagegen tätigt.

Betreiber von Websites, die sich über Werbung finanzieren, dürfte die folgende Neuerung freuen. Betreiber dürfen prüfen, ob der Nutzer einen Adblocker verwendet und wenn dem so ist, dürfen sie ihm den Zugang zur Website versagen.

Zudem wurden auch die Bußgelder erhöht. Diese wurden an die Höhe der Bußgelder in der DSGVO angepasst. Das bedeutet, dass bei Verstößen gegen die Verordnung demnächst Bußgelder bis 20.000.000,00€ oder bis zu 4% des weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres fällig werden können.

Es bleibt allerdings noch abzuwarten, ob die Verordnung in dieser Form auch wirklich im Mai 2018 in Kraft tritt, oder ob noch entscheidende Änderungen an dem Entwurf vorgenommen werden.

1 2 3 19