27. Oktober 2017
Nach einem Bericht der niederländischen Datenschutzbehörde ist das Betriebssystem Windows 10 Home und Windows 10 Pro nicht datenschutzkonform. Damit kommt sie zu einem gegensätzlichen Ergebnis als das Bayerische Landesamt für Datenschutzaufsicht im September (wir berichteten).
Laut Behörde werde vor allem nicht klar genug informiert, welche Daten für welche Zwecke erfasst und ausgewertet werden, sodass die Datenverwendung für Nutzer nicht abschätzbar sei. Vor allem kann auch nicht dadurch auf eine wirksame Einwilligung geschlossen werden, dass eine Opt-Out-Funktion in den Datenschutz-Einstellungen angeboten (aber nicht genutzt wird) bzw. die Voreinstellungen nicht aktiv geändert werden.
Gesammelt und gespeichert werden URL von den besuchten Internetseiten, die Nutzung von Apps, aber auch Telemetrie-Daten wie Absturzberichte oder Nutzungsdauer von Eingabegeräten (wie Maus und Touchscreen). Wenn Opt-Out nicht gewählt worden ist, wird so personalisierte Werbung auf Windows, Edge und Apps angezeigt. Nach der Niederländischen Behörde macht Microsoft nicht deutlich genug, dass beim Surfen Daten gesammelt werden.
Laut der bayerischen Datenschutzaufsicht hingegen würde es ausreichen, dass die Datenflüsse kontrollierbar seien. Dennoch hatte auch das BayLDA festgehalten, dass durchaus noch Handlungsbedarf besteht, einer Nutzung von Windows 10 aber im Unternehmen mit Microsoft Gruppenrichtlinien und den richtigen Einstellungen nichts entgegensteht. Die europäischen Datenschutzbehörden beurteilten diese Einschätzung als verfrüht, vor allem da die Gruppenrichtlinien noch nicht vorgelegt worden sind.
Auf den Bericht der niederländischen Datenschutzbehörde hin, hat Microsoft angedeutet, dass alle rechtswidrigen Funktionen beseitigt werden sollen.
25. Oktober 2017
Microsoft beabsichtigt, nach einer Änderung von Richtlinien seitens des US-Justizministeriums, eine Klage gegen die Behörde zurückzuziehen. Microsoft hatte Anfang 2016 Klage eingereicht, da es die Regelungen des Justizministeriums, zu Ermittlungszwecken auf Kundendaten zugreifen zu können, ohne dass diese hierüber zeitnah bzw. überhaupt informiert werden, für verfassungswidrig hielt.
Die US-Behörden können über sogenannte „National Security Letter“ (NSL) die Herausgabe von Kundendaten verlangen. Da die betroffenen Unternehmen im Rahmen eines solchen Herausgabeverlangens zu absolutem Stillschweigen verpflichtet werden, besteht für sie weder die Möglichkeit, ihre Kunden über die Weitergabe ihrer Daten zu informieren, noch die Möglichkeit, gegen die NSL vorgehen zu können. Microsoft sieht hierin einen Verstoß gegen das Recht eines Jeden, zu erfahren, wenn gegen ihn behördlich ermittelt wird.
Nun hat jedoch das Justizministerium die Richtlinien dahingehend angepasst, dass geheime Zugriffe auf Kundendaten nur noch unter strengen Bedingungen und in Ausnahmefällen zulässig sein sollen. In den anderen Fällen dürfen die Kunden zukünftig in absehbarer Zeit über die Weitergabe der Daten informiert werden.
Ziel der Klage von Microsoft war es, gegen die unbeschränkte Geheimhaltungsverpflichtung vorzugehen, weshalb sich das Unternehmen dazu entschlossen hat, die Klage zurückzuziehen. Jetzt bleibt abzuwarten, wie schnell das Parlament eine entsprechende gesetzliche Grundlage schafft, ein Gesetzentwurf soll bereits vorliegen.
24. Oktober 2017
Die Internationale Datenschutzkonferenz ist ein globales Forum von unabhängigen Datenschutzbehörden, unabhängigen Datenschutzkontrollorganen, internationalen Organisationen, Nichtregierungsorganisationen sowie Vertretern aus Wissenschaft und Industrie. Sie findet seit ihrer Gründung im Jahr 1979 jährlich an immer wechselnden Orten statt. Derzeit gehören ihr 120 Mitglieder aus 78 Staaten weltweit an.
Auf der diesjährigen Konferenz vom 25. bis 29. September 2017 in Hongkong mit dem Thema „Connecting West with East in Respecting Data Privacy“ wurde – angestoßen durch die deutsche Bundesdatenschutzbeauftrage (BfDI) – eine Resolution zur Stärkung des Rechts der Fahrzeugnutzer auf Privatsphäre und den Schutz ihrer personenbezogenen Daten verabschiedet.
Hintergrund der Resolution ist die voranschreitende Digitalisierung des Straßenverkehrs, die auch datenschutzrechtlich große Veränderungen mit sich bringt. Vor allem in den Bereichen Verkehrsoptimierung, Unfallvermeidung, Notfallhilfe und Unfallaufklärung entstehen hier enorme Vorteile. Als Beispiel sei hier das Vorhaben von VW genannt, ab 2019 eine erste Modellreihe serienmäßig mit der Funktechnik Public WLAN (pWLAN) auszurüsten, um eine Kommunikation der Fahrzeuge untereinander zu ermöglichen.
Datenschutzrechtlich bedenklich sind allerdings vor allem das immense Datenvolumen, das hierbei ausgetauscht wird, sowie die lange Speicherdauer. Beispielsweise sind in vielen Carsharing Fahrzeugen E-Steuerungsmodule eingebaut, die sämtliche Daten protokollieren und sogenannte Log-Dateien erzeugen, die bis zu einem Jahr lang gespeichert werden.
In Ihrer Pressemitteilung äußerte die Bundesdatenschutzbeauftragte Andrea Voßhoff Ihre Bedenken: “… Das Auto ist Symbol von Freiheit und Unabhängigkeit. Die Digitalisierung des Straßenverkehrs könnte dies grundlegend verändern. In modernen Fahrzeugen sammeln bereits heute unzählige Sensoren Daten zum Fahrverhalten und den zurückgelegten Wegen. Daraus lassen sich detaillierte Persönlichkeitsprofile erstellen. Fahrerinnen und Fahrer müssen daher jederzeit die volle Hoheit über die Verwendung personalisierbarer Fahrzeugdaten haben. Grundsätzlich sollten sie über jede Datenverwendung vollständig und transparent unterrichtet werden. Dafür sind datenschutzgerechte Technologien und Voreinstellungen notwendig…”
Die von der Konferenz erlassene Resolution enthält einen 16 Punkte-Plan, der sich direkt an Automobilhersteller und -Zulieferer, Gesetzgeber und Behörden sowie an Anbieter fahrzeugbezogener Internetdienste richtet.
Bereits im Juni 2017 hatte die BfDI eine 13 Punkte umfassende Empfehlungsliste für den Datenschutz in automatisierten und vernetzten Fahrzeugen veröffentlicht, in denen sie u.a. gemäß dem Grundsatz „Privacy by default“ die Etablierung datenschutzfreundlicher Voreinstellungen forderte.
20. Oktober 2017
Whatsapp bringt wieder eine Neuerung für seinen Messenger raus – den Live Standort.
Demnächst soll es für Whatsapp-User möglich sein mit ihren Freunden in Echtzeit ihren Standort zu teilen und somit verfolgen zu lassen. Die Freigabe des Live Standorts an die Freunde aus der Kontaktliste erfolgt dabei freiwillig und nicht ohne Einwilligung des Benutzers. Um den Live Standort mitteilen zu können muss der Benutzer der App diesen aktiv an seine Freunde senden. Danach erscheint der Standort für eine ausgewählte Zeit auf einer Karte. Benutzer von Whatsapp können zum Beispiel gucken ob die Person, mit der sie sich treffen wollen bereits auf dem Weg zum vereinbarten Treffpunkt ist oder gesund zu Hause angekommen ist.
Neu ist diese Funktion jedoch nicht. Facebook, das Unternehmen hinter Whatsapp, eröffnete seinen Nutzern bereits Anfang diesen Jahres eine solche Funktion. Auch der Messengerdienst Snap Chat fügte eine solche Funktion benannt als “Snap Map” seiner App hinzu.
Whatsapp argumentiert dabei mit der Nützlichkeit dieser Funktion, wohingegen Datenschützer das ganze Vorhaben als sehr bedenklich erachten, da Standortdaten eine der persönlichsten Daten eines Smartphone-Nutzers sind.
Die Empfehlung ist daher nicht allen Apps zu erlauben die Standortnutzung zu aktivieren und den Ortungsdienst des Smartphones abzuschalten wenn er nicht aktiv benutzt wird.
Um dem Datenschutz trotzdem seinen Tribut zu zollen nutzt Whatsapp eine Ende-zu-Ende-Verschlüsselung, damit den Benutzern eine “sichere” Übermittlung gewährleistet werden kann.
Das OVG Münster bestätigt in seinem Urteil die Entscheidung des VG Köln (wir berichteten), indem auch das OVG Münster das Portal „fahrerbewertung.de“ wegen Verstoßes gegen das Selbstbestimmungsrechts für unzulässig hält.
Pressemitteilung OVG Münster vom 19.10.2017:
Das Internetportal “www.fahrerbewertung.de” ist in seiner derzeitigen Ausgestaltung datenschutzrechtlich unzulässig. Dies hat heute das Oberverwaltungsgericht entschieden und damit Anordnungen der NRW-Landesbeauftragten für Datenschutz und Informationsfreiheit zur Umgestaltung der Plattform bestätigt.
Die Klägerin betreibt ein Online-Portal, mit dem das Fahrverhalten von Verkehrsteilnehmern und -teilnehmerinnen unter Angabe des Kfz-Kennzeichens im Wesentlichen anhand eines Ampelschemas (grün = positiv, gelb = neutral, rot = negativ) bewertet werden kann. Die abgegebenen Bewertungen können von jedermann ohne Registrierung eingesehen werden. Die Landesbeauftragte für Datenschutz sieht darin einen Verstoß gegen das Bundesdatenschutzgesetz. Sie gab der Klägerin unter anderem auf, die Plattform so umzugestalten, dass nur noch der jeweilige Halter oder die jeweilige Halterin eines Fahrzeugs die dafür abgegebenen Bewertungen einsehen kann und sich zu diesem Zweck zuvor registrieren muss. Die dagegen erhobene Klage hatte das Verwaltungsgericht abgewiesen. Die Berufung hat das Oberverwaltungsgericht heute zurückgewiesen.
Zur Begründung hat der 16. Senat im Wesentlichen ausgeführt: Das Bundesdatenschutzgesetz sei vorliegend anwendbar, insbesondere handele es sich bei den zu bestimmten Kfz-Kennzeichen abgegebenen Bewertungen um personenbezogene Daten. Im Rahmen der vorzunehmenden Abwägung überwiege das informationelle Selbstbestimmungsrecht der betroffenen Kraftfahrzeughalter und -halterinnen gegenüber den Interessen der Klägerin sowie der Nutzer und Nutzerinnen des Portals, weil eine vollständig anonyme Bewertung von in der Regel privat motiviertem Verhalten für eine unbegrenzte Öffentlichkeit einsehbar sei. Dem stünden keine gewichtigen Interessen der Klägerin und der Portalnutzer und -nutzerinnen entgegen. Insbesondere das Ziel, die Fahrer zur Selbstreflexion anzuhalten, könne auch unter Geltung der Anordnungen erreicht werden.
Das Oberverwaltungsgericht hat die Revision gegen das Urteil nicht zugelassen. Dagegen kann Nichtzulassungsbeschwerde erhoben werden, über die das Bundesverwaltungsgericht entscheidet.
Aktenzeichen: 16 A 770/17 (I. Instanz: VG Köln, 13 K 6093/15)
19. Oktober 2017
In der WPA2-Verschlüsselung ist eine kritische Schwachstelle gefunden worden.
Die WPA2-Verschlüsselung ist üblicherweise für den Schutz der Datenübertragung im WLAN zuständig.
Zwei Sicherheitsforscher der belgischen KU Leuven haben die Schwachstelle im WPA2-Protokoll, die dazu führt, dass Angreifer den eigentlich geschützten Datenverkehr mitlesen können, aufgedeckt. Durch einen Angriff auf die Schwachstelle können persönliche Informationen belauscht und mitgeschnitten und/oder Daten manipuliert werden. Zugegriffen wird dabei auf den Verbindungsaufbau. Die Angreifer klinken sich in diesen ein und haben so Zugriff auf die nicht mehr geschützten Daten.
Das hört sich in der Theorie schlimmer an, als es in der Praxis tatsächlich ist. Durch den Angriff kann zum einen nicht das WLAN-Passwort in Erfahrung gebracht werden und zum anderen werden sehr viele Vorgänge durch SSL/TLS zusätzlich gesichert, wie beispielsweise bei HTTPS-Verbindungen die für Online-Banking oder zum Übertragen von Login-Daten genutzt werden. Außerdem müssen die Angreifer für den Zugriff in Reichweite des WLANs sein, was zumindest zahlenmäßig große Angriffe ausschließt, da sie sehr aufwändig wären.
Die Schwachstelle kann zudem durch Software-Updates, welche von einigen Herstellern bereits angekündigt wurden, behoben werden.
18. Oktober 2017
Anlässlich des frisch gewählten Bundestags formulierten alle unabhängigen deutschen Datenschutzbehörden einen Katalog mit Grundsatzpositionen für die neue Legislaturperiode. Die diesjährige Vorsitzende der Datenschutzkonferenz, die niedersächsische Landesbeauftragte Barbara Thiel, legte das Dokument allen im Bundestag vertretenen Fraktionen vor. Die Aufsichtsbehörden von Bund und Ländern formulierten elf Forderungen an den deutschen Gesetzgeber.
Die Datenschutzbehörden warnen davor, Daten zu einer “rein wirtschaftlichen Größe” zu machen und fordern, dass das Verbotsprinzip nach der Datenschutzgrundverordnung (DSGVO) nicht unter dem modernen Schlagwort “Datensouveräntität” zurückweichen darf. Das Grundprinzip der Datenminimierung müsse weiterhin an vorderer Stelle stehen. Diese Forderungen seien nach Ansicht der Konferenzvorsitzenden Thiel kein Hindernis für die Digitalisierung. Vielmehr sei Datenschutz als Grundrechtsschutz und “integraler und förderlicher Bestandteil” von Fortschritt in Politik, Wirtschaft und Gesellschaft.
Die Grundsatzpositionen der Datenschutzkonferenz heben auch die Bedeutung von Privacy by Design und Privacy by Default hervor. Datenschutz muss im gesamten Lebenszyklus von Produkten und Dienstleistungen bedacht und implementiert werden. Nach den Aufsichtsbehörden soll die Bundesregierungen solche Projekte und Innovationen fördern, auch indem sie sich mit Vertretern aus Wirtschaft, Forschung und Entwicklung austauscht.
Weiter fordern die Aufsichtsbehörden ein eigenständiges Gesetz zum Beschäftigtendatenschutz, das den Anforderungen der Arbeitswelt 4.0 entspricht. § 26 BDSG-neu sei den aktuellen Herausforderungen wie z.B. durch verdeckte technische Überwachung, nicht gewachsen. Im Bereich von E-Health fordern die Datenschutzbehörden strenge Vorgaben, damit z.B. Patienten, die eine laufende Erfassung von Gesundheitsdaten via Wearables und Fitness-Apps nicht zustimmen, bei Versicherungstarifen nicht benachteiligt werden. Big-Data-Projekte im Gesundheitswesen sollten per Gesetz mit der zuständigen Datenschutzaufsichtsbehörde abzustimmen sein. Schließlich sehen die Aufsichtsbehörden das Thema Vorratsdatenspeicherung weiterhin kritisch, jene sei “in all ihren Ausprägungen auf den Prüfstand zu stellen”.
Laut einer Quelle aus dem Europäischen Parlament sei im Zusammenhang mit der geplanten E-Privacy-Verordnung eine der intensivsten Lobbykampagnen wahrzunehmen, die es auf europäischer Ebene je gegeben habe. Dies geht aus dem Bericht “Big Data Is Watching You” der Initiative ´Corporate Europe Observatory´ hervor. Vonseiten der Online-Industrie werde demnach lehrbuchartig in die Werkzeugkiste der Beeinflussungsmethoden gegriffen, u.a. in Form von direkten Treffen oder Diskussionsveranstaltungen in kleineren Kreisen mit Cocktailempfang.
Bei der E-Privacy-Verordnung geht es um den Datenschutz im Internet. Hier stehen sich die Interessen der Nutzer an der Privatheit Ihrer elektronischen Kommunikation und die kommerziellen Interessen der Diensteanbieter gegenüber. Insofern überrascht es nicht, dass eine Verordnung zur Regelung von Themen wie der Profilbildung von Usern, der Nutzung von Cookies und Metadaten u.v.m. die Aufmerksamkeit der Online- und Werbeindustrie genießt.
Die E-Privacy-Verordnung wird neben der Datenschutz-Grundverordnung einen weiteren wichtigen Maßstab dessen darstellen, was im Kontext der Datenverarbeitung von Unternehmen zu beachten ist. Geht man von den bisherigen Vorschlägen für die besagte Verordnung aus, muss auch hier mit einem gewissen Anpassungsaufwand zur Sicherstellung der künftigen Verordnungskonformität gerechnet werden.
17. Oktober 2017
Ende 2013 hatte ein Bundesbezirksgericht in New York einen Durchsuchungsbeschluss erlassen, in dem der Unternehmensriese Microsoft verpflichtet wurde, E-Mails eines Kunden herauszugeben. Hinsichtlich der Nachrichten des Nutzers, die auf us-amerikanischen Servern des Unternehmens gespeichert waren, tat dies Microsoft auch, verweigerte allerdings die Herausgabe der Mails, die auf Servern in Irland gespeichert waren. Dabei berief sich Microsoft darauf, dass hierfür die irischen Gerichte zuständig seien und zog vor das Bundesberufungsgericht für den 2. Bundesgerichtsbezirk (2nd Circuit). Die Richter des 2nd Circuit entschieden gegen das Begehren der US-Regierung zu Gunsten von Microsoft, da das zugrundeliegende US-amerikanische Gesetz “Stored Communications Act” nur im Inland gelte. Auf das Urteil des Gerichts hin beantragte die US-Regierung eine erneute Anhörung vor einer erweiterten Richterbank des selben Gerichts. Nur vier von acht Richtern des 2nd Circuit stimmten allerdings für eine neuerliche Anhörung. Der Antrag der US-Regierung wurde daher abgelehnt.
Als neuerlichen Versuch, den Durchsuchungsbefehl auch hinsichtlich der EU-Daten durchzusetzen, wandte sich die US-Regierung mit der Unterstützung von 33 US-Staaten an den US Supreme Court. Der US Supreme Court beschäftigt sich mit Rechtsfragen, die von Bundesberufungsgerichten uneinheitlich beantwortet wurden. In den meisten anderen Fällen wird ein Begehren allerdings abgelehnt. Im vorliegenden Fall hat sich der US Supreme Court jedoch dazu entschieden, die Frage der Anwendbarkeit des Gesetzes und der Zulässigkeit der Datenübermittlung von EU-Daten in die USA zu klären und den Fall daher angenommen. Dies untermauert die Brisanz, die diese Rechtsfrage beinhaltet.
Einen Termin für die mündliche Anhörung des Falls, der offiziell “In the Matter of a Warrant to Search a Certain E-Mail-Account Controlled and Maintained by Microsoft Corporation, United States of America v. Microsoft Corporation” heißt, gibt es noch nicht. Die Entscheidung des Falls ist daher ungewiss und mit Spannung zu verfolgen. Sollte der US Supreme Court geurteilt haben, werden wir erneut darüber berichten.
13. Oktober 2017
Bis zur Reform 2016, die eine Änderung des Telemediengesetzes vorsah, war die Haftung für die Betreiber eines offenen WLANs verhältnismäßig hoch. Die Angst vor kostenträchtigen Abmahnungen war durchaus berechtigt. Die Haftung solcher Betreiber durch das Telemediengesetz wurde nun erneut reformiert.
Die Reform betrifft die Störerhaftung des Telemediengesetzes, die bis dato vorsah, dass beispielsweise Anbieter eines öffentlichen WLANs für das fehlerhafte Verhalten ihrer Nutzbar haftbar gemacht werden können. Das Resultat war eine Welle von Abmahnungen, die vor allem die Nutzung von Filesharing-Software über freie Netzwerke betraf.
Die neue Regelung aus § 8 TMG sieht nun vor, dass Anbieter eines freien WLANs nicht mehr wegen des Fehlverhaltens ihrer Nutzer auf Schadensersatz oder Beseitigung sowie Unterlassung einer Rechtsverletzung in Anspruch genommen werden können. Dementsprechend können keine mit der Störerhaftung in Zusammenhang stehenden Sanktionen mehr anfallen.
Ausgenommen von dieser Regelung sind aber weiterhin Anbieter, die mit ihren Nutzern zusammenarbeiten.
Überzeugt wurde das Bundeswirtschaftsministerium dabei durch das große gesellschaftliche und wirtschaftliche Potenzial, das eine solche Gesetzesänderung mit sich bringt. Sowohl Gastronomen, Unternehmen als auch privaten Personen ist es nun erlaubt das eigene WLAN der Öffentlichkeit zugänglich zu machen.
Pages: 1 2 ... 124 125 126 127 128 ... 275 276 
