18. Oktober 2017
Laut einer Quelle aus dem Europäischen Parlament sei im Zusammenhang mit der geplanten E-Privacy-Verordnung eine der intensivsten Lobbykampagnen wahrzunehmen, die es auf europäischer Ebene je gegeben habe. Dies geht aus dem Bericht “Big Data Is Watching You” der Initiative ´Corporate Europe Observatory´ hervor. Vonseiten der Online-Industrie werde demnach lehrbuchartig in die Werkzeugkiste der Beeinflussungsmethoden gegriffen, u.a. in Form von direkten Treffen oder Diskussionsveranstaltungen in kleineren Kreisen mit Cocktailempfang.
Bei der E-Privacy-Verordnung geht es um den Datenschutz im Internet. Hier stehen sich die Interessen der Nutzer an der Privatheit Ihrer elektronischen Kommunikation und die kommerziellen Interessen der Diensteanbieter gegenüber. Insofern überrascht es nicht, dass eine Verordnung zur Regelung von Themen wie der Profilbildung von Usern, der Nutzung von Cookies und Metadaten u.v.m. die Aufmerksamkeit der Online- und Werbeindustrie genießt.
Die E-Privacy-Verordnung wird neben der Datenschutz-Grundverordnung einen weiteren wichtigen Maßstab dessen darstellen, was im Kontext der Datenverarbeitung von Unternehmen zu beachten ist. Geht man von den bisherigen Vorschlägen für die besagte Verordnung aus, muss auch hier mit einem gewissen Anpassungsaufwand zur Sicherstellung der künftigen Verordnungskonformität gerechnet werden.
17. Oktober 2017
Ende 2013 hatte ein Bundesbezirksgericht in New York einen Durchsuchungsbeschluss erlassen, in dem der Unternehmensriese Microsoft verpflichtet wurde, E-Mails eines Kunden herauszugeben. Hinsichtlich der Nachrichten des Nutzers, die auf us-amerikanischen Servern des Unternehmens gespeichert waren, tat dies Microsoft auch, verweigerte allerdings die Herausgabe der Mails, die auf Servern in Irland gespeichert waren. Dabei berief sich Microsoft darauf, dass hierfür die irischen Gerichte zuständig seien und zog vor das Bundesberufungsgericht für den 2. Bundesgerichtsbezirk (2nd Circuit). Die Richter des 2nd Circuit entschieden gegen das Begehren der US-Regierung zu Gunsten von Microsoft, da das zugrundeliegende US-amerikanische Gesetz “Stored Communications Act” nur im Inland gelte. Auf das Urteil des Gerichts hin beantragte die US-Regierung eine erneute Anhörung vor einer erweiterten Richterbank des selben Gerichts. Nur vier von acht Richtern des 2nd Circuit stimmten allerdings für eine neuerliche Anhörung. Der Antrag der US-Regierung wurde daher abgelehnt.
Als neuerlichen Versuch, den Durchsuchungsbefehl auch hinsichtlich der EU-Daten durchzusetzen, wandte sich die US-Regierung mit der Unterstützung von 33 US-Staaten an den US Supreme Court. Der US Supreme Court beschäftigt sich mit Rechtsfragen, die von Bundesberufungsgerichten uneinheitlich beantwortet wurden. In den meisten anderen Fällen wird ein Begehren allerdings abgelehnt. Im vorliegenden Fall hat sich der US Supreme Court jedoch dazu entschieden, die Frage der Anwendbarkeit des Gesetzes und der Zulässigkeit der Datenübermittlung von EU-Daten in die USA zu klären und den Fall daher angenommen. Dies untermauert die Brisanz, die diese Rechtsfrage beinhaltet.
Einen Termin für die mündliche Anhörung des Falls, der offiziell “In the Matter of a Warrant to Search a Certain E-Mail-Account Controlled and Maintained by Microsoft Corporation, United States of America v. Microsoft Corporation” heißt, gibt es noch nicht. Die Entscheidung des Falls ist daher ungewiss und mit Spannung zu verfolgen. Sollte der US Supreme Court geurteilt haben, werden wir erneut darüber berichten.
13. Oktober 2017
Bis zur Reform 2016, die eine Änderung des Telemediengesetzes vorsah, war die Haftung für die Betreiber eines offenen WLANs verhältnismäßig hoch. Die Angst vor kostenträchtigen Abmahnungen war durchaus berechtigt. Die Haftung solcher Betreiber durch das Telemediengesetz wurde nun erneut reformiert.
Die Reform betrifft die Störerhaftung des Telemediengesetzes, die bis dato vorsah, dass beispielsweise Anbieter eines öffentlichen WLANs für das fehlerhafte Verhalten ihrer Nutzbar haftbar gemacht werden können. Das Resultat war eine Welle von Abmahnungen, die vor allem die Nutzung von Filesharing-Software über freie Netzwerke betraf.
Die neue Regelung aus § 8 TMG sieht nun vor, dass Anbieter eines freien WLANs nicht mehr wegen des Fehlverhaltens ihrer Nutzer auf Schadensersatz oder Beseitigung sowie Unterlassung einer Rechtsverletzung in Anspruch genommen werden können. Dementsprechend können keine mit der Störerhaftung in Zusammenhang stehenden Sanktionen mehr anfallen.
Ausgenommen von dieser Regelung sind aber weiterhin Anbieter, die mit ihren Nutzern zusammenarbeiten.
Überzeugt wurde das Bundeswirtschaftsministerium dabei durch das große gesellschaftliche und wirtschaftliche Potenzial, das eine solche Gesetzesänderung mit sich bringt. Sowohl Gastronomen, Unternehmen als auch privaten Personen ist es nun erlaubt das eigene WLAN der Öffentlichkeit zugänglich zu machen.
Die Leiterin einer Altenpflegeschule im Saarland sowie eine weitere Mitarbeiterin wurden fristlos entlassen, nachdem sie verschiedene Ausbildungsnachweise eines Lehrbeauftragten der Einrichtung an die vermeintlichen Aussteller versendet hatten, um deren Echtheit überprüfen zu lassen. Wie unter anderen die Süddeutsche Zeitung berichtete, habe es im Vorfeld Anlass zu Zweifeln an der Qualifikation des Kollegen gegeben, die jedoch durch eine interne Prüfung der Personalabteilung weder hätten ausgeräumt noch bestätigt werden können. So sei der Entschluss gereift, Bescheinigungen über eine Altenpflegerausbildung , ein Universitätsdiplom sowie eine Lehrberechtigung für katholischen Religionsunterricht von den jeweils zuständigen Stellen überprüfen zu lassen.
Allerdings sind im Rahmen der Prüfung vor der Übersendung Fehler in Hinsicht auf die umfassende Schwärzung der personenbezogenen Daten des betroffenen Mitarbeiters unterlaufen. Tatsächlich führte die Überprüfung zu der Erkenntnis, dass sämtliche Dokumente gefälscht worden waren. Dies soll sich teilweise aus Abgleichen der Personendaten sowie anhand sonstiger unstimmiger Angaben auf den Dokumenten ergeben haben. Nach verschiedenen Medienberichten hat der Mitarbeiter die Urkundenfälschungen eingeräumt und einem Aufhebungsvertrag zugestimmt. Zudem hat die Trägerin der Fachschule Strafanzeige erstattet.
Gleichwohl erhielten auch die beiden an der Aufdeckung Beteiligten fristlose Kündigungen, die sich darauf stützten, dass die Übermittlung von Auszügen aus den Personalunterlagen eigenmächtig erfolgt ist und insbesondere gegen datenschutzrechtliche Bestimmungen und die Verpflichtung zur Verschwiegenheit verstoßen wurde.
Die Schulleiterin hält eine fristlose Kündigung für ungerechtfertigt und hat Klage vor dem Arbeitsgericht erhoben. In diesem Verfahren wird sich das Gericht, nachdem es bislang zu keiner gütlichen Einigung zwischen den Beteiligten gekommen ist, insbesondere mit der Frage befassen müssen, ob die vermeintlichen Verstöße gegen das Datenschutzrecht eine fristlose Kündigung rechtfertigen können oder nicht doch zunächst eine Abmahnung angemessen gewesen wäre.
12. Oktober 2017
Im vergangenen Jahr ist fast jeder zweite Deutsche Opfer von Cybercrime geworden. Dies ergab eine Umfrage im Auftrag des Digitalverbands BITKOM. Das häufigste Delikt ist dabei die Infizierung des Computers mit Schadprogrammen wie Viren. 43 Prozent der Internetnutzer wurden Opfer eines solchen Angriffs.
Bei rund jedem Fünften wurden Zugangsdaten zu Online-Diensten wie sozialen Netzwerken oder Online-Shops gestohlen (19 Prozent) oder persönliche Daten illegal genutzt (18 Prozent). Jeder Sechste (16 Prozent) ist beim Online-Shopping oder Online-Banking betrogen worden. Acht Prozent berichten von massiven Beleidigungen, fünf Prozent von sexueller Belästigung im Web. In jedem zweiten Fall von Cybercrime (54 Prozent) ist auch ein finanzieller Schaden entstanden.
“Die zunehmende Vernetzung und die verbreitete Nutzung digitaler Technologien lockt auch Kriminelle an. Internetnutzer sollten sich mit technischen Hilfsmitteln wie aktuellen Virenscannern und Firewalls schützen, zugleich muss aber auch das Wissen der Nutzer über mögliche Angriffe im Netz und Schutzmöglichkeiten verbessert werden”, fordert BITKOM-Präsidiumsmitglied Winfried Holz. Denn
Die Opfer sehen wenig Chancen die Täter zu ergreifen, so haben gut 65 % der Opfer nichts gegen die Cybercrime-Fälle unternommen. Nur 18 % haben überhaupt eine Anzeige bei den Strafverfolgungsbehörden erstattet.Rund jedes zweite Cybercrime-Opfer (45 Prozent), das keine Anzeige erstattet hat, glaubt, dass die Täter ohnehin nicht gefasst werden, jedem Dritten (34 Prozent) ist zudem der Aufwand zu hoch. 13 Prozent sagen, dass Polizei und Staatsanwaltschaft Cybercrime nicht ernst nehmen, zwölf Prozent waren sich nicht sicher, ob ihr Fall überhaupt von den Behörden verfolgt würde und acht Prozent glauben, dass sich die Ermittler mit dem Thema schlicht nicht auskennen.
Dabei sollten sich die Opfer an die Strafverfolgungsbehörden wenden. „Verbrechen in der digitalen Welt sind kein Kavaliersdelikt. Bei allen Landeskriminalämtern gibt es inzwischen eine Zentrale Ansprechstelle Cybercrime, an die sich betroffene Bürger und Unternehmen wenden können“, so Holz. „Die staatlichen Stellen müssen jetzt technologisch und personell besser ausgestattet werden, damit sie solche Vorfälle ebenso verfolgen können wie Verbrechen in der analogen Welt.“
Zukünftig soll es ein Mini-Version des Google Lautpsrechers Google Home mit integriertem Sprachassistenzsystem geben, der “Google Home Mini” soll ab dem 19. Oktober auf den US-amerikanischen Markt kommen.
Zuvor hatte Google im Rahmen einer Promo-Aktion mehrere Testgeräte an Journalisten vergeben. Dabei fiel auf, dass einige der Testgeräte durchgehend ihrer Umgebung zuhörten und die so gesammelten Daten speicherten. Wie Mitarbeiter von Google anschließend feststellten, beruhte dies auf einer Fehleinstellung. Die betroffenen Geräte nahmen durchgehend sogenannte “Phantom”-Berührungen wahr. Der “Google Home Mini” hört nämlich nicht nur auf Sprachbefehle, sondern lässt sich auch per Knopfdruck bedienen.
Google versicherte, dass die Knopfdruck-Option vorerst deaktiviert und anschließend neu konfiguriert werde. Dazu wurde den Testpersonen gegenüber versprochen, dass ihre Aktivitäts-Protokolle auf den Servern gelöscht würden.
Der Vorfall bestätigt einmal mehr die datenschutzrechtlichen Bedenken hinsichtlich vernetzter Lautsprecher. Auch wenn der Fehler nun behoben wurde und voraussichtlich bei den Kunden, die den Mini demnächst erwerben können, nicht mehr auftreten wird, bleibt die Angst vieler Kunden, durchgehend belauscht zu werden, weiterhin bestehen.
Datentransfers in Drittländer, die kein dem europäischen Standard vergleichbares Datenschutzniveau bieten, sind aus datenschutzrechtlicher Sicht als kritisch einzuordnen. Zu einem solchen Drittland gehören auch die USA. Bis zum Jahr 2015 konnte die Übermittlung in solche Drittländer durch das sogenannte Safe Harbor – Abkommen datenschutzrechtlich legitimiert werden. Durch ein Urteil des EuGH vom 6. Oktober 2015 wurde das Safe Harbor – Abkommen jedoch aufgehoben. Dies wurde damit begründet, dass das Abkommen nach dem EuGH einen Verstoß gegen die europäische Grundrechtecharta darstellt.
Nach dem Ende des Safe Harbor – Abkommens konnte eine Übertragung personenbezogener Daten in die USA nur noch durch die Verwendung von EU-Standardvertragsklauseln oder aufgrund des 2016 als Nachfolger des Safe Harbour – Abkommens beschlossenen EU-US-Privacy Shield legitimiert werden. Kernstück des Privacy Shield ist die Verpflichtung zur Selbstzertifizierung von US-Unternehmen, mit der sichergestellt werden soll, dass gewisse Datenschutzanforderungen eingehalten werden. Daneben wurden durch das Privacy Shield für betroffene EU-Bürger erstmals Rechtsschutzmöglichkeiten gegen Unternehmen mit Sitz in den USA und so Klagemöglichkeiten geschaffen. Jedoch legte bereits Ende Oktober 2016 die irische Nichtregierungsorganisation Digital Rights Ireland Klage vor dem EuGH gegen den Privacy Shield ein und auch mit den Standardvertragsklauseln wird sich der EuGH nun beschäftigen müssen.
Angestoßen durch eine Klage des Anwalts Max Schrems gegen den Datentransfer an Facebook aufgrund der Verwendung von Standardvertragsklauseln hat sich der irische oberste Gerichtshof dazu entschlossen, verschiedene diesbezügliche Fragen zur Vorlage an den EuGH zur Klärung weiterzuleiten. Die irische High Court-Richterin Carolin Costello führte in ihrem Beschluss unter anderem an, dass es begründete Hinweise darauf gebe, dass es in den USA an wirksamen Maßnahmen zum Schutz der Daten von EU-Bürgern fehlen würde. Insbesondere der Rechtschutz für europäische Bürger in den USA sei nur fragmentarisch ausgebildet und die US-Geheimdienste hätten fast unbegrenzte Zugriffsmöglichkeiten auf die Daten.
Nach der Vorlage der konkreten Rechtsfragen an den EuGH wird abzuwarten sein, wie der EuGH die rechtliche Zulässigkeit der Standardvertragsklauseln beurteilt. Sollte der EuGH zum Ergebnis der Unzulässigkeit der Standardvertragsklauseln kommen, dürfte dies viele Unternehmen hinsichtlich der Legitimität von Datentransfers in die USA oder sonstige Drittländer vor ernsthafte Probleme stellen.
6. Oktober 2017
Erneut hatte ein Gericht zu entscheiden, ob der Einsatz von Dashcams im Einzelfall zulässig war. Schon im Januar 2016 berichteten wir von der Warnung vor Dashcams seitens der Bundesbeauftragten für den Datenschutz und die Informationssicherheit, Andrea Voßhoff. Im September diesen Jahres schrieben wir, dass laut OLG Nürnberg Dashcam-Aufnahmen als Beweismittel zulässig sind für Fälle, in denen keine anderen Beweismittel zur Verfügung stehen. Dashcams sind kleine Videokameras, die hinter die Fensterscheiben eines PKW befestigt werden.
Das Amtsgericht München (Urteil vom 09.08.2017, Aktenzeichen 1112 OWi 300 Js 121012/17, noch nicht rechtskräftig) verhängte nun eine Geldbuße in Höhe von 150 Euro gegen eine 52-jährige Frau. Die Betroffene parkte für drei Stunden ihr Auto in München. Sie platzierte je eine Dashcam vorne und hinten in ihrem Wagen, um potentielle Täter einer Sachbeschädigung per Videobeweis zu überführen. Mindestens drei andere Autos wurden gefilmt. Ein Auto streifte ihren PWK. Die Videoaufnahmen überreichte sie anschließend der Polizei.
Das Gericht sieht hier einen Verstoß gegen das Bundesdatenschutzgesetz. Die Interessenabwägung ergäbe hier, dass das Recht der gefilmten Personen auf informationelle Selbstbestimmung gegenüber dem Recht auf Aufdeckung einer potentiellen Straftat überwiegt. Ansonsten käme es einer dauerhaften Überwachung öffentlicher Räume gleich, wenn 80 Millionen Bundesbürger anlasslos Privataufnahmen machen würden. Dass der Wagen der Betroffenen in der Vergangenheit bereits beschädigt wurde, stelle lediglich einen subjektiven Anlass dar.
Anders als bei einem klassischen Flyer im Briefkasten ist es im Bereich der Online-Werbung möglich, Bedürfnisse und Interessen von potentiellen Kunden gezielt zu adressieren und somit das Verkaufspotential erheblich zu steigern. Ein solches Werkzeug für personalisiertes Marketing bietet auch der Internetriese Facebook in Form seiner “Custom Audience” an.
Das Bayerische Landesamt für Datenschutzaufsicht nahm nun diverse Anfragen von Unternehmen zum rechtskonformen Einsatz des Tools zum Anlass, den Service und die entsprechende Umsetzung unter rechtlichen Gesichtspunkten zu überprüfen. In ihrer Pressemitteilung legt die Behörde anschaulich dar, welche beiden Varianten es von der “Facebook Custom Audience” gibt:
- Custom Audience über die Kundenliste:
Ein Unternehmen erstellt eine Liste mit Name, Wohnort, E-Mail-Adresse u. Telefonnummer seiner Kunden und/oder Interessenten. Nach Umwandlung der Kundendaten mittels Hash-Verfahren gleicht Facebook die Kundenliste mit allen Facebook-Nutzern ab. Es erfolgt eine präzise Auswahl der Personen, deren Interessen sich mit dem Angebot des Unternehmens decken und die Werbung von dem Unternehmen erhalten sollen. - Custom Audience über das Pixel-Verfahren:
Auf der Webseite des Unternehmens wird ein unsichtbares Facebook-Pixel eingebunden, durch welches das komplette Nutzungsverhalten einer Person nachvollzogen werden kann. Das BayLDA skizziert beispielhaft folgendes Szenario: “Ein Nutzer besucht einen Webshop und interessiert sich für das neuste Smartphone, legt es in den Warenkorb, schließt aber den Bestellvorgang nicht ab. Bricht der Nutzer den Bestellvorgang ab, wird auch diese Information an Facebook weitergeleitet.” Auf Basis dieser Informationen kann das Unternehmen den Kunden nun mit passender Werbung zu dem betreffenden Smartphone versorgen und kann auf die Rückkehr des Kunden auf den zuvor besuchten Webshop hoffen.
Die Prüfung der Unternehmen, die “Facebook Customer Audience” für sich nutzen, ergab in vielen Fällen einen datenschutzrechtlich unzulässigen Umgang mit dem Service. Oftmals wurde der Nutzer nicht oder nicht vollständig über den Einsatz des Pixel-Verfahrens informiert. Zudem fehlte die Möglichkeit des Users, dem Einsatz von “Customer Audience” zu widersprechen (Opt-Out). Dies stellt einen Verstoß gegen geltendes Datenschutzrecht dar und kann zu Bußgeldern führen, die sich mit Anwendung der Datenschutz-Grundverordnung ab Mai 2018 drastisch erhöhen.
Laut einer repräsentativen Umfrage der Verbraucherzentrale NRW will der Großteil der Verbraucher nicht, dass das Gesicht für Werbezwecke im Supermarkt gescannt wird. Die Befragten ziehen daraus die Konsequenz, dass sie in den Supermärkten, die diese Technik einsetzen, nicht mehr einkaufen gehen.
Im Laufe dieses Jahres wurde bekannt, dass unter anderem die Deutsche Post und die Supermarktkette Real die Aufzeichnungen von Kameras im Geschäft nicht mehr nur zur Aufklärung von Straftaten benutzen, sondern auch, um durch Hilfe von Gesichtsanalysen, personalisierte Werbung über die Bildschirme im Kassenbereich zu senden.
76% der Befragten lehnen ein solches Vorgehen von Geschäften ab. Die Befragten fühlen sich unsicher und fürchten einen Kontrollverlust ihrer privaten Daten.
71% der Befragten lehnen ebenso eine Auswertung der Daten für zielgruppenorientierte Rabatte ab. 83% sehen die Analyse des Gesichtsausdrucks zur Verbesserung von Werbespots kritisch. Die stärkste Ablehnung herrscht in der Gruppe der über 60-jährigen.
Die Ablehnung von Gesichtserkennung ist auch in sozialen Netzwerken nicht beliebt. Weniger skeptisch sind die Befragten wenn Privatpersonen Gesichtserkennungstechnologien, zum Beispiel durch Überwachungskameras an der Haustür zu Privathaushalten, nutzen (56%).
Das aktuell in der Kritik stehende Pilotprojekt am Bahnhof Südkreuz in Berlin, war nicht Gegenstand der Befragung (wir berichteten).
Pages: 1 2 ... 125 126 127 128 129 ... 275 276 
