12. September 2017
Die spanische Datenschutzbehörde hat aufgrund mehrerer Datenschutzverstöße eine Geldbuße in Höhe von 1,2 Millionen Euro gegen Facebook verhängt. Die Behörde wirft dem Unternehmen zwei schwere Verstöße und einen sehr schweren Verstoß gegen das spanische Datenschutzrecht vor.
So habe Facebook personenbezogene Daten wie die Ideologie, religiöse Ansichten, das Geschlecht oder persönliche Vorlieben ohne ausdrückliche Zustimmung seiner Nutzer erhoben und ohne sie darüber zu informieren, zu welchem Zweck die Daten genutzt werden. Dabei sollen die Daten anhand von Cookies nicht nur bei Facebook-Nutzern, sondern auch bei Nicht-Mitgliedern, die sich auf den Seiten von Facebook aufgehalten haben, erhoben worden sein. Laut der spanischen Datenschutzbehörde greife Facebook nicht nur Informationen über die eigene, sondern auch über Drittseiten ab.
Darüber hinaus kritisiert die Behörde, dass Facebook seine Mitglieder über die Nutzung ihrer Daten nicht ausreichend informiere und die vorhandenen Datenschutzbestimmungen für den Durchschnittsnutzer nicht ausreichend und verständlich genug seien.
Neben Spanien ermitteln auch die Behörden in Belgien, Frankreich, Deutschland und den Niederlanden wegen ähnlicher Vorwürfe.
In einer Pressemitteilung vom 8. September 2017 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit im Onlinehandel tätige Unternehmen dazu aufgefordert, Identitätsdiebstähle effektiver zu bekämpfen.
Beim Identitätsdiebstahl verwenden Betrüger unter Angabe einer alternativen Lieferadresse den Vornamen, Namen und/oder das Geburtsdatum einer anderen Person, um Ware auf Rechnung zu bestellen, ohne diese zu bezahlen. Weil die Betrüger zudem häufig auch falsche E-Mail-Adressen nutzen, erfahren die Opfer oft erst dann von ihrer vermeintlichen Bestellung, wenn sie Post von Inkassounternehmen und Wirtschaftsauskunfteien erhalten.
Gerade in Bezug auf die Auskunfteien stellt der Identitätsdiebstahl eine starke Belastung für die Opfer dar, da die Bestellung eine negative Eintragung und eine damit verbundenen Herabstufung ihrer Bonität zur Folge haben kann.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, die als Aufsichtsbehörde vermehrt Fälle des Identitätsdiebstahls prüft, stellt in ihrer Pressemitteilung fest, “dass Unternehmen nicht genügend Maßnahmen ergreifen, um Identitätsdiebstähle zu verhindern.” Die Datenschutzbeauftragte Maja Smoltczyk kritisiert unter anderem, dass die Unternehmen teilweise selbst offensichtliche Unklarheiten hinsichtlich des Bestellers in Kauf nähmen und die Pakete trotzdem versendeten. In einem Originalzitat, das in der Pressemitteilung veröffentlicht wurde, heißt es: „Unternehmen dürfen den Schutz von Betroffenen nicht hinten anstellen, um Lieferungen möglichst rasch versenden und Umsatz erzeugen zu können. Wenn es zu einem Identitätsdiebstahl kommt, brauchen die Opfer zudem Unterstützung. Sie dürfen nicht wie potentielle Betrüger behandelt werden. Es wird Zeit, dass der Onlinehandel seiner Verantwortung in diesem Bereich stärker gerecht wird.“
In ihrer Pressemitteilung fordert die Datenschutzbeauftragte insbesondere folgende Maßnahmen:
- “Unternehmen müssen geeignete Methoden zur Identifizierung ihrer Kunden einsetzen. Bei Auffälligkeiten, die auf Betrug hinweisen können, wie etwa einer abweichenden Lieferanschrift, müssen durch die Onlinehändler oder deren Zahlungsdienstleister Kontrollen durchgeführt werden (z. B. eine Melderegisterauskunft oder persönliche Rückfragen).
- Eine Erstbestellung mit einer von der Rechnungsadresse abweichenden Lieferadresse sollte nicht auf Rechnung möglich sein.
- Werden Wirtschaftsauskunfteien im Rahmen der Bestellung angefragt, um die bestellende Person zu identifizieren, müssen sie auf Abweichungen, z. B. bei der Adresse, ausdrücklich hinweisen.
- Mahnungen sollten nicht ausschließlich per E-Mail versendet werden. Betrüger geben gern falsche E-Mail-Adressen an, sodass Opfer nicht oder erst sehr spät von dem Identitätsdiebstahl Kenntnis erlangen.
- Wenn bei der Bestellung Unstimmigkeiten hinsichtlich der Identität der bestellenden Person aufgekommen sind, muss dieser Umstand auch einem ggf. später eingeschalteten Inkassounternehmen als Anhaltspunkt für einen möglichen Identitätsdiebstahl mitgeteilt werden.
- Eine negative Meldung an eine Wirtschaftsauskunftei und ein gerichtliches Vorgehen wegen Nichtzahlung gegen die Betroffenen dürfen nur erfolgen, wenn keine Anhaltspunkte für einen Identitätsdiebstahl vorliegen.
- Alle beteiligten Branchen müssen eine effektive und einfache Beschwerdemöglichkeit ohne unnötigen Verwaltungsaufwand schaffen. In jedem Fall muss der Kundenservice für das Thema Identitätsdiebstahl sensibilisiert werden.
- Alle Fälle von Identitätsdiebstahl müssen zur Anzeige gebracht werden. Das ist auch deshalb wichtig, damit die Kriminalstatistik ein aussagekräftiges Bild von dem Phänomen Identitätsdiebstahl geben kann.”
11. September 2017
In seinem Hinweisbeschluss vom 10.08.17 (Az. 13 U 851/17) hat das OLG Nürnberg die Verwertung von Aufnahmen einer Dashcam in den Fällen zugelassen, in denen sich der Unfallhergang anders nicht ermitteln lässt.
Bei Dashcams handelt es sich um Kameras, die am Armaturenbrett eines Fahrzeugs befestigt werden und das Geschehen in Fahrtrichtung aufzeichnen. Bisher waren die Nutzung der Kameras und die Verwertung der Aufzeichnungen im Zivilprozess sehr umstritten.
In dem Fall ging es um einen Auffahrunfall auf der Autobahn. Kläger und Beklagter schilderten verschiedene Tathergänge, sodass ein Sachverständigengutachten bestellt werden musste. Nur durch die Verwertung der Dashcam-Aufnahmen kam der Sachverständige zu dem Ergebnis, dass die Schilderungen des Beklagten zutreffen sind. Anders wäre ein sicheres Ergebnis nicht möglich gewesen. Auf dieser Grundlage entschied das LG Regensburg zugunsten des Beklagten (Urt. v. 28.03.2017 – 4 O 1200/16).
Nach der Auffassung des OLG muss im Rahmen einer Interessen- und Güterabwägung im konkreten Einzelfall entschieden werden, ob die Aufzeichnungen verwertet werden dürfen. Grundsätzlich steht das Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 GG i.V.m. Art 1 Abs. 1 GG der aufgezeichneten Personen gegenüber dem Recht des Verwenders der Dashcam auf effektiven Rechtsschutz und seinem Anspruch auf rechtliches Gehör.
Das Interesse der anderen Verkehrsteilnehmer besteht darin nicht im öffentlichen Raum für kurze Zeit aufgenommen zu werden. Durch die Aufzeichnung werde nicht in Ihre Intims- oder Privatsphäre eingegriffen. Die Fahrer anderer Fahrzeuge seien praktisch nicht sichtbar, allenfalls nur schemenhaft. Im Unterschied zur Videoüberwachung nehmen Dashcams auch nicht gezielt bestimmte Personen auf. Außerdem werde nur eine kurze Sequenz aus der Gesamtaufzeichnung über den Unfallhergang angeschaut. Ein Eingriffsintensität fällt somit sehr gering aus. Auch die Interessen unbeteiligter Dritter werden nicht oder nur minimal betroffen.
Dem gegenüber steht das Interesse des Verwenders der Dashcam nicht auf der Grundlage unwahrer Behauptungen (zu Unrecht) verurteilt zu werden. Nach Ansicht des OLG überwiegt es jedenfalls dann, wenn keine anderen zuverlässigen Beweismittel zur Verfügung stünden.
10. September 2017
Verwaltungsgericht Karlsruhe Urteil vom 6.7.2017 – 10 K 7698/16
Das Verwaltungsgericht Karlsruhe ist der Auffassung, dass die Datenschutzbehörde Baden-Württemberg sich nicht auf eine Rechtsvorschrift der DSGVO vor dem 25. Mai 2018 berufen kann.
Der Sachverhalt bezieht sich auf einen Bescheid der Datenschutzbehörde vom 25.11.2016, mit der die Behörde von der Klägerin, die eine Auskunftei ist, verlangte Forderungen nach § 28a Bundesdatenschutzgesetz (BDSG) und die damit zusammenhängenden Informationen über eine Person nach Ablauf von drei Jahren, beginnend mit dem Zeitpunkt der Fälligkeit der Forderung, zu löschen, es sei denn, dass der Betroffene zu diesem Zeitpunkt zahlungsunfähig oder zahlungsunwillig sei.
Zur Begründung führte die Behörde aus, dass aktuell zwar kein BDSG relevanter Datenschutzverstoß vorliege, aber mit der Datenschutzgrundverordnung (DSGVO) Anpassungen vorgenommen werden müssten, die einen zukünftigen Datenschutzverstoß verhindern sollen. Darauf erwiderte die Klägerin, dass sie ihre Löschkonzepte an die DSGVO anpassen werde.
Die Datenschutzbehörde legte diese Erklärung jedoch nicht als eine vollstreckbare Zusicherung, sondern lediglich als eine Absichtserklärung aus. Gegen die daraufhin erlassene Anordnung wehrte sich die Klägerin mit Erfolg. Das Verwaltungsgericht Karlsruhe hob den entsprechenden Bescheid wieder auf.
Zur Begründung führte das Gericht folgendes aus:
Dem Bescheid fehlt die Rechtsgrundlage. Er kann weder auf das BDSG noch auf die DSGVO gestützt werden. Die Klägerin verstößt nicht gegen das BDSG. Auf die DSGVO kann sich die Behörde zum jetzigen Zeitpunkt nicht berufen, da die Datenschutz-Grundverordnung noch nicht bzw. erst ab dem 25.05.2018 anwendbar ist. Daher ergibt sich hieraus keinerlei Handhabe für die Behörde. Inhaltlich betont das Gericht, dass künftig Art. 6 Abs. 1 lit. f DSGVO bei der Frage nach Löschfristen heranzuziehen ist. Art. 6 Abs. 1 lit. f DSGVO schreibe allerdings nur vor, dass über Löschfristen im Rahmen der berechtigten Interessen abzuwägen ist. Eine feste Vorgabe durch die Behörde wird diesen Voraussetzungen nicht gerecht.
Das Urteil zeigt zweierlei ganz deutlich. Einerseits wird ersichtlich, dass die Behörden inhaltlich noch nicht alle Feinheiten der DSGVO durchdacht haben und andererseits wird die Wichtigkeit einer sauberen Umsetzung der DSGVO deutlich. Die zuständigen Behörden werden sich nicht lange Zeit lassen bis sie auf die Verantwortlichen zugehen werden.
8. September 2017
Den allermeisten Unternehmen dürfte dieser Einleitungssatz bekannt vorkommen: Bis zum 25.05.2018 sind die Anforderungen der Datenschutz-Grundverordnung (DSGVO) umzusetzen.
Der Studie Veritas 2017 GDPR Report zufolge sind viele (31%) Unternehmen der Meinung, die von der DSGVO normierten Pflichten bereits abzudecken. Als diese Unternehmen im Rahmen der Studie allerdings zur konkreten Umsetzung der Maßnahmen befragt wurden, trat häufig ein deutlich anderes Bild verbunden mit der Einsicht zutage, eine Compliance mit dem Regelwerk sei nun doch noch nicht erreicht. Nach Abzug dieser Fälle ist ein Ergebnis der Studie, dass letztlich nur 2% der Unternehmen tatsächlich auf die DSGVO vorbereitet sind.
Die befragten Unternehmen sehen bei sich unter anderem in den folgenden Bereichen akuten Nachholbedarf:
- Etablierung eines Prozesses zur Meldung von Datenverlusten innerhalb von 72 Stunden,
- Regelungen zur Löschung (jetzt auch “Recht auf Vergessenwerden”),
- Neue Rechtslage zur Auftragsdatenverarbeitung (künftig nur “Auftragsverarbeitung”).
Angesichts der respektablen Bußgelder der DSGVO bleibt es wohl weiterhin bei dem gebetsmühlenartigen Verweis auf die “Stunde Null”: Stellen Sie bis zum 25.05.2018 sicher, dass Sie auf die Anforderungen der DSGVO (tatsächlich) vorbereitet sind.
Ein Selfie hier, ein Schnapschuss dort. Was früher nur mit richtigen Fotokameras möglich war, gehört heute zum Alltag eines jeden Smartphone-Nutzers. Im Gleichschritt mit den immer besser werdenden Kameras in Smartphones wächst auch die Zahl an Foto-Apps in den einschlägigen App-Stores stetig. Mit Hilfe dieser Apps können die Fotos nicht nur geschossen, sondern auch direkt verfeinert, bearbeitet und mit anderen Smartphone-Nutzern geteilt werden.
Ein Test von Stiftung Warentest zeigt allerdings, dass manche dieser Foto-Apps, die eigentlich nur Smartphone und Kamera verbinden sollen, auch persönliche Informationen ihrer Nutzer versenden. Stiftung Warentest rät daher zur genauen Kontrolle der Berechtigungen, die der App eingeräumt werden. Im Rahmen ihres Test von insgesamt acht Foto-Apps fiel insbesondere die App “Mirrorless” des Herstellers Yi negativ auf. Laut den Testergebnissen der Stiftung Warentest übermittelt die App Daten u.A. die Smartphone-Gerätekennung sowie Name und Kennwort des W-Lan-Netzwerkes, mit dem das jeweilige Smartphone verbunden ist, an Server in China. Die App schickt ihre erhobenen Daten zudem an Facebook und Google. Eine Erlaubnis fragt die App dabei nicht ab. Auch für die eigentliche Funktion ist die Datenübertragung nicht erforderlich.
Im Test zeigte sich, dass auch die App “PlayMemories Mobile” von Sony Daten zu verwendeten Kamera und zum Mobilfunkanbieter nach Japan sowie Standortdaten der Nutzer an Google und Apple übermittelt. Standortdaten der Nutzer werden zudem von den Apps “Camera Remote” für Android (Fujifilm), “Snap Bridge” für iOS (Nikon) und “Share Image” (Olympus) erhoben und an eigene Server übermittelt.
Es gibt allerdings auch Apps, die gar keine Nutzerdaten senden. Dazu gehören Canons “Camera Connect”, Fujifilms “Camera Remote” in der iOS-Version, Panasonics “Image App”, Ricohs “Image Sync” sowie Nikons “SnapBridge” für Android.
Die Berechtigungen können auf iOS-Geräten unter dem Menüpunkt “Datenschutz” und bei Android-Smartphones unter “Apps” kontrolliert und ggfs. korrigiert werden. Insbesondere das Erheben und Übermitteln von Standort- und Kameradaten sollte deaktiviert werden.
Die bei der bevorstehenden Bundestagswahl zum Einsatz kommende Software zur Auswertung der Wahlergebnisse benutzt wird, weist gravierende Sicherheitslücken auf.
Bei der Bundestagswahl werden die abgegebenen Stimmen grundsätzlich von Hand gezählt, allerdings wird das ausgezählte Ergebnis mit Hilfe einer Software übermittelt und gerade diese ist nach einer Untersuchung des Chaos Computer Clubs (CCC) leicht zu manipulieren. Es besteht die Möglichkeit, dass die Wahlergebnisse zum Beispiel auf dem Weg vom Wahllokal zu dem Kreiswahlleiter abgefangen und manipuliert werden.
In Zusammenarbeit mit Zeit Online hat der CCC diese Sicherheitslücken aufgedeckt. Sowohl in den Verschlüsselungsverfahren als auch auf den Web-Servern des Herstellers wurden Lücken festgestellt.
In der Zwischenzeit wurde von dem Hersteller ein Update bereitgestellt, allerdings vermutet der CCC, dass auch weiterhin Sicherheitslücken vorhanden sind.
Besonders kritisiert wird vom CCC das mangelnde Sicherheitsverständnis des Herstellers.
Laut einem Sprecher des Bundeswahlleiters sind die Probleme bereits einige Zeit bekannt. Die Landeswahlleiter sind aufgefordert, die Übermittlung der Wahldaten abzusichern. Außerdem sind die vorläufigen Wahlergebnisse nicht betroffen, weil für diese andere Übertragungswege gewählt werden.
7. September 2017
Das Verbot der niedersächsischen Datenschutzbeauftragten von Videoaufzeichnungen im öffentlichen Nahverkehr von Hannover wird heute das niedersächsiche Oberverwaltungsgericht (OVG) beschäftigen. Mit einer diesbezüglichen Entscheidung wird heute noch gerechnet. In dem Berufungsverfahren streiten die Beteiligten um die Rechtmäßigkeit einer datenschutzrechtlichen Anordnung der beklagten Landesbeauftragten für den Datenschutz in Niedersachsen.
Die klagende ÜSTRA hat in zahlreichen ihrer Fahrzeuge feststehende Videokameras installiert, mit denen im sog. Blackbox-Verfahren durchgehend Bewegtbilder vom Fahrzeuginnenraum aufgezeichnet werden. Die Videosequenzen werden nach 24 Stunden wieder gelöscht. Die Aufzeichnung dient unter anderem zur Beweissicherung bei Vandalismusschäden und zur Verfolgung von Straftaten. Die Landesdatenschutzbeauftragte gab der Klägerin im August 2014 mit einer auf § 38 Abs. 5 des Bundesdatenschutzgesetzes gestützten Verfügung auf, die Videoüberwachung in ihren Bussen und Stadtbahnen während des Einsatzes der Fahrzeuge im öffentlichen Personennahverkehr einzustellen und erst wieder aufzunehmen, nachdem sie entweder ein Konzept für einen nach Linien und Zeit differenzierten Einsatz der Videotechnik erarbeitet und umgesetzt hat oder anhand konkreter Anhaltspunkte darlegt, dass die Videoüberwachung zeitlich und örtlich unbeschränkt erforderlich ist. Der hiergegen gerichteten Klage hat das Verwaltungsgericht Hannover mit Urteil vom 10. Februar 2016 mit der Begründung stattgegeben, das Bundesdatenschutzgesetz sei im Falle der Klägerin nicht anwendbar, weil sie eine öffentliche Stelle des Landes Niedersachsen sei, für die der Datenschutz durch Landesgesetz geregelt sei. Das niedersächsische Datenschutzgesetz enthalte keine Eingriffsermächtigung, auf die die Verfügung der Landesdatenschutzbeantragten gestützt werden könnte. Mit der vom Verwaltungsgericht zugelassenen Berufung verteidigt die Landesdatenschutzbeantragte ihre datenschutzrechtliche Anordnung.
5. September 2017
Der österreichische Innenminister hatte Ende August als Reaktion zu den Barcelona-Anschlägen den Nationalen Sicherheitsrat einberufen. Das Ziel war für das geplante Überwachungspaket zu werben. Dies war dennoch kein Erfolg: Nach der Sitzung des Nationalen Sicherheitsrates am ersten September stand fest, dass das umstrittene Paket in der aktuellen Legislaturperiode nicht eingeführt werden kann, und somit auch kein unmittelbares Wahlkampfthema für die vorgezogenen Neuwahlen im Oktober sein wird. Die Koalitionspartner konnten nämlich keine Einigung erzielen. Vor allem hatte die SPÖ zu viele rechtliche Bedenken über die im Paket enthaltenen Änderungen der Strafprozess- und Straßenverkehrsordnung und der Sicherheitspolizei- und Tekommunikationsgesetze. Ob dies ein endgültiges Scheitern des Pakets ist, steht noch nicht fest.
Geplant ist im Paket u.a. die Einführung von Staatstrojanern und IMSI Catcher, sowie von einer Vorratsdatenspeicherung und einer erweiterten Videoüberwachung. SIM Karten sollen auch einer Registrierungspflicht unterliegen. Netzsperren sollen eingeführt, und Lauschangriffe auf PKWs ermöglicht werden.
Diese Maßnahmen sind bei der IT-Branche, Telekombranche sowie der Justiz und Zivilgesellschaft auf Kritik gestoßen. Insgesamt wurden innerhalb der Begutachtungsfrist des Paketes mehr als 6000 Stellungnahmen abgegeben, die es größtenteils ablehnen.
Vor allem wird dem Paket seine „Maßlosigkeit“ vorgeworfen. Seine Gegner halten die vorgeschlagenen Überwachungsmaßnahmen für unverhältnismäßig, und zweifeln deshalb an ihrer Vereinbarkeit mit EU- und EMRK-Recht, u.a. angesichts der Urteile des Europäischen Gerichtshofs (EuGH) zur Vorratsdatenspeicherung die ähnliche Vorhaben für rechtswidrig erklärt hatten. Zudem rechnen Experten damit, dass über viele Teile des Paketes, wenn seine Einführung doch gelingen sollte, von dem österreichischen Verfassungsgerichthof (VfGH) ein Urteil gesprochen werden muss.
Der Europäische Gerichtshof für Menschenrechte (EGMR) hat am Dienstag ein möglicherweise richtungsweisendes Urteil zur Privatnutzung von dienstlichem Email-Account und Internetzugang gesprochen.
Geklagt hatte ein rumänischer Ingenieur, der von seinem Arbeitgeber wegen der privaten Nutzung der dienstlichen IT-Infrastruktur gekündigt worden war. Nach zwei erstinzanzlichen Niederlagen in Rumänien und vor der kleinen Kammer des EGMR entschieden nach jeweiliger Berufung nun final die 17 Richter der großen Kammer des EGMR zugunsten des Klägers. Danach bedeutet die Überwachung der elektronischen Kommunikation eines Arbeitnehmers eine Verletzung seiner Privatsphäre.
Konsequenz dessen muss daher für Unternehmen sein, nachhaltig feste Regelungen für die Privatnutzung zu installieren, um sich nicht der Kontrollmöglichkeiten zu berauben. Hierzu wird im besten Fall eine umfassende Betreibsvereinbarung, jedoch mindestens eine ebensolche Dienstanweisung installiert und zudem regelmäßige Kontrollen durchgeführt.
Pages: 1 2 ... 127 128 129 130 131 ... 275 276 
