Generalanwalt beim EuGH: Dynamische IP-Adressen sind personenbezogene Daten

13. Mai 2016

In Kürze wird der Europäische Gerichtshof (EuGH) über eine Vorlagefrage des Bundesgerichtshofs entscheiden. Dabei geht es u. a. um die Frage, ob dynamische IP-Adressen als personenbezogene Daten anzusehen sind und in Folge dem Schutz des Bundesdatenschutzgesetzes unterliegen. Dies ist in juristischen Fachkreisen ein seit Jahren umstrittenes Thema. Am gestrigen Tag hat der Generalanwalt beim EuGH Manuel Campos Sánchez-Bordoma seine Schlussanträge vorgestellt. Er schlägt dem EuGH im Hinblick auf die Einordnung dynamischer IP-Adressen vor, auch diese als personenbezogenes Datum zu klassifizieren.

Gemäß Art. 2 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sei eine dynamische IP-Adresse, über die ein Nutzer die Internetseite eines Telemedienanbieters aufgerufen hat, für Letzteren ein „personenbezogenes Datum“, soweit ein Internetzugangsanbieter über weitere zusätzlichen Daten verfügt, die in Verbindung mit der dynamischen IP-Adresse die Identifizierung des Nutzers ermöglichen.

Es bleibt abzuwarten, ob der EuGH den Vorschlägen des Generalanwalts Folge leisten wird. In der Regel ist dies der Fall.

Deutsche Bahn übermittelt Kundendaten an Auskunftei

12. Mai 2016

Wie Recherchen des SWR ergeben haben, übermittelt die Deutsche Bahn personenbezogene Daten ihrer Kunden an eine Auskunftei.

Hintergrund ist Folgender: Wird ein Fahrgast ohne vermeintlich gültigen Fahrschein vom Schaffner kontrolliert, nimmt der Schaffner die Daten des Fahrgasts auf, welche anschließend an die Fahrpreisnachermittlungsstelle der Deutschen Bahn zum Zwecke der Begleichung der offenen Forderungen der Bahn gegen den Fahrgast übermittelt werden.

Hinter der Fahrpreisnachermittlungsstelle steht jedoch nicht die Deutsche Bahn, sondern nach Angaben des SWR das zum Bertelsmann-Konzern gehörende Unternehmen Avarto Infoscore. Dies wird dem betroffenen Fahrgast jedoch nicht erkennbar mitgteilt.

Dass ein externer Dienstleister – wie in dem vorliegenden Falle mit der Zahlungsabwicklung – beauftragt wird und, dass in diesem Zusammenhang personenbezogene Daten weitergegeben werden, ist zunächst nicht per se datenschutzrechtlich unzulässig. Die Deutsche Bahn versäumt jedoch, ihre Kunden auf die Weitergabe der Daten hinzuweisen und, dass es sich bei dem Unternehmen Avarto Infoscore um eine Auskunftei handelt. Damit verstößt die Deutsche Bahn zum einen gegen das im Datenschutzrecht geltende Transparenzgebot. Außerdem ist die Übermittlung von personenbezogenen Daten an Auskunfteien an strenge gesetzliche Voraussetzungen geknüpft, die pauschal nicht für alle Fälle von Schwarzfahrten vorliegen. Betroffenen Fahrgästen droht durch den geschilderten Umgang mit ihren Daten eine negative Bewertung ihrer Kreditwürdigkeit.

OLG Hamm: Datenspeicherung ist kein Sachmangel!

2. Mai 2016

Das Oberlandesgericht (OLG) Hamm hat beschlossen (Beschluss vom 02.06.2015, Az. 28 U 46/15), dass ein in einem Land Rover Discovery eingebautes Navigationsgerät nicht mit einem Sachmangel behaftet ist, wenn es personenbezogene Daten und Routendaten speichert. Eine ggf. unzulässige Datenweiterleitung findet laut Gutachten nicht statt.

In dem zugrunde liegenden Sachverhalt bestellte der Beklagte beim klagenden Autohaus einen individuell konfigurierten Land Rover Discovery 3.0 SDV6 zum Preis von 60.450 EUR. Vor der Auslieferung des Fahrzeugs verlangte der Beklagte neben einer Betriebsanleitung, dass die Fahrzeugtechnik „Ort, Zeit und Kilometer-Stand“ nicht speichern und diese Daten nicht weiter senden dürfe. Andernfalls verletze eine Fahrzeugnutzung sein Recht auf informationelle Selbstbestimmung. Unter Hinweis hierauf verweigerte der Beklagte die ihm von der Klägerin angetragene Fahrzeugabnahme. Die Klägerin hatte ihn daraufhin auf Schadensersatz in Höhe von ca. 9.000 EUR verklagt.

Mit Erfolg. Nach dem Beschluss des OLG Hamm hatte der Beklagte kein Recht, die Abnahme des Neufahrzeugs zu verweigern. Vor der Übergabe des Fahrzeugs habe er, so das Gericht, keinen Anspruch auf das Übersenden einer Betriebsanleitung. Er habe die Abnahme auch nicht verweigern dürfen, weil das bestellte Fahrzeug mangelhaft gewesen sei. Seine Behauptung, der von ihm bestellte Land Rover verfüge bauartbedingt über unzulässige Vorrichtungen zum Ausspähen und zur permanenten Speicherung seiner persönlichen Daten, treffe nicht zu. Die von einem Kfz-Sachverständigen überprüfte Fahrzeugtechnik habe keinen Anhaltspunkt dafür ergeben, dass das Navigationsgerät Daten über den Fahrzeugstandort permanent speichere oder an andere Bauteile des Fahrzeugs weitergeben könne. Eine derartige Datenverarbeitung sei auch technisch nicht plausibel, weil diese Daten für eine elektronische Fehlerauswertung nicht von Bedeutung sein. Das im Fahrzeug überhaupt Daten gespeichert werden könnten, stelle keinen Verstoß gegen das Recht des Nutzers auf informationelle Selbstbestimmung dar und sei per se kein Sachmangel. Der Beklagte hätte das Fahrzeug als Nutzer erwerben und dann selbst über die abgelegten Daten verfügen können. Ähnlich verhalte es sich bei der Anschaffung eines Computers oder eines Smartphones, bei denen ebenfalls Daten der Nutzer gespeichert würden. Auch dieser Umstand sei kein technischer Fehler des jeweiligen Geräts.

 

Kategorien: Allgemein
Schlagwörter: ,

Ja, Nein, Vielleicht? Ein How-To für Einwilligungserklärungen

Einwilligungserklärungen zur Verwendung von Daten finden sich häufig – auf Websites, in Formularen oder bei Verträgen. Häufig sind diese Einwilligungserklärungen jedoch nicht datenschutzkonform gestaltet: mal ist die Einwilligung als Bestandteil des Vertrages im Vertragstext „versteckt“, mal ist keine Widerrufsmöglichkeit angegeben.

Um diesen praktischen Problemen zu begegnen, hat der Düsseldorfer Kreis (also die datenschutzrechtlichen Aufsichtsbehörden der Länder) eine „Orientierungshilfe zur datenschutzrechtlichen Einwilligungserklärung in Formularen“ herausgegeben. Hier werden die elf wichtigsten Punkte einer Einwilligungserklärung aufgeführt und erklärt.

Dies ist nicht die erste praktische Hilfe des Düsseldorfer Kreises: Hinsichtlich Einwilligungen zu Werbung sei auf den entsprechenden Leitfaden verwiesen, der die Fallstricke und Gestaltungsmöglichkeiten aufzeigt.

Verbraucherschützer fordern starken Datenschutz beim fahrerlosen Fahren

29. April 2016

Dass Computer auch im Straßenverkehr sprichwörtlich das Steuer in die Hand nehmen, ist längst schon keine abstruse Zukunftsmusik mehr. Einparkhilfen, Sicherheitsabstandsregulierer oder Ähnliches sind bereits eingezogen in das Cockpit des PKW. Gleichzeitig kann man in Tageszeitungen regelmäßig Berichte über Tests von vollautomatisierten Autofahrten verfolgen.

Doch wie stehen Verbraucher diesen Entwicklungen gegen über?  – Skeptisch, wie eine Umfrage der Verbraucherzentrale Bundesverband e. V. ergibt.

Demnach sorgen sich ca. 80 % der Befragten um die Sicherheit ihrer Daten im PKW. Wie sicher sind die IT-Systeme wirklich? Wer haftet für einen Schaden, wenn sich über ein Fernzugriff ein Hacker ans Steuer setzt? Wie werten Anbieter die Daten aus, die bei einer Fahrt generiert werden?

Auf diese Fragen verlangen Verbraucherschützer klare und transparente Antworten. Eine höhere Akzeptanz der Verbraucher werde die Digitalisierung der Automobile nur erfahren, wenn für alle ersichtlich geklärt ist, wer wann welche Daten zu welchen Zwecken erhebt und verarbeitet und wann diese schließlich gelöscht werden.

Das BVerfG entscheidet zum BKA-Gesetz: Terrorabwehr nicht um jeden Preis

21. April 2016

Das BKA-Gesetz steht schon länger auf dem Prüfstand, auch wir haben darüber berichtet. Nun ist die Entscheidund aus Karlsruhe da.

Wie u.a. zeitonline berichtet, ist das BKA-Gesetz, das dem Bundeskriminalamt (BKA) weitreichende Befugnisse zur heimlichen Überwachung von Bürgern einräumt, teilweise verfassungswidrig. Oder, wie es das BVerfG gestern, am 20.04.2016, schreibt, ist „die Ermächtigung des Bundeskriminalamts zum Einsatz von heimlichen Überwachungsmaßnahmen zur Abwehr von Gefahren des internationalen Terrorismus zwar im Grundsatz mit den Grundrechten vereinbar“, jedoch genügt „die derzeitige Ausgestaltung von Befugnissen aber in verschiedener Hinsicht dem Verhältnismäßigkeitsgrundsatz nicht“.

Das klingt nicht nur sperrig, sondern bedeutet auch viel Arbeit in der Umsetzung. Das BVerfG kritisiert vor allem fehlende Konkretisierungen von Normen, zu unbestimmte und zu weitgehende Befugnisse  des BKA, den Datenaustausch zwischen Behörden, mangelnde Nachvollziehbarkeit der Maßnahmen sowie unzureichende Löschung.

Die Reaktionen auf das Urteil sind naturgemäß unterschiedlich. Während Bundesinnenminister Thomas de Maizière von der CDU alles andere als begeistert ist, begrüßt die Bundesbeauftragte für den Datenschutz und die Datensicherheit das Urteil.

Deutschland verlangt von Apple öfter Geräteinformationen als jedes andere Land der Welt

20. April 2016

Wie Apple in seinem jüngst erschienenen Report on Government Information Requests bekanntmacht, wurden durch deutsche Strafverfolgungsbehörden zwischen Juli und Dezember 2015 insgesamt 11989 sog. Device Requests gestellt. Dabei handelt es sich um Anfragen, durch die neben Serien- und IMEI Nummern auch Kontaktdaten von Geräteinhabern ermittelt werden sollen. Ob und in welchem Umfang neben Strafverfolgungsbehörden, wie der Polizei, Informationen auch durch die deutschen Inlandsgeheimdienste (Verfassungschutzbehörden der Länder und des Bundes) abgefragt wurden, ergibt sich aus dem Bericht nicht.

Interessant ist, dass Apple lediglich in 52% der Fälle den Datenauskunftsersuchen der deutschen Behörden nachgibt. Immerhin in fast der Hälfte der Fälle dürfte der Konzern damit von rechtswidrigen bzw. ungerechtfertigten Ersuchen ausgehen, in den USA hingegen ist dies nur in 20% der Anfragen der Fall.

Überraschend ist vor allem aber die gewaltige Anzahl der Gesuche insgesamt. In anderen Mitgliedsländern der EU wurden entsprechende Anfragen deutlich seltener gestellt (Österreich 70, Italien 966, Frankreich 1610, Griechenland 11). Im Vergleich mit den USA (4000 Anfragen) wurden in Deutschland im gleichen Zeitraum nahezu drei Mal so viele Anfragen gestellt. Tatsächlich stammt mehr als die Hälfte aller Anfragen aus Europa, dem mittleren Osten und Afrika zusammengenommen aus der Bundesrepublik.

Auch bei sog. Account Requests, also Anfragen hinischtlich Adress- und weiterer Daten bzgl iTunes- bzw. iCloud-Accounts liegt Deutschland mit 130 weit vorn, nur in den USA und im Vereinigten Königreich wurden weltweit im gleichen Zeitraum mehr derartige Anfragen gestellt.

Gründe für die besondere Neugier deutscher Behörden lassen sich aus dem Bericht freilich nicht ableiten. Eine besonders hohe Diebstahlquote von Geräten mit dem Apfel in Deutschland erscheint, vor dem Hintergrund der gewaltigen Disproportionalität im Vergleich zu anderen Ländern, als Erklärung aber eher auszuscheiden.

Ob von Seiten der Politik oder Justiz eine Erklärung hierzu abgegeben wird, ist nicht bekannt.

EU-Parlament beschließt Fluggastdatenspeicherung

18. April 2016

Das EU-Parlament stimmte vergangenen Donnerstag in Straßburg der Richtlinie zur EU-Fluggastdatenspeicherung zu. Zeitgleich dazu erfolgte die Verabschiedung der EU-Datenschutzgrundverordnung. Während einerseits in der EU das „Recht auf Vergessenwerden“ normiert wird, werden die Fluggastdaten in der EU weitgehend gespeichert.

Der neuen Richtlinie zufolge dürfen nunmehr Fluggastdatensätze (sog. PNR – Passenger Name Records) zu Zwecken der Verhütung, Aufdeckung und strafrechtlichen Verfolgung terroristischer Strafdaten und schwerer Kriminalität verwendet werden. Die Luftfahrtgesellschaften werden verpflichtet, die Fluggastdaten für Flüge von der EU in Drittländer und andersherum den nationalen Behörden zu übermitteln, während Fluggastdaten für Flüge innerhalb der EU lediglich verarbeitet werden dürfen, nachdem die EU-Kommission davon in Kenntnis gesetzt wurde.

Fluggäste müssen sich in Zukunft also auf mehr staatliche Überwachung einstellen. Konkret handelt es sich u. a. um Angaben zum Reiseverlauf, zu Buchungsinformationen oder zur Zahlung. Für die Erhebung, Speicherung und Nutzung der PNR-Daten sowie deren Übermittlung an die zuständigen Behörden sollen PNR-Zentralstellen zuständig sein, deren Einrichtung durch die Mitgliedstaaten erfolgt. Die Fluggastdaten werden nach der Richtlinie für eine Dauer von fünf Jahren gespeichert, sechs Monate nach deren Übermittlung müssen sie jedoch unkenntlich gemacht werden.

Die Richtlinie sieht verschiedene Datenschutzmechanismen vor. Beispielsweise ernennen die nationalen PNR-Zentralstellen Datenschutzbeauftragte, die für die Einhaltung datenschutzrechtlicher Bestimmungen zuständig sind. Die Verarbeitung der PNR-Daten muss ferner protokolliert und dokumentiert werden. Werden durch die Verarbeitung besondere personenbezogene Daten (z. B. ethnische Herkunft oder Gesundheitsdaten) kenntlich, ist diese Verarbeitung untersagt.

Die Mitgliedstaaten haben nach der noch ausstehenden formellen Billigung der Richtlinie durch den Rat zwei Jahre Zeit, die Richtlinie umzusetzen.

 

Kategorien: Allgemein
Schlagwörter:

BDI Berlin: Umgang mit Datenträgern bei gemieteten IT-Geräten

Im betrieblichen Alltag gehen mehr und mehr Unternehmen dazu über, allein wegen der hohen Anschaffungskosten IT-Geräte (z. B. Multifunktionsdrucker, Laptops, Festplatten) zu mieten oder zu leasen. Dabei gerät schnell in Vergessenheit, dass Geräte, die über einen nicht flüchtigen Langzeitspeicher wie Festplatten und sog. „Flashspeicher-Bausteine“ verfügen, beim bestimmungsgemäßen Gebrauch (z. B. Kopieren und Faxen) personenbezogene Daten erzeugen. Diese Daten werden für einen unbestimmten Zeitraum auf diesen Speichern abgelegt. Daher sollte bei der Rückgabe von geleasten oder gemieteten IT-Geräten darauf geachtet werden, dass nicht versehentlich personenbezogene Daten an den Leasinggeber oder Vermieter weitergegeben werden.

Dazu hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BDI Berlin) in ihrem jüngst vorgestellten 15. Tätigkeitsbericht Stellung bezogen. Neben dem expliziten Hinweis, dass gerade auch Multifunktionssysteme, die in das eigene Netzwerk integriert werden können und internetfähig sind, ähnliche Sicherheitsvorkehrungen benötigen wie PCs oder Server, appelliert sie, dass die einsetzende Stelle sicherstellt, dass bei der Rückgabe gemieteter/ geleaster IT-Geräte die in den Geräten enthaltenen Datenträger – sofern diese nicht hinreichend verschlüsselt sind, was regelmäßig ausreichend ist – datenschutzkonform gelöscht sind bzw. die Datenträger datenschutzkonform vernichtet werden. Die Löschung/ Vernichtung durch ein in Deutschland zertifiziertes Unternehmen sei dabei regelmäßig als datenschutzkonform einzustufen.

1 13 14 15 16 17 136