Operation „Glotaic“ – CIA hatte Zugriff auf deutsche Telekommunikation

9. September 2015

Zwischen den Jahren 2004 und 2006 hatte der US-Auslandsgeheimdienst CIA offensichtlich mit Unterstützung des Bundesnachrichtendienstes (BND) nach einem Printbericht des Spiegels ungefilterten Zugriff auf Telekommunikationsdaten in Deutschland. Die unter dem Namen „Glotaic“ laufende Geheimopertaion der Geheimdienste überwachte demnach den Telefon- und Faxverkehr des US-Anbieters MCI an dessen Standort in Hilden (NRW) und sendete dort abgehörte Audio-Gespräche direkt und ungefiltert in die USA. Hiervon waren durch eine Panne auch Strecken von „massiv deutschen Verkehren“ betroffen. Dies geht laut dem Bericht aus einem vertraulichen Papier des BND sowie interner BND-Email-Kommunikation hervor. Brisanz erlangt das Thema dadurch, dass BND-Mitarbeiter bisher im NSA-Untersuchungsausschuss stets angegeben hatten, dass alle Gespräche vom BND gefiltert und geprüft worden seien. Hierbei wurde die Operation stets mit „Glo“ abgekürzt, da der vollständige Name nicht ausgesprochen werden durfte.

Nach Ende der Operation warnte der BND intern vor einem „politischen Skandal“, sollte das Vorgehen publik werden. Rückblickend wurden „schwerwiegende Risiken“ erkannt, da eine solche Praxis nur durch eine dem G-10-Gesetz entsprechende Anordnung zur Einschränkung des Fernmeldegeheimnisses möglich gewesen wäre. Diese lag jedoch nicht vor.

Kategorien: Allgemein

EU-Datenschutzgrundverordnung aktuell (4): Berufsverband der Datenschutzbeauftragten mahnt „Rote Linien“ an

4. September 2015

Der Berufsverband der Datenschutzbeauftragten in Deutschland (BvD) e.V. zieht mit Blick auf die derzeit noch immer laufenden Trilog-Verhandlungen in Brüssel fünf „Rote Linien zur EU-DSGVO“, welche die europäische Vorgabe nach Ansicht der Datenschützer in keinem Falle überschreiten dürfe:

1. Prinzipien der Speicherung:

Danach soll vor allem am Prinzip der Datensparsamkeit- und vermeidung („limited to the minimum necessary“) festgehalten werden, welches im gegenwärtigen Entwurf der Verordnung aufgeweicht wird („not excessive“).

2. Zweckbindung ohne Ausnahmen:

Unzweckmäßige Datenverarbeitung wie versteckte Datenbanken, ungewolltes Scoring, Datenhandel etc. darf nicht erlaubt, Artikel 6 Abs. 3a des Entwurfs muss gestrichen werden.

3. Profilbildung nur mit expliziter Zustimmung:

Sogenanntes Profiling – beispielsweise die Erstellung von individuellen Kauf- oder Bewegungsprofilen – darf nicht ohne Zustimmung des Betroffenen erlaubt sein (Opt-In), während Artikel 19 des Entwurfs nur die Möglichkeit eines Widerspruchs (Opt-Out) vorsieht, soweit das Profiling „erhebliche Auswirkungen“ für den Betroffenen bedeutet. An dieser Stelle befürchten die Datenschützer des BvD auch eine Aufweichung des Kopplungsverbots dahingehend, dass Verbrauchern, die einem Profiling widersprechen, Vertragsangebote oder Nutzungen von Diensten verwehrt bleiben.

4. Auskunftsrechte immer kostenfrei:

Das Auskunftsrecht als Teil des Grundrechts auf informationelle Selbstbestimmung darf nicht dadurch unterminiert werden, dass eine Auskunft nur gegen Gebühr erfolgt. Das sieht die Verordnung (Artikel 15) gegenwärtig – im Widerspruch zum Bundesdatenschutzgesetz – vor.

5. Datenportabilität ermöglichen:

Wenigstens die Mitnahme von Daten beim Wechsel eines Dienstanbieters sieht der Entwurf der Verordnung in Artikel 18 vor. Die Datenschützer des BvD fordern ein einheitliches, elektronisches Datenformat zu ntzen, dass es den Verbrauchern ermöglicht, ihre Daten beispielsweise voneinem sozialen Netzwerk in ein anderes „umzuziehen“.

Ob diese „Roten Linien“ wirklich nicht überschritten werden, darf freilich bezweifelt werden.

BayLDA: Auftragsdatenverarbeitung ohne richtigen Vertrag kann teuer werden!

2. September 2015

Wer einen externen Dienstleister als so genannten Auftragsdatenverarbeiter mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt, muss mit diesem einen schriftlichen Vertrag abschließen. Das Gesetz – so auf Bundesebene § 11 Bundesdatenschutzgesetz (BDSG) –  schreibt eine Reihe von Einzelheiten vor, die zum Schutz der personenbezogenen Daten darin ausdrücklich festgelegt werden müssen. Von besonderer Bedeutung sind dabei die technischen und organisatorischen Maßnahmen (Datensicherheitsmaßnahmen), die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss. Diese Maßnahmen müssen im schriftlichen Auftrag konkret und spezifisch festgelegt werden. Fehlen konkrete Festlegungen hierzu, stellt dies eine Ordnungswidrigkeit dar, die mit Geldbuße von bis zu 50.000,- € geahndet werden kann. So viel die Theorie.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nun nach eigenen Angaben gegen ein Unternehmen eine Geldbuße in fünfstelliger Höhe festgesetzt, weil dieses in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt hatte, sondern dort nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes aufzufinden waren. Das BayLDA wies darauf hin, dass die keinesfalls ausreichend ist. Die datenschutzrechtliche Verantwortung trage auch im Falle der Einschaltung von Auftragsdatenverarbeitern nach wie vor der Auftraggeber. Dieser müsse daher beurteilen können, ob der Auftragsdatenverarbeiter in der Lage ist, für die Sicherheit der Daten zu sorgen. Auch müsse der Auftraggeber die Einhaltung der technisch-organisatorischen Maßnahmen bei seinem Auftragnehmer kontrollieren. Hierfür sei es unerlässlich, dass die beim Auftragsdatenverarbeiter zum Schutz der Daten zu treffenden technisch-organisatorischen Maßnahmen in dem abzuschließenden schriftlichen Auftrag spezifisch festgelegt werden. Nur so könne der Auftraggeber beurteilen, ob die personenbezogenen Daten bei seinem Auftragnehmer z. B. gegen Auslesen oder Kopieren durch Unbefugte, gegen Verfälschung oder sonstige unberechtigte Abänderung oder gegen zufällige Zerstörung geschützt sind.

Das BayLDA betont, dass nicht pauschal beantwortet werden kann, welche vertraglichen Festlegungen zu den technisch-organisatorischen Maßnahmen getroffen werden müssen. Dies richtet sich nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen. Den gesetzlichen Maßstab für die festzulegenden technisch-organisatorischen Maßnahmen bildet jedenfalls die Anlage zu § 9 BDSG, die Maßnahmen in den Bereichen Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle verlangt. Der schriftliche Auftrag muss daher spezifische Festlegungen zu diesen Fragen enthalten.

„Augen auf beim Einbinden von Dienstleistern. Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht.“, so der Präsident des BayLDA Kranig. „Die Datensicherheitsmaßnahmen müssen konkret und spezifisch im Vertrag festgelegt werden. Unspezifische oder pauschale Beschreibungen reichen nicht aus. Wir werden auch künftig in geeigne- ten Fällen Verstöße in diesem Bereich mit Geldbußen ahnden.“

Sollen Carsharing-Anbieter Zugriff auf das Fahreignungsregister in Flensburg erhalten?

31. August 2015

Allein in Köln haben mutmaßliche illegale Autorennen bereits in diesem Jahr zu 3 Todesfällen von unbeteiligten Radfahrern geführt, die den mit extrem überhöhter Geschwindigkeit fahrenden Autos im Stadtgebiet zum Opfer fielen. Immer öfter, und so auch bei einem der vorgeannten Fälle mit Todesfolge, sind Nutzer von Carsharing-Fahrzeugen unter den Rasern.

Das mögliche Problem bei Carsharing-Anbietern scheint zu sein, dass viele von ihnen recht leitsungsstarke Wagen in ihrem Portfolio anbieten und häufig vor allem sehr junge Fahrer diese Angebote wahrnehmen. Der Vorsitzende der deutschen Polizeigewerkschaft, Rainer Wendt, hat sich daher nun in der Süddetuschen Zeitung dafür ausgesprochen, dass diese Autovermieter auf Informationen des Kraftfahrtbundesamts in Flensburg, nämlich auf das sog. Fahreignungsregister, zugreifen können sollen. Er schlägt dafür ein Ampelsystem vor, mit dem angezeigt wird, ob ein Fahrer schon viele Verkehrsdelikte begangen hat, so dass die Autovermieter bessere Einschätzungen über die Person des Fahrers treffen könnten.

Bislang können nur die betroffenen Personen selbst sowie Ermittlungsbehörden die „Punkte in Flensburg“ einsehen.

Unter der Wahrung des Rechts auf informationelle Selbstbestimmung scheint diese Einschränkung auch gerechtfertigt. So ist schon die Einhaltung des Zweckbindungsgrundsatzes bei einer Ausweitung der Zugriffsrechte problematisch. Die Erhebung der Daten im Fahreignungsregister dient vor allem der Vorbereitung der Entscheidungen der Fahrerlaubnisbehörden über die Entziehung, Versagung oder Neuerteilung der Fahrerlaubnis sowie der Dokumentation von Ordnungswidrigkeiten oder Straftaten für die entsprechenden Ordnungsbehörden. Der Betroffene selbst soll daneben im Rahmen seines Auskunftsanspruchs die zu seiner Person gespeicherten Daten einsehen können.

Sollten nunmehr auch Carsharing-Anbieter auf diese Registerdaten zugreifen dürfen, müssten jedenfalls die Zwecke der Erhebung der Eignungsdaten neu definiert werden. Aber auch dann erscheint fraglich, ob eine Abfrage, wie oben angedacht, überhaupt zuverlässige Werte im Hinblick auf eine Fahrerbewertung liefern kann. Ist der Schluss von einer Person, die sich beispielsweise bereits mehrere Geschwindigkeitsüberschreitungen zu Schulden hat kommen lassen, auf einen potenziellen Raser gerechtfertig? Schließlich kann man auch als Radfahrer Registerpunkte in Flensburg sammeln. Wenn eine Abfrage aber nicht einmal geeignet ist, dem Anbieter bei einer Fahrerbewertung zu dienen, kann erst recht nicht argumentiert werden, sie sei erforderlich für die Begründung oder Durchführung des Mietvertrages. Dies wäre jedoch notwendige Voraussetzung, um den gesetzlichen Vorgaben des denkbaren Rechtfertigungstatbestandes gerecht zu werden.

Kategorien: Allgemein
Schlagwörter: ,

Spotfiy ändert Datenschutzbestimmungen

27. August 2015

Zum 19.08.2015 hat der Musik-Streamingdienst Spotify seine Nutzungs- und Datenschutzbestimmungen geändert, wie die Süddeutsche Zeitung berichtet.
Nutzer können sich bei Spotify registrieren und auf ein Repertoire von bis zu 30 Millionen verschiedenen Musiktiteln zugreifen. Diese können sie mit verschiedenen Endgeräten wiedergeben. Die Nutzung ist entweder kostenlos mit Werbeunterbrechungen oder für einen monatlich zu entrichtenden Betrag ohne Werbeunterbrechungen möglich.
Neben den für die Registrierung und gegebenenfalls für die Abrechnung erforderlichen Daten erhebt Spotify nun auch weitere auf dem Mobilgerät des Nutzers gespeicherte Daten. Zu diesen Daten gehören Kontaktdaten, Fotos und andere Mediendaten. Darüber hinaus werden teilweise auch Daten über den aktuellen Standort des Nutzers erhoben. Mit Hilfe der Standortdaten kann Spotify Sensordaten erstellen. Aus diesen Sensordaten ergibt sich, mit welcher Geschwindigkeit der Nutzer sich fortbewegt – also ob er beispielsweise gemütlich spazieren geht oder joggt.
Auf Grundlage dieser Daten kann Spotify Profile der Nutzer erstellen und seinen Vertragspartnern anbieten, die Nutzer möglichst individuell zu bewerben.
Zwar können die Nutzer die Werbemaßnahmen teilweise unterbinden, indem sie die Handlungsanweisungen in den Datenschutzbestimmungen befolgen und die technischen Voreinstellungen verändern.
Aus datenschutzrechtlicher Sicht ist jedoch fraglich, weswegen die Erhebung von Kontaktdaten, Fotos und anderen Mediendaten für die Erbringung des Streaming-Dienstes erforderlich ist. Auf diese Frage ergibt sich auch aus den Datenschutzbestimmungen keine plausible Antwort.
Insofern ist die Datenerhebung durch Spotify kritisch zu betrachten, wenngleich sie datenschutzrechtlich zulässig ist, weil die Nutzer ihre Einwilligung hierein erklärt haben. Der Widerspruch eines Nutzers in die Datenerhebung ist nur möglich, indem der Nutzer komplett auf die Nutzung des Streamningdienstes verzichtet.
Es bleibt abzuwarten ob die Nutzer mit einem Wechsel des Streamingsdienst auf die Änderungen der Datenschutzbestimmungen reagieren oder ob möglicherweise noch mit einer Maßnahme der Aufsichtsbehörden zu rechnen ist.

EU-Datenschutzgrundverordnung aktuell (3): Positionspapier der DSK

Der Trilog zwischen Europäischem Parlament, Rat der Europäischen Union und Europäischer Kommission zu den Beratungen zu der EU-Datenschutzgrundverordnung geht in die „heiße Phase“. Daher hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) am gestrigen Tag ein Positionspapier veröffentlicht und darin diverse Nachbesserungen gefordert. Die EU-Datenschutzgrundverordnung müsse im Vergleich zum geltenden Rechtsstand einen verbesserten, mindestens aber dem bisherigen Standard gleichwertigen Grundrechtsschutz gewährleisten. Daher appelliert die DSK an die Trilogpartner, bei ihren Verhandlungen insbesondere zu berücksichtigen:

  • Die Datensparsamkeit muss Gestaltungsziel bleiben!
  • Es darf keine Aufweichung der Zweckbindung geben!
  • Die Einwilligung des Einzelnen muss die Datenhoheit sichern!
  • Die Rechte der Betroffenen dürfen nicht eingeschränkt werden!
  • Die Profilbildung muss wirksam begrenzt werden!
  • Effektiver Datenschutz braucht betriebliche und behördliche Datenschutzbeauftragte!
  • Datenübermittlungen an Behörden und Gerichte in Drittstaaten bedürfen einer stärkeren Kontrolle!

Das Positionspapier steht in detaillierter Version zum Download bereit.

Kategorien: EU-Datenschutzgrundverordnung
Schlagwörter: ,

BayLDA: Achtung auf Kundendaten beim Unternehmensverkauf!

19. August 2015

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nach eigenen Angaben Verkäufer und Käufer eines Unternehmens wegen eines Verstoßes gegen die datenschutzrechtlichen Vorschriften im Umgang mit Kundendaten mit einem  mittlerweile unanfechtbaren Bußgeld in jeweils fünfstelliger Höhe belegt.

Im konkreten Fall ging es um die unzulässige Übertragung von E-Mail-Adressen von Kunden eines Online-Shops im Rahmen eines Asset Deals. Diese erfolgte ohne die explizite Einwilligung der betroffenen Kunden. Damit wurde gegen das Datenschutzgesetz verstoßen, was wegen des Umstandes, dass es sich bei E-Mail-Adressen um personenbezogene Daten handelt, anwendbar ist. Zugleich wurde gegen das Gesetz gegen den unlauteren Wettbewerb verstoßen, wonach ebenfalls eine Einwilligung des Kunden von Nöten ist, wenn der Erwerber die Daten auch zu Werbezwecken verwenden möchte.

Das BayLDA hat klargestellt, dass für die unzulässige Übergabe von Kundendaten sowohl der Veräußerer als auch der Erwerber als sogenannte „verantwortliche Stellen“ die datenschutzrechtliche Verantwortung tragen. Der Veräußerer „übermittelt“ die Daten, während der Erwerber diese Daten „erhebt“. Die unzulässige Übermittlung sowie die unzulässige Erhebung personenbezogener Daten stellen Ordnungswidrigkeiten dar, die je nach Sachverhalt mit Geldbuße von bis zu 300.000,- € geahndet werden können.

Datenschutzrechtliche Bewertung des Einsatzes von Drohnen

17. August 2015

Der Einsatz von Mini-Drohnen nimmt auch in Deutschland mehr und mehr zu. Doch was bedeutet dies eigentlich für den Einzelnen, der von einer Drohne erfasst wird?

Die potenziellen Risiken aus Sicht des Datenschutzes folgen vor allem aus der möglichen Erhebung von Bild- und Tonaufnahmen, wenn eine Person von einer Drohne erfasst wird. Aber auch Ortungsdaten können mit Hilfe dieser Technik „gesammelt“ und verarbeitet werden.

Es mangelt zunächst an der erforderlichen Transparenz über die Tatsache, dass eine solche Datenerhebung stattfinden kann, denn der Betroffene bleibt in der Regel ahnungslos darüber, dass er überhaupt erfasst wird. Darüber hinaus fehlt es an der Zweckbestimmung bezüglich der Datenerhebung und -verarbeitung, an Kenntnis über die Speicherdauer und überhaupt über die konkrete verantwortliche Stelle.

Die Artikel-29-Datenschutzgruppe hat daher nun in einer Stellungnahme die Schaffung eines gesetzlichen Rahmens für den Einsatz von Drohnen auf nationaler und europäischer Ebene gefordert, einhergehend mit der Erarbeitung eines Regelwerks für den verantwortungsvollen Einsatz von Drohnen unter Wahrung der Privatsphäre. Die Empfehlungen der Gruppe gehen zum einen dahin, eine leichtere Identifikation der Betreiber der Drohnen zu ermöglichen, des Weiteren raten sie dazu, über die beabsichtigte Datennutzung im Vorfeld aufzuklären. Im Allgemeinen könnten die für die öffentliche Videoüberwachung geltenden gesetzlichen Regelungen als Maßgabe dienen.

Man darf gespannt sein, wann und in wie weit diese Empfehlungen zur Anwendung kommen.

Kategorien: Allgemein
Schlagwörter: ,

CNIL fordert weltweites Recht auf Vergessen werden

14. August 2015

Wie die Zeit berichtet, hat die französische Datenschutzbehörde CNIL den Suchmaschinenbetreiber Google aufgefordert, das Recht auf Vergessen werden weltweit umzusetzen.
Im Jahr 2014 hatte der EuGH geurteilt, dass Betroffenen im Rahmen ihres Rechts auf informationelle Selbstbestimmung auch das Recht zusteht digital vergessen zu werden. Hiernach können Bürger der EU Google dazu verpflichten, bestimmte Links zu ihrer Vergangenheit nicht mehr in der Liste der Suchergebnisse aufzuführen.
Google entspricht den Ansprüchen von Betroffenen insoweit, als dass Einträge zu den jeweiligen Personen in der europäischen Version der Suchmaschine nicht mehr erscheinen. Der CNIL geht diese Vorgehensweise jedoch nicht weit genug. Sie fordert von Google, dass Einträge aus der Vergangenheit einer Person weltweit zu entfernen sind.
Hiergegen wehrt sich Google mit dem Argument, dass eine französische Behörde nicht die Zuständigkeit habe anzuordnen, wie die weltweiten Suchergebnisse von Google zu gestalten sein.
Ob und wie die CNIL in dieser Angelegenheiten weiter gegen Google vorgeht, bleibt abzuwarten.

Fingerabdruckscan von Androidgeräten bedingt Sicherheitsbedenken

13. August 2015

Die von Android angebotene Fingerabdruck-Technologie wird nach einem Bericht von Spiegel-Online von IT-Spezialisten als unsicher eingestuft. So seien die sensiblen biometrischen Daten der Nutzer, etwa auf dem HTC One Max, unverschlüsselt auf dem Gerät gespeichert und somit für alle Apps relativ problemlos auslesbar. Den Fachkräften gelang es mehrere Fingerabdrücke zu kopieren, was als kritscheres Sicherheitsrisiko angesehen wurde, als etwa das Ausspähen eines Passwortes.

Anders verhielt sich das Thema bei Apple-Produkten. Diese seien weitgehend sicher. Die Daten würden hier unmittelbar nach dem Erfassen verschlüsselt und seien so vor unrechtmäßigen Zugriffen oder Nutzungen ausreichend gesichert.

Kategorien: Mobile Business
Schlagwörter: , , ,
1 13 14 15 16 17 125