DSK: Vorratsdatenspeicherung muss diskutiert werden!

10. Juni 2015

In ihrer aktuellen Entschließung formuliert die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) erhebliche verfassungsrechtliche Bedenken gegen den Gesetzentwurf der Bundesregierung zur Vorratsspeicherung von Telekommunikationsdaten für die Sicherheitsbehörden. Der Entwurf berücksichtige nicht in Gänze die grundrechtlichen Anforderungen, die vom Bundesverfassungsgericht und vom Europäischen Gerichtshof präzisiert worden sind.

Dies gelte in Hinblick auf den Schutz der Kommunikation von Berufsgeheimnisträgern (z. B. Abgeordneten, Ärzten, Rechtsanwälten, Journalisten), die Differenzierung nach Datenarten, Verwendungszwecken und Speicherfristen sowie das Fehlen einer Evaluierungsklausel.

Daher fordert die DSK vor der Verabschiedung des geplanten Gesetzes ein ergebnisoffenes Verfahren mit umfassender Öffentlichkeitsbeteiligung.

„Nach jahrelanger ergebnisloser Schwarz-Weiß-Debatte darf die Politik nicht durchzocken, was sich spätestens vor dem Bundesverfassungsgericht rächen würde. Im Sinne einer Verhältnismäßigkeitsprüfung können die Speicherfristen stark verkürzt werden, wenn in Verdachtsfällen ein Einfrieren der Daten – also ein ´Quick Freeze` – gesetzlich vorgesehen wird. Auf den Prüfstand müssen ebenso die viel zu langen heute praktizierten Speicherfristen von einigen Telekommunikationsprovidern wie Vodafone und E-Plus. Zudem muss der Entwurf abgestimmt werden mit den Datenspeicherungen für Zwecke der IT-Sicherheit, wozu derzeit parallel ein Gesetzentwurf behandelt wird. Qualität und Rationalität müssen der Geschwindigkeit vorgehen. Nur so kann das geplante Vorhaben die nötige gesellschaftliche Akzeptanz erlangen.“, so Thilo Weichert, Leiter des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein.

Google vereinfacht Datenschutz bei der Kontoverwaltung

8. Juni 2015

Bisher war es sehr schwierig, die Kontoeinstellungen verschiedener Google-Dienste synchron und zum Schutz seiner personenbezogenen Daten einzurichten, doch seit der vergangenen Woche hat Google die Verwaltung von Gmail-, Youtube- oder Blooger-Accounts wesentlich übersichtlicher und damit nutzerfreundlicher gestaltet. Unter https://myaccount.google.com/ sind unter dem Unterkapitel „Persönliche Daten und Privatssphäre“ eine Reihe von Instrumente und Einstellungen abrufbar, die den Schutz der Privatsphäre des Einzelnen erleichtern. So kann man beispielsweise das Sammeln von Informationen zum Standortverlauf einfach ausschalten, ebenso wie auch die sogenannte „interessenbezogene Werbung“ (darunter sind Anzeigen zu verstehen, die sich nach den Nutzer-Aktivitäten auf Google oder den besuchten Internetseiten orientieren).

Dieser Entwicklung voraus gegangen war ein Verwaltungsverfahren, in dem der Hamburgische Beauftragte für Datenschutz und Informationssicherheit durch Widerspruchsbescheid Google verpflichtet hatte, die Verarbeitung personenbezogener Daten deutscher Nutzer in zulässiger Weise zu organisieren. Die Nutzer müssten „künftig selbst über die Verwendung der eigenen Daten zur Profilerstellung entscheiden können“, so Johannes Caspar.

Die neuen Möglichkeit für den Nutzer, zumindest die Kontrolle über seine Kontoeinstellungen selbst in die Hand zu nehmen, könnte ein erster Schritt in Richtung der Umsetzung der Forderungen des Datenschützers sein. Ob sie tatsächlich den gewünschten Effekt einer Stärkung der Rechte deutscher Nutzer von Google-Diensten zeigen, wird noch zu überprüfen sein.

Kategorien: Online-Datenschutz · Tracking
Schlagwörter: , ,

Microsoft gewährt Einblick in Quellcode

3. Juni 2015

Mit der Eröffnung seines so genannten „Transparency Centers“ in Brüssel erlaubt Microsoft nach der Eröffnug einer solchen Einrichtung in Redmond, USA auch in Europa Einblick in sein Allerheiligste, den Quellcode von Windows. Wie heise.de berichtet, sollen -unter strenger Bewachung- Experten der Regierungen mittels „statischer und dynamischer Tools“ Analysen durchführen können.
Aus (deutscher) datenschutzrechtlicher Sicht ist dieser Vorgang vor allem deshalb interessant, weil im Rahmen von Auftragsdatenverarbeitungen die ergriffenen technischen und organisatorischen Maßnahmen (Anlage zu § 11 BDSG) vertraglich dokumentiert werden müssen. Da Microsoft-Produkte wohl in so gut wie allen Unternehmen zu finden sein dürften, könnten sich durch die Ergebnisse der Experten insoweit auch Anpassungsbedarf bei diesen Dokumentationen ergeben. Die früher üblichen Zertifizierungen nach Common Criteria EAL4+ sind nach Ansicht des BSI wegen gestiegener Komplexität jedenfalls nicht mehr einsetzbar.
Ob und inwieweit sich der nicht immer für seine Transparenz bekannte Microsoft-Konzern durch das „Transparency Centers“ tatsächlich in Karte schauen lässt, bleibt abzuwarten.

Kategorien: Allgemein
Schlagwörter: ,

App kontrolliert Stimmung von Mitarbeitern

2. Juni 2015

Nach dem Vorbild des Trends in amerikanischen Unternehmen die Mitarbeiter mit Armbändern auszustatten, die deren tägliche Bewegungen messen und so deren Fitnesszustand dokumentieren, hat nun eine Münchener App-Schmiede eine App auf den Markt gebracht, die vermeintlich den Gemütszustand der Mitarbeiter kontrollieren kann. Hierzu zeichnet diese unterschiedliche Parameter auf, die vermeintlich einen Rückschluss auf das Stresslevel zulassen, wie etwa die Stimme, das Tippverhalten und Bewegungen. Selbst das Schlafverhalten wird analysiert.

Würden diese besonders sensiblen Daten im Sinne des § 3 Nr.9, 28 Abs.6 ff. BDSG Daten nur dem Mitarbeiter selber zur Verfügung stehen, wäre dies datenschutzrechtlich unbedenklich. Dies ist jedoch nicht das Ziel der App. Diese stellt die Daten der Geschäftsführung zur Verfügung. Vordergründig wird dies mit der Gesundheitsfürsorge begründet, um so notwendige Gegenmaßnahmen einzuleiten. Hierzu müssten die Daten entweder anonymisiert werden, oder eine arbeitrsrechtlich nicht unumstrittene Einwilligung des Arbeitnehmers hierzu einholen. Nach den Angaben zur App wird die Anonymität zwar gewährleistet, je nach Größe des Unternehmens und Anzahl der Mitarbeiter, kann es jedoch aufgrund der Bewegungsprofile zu einer Aufhebung dieser kommen.

Verbraucherzentrale NRW startet Offensive gegen unzulässig verwendete Social Plugins

1. Juni 2015

Nach einer eigenen Pressemitteilung vom 21.05.2015 hat die Verbraucherzentrale NRW insgesamt 6 Unternehmen wegen der Verwendung von Social Plugins – wie beispielsweise der „Gefällt mir“-Button von facebook – in unzulässiger Weise abgemahnt. Zu den Unternehmen gehören Nivea (Beiersdorf), Kik, Eventim, Peek & Cloppenburg (FashionID), Payback und HRS. Mit der Abmahnung werden die Unternehmen aufgefordert die unzulässige Verwendung Social Plugins zu unterlassen.
Während HRS und Eventim bereits Unterlassungserklärungen abgaben, sind gegen Peek & Cloppenburg (FashionID) und Payback inzwischen Klagen anhängig.

Hintergrund sind die bei Unternehmen beliebten Social Plugins. Mit Social Plugins können Nutzer auf Webseiten von Unternehmen deren Produkte in sozialen Netzwerken anzeigen. Dadurch werden die Produkte einem viel größerem Kreis an potentiellen Kunden bekannt gemacht. Für Unternehmen bedeutet das effektive und günstige Werbung.

Social Plugins werden mittels sogenannten iFrames in Webseiten eingebettet. Diese erheben, ähnlich wie Cookies, Daten über das Surfverhalten der Nutzer, ohne dass Nutzers etwas davon bemerken. Sofern auf einer Webseite der „Gefällt mir“-Button von facebook implementiert und gleichzeitig der Nutzer dieser Website bei facebook angemeldet ist, kann facebook sogar nicht nur dem Surfverhalten eine IP-Adresse, sondern einer konkreten Person zuordnen.
Bereits 2011 haben die Datenschutzbeauftragten des Bundes und der Länder Social Plugins mit der dargestellten Funktionsweise für unzulässig erklärt. Denn facebook, Google+ und Twitter erheben mit Social Plugins personenbezogene Daten, ohne dass die Betroffen Kenntnis darüber erlangen oder gar ihre Einwilligung hierein erklären. Dieser Zustand ist mit der geltenden Rechtslage nicht zu vereinbaren. Die Erhebung personenbezogener Daten setzt nach dem im Datenschutzrecht geltendem Prinzip des Verbots mit Erlaubisvorbehalt entweder eine Rechtsgrundlage oder eine Einwilligungserklärung des Betroffenen voraus. Mangels vorhandener Rechtsgrundlage kann es einzig auf eine Einwilligungserklärung der Betroffenen ankommen.
Von einer wirksamen Einwilligungserklärung der Nutzer kann jedenfalls nicht schon deswegen ausgegangen werden, dass eine Webseite besucht wird. Auch ein entsprechender Hinweis auf die Verwendung und die Funktionsweise von Social Plugins in der Datenschutzerklärung genügt nicht, um die Persönlichkeitsrechte der Betroffenen gegenüber den Betreibern von sozialen Netzwerken ausreichend zu wahren.

Eine Möglichkeit die widerstreitenden Interessen von Datenschutz und Marketing bei der Verwendung von Social Plugins rechtskonform zu gestalten, bietet die sogenannte „2-Klick-Lösung“. Bei Verwendung dieser Methode sind in Webseiten eingebettete Social Plugins zu Anfang grundsätzlich inaktiv. Dass heißt, es werden nicht automatisch personenbezogene Daten erhoben. Möchte ein Webseitenbesucher einem Produkt in einem sozialen Netzwerk folgen oder liken, muss er das Social Plugin zunächst aktivieren (1.Klick). Ist dies geschehen, arbeitet das Social Plugin wie beschrieben. Der Nutzer kann anschließend durch Betätigung – beispielsweise des „Gefällt mir“-Buttons von facebook – das Produkt in dem sozialen Netzwerk liken (2. Klick). Auf diese Weise wird dem Recht auf informationelle Selbstbestimmung Rechnung getragen. Für Unternehmen besteht außerdem insoweit Rechtssicherheit, als dass sie die Implementierung von Social Plugins auf ihren Webseiten rechtskonform gestalten können.

Harvard-Student experimentiert – und stalkt seine Freunde via Facebook Messenger

29. Mai 2015

„When I came to college Facebook Messenger became an integral part of my digital life. I quickly found that it was the easiest way to keep in touch with old high school friends, contact people I had just met, organize impromptu poker games with people I hardly knew, and everything in between“. Diese Aussage eines Havard-Studenten spiegelt wohl die allgemeine Verwendungsweise der App Facebook Messenger – vor allem unter jüngeren Anwendern – wider. Was der Informatikstudent dann aber auch herausgefunden hat, schildert er in seinem Blog auf der Plattform Medium.com.

Wie auch die FAZ-Online berichtet, gelang es ihm im Rahmen eines Experiments, umfangreiche Profile seiner Kommilitonen allein durch die Auswertung der Standortangeben der Chat-Teilnehmer zu erstellen. Diese regelmäßig voreingestellte Funktion teilt anderen Gesprächspartnern permanent den jeweiligen Aufenthaltsort mit. Anhand dieser Daten gelang es dem angehenden Informatiker u.a. herauszufinden, in welchem Zimmer auf dem Campus der Universität diese wohnten und welche Kurse sie besuchten. Dazu konnten weitreichende Bewegungsprofile kartenartig erstellt werden.

Ob man diese Funktion aktiviert lassen sollte, kann man da schon mal überdenken. Eine Anleitung zur Deaktivierung findet sich hier.

Der Student hat übrigens gerade eine Praktikumszusage bekommen. Von Facebook.

Peter Schaar als UN-Sonderberichterstatter für Datenschutz

27. Mai 2015

Ende März dieses Jahres hat der Menschenrechtsrat der Vereinten Nationen eine Resolution angenommen, die die Ernennung eines in seiner Amtsausführung unabhängigen Sonderberichterstatters für das Recht auf Privatheit vorsieht. Dieser soll einen jährlichen Bericht verfassen und darin unter anderem über Verstöße gegen das Recht auf Privatheit berichten, das in der Allgemeinen Erklärung der Menschenrechte und im Internationalen Pakts über Bürgerliche und Politische Rechte der Vereinten Nationen (UN-Zivilpakt) verbrieft ist. Außerdem soll der Sonderberichterstatter die internationale Debatte zu Fragen des Rechts auf Privatsphäre begleiten.

Medienberichten zufolge befindet sich unter den Bewerbern für den Posten des Sonderberichterstatters auch der vormalige Bundesbeauftragte für den Datenschutz Peter Schaar. Im Juni sollen die Wahlen für diesen Posten stattfinden.

Android-Handys: Gelöschte Daten wieder herstellbar

25. Mai 2015

Wie eine Studie der Camebridge University jetzt ergab, können sich Nutzer älterer Android-Handys nicht auf die sog. Factory Reset Funktion verlassen und davon ausgehen, dass sich ihr Gerät nach Durchführen dieser Funktion wieder im ursprünglichen Werkszustand befindet. Den Forschern zufolge wird der Löschvorgang nur unvollständig durchgeführt, persönliche Login-Angaben und andere personenbezogene Daten, inklusive Textnachrichten und Fotos sowie Kontaktdaten für Facebook und WhatsApp, werden nicht vollständig entfernt.

Darüber hinaus konnten auch Tokens von Google-Diensten wieder hergestellt werden, es konnte also eine Art Hauptschlüssel extrahiert werden und so etwa Zugriff auf Gmail und den Google-Kalender der ehemaligen Nutzer genommen werden.

Den Schätzungen der Wissenschaftler zufolge können rund 500 Million Geräte der Versionen Android 4.3 und älter betroffen sein. Eine vollständige Datenverschlüsselung kann helfen, das Problem jedenfalls abzumildern.

Luxemburgische Regierung erstattet Anzeige in BND-Spähaffäre

21. Mai 2015

Die Praktiken der BND-NSA-Späh-Affäre hat nun die Regierung Luxemburgs dazu bewogen, Anzeige gegen Unbekannt zu stellen. Zuvor hatte der Abgeordenete des österreichischen Parlaments Peter Pilz auf seiner Facebookseite ein Schreiben der deutschen Telekom veröffentlicht, in der vier Transitleitungen zu Überwachungszwecken offen gelegt worden waren. Da in diesen Luxemburg als Zielstaat offenbart wurde, sah sich die Regierung des Nachbaarstaates dazu veranlasst juristisch gegen die unbekannten Verantwortlichen vorzugehen. „Deutsche Sicherheitskreise“ wiesen die Vorwürfe zurück, mit der Erklärung, dass Anfangs- und Endpunkte einer angezapften Strecke nichts über Anfang und Ende der durchgeleiteten Telekommunikationsverbindungen verrieten.

Klinikträger muss Privatanschrift eines Arztes nicht herausgeben

In einem Urteil von Anfang diesen Jahres hat der BGH geurteilt (vgl. BGH vom 20.01.2015 VI ZR 137/14), dass ein Klinikträger die Privatanschrift eines bei ihm beschäftigten Arztes nicht herausgeben muss.

Grundlage dieser Entscheidung war, dass der Kläger, ein Patient im Krankenhaus des beklagten Klinikträgers, beabsichtigte, den Klinikträger sowie einen bei diesem angestellten Arzt auf Schadensersatz und Schmerzensgeld wegen eines Behandlungsfehlers zu verklagen.

Um die Klage dem Arzt zuzustellen, forderte der Kläger den Klinikträger auf, ihm die Privatanschrift des Arztes zu nennen. Dies verweigerte der Beklagte. Daraufhin verklagte der Kläger den Klinikträger auf Auskunft.

Nachdem die Klage den Instanzenzug durchlief, urteilte der BGH schließlich, dass ein solcher Auskunftsanspruch nicht besteht.

Die Anspruchsgrundlage für den Auskunftsanspruch des Patienten gegen den Klinikträger ergibt sich aus den Grundsätzen von Treu und Glauben, § 242 BGB. Danach ist derjenige zur Auskunft verpflichtet, der in zumutbarer Weise Auskünfte beschaffen kann und der Anspruchsteller diese Auskünfte zur Vorbereitung oder Durchführung seines Rechts nicht selber beschaffen kann.

Die Privatanschrift des Arztes ist hier jedoch nicht zur Vorbereitung oder Durchführung der Rechte des klagenden Patienten notwendig, so der BGH in seiner Urteilsbegründung.

Zunächst ist für eine wirksame Zustellung einer Klage nicht erforderlich, dass die Klageschrift dem Beklagten an dessen Privatanschrift zugestellt wird. Daneben stehen auch datenschutzrechtliche Grundsätze der Weitergabe der Privatadresse entgegen.

Gemäß § 32 BDSG durfte der Klinikträger als Arbeitgeber des Arztes dessen Privatanschrift – ein personenbezogenes Datum – zur Durchführung des Beschäftigungsverhältnisses erheben und nutzen. In diesem Umfang ist eine Datenverarbeitung der Privatanschrift zulässig. Die Weitergabe der Privatanschrift ist von dem Zweck der Durchführung des Beschäftigungsverhältnisses jedoch nicht mehr gedeckt. Die Auskunft an den klagenden Patienten würde mithin gegen den im Datenschutzrecht geltenden Zweckbindungsgrundsatz verstoßen. Dieser besagt, dass Daten nur für den vorweg festgelegten Zweck verarbeitet werden dürfen.

Da die Weitergabe zum Zwecke der Rechtsverfolgung nicht mehr in den Umfang der Durchführung des Beschäftigungsverhältnisses fällt, kann der Klinikträger auch nicht zur Weitergabe verpflichtet werden. Auch die Voraussetzungen einer nachträglichen Zweckänderung der Datenverarbeitung waren im vorliegenden Fall nicht gegeben.

In diesem Fall überwog das Interesse des Arztes an seiner Privatsphäre dem Auskunftsersuchen des Patienten. Dieser kann seine Klage dem Arzt allerdings auch wirksam an dessen Arbeitsplatz zustellen und nicht zwingend an dessen Privatanschrift.

1 13 14 15 16 17 122