Delivery Hero – Keine Heldentaten beim Datenschutz

31. August 2017

In immer mehr Städten etablieren sich Lieferdienste, die einem aus dem bevorzugten Restaurant schnell und bequem das Lieblingsessen nach Hause auf die Couch liefern. Für die Inanspruchnahme eines solchen Essenslieferdienstes muss sich der Kunde lediglich ein Benutzerkonto bei dem Anbieter seiner Wahl zulegen und sich hierzu mit seinen persönlichen Daten registrieren. Selbstverständlich sichern die Lieferdienste den Schutz der personenbezogenen Daten und die Achtung des Datenschutzrechts zu.

Bei der Berliner Beauftragten für den Datenschutz häufen sich nun aber Beschwerden gegen solche Lieferdienste. Alleine gegen Delivery Hero (u.a. Foodora, Lieferheld, Pizza.de) liegen bei der Berliner Beauftragten für den Datenschutz 14 Beschwerden vor. Bei diesen Beschwerden geht es darum, dass es den Kunden vielfach nur unter erschwerten Bedingungen ermöglicht wurde das angelegte Kundenkonto wieder zu löschen. So sollten die Kunden als Bedingung für die Löschung etwa einen Identitätsnachweis in Form eines kopierten Personalausweises darbringen. Teilweise wurde sogar gerügt, dass das Löschen des Kundenkontos überhaupt nicht ermöglicht wurde. Dabei ist ein Anspruch auf Löschung der personenbezogenen Daten sogar in § 35 Bundesdatenschutzgesetz normiert. Mittlerweile hat Delivery Hero zumindest bei Lieferheld und Pizza.de den Zwang zur Vorlage des Personalausweises wieder aufgehoben. Auch die komplette Löschung personenbezogener Daten soll nun wieder komplett möglich sein.

Ihre Erfahrungen mit den Essenslieferdiensten brachte die Berliner Beauftragten für den Datenschutz nun auch in den Düsseldorfer Kreis ein und schlug dort vor, bundesweit koordinierte Prüfaktionen bei den Essenslieferdiensten durchzuführen. Damit solle die Sensibilität der Essenslieferdienste für das Thema Datenschutz erhöht werden.

Neues zum Thema Autonomes Fahren

25. August 2017

Am 23.08.2018 hat Bundesminister Alexander Dobrindt im Kabinett den Bericht der Ethik-Kommission zum automatisierten Fahren vorgestellt. Der Bericht umfasst im Kern Leitlinien für die Programmierung automatisierter Fahrsysteme. Beschlossen wurde daraufhin, dass ein Maßnahmenplan zur Umsetzung der Ergebnisse des Berichts erstellt werden soll.

Dobrindt:

„Die Interaktion von Mensch und Maschine wirft in der Zeit der Digitalisierung und der selbstlernenden Systeme neue ethische Fragen auf. Das automatisierte und vernetzte Fahren ist die aktuelle Innovation, bei der diese Interaktion in voller Breite Anwendung findet. Die Ethik-Kommission im BMVI hat dafür absolute Pionierarbeit geleistet und die weltweit ersten Leitlinien für automatisiertes Fahren entwickelt. Diese Leitlinien setzen wir jetzt um – und bleiben damit international Vorreiter für die Mobilität 4.0.“

Kernpunkte sind:

  • Das automatisierte und vernetzte Fahren ist ethisch geboten, wenn die Systeme weniger Unfälle verursachen als menschliche Fahrer (positive Risikobilanz).‎
  • Sachschaden geht vor Personenschaden: In Gefahrensituationen hat der Schutz menschlichen Lebens immer höchste Priorität.
  • Bei unausweichlichen Unfallsituationen ist jede Qualifizierung von Menschen nach persönlichen Merkmalen (Alter, Geschlecht, körperliche oder geistige Konstitution) unzulässig.
  • In jeder Fahrsituation muss klar geregelt und erkennbar sein, wer für die Fahraufgabe zuständig ist: Der Mensch oder der Computer.
  • Wer fährt, muss dokumentiert und gespeichert werden (u.a. zur Klärung möglicher Haftungsfragen).
  • Der Fahrer muss grundsätzlich selbst über Weitergabe und Verwendung seiner Fahrzeugdaten entscheiden können (Datensouveränität).

Aus dem Bericht ist des Weiteren zu entnehmen, dass viele technische und personenbezogene Daten verarbeitet werden müssen, um ein autonomes Fahren überhaupt erst zu ermöglichen. Dabei treten nicht nur Mensch und Maschine in Kontakt, sondern eben auch technische Einrichtungen untereinander. Systeme innerhalb des Fahrzeugs werden mit neuen Systemen außerhalb des Fahrzeugs miteinander kommunizieren müssen. Um eine völlige Totalüberwachung aller Verkehrsteilnehmer zu vermeiden und um einen gewissen autonomen Handlungsspielraum im Straßenverkehr beizubehalten, ist es wichtig, dass Systeme datenschutzfreundlich gestaltet werden. Der Ausgleich zwischen Datensammlung und informationeller Selbstbestimmung wird in den nächsten Jahren eine noch wichtigere Rolle spielen als es bereits jetzt schon der Fall ist.

In diesem Zusammenhang stellt der Bericht beispielsweise klar: „Entsprechend dem datenschutzrechtlichen Grundsatz Privacy by Default sollten die Fahrzeuge zudem bereits bei Auslieferung datenschutzfreundliche Voreinstellungen besitzen, welche Erhebungen, Verarbeitungen und Nutzungen von nicht-fahrzeugsteuerungserheblichen Daten, sofern diese nicht absolut sicherheitsrelevant sind, unterbinden, bevor diese nicht durch den Fahrer aktiv freigegeben werden (…)“

 

Bundesdatenschutzbeauftragte kritisiert Pilotprojekt der automatischen Gesichtserkennung

24. August 2017

Die Bundesdatenschutzbeauftragte, Andrea Voßhoff, betonte heute in einer Stellungnahme, dass eine automatische biometrische Gesichtserkennung, wie sie seit Anfang August in einem Pilotprojekt am Berliner Bahnhof Südkreuz stattfindet, nur bei Vorliegen einer informierten, umfassenden Einwilligungserklärung der Betroffenen datenschutzrechtlich legitimiert sei.

Die Einwilligungserklärung müsse insbesondere auch die Tatsache umfassen, dass bei dem Projekt ein aktiv sendender Bluetooth-Transponder (iBeacon) verwendet wird, der jeweils als Token an die Teilnehmer ausgehändigt worden war.

Vorausgegangen war die Meldung der Datenschutzorganisation Digitalcourage, die aufgedeckt hatte, dass es sich bei dem ausgeteilten Token eben nicht um eine Art passiven RFID-Chip handelt, sondern um einen sogenannten iBeacon. Mit diesem lassen sich Daten wie Temperatur, Neigung und Beschleunigung messen, speichern und weitergeben und theoretisch aussagekräftige Profile auch außerhalb des Bahnhofs erstellen.

Bis zum Vorliegen derartiger neu eingeholter Einwilligungserklärungen finde der Testlauf laut Voßhoff derzeit ohne Rechtsgrundlage statt und sei daher auszusetzen.

Landesdatenschutzbehörden interessieren sich für AGB-Änderung der Sparkasse

Die Sparkassen des Landes wollen ihrem Bezahldienst Paydirekt mehr Nutzer verschaffen und damit zur Konkurrenz für den Branchenriesen Paypal werden. Gelingen soll dies durch eine automatische Anmeldung der Sparkassen-Kunden zu dem Dienst.

Im Wege einer nachträglichen Änderung der AGB des Girokontovertrags wird automatisch jeder Sparkassen-Girokonto-Kunde ab dem 06.11.2017 auch Paydirekt-Kunde, sofern nicht ein Widerspruch erfolgt. Die Maßnahme wird wie folgt formuliert: ,,Wir bieten Ihnen hiermit als Änderung ihres Girokontovertrags die Nutzung von Paydirekt ab 06.11.2017 an.“ Bezüglich des Widerspruchs folgt „Ihre Zustimmung zum Änderungsangebot gilt gemäß §675g Abs. 2 Satz 1 BGB iVm Nr. 2 Abs. 2 unserer AGB als erteilt, wenn sie nicht vor dem vorgeschlagenen Zeitpunkt des Wirksamwerdens der Änderung ihre Ablehnung angezeigt habe.“ Das automatische Nutzerkonto muss dann nur noch mit einem Klick aktiviert werden. Der Sparkassen-Kunde muss demnach aktiv tätig werden, wenn er der Änderung nicht zustimmt. Es könnte auch wie folgt formuliert werden: Wer der Änderung nicht schnell genug widerspricht, wird Paydirekt-Kunde ob er das will oder nicht.

Derzeit werden rund 2,7 Millionen Kunden benachrichtigt. Zu beachten ist, dass der Stichtag von Sparkassen-Institut zu Sparkassen-Institut unterschiedlich sein kann, weil die Sparkassen über die Umsetzung selbst entscheiden.

Diese Maßnahme ruft Datenschutzbehörden auf den Plan. Sowohl der Landesdatenschutzbeauftragte in Hessen, als auch der in Thüringen prüfen derzeit, ob die Registrierung mit dem Bundesdatenschutzgesetz zu vereinbaren ist. Grundlegendes Problem ist, dass die Zwangsregistrierung dazu führt, dass die den Sparkassen vorliegenden Stammdaten ihrer Kunden an Paydirekt übertragen werden. Ob dafür eine rechtliche Grundlage gegeben ist, wird bezweifelt. Den Anforderungen des § 4a Abs. 1 Bundesdatenschutzgesetz dürfte das Vorgehen nicht genügen. Paydirekt rühmte sich bisher mit besserem Datenschutz als bei der Konkurrenz, damit ist die momentane Besorgnis bezüglich des Datenschutzes Wasser auf den Mühlen der Konkurrenz.

Der Sparkassen-Verband rechtfertigt die Änderung mit einem Passus in den AGB, der ihnen ermöglicht, Änderungen am Vertrag automatisch wirksam werden zu lassen, sofern der Kunde nicht widerspricht. Die automatische Einrichtung des Paydirekt-Kontos sehen die Sparkassen als Änderung des Girokontovertrages.

Der Erfolg des Vorgehens ist jedenfalls bei Weitem nicht garantiert. Die Kunden müssen das automatische Konto nicht nur aktivieren sondern es auch darüber hinaus auch nutzen wollen. Wie hoch die Motivation zur Nutzung nach einer Zwangsregistrierung ist, bleibt abzuwarten.

Kategorien: Allgemein
Schlagwörter: ,

Datenverarbeitung für Werbung nach der Datenschutzgrundverordnung

Die Datenschutz-Grundverordnung (DSGVO) bringt an vielen Stellen beachtenswerte Änderungen mit sich. Dazu gehört auch die Frage, was im Bereich des Marketings und im Umgang mit personenbezogenen Daten zum Zwecke der Werbung zu beachten ist. Zu dieser Thematik ist auf den Seiten der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zuletzt ein Kurzpapier der „Datenschutzkonferenz“ mit diesbezüglichen Einschätzungen veröffentlich worden. Dreh- und Angelpunkt der neuen Rechtslage in Sachen Werbung ist die Tatsache, dass mit der DSGVO jegliche Detailregelungen dieses Bereichs entfallen. In Form des
§ 28 Abs. 3 BDSG hat es bislang noch spezifische Vorgaben für den Umgang mit Daten zum Zweck der werblichen Ansprache gegeben.

Die sicherste Grundlage einer Datenverarbeitung für Werbemaßnahmen ist und bleibt die Einwilligung der betroffenen Person. Wo eine solche aber nicht eingeholt werden kann oder dies aus praktischen Gründen nicht sinnvoll ist, wird künftig auf einen allgemeinen Erlaubnistatbestand der DSGVO zurückgegriffen werden müssen. Daher wird die Zulässigkeit der Werbung an einer Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO zu messen sein. Demnach gilt es für die Frage der Zulässigkeit der Maßnahme die Interessen des Werbetreibenden und der betroffenen Personen im Einzelfall zu gewichten.
Der Erwägungsgrund 47 zur DSGVO trägt für diese Abwägung auf, die „vernünftigen Erwartungen der betroffenen Person zu berücksichtigen, die auf ihrer Beziehung zu dem Verantwortlichen (Werbetreibenden) beruhen“.

Aus Sicht werbetreibender Unternehmen müssen im Zuge entsprechender Vorhaben die Informationspflichten aus den Artikeln 13 u. 14 DSGVO berücksichtigt werden. Der Verantwortliche muss transparent und umfassend über die vorgesehene Werbemaßnahme informieren.

Durch die neue Rechenschaftspflicht der DSGVO (Art. 5 Abs. 2) kommen die Werbetreibenden in die Situation, die Rechtmäßigkeit von Datenverarbeitungen künftig beweisen können zu müssen. Daher wird es sich nicht umgehen lassen, getroffene Interessenabwägungen gründlich zu dokumentieren und auf Anfrage der Aufsichtsbehörde vorlegen zu können. Diese Aufgabe wird regelmäßig durch die Datenschutzbeauftragten der Unternehmen ausgefüllt werden.

Vom Freistaat zum Überwachungsstaat?-Tausende Kameras für Bayern

23. August 2017

Zu den aktuell mehr als 17.000 Überwachungskameras in Bayern sollen weitere tausende Kameras in Bayern hinzukommen, primär um Straftaten zu verhindern und den Bürgern ein verstärktes Sicherheitsgefühl zu geben. In Zeiten des Terrors eröffnet dies den polizeilichen Ermittlern einerseits bessere Handlungsmöglichkeiten, andererseits werden dadurch jedoch die Eingriffe in die Persönlichkeitsrechte der Bürger intensiviert. Innenminister Joachim Herrmann wehrt sich gegen den Vorwurf, einen Überwachungsstaat zu errichten, denn eine flächendeckende Überwachung, wie in England z.B. soll es in Bayern keinesfalls geben. Vielmehr möchte man sich bei dem Vorhaben der Videoüberwachung auf die folgenden fünf Schwerpunkte konzentrieren: Es sollen mehr festinstallierte Videoüberwachungsanlagen geben, die mobile Videoüberwachung soll erweitert, die kommunale Videoüberwachung soll erhöht und die Videoüberwachung in öffentlichen Gebäuden gesteigert werden. Zuletzt ist auch der Einsatz intelligenter Videoüberwachungsmöglichkeiten, wie das Auslesen biometrischer Daten oder des Verhaltens, geplant.
Der Einsatz intelligenter Videoüberwachungen sei ein schwerwiegender Eingriff in die Grundrechte. Damit würde eine Person, die noch nichts Verbotenes getan habe, nur wegen ihres Verhaltens polizeilich bewertet. Wenn dies Schule mache, seien die Menschen ihre Privatsphäre endgültig los, diese verfassungsrechtlichen Bedenken äußerte Thomas Petri, der Landesbeauftragte für Datenschutz. Äußerst erstaunlich und aus verfassungsrechtlicher Sicht ebenso bedenklich ist in diesem Zusammenhang jedoch die Haltung der betroffenen Bürger selbst zu dem Vorhaben. In einer Umfrage eines Meinungsforschungsinstitutes im Auftrag u.a. des Verbandes für Sicherheitstechnik gaben 74 Prozent der Befragten an, Befürworter der Videoüberwachung im öffentlichen Raum zu sein. Nur neun Prozent der Befragten sprachen sich dagegen gegen den Einsatz der Überwachungskameras aus.

China: Einführung eines „Sozialkreditsystems“

Der chinesische Staat möchte bis 2020 ein „Sozialkreditsystem“ einsetzen. Es soll auf einer Erhebung der personenbezogenen Daten chinesischer Bürger beruhen, und als Rating-System gestaltet werden, das ihre „Ehrenhaftigkeit“ bewertet. Mehrere Pilotprojekte sollen derzeit schon existieren. Außerdem verwenden bereits manche große chinesische Unternehmen wie Alibaba eigene ähnliche Systeme zur Berechnung der Kreditwürdigkeit ihrer Kunden.

Das staatliche Projekt wird u.a. von dem chinesischen Softwareunternehmen Kingdee programmiert. Kingdee entwickelt die Plattformen, die von den Lokalregierungen zu Zwecken der Durchführung des Rating-Systems genutzt werden können. Die bereits beteiligten Behörden speichern über die Plattformen die personenbezogenen Daten, die sie online oder in staatlichen Registern über die Bürger sammeln konnten. Die eingesetzte Software bewertet sie anschließend mittels eines Algorithmus. Die chinesischen Machthaber planen dabei eine Bewertung der Bürger anhand von vier Hauptkriterien: Ihr Verhalten gegenüber der Verwaltung, ihre Einhaltung der Gesetze, ihre finanzielle Aktivität und ihr soziales Verhalten.

Diese Bewertung ermöglicht anschließend eine Belohnung oder Bestrafung der Betroffenen. Die Lokalregierungen, die das Sozialkreditsystem bereits eingeführt haben, verwenden eine Bewertungsskala mit den Noten A, B, C und D. Die unter A eingestuften Bürger werden in vieler Hinsichten bevorzugt behandelt: Sie erhalten leichter Visen, bekommen mehr Sozialleistungen, und ihre Kinder werden ggf. für Schulzulassungen privilegiert. Dagegen werden die „C- und D-Bürger“ bestraft: Sie dürfen teilweise keine Flug- oder Zugtickets mehr buchen, ihre Visa-Anträge werden abgelehnt, ihre Sozialleistungen werden gekürzt oder sogar gestrichen.

Dies besorgt vor allem Regierungskritiker, die eine noch weitere Einschränkung ihrer Meinungsfreiheit im Netz durch die Androhung dieser Strafen befürchten.

Hamburgischer Beauftragter für den Datenschutz setzt Recht auf Vergessenwerden durch

17. August 2017

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) konnte dieser Tage durchsetzen, dass die Google Inc. mehrere Internetangebote, auf denen personenbezogene Daten aus Insolvenzverfahren unzulässig veröffentlicht werden, generell nicht mehr als Suchergebnisse verlinkt.

Vorausgegangen waren zahlreiche Beschwerden von Bürgerinnen und Bürgern über die Auffindbarkeit ihrer Insolvenzdaten über die Google-Suchmaschine. Nach Einschätzung des HmbBfDI stellt die Auffindbarkeit von Informationen über die Insolvenzverfahren der Betroffenen bei bloßer Namenssuche einen erheblichen Eingriff in deren Recht auf informationelle Selbstbestimmung dar. Diese Informationspreisgabe könne erhebliche Auswirkungen auf die Teilnahme der Betroffenen am geschäftlichen Verkehr haben, zudem mangele es bei den Nutzern der Suchmaschine häufig am diesbezüglichen Informationsinteresse, wenn sie bei bloßer Namenssuche über die Suchmaschine Informationen aus Insolvenzverfahren erhalten.

Dazu äußerte sich der HmbBfDI, Prof. Dr. Johannes Caspar, erfreut: „In Fällen wie diesem (…) hat das Recht auf Vergessenwerden gegenüber Suchmaschinen eine besondere Bedeutung für die Betroffenen.“

Cyber-Attacken bei der Bundestagswahl

Aus dem letzten Verfassungsschutzbericht des Bundesamts für Verfassungsschutz geht hervor, dass das Risiko, Opfer von Cyber-Attacken ausländischer Dienste zu werden, stetig steigt. Dabei registriert der Verfassungsschutz unter anderem vermehrt auch Attacken auf die Politik und die Verwaltung. Bei früheren Cyber-Attacken auf verschiedene Parteien und den Bundestag ist es dabei bereits zu größeren Datenabflüssen gekommen.

Im Wahljahr gerät nun auch die im September 2017 anstehende Bundestagswahl in den Fokus. Die Möglichkeit gezielter Cyber-Attacken auf das Verwaltungsnetz sieht auch der Bundeswahlleiter Dieter Sarreither. Man bereite sich auf verschieden Szenarien vor und spiele diese durch. Um einen bestmöglichen Schutz zu gewährleisten sei die Infrastruktur des Rechenzentrums verdreifacht worden. Darüber hinaus sei man nach Sarreither auch in der Lage, die Standorte und die Rechner zu wechseln. Im Ernstfall könne man außerdem auch auf das Cyber-Abwehrzentrum der Bundesregierung zurückgreifen. Des Weiteren würde das Datennetz der Wahlleitung von Experten des Bundesamtes für Sicherheit in der Informationstechnik überprüft und auf mögliche Schwachstellen hin untersucht. Rund eine Woche vor der Bundestagswahl sollen schließlich noch einmal alle Systeme in einer ausführlichen Generalprobe getestet werden.

Aufgrund all dieser Sicherheitsmaßnahmen sieht sich Sarreither für die Bundestagswahl gut gewappnet: „Eine Attacke könnte die Veröffentlichung des vorläufigen Wahlergebnisses schlimmstenfalls verzögern“.

Facebook: Die eigenen Nutzerdaten sind nicht genug

16. August 2017

Getarnt als Sicherheits-App, analysiert Onavo Nutzerdaten für das Mutterunternehmen Facebook.

2013 hat Facebook das Unternehmen Onavo Inc. aufgekauft und sich dadurch einen Wettbewerbsvorteil eigener Art verschafft. Die Onavo Protect – App verspricht Sicherheit in WLAN – Hotspots oder anderen öffentlich zugänglichen Netzwerken wie zum Beispiel in Cafés oder in ICE-Zügen. Hacker-Angriffe oder sog. Sniffer-Programme können die verwendeten Apps, besuchte Internetseiten, Nachrichten oder teilweise sogar eingegebene Zugangsdaten des eingeloggten Nutzers ausspionieren.

VPN-Tunnel (virtual private networks) sind eine Möglichkeit sich davor durch eine verschlüsselte Verbindung zum Server zu schützen. Der VPN-Betreiber ist hierbei in der Lage alles einzusehen, was durch seinen VPN-Kanal durchgeht. In diesem Fall ist es die Onavo Inc., die die Daten der Nutzer sehr genau analysiert und die Ergebnisse an Facebook weiterleitet.

So kommt Facebook an Unmengen von Daten – auch von Nicht-Facebookmitgliedern – über das Verhalten von Nutzern von anderen Seiten oder Apps wie z.B Snapchat. Dadurch gewinnt Facebook frühzeitig Einblicke in neue Angebote oder Funktionen von anderen Anbietern und wie diese bei den Nutzern ankommen.

In den Nutzungsbedingungen der Onavo-App wird dies mit keinem Wort erwähnt, lediglich in der Datenschutzerklärung findet sich ein Hinweis auf die Datenübermittlung.

Kategorien: Allgemein
Schlagwörter: , ,
1 13 14 15 16 17 161