Google bietet persönliche Standortfreigabe in Echtzeit an

28. April 2017

Google bietet seinen Nutzern eine neue Funktion des Live-Trackings an. Danach kann der Nutzer über Google Maps seinen aktuellen Standort in Echtzeit mit von ihm vorher ausgewählten Kontakten auf dem Smartphone oder dem PC teilen.

Aus datenschutzrechtlicher Perspektive ist das Abrufen der Standortdaten in Echtzeit, welche personenbezogene Daten nach dem Bundesdatenschutzgesetz (BDSG) darstellen, kritisch zu betrachten. Um eine Vereinbarkeit mit den Bestimmungen des BDSG zu erzielen, müsste der betroffene Nutzer vor Datenerhebung grundsätzlich darüber informiert werden, welche konkreten personenbezogenen Daten erhoben, gespeichert und für welche Zwecke genau verarbeitet werden. Auch muss den Nutzern die jederzeitige und einfach zu handhabende Löschung seiner  erhobenen personenbezogenen Daten ermöglicht werden.

Der Nutzer des Live-Trackings kann genau einstellen, welche Personen aus seiner Kontaktliste die Standortangaben angezeigt bekommen und den konkreten Zeitraum für die Freigabe festlegen sowie die Übermittlung jederzeit wieder deaktivieren. Die damit angebotene, zielgerichtete Freischaltung des Nutzers gegenüber einer bestimmten Person kann somit als Einwilligung in die Übermittlung der personenbezogenen Standortdaten angesehen werden. Zudem zeigt ein Symbol auf der eigenen Google Maps Karte dem Nutzer an, dass er seinen Standort gerade aktiv mit seinen Kontakten teilt.

Trotz dieser teilweisen datenschutzrechtlichen Konformität, ist davon asuzugehen, dass Google die zusätzlichen Datenangaben der Nutzer im Hinblick auf Sucheingaben nach Restaurants, Geschäften u.s.w. auswerten wird, um sein eigenes Angebot zu erweitern. Denn anhand von Standortdaten und Nutzerverhalten lassen sich immer mehr Informationen über den Nutzer gewinnen. Ob diese Anhäufung personenbezogner Daten von der Einwilligung des Nutzers im Rahmen von Googles Nutzungsbedingungen umfasst ist, bleibt daher stark zu bezweifeln.

Anbieter von Fitness-Apps und Wearables durch Verbraucherschutzzentrale NRW abgemahnt

27. April 2017

Eine Uhr, die nicht nur die Zeit anzeigen, sondern auch eine App installieren kann, welche den Nutzer bei seinem täglichen Training unterstützt, Kalorien zählt, ja sogar den eigenen Schlaf kontrolliert, erscheint praktisch. Dabei ist das liebgewonnene Gerät stets dabei und sammelt fleißig Daten. Was mit diesen Daten darüber hinaus passiert, wissen jedoch die wenigsten.

Die Verbraucherschutzzentrale NRW hat Wearables und Fitness-Apps unter die Lupe genommen. Dabei wurde festgestellt, dass viele dieser „sportlichen“ Helfer sensible Daten an die Anbieter übermitteln. Darunter sollen unter anderem auch Gesundheitsdaten der Nutzer sein. Die Anbieter der überprüften Geräte und Dienste sollen ferner in ihrer Datenschutzerklärung nicht ausreichend darüber informieren, wie die erhobenen Daten verwendet werden.

In einer technischen Prüfung wurde festgestellt, dass die Nutzer kaum Kontrolle über die eigenen Daten haben. So wurden unter anderem 20 von 24 untersuchten Apps, die zum Betrieb eine Internetverbindung brauchen, die Daten nicht lokal verarbeiten, sondern auf Servern hochladen, wo die Verarbeitung stattfindet. Auch wurden bei 19 Apps Drittanbieter eingebunden und Daten weitergereicht, darunter z.B. Werbedienste.

Folgende neun Anbieter hat die Verbraucherschutzzentrale wegen verschiedener Verstöße gegen Datenschutzbestimmungen abgemahnt: Apple, Garmin, Fitbit, Jawbone, Polar, Runtastic, Striiv, UnderArmour (MyFitnessPal), Withings.

Drei der neun Anbieter sollen die Datenschutzerklärung nur auf englischer Sprache bereitstellen. Nur zwei sollen darüber informieren, dass es sich bei Gesundheitsdaten um besonders sensible Daten handelt. Lediglich einer der Anbieter soll eine separate Einwilligung über die Verwendung von Gesundheitsdaten einholen.

Als kritisch sieht die Verbraucherschutzzentrale, dass sich sechs der Anbieter die Möglichkeit eingeräumt haben die Datenschutzerklärungen jederzeit zu ändern, ohne den Nutzer aktiv über die Änderung zu informieren. Auch sollen sich fünf der neun Anbieter offen halten, im Falle einer Übernahme oder Fusion, die gesammelten Nutzerdaten weiterzugeben.

 

Unroll.me verkauft Daten seiner Nutzer an Dritte

26. April 2017

Bei dem kostenlosen unroll.me handelt es sich um ein Programm, das das Email-Postfach seiner Nutzer aufräumt. Dazu werden beispielsweise Gmail-Konten nach Newslettern und Spam durchsucht, so dass diese im Anschluss abbestellt werden können.

Während ihrer Recherche-Arbeit über den Fahrdienstvermittler Uber ist die New York Times gleichzeitig auf die Praktiken von unroll.me aufmerksam geworden. Der Dienst nutzt den Zugriff auf die E-Mail-Konten seiner Nutzer neben dem Aufräumen nämlich auch dazu, Informationen über diese herauszufinden und sie anschließend anonymisiert weiter zu verkaufen.

Nutzer kritisieren den Verkauf ihrer Daten und argumentieren, dass auch ihre nicht-personenbezogenen Daten Rückschlüsse auf sie zuließen.

Der Gründer und Geschäftsführer von unroll.me, Jojo Hedaya, verweist in einer Stellungnahme auf seinem Blog ausdrücklich auf die Datenschutzbestimmungen seines Dienstes, in denen darauf hingewiesen wird, dass unroll.me nicht-personenbezogene Daten seiner Nutzer sammeln, nutzen, übertragen, verkaufen und offenlegen darf. Er versichert jedoch, dass unroll.me nicht auf die persönlichen Daten zugreift und diese dementsprechend auch nicht veröffentlicht oder verkauft werden.

Zum Abschluss verspricht er, dass die Praktiken für die Nutzer in Zukunft deutlicher zu erkennen sein sollen, als dies bisher in den Datenschutzbestimmungen der Fall ist.

Datenaustausch zwischen WhatsApp und Facebook gerichtlich überprüft

Nach dem Kauf von WhatsApp durch Facebook vor zwei Jahren bewahrheitete sich die Befürchtung, dass Facebook auf die Nutzerdaten von WhatsApp-Nutzern zugreifen will relativ schnell. Der Bundesverband der Verbraucherzentralen (VZBV) mahnte WhatsApp im vergangenen September ab, dadurch wurde die Weitergabe der Nutzerdaten zumindest vorläufig gestoppt.

Um zu erreichen, dass die Datenkrake Facebook auch zukünftig nicht auf Nutzerdaten zugreifen darf wurde zudem Klage eingereicht. Das Verwaltungsgericht Hamburg (VG) hat am Dienstag beschlossen, dass eine Nutzung von personenbezogenen Daten deutscher WhatsApp-Nutzer nur bei Vorliegen einer den deutschen Datenschutzvorschriften entsprechenden Einwilligung erfolgen darf.

Weiterhin problematisch und noch nicht hinreichend geklärt ist allerdings, ob deutsches Datenschutzrecht überhaupt zur Anwendung kommt und der Datenschutzbeauftragte gegen die in Irland firmierende Facebook Ltd. vorgehen kann. Sofern das deutsche Datenschutzrecht angewendet werden kann, dürfte der Beschluss des VG Hamburg Bestand haben, denn die von WhatsApp benutzten Einwilligungserklärungen genügen den Anforderungen des deutschen Datenschutzrechts nicht.

Somit bleibt abzuwarten, ob ein von Facebook eingereichter Widerspruch gegen den Beschluss des VG Hamburg Erfolg haben wird.

Zwei-Faktor-Authentifizierung durch Geräusche-Vergleich

25. April 2017

Die inzwischen sehr stark verbreiteten mehrstufigen Authentifizierungssysteme sollen dafür sorgen, dass eine Anmeldung bei Internet-Diensten und damit auch eine Übermittlung von personenbezogenen Daten im Internet sicher ablaufen kann. Jedoch erzeugen die etwas mühsamen Arten der Anmeldung beim Nutzer häufig Unmut, und so nutzt noch immer ein Großteil der User ein und dasselbe Passworte für eine Vielzahl von Konten.

Ein Start-Up-Unternehmen von Angehörigen der ETH Zürich, die Futurae Technologies AG, hat nun eine Methode entwickelt, wie der Login im Internet in Zukunft auf eine simple Art und Weise sicherer gestaltet werden kann: Sie ließen sich mit „#SoundProof“ ein Produkt patentieren, das ein schnelles und sicheres Authentifizierungs-Verfahren ermöglicht. Es benötigt lediglich zwei elektronische Geräte mit Mikrofon, auf denen die entwickelte App läuft, um sodann deren Hintergrundgeräusche miteinander zu vergleichen. Stellt es durch Aufnahme der Umgebungsgeräusche für die Dauer von drei Sekunden sicher, dass sich beide Geräte im gleichen Raum befinden, erfolgt die Authentifizierung. Der große Vorteil bei dieser Methode im Vergleich zu bekannten Zwei-Faktor-Authentifizierungen ist, dass der Nutzer das zweite Gerät nicht bedienen muss, es kann sogar etwa im Nebenraum verbleiben, vorausgesetzt, die Türen zwischen den Räumen sind geöffnet. Die Tonaufnahmen bleiben dabei lokal auf dem jeweiligen Gerät, übermittelt wird lediglich das Ergebnis der Auswertung.

Futurae Technologies führt bereits heute Pilotprojekte u. a. bei Schweizer Banken durch.

Reformentwurf des Bundesdatenschutzgesetzes steht in der Kritik

21. April 2017

Im Mai 2018 tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft und ist in allen EU-Ländern unmittelbar anwendbar. Die Länder müssen ihre Datenschutzgesetze an die DSGVO anpassen.

Wie wir berichteten hat sich das Bundeskabinett Anfang diesen Jahres auf einen Gesetzesentwurf für die Novellierung des Bundesdatenschutzgesetzes (BDSG) geeinigt.

Dieser Entwurf musste sich bereits Kritik auf nationaler Ebene aussetzen und wurde jetzt auch von der EU-Kommission im Rahmen einer Veranstaltung der Stiftung Datenschutz gerügt. Die Kabinettschefin von Justizkommissarin Věra Jourová, Renate Nikolay erklärte, nach Informationen von heise.de, dass Deutschland mit seiner Gesetzesinitiative zwar allen anderen Mitgliedsstaaten voraus ist, der Entwurf aber nicht zufriedenstellend ist.

Renate Nikolay kritisiert, dass die Bundesregierung von vermeintlichen Öffnungsklauseln Gebrauch macht die in der DSGVO gar nicht angelegt sind. Die EU-Kommission befürchtet, dass dadurch die angestrebte Harmonisierung unterlaufen wird und am Ende wieder jeder Mitgliedsstaat seine eigenen Regelungen hat.

Die große Koalition hat der Kritik folgend bereits einen Änderungsantrag vorgelegt, der vor allem bei den Betroffenenrechten nachbessern soll.

Es bleibt demnach abzuwarten, wie sich der Entwurf des neuen BDSG noch bis Mai 2018 entwickeln wird. Wenn das novellierte Gesetz allerdings nicht den Anforderungen der EU-Kommission genügt droht ein Vertragsverletzungsverfahren.

Bose Connect – Hört die App mit?

Nach Informationen der Nachrichtenagentur Reuters sieht sich der Hersteller von Audioartikeln Bose wegen seiner kostenlosen App „Bose Connect“ in den USA mit einer Klage konfrontiert. Im Mittelpunkt der Klage steht der Vorwurf, dass Bose über diese App unerlaubt zahlreiche Informationen über seine Nutzer sammlt. Mit Hilfe der App soll Bose Informationen darüber gesammelt haben, welche Musik, Podcasts oder sonstigen Medieninformationen sich der Nutzer anhört. In der Klage wird weiterhin angeführt, dass Bose die so erstellten Kundenprofile auch mit dritten Unternehmen geteilt habt.

Zwar ist die Nutzung der Produkte von Bose nicht zwingend an die Nutzung der App Bose Connect gekoppelt. Viele Zusatzfunktionen und Optimierungsmöglichkeiten lassen sich aber nur nach dem Download dieser App nutzen. Über die bei der Verwendung der App gesammelten Nutzungsinformationen lassen sich dann auch weitere Rückschlüsse über den Kunden ziehen. Zur Veranschaulichung können hierfür beispielsweise Podcasts oder Radiosender mit politischen oder religiösen Hintergründen angeführt werden. Informationen über die Nutzung solcher Medien sind dazu geeignet, einen intimen Blick auf die politischen oder religiösen Ansichten und somit auf die Persönlichkeit der jeweiligen Person zu offenbaren.

Inwiefern die in der Klage erhobenen Vorwürfe gegen Bose durch die Nutzung der App zutreffen, ist bis jetzt noch nicht geklärt. Bose selbst hat sich hierzu noch nicht geäußert.

Datenschutzkonforme Wahlwerbung im Superwahljahr 2017

20. April 2017

Das Jahr 2017 ist ein Superwahljahr für die Bundesrepublik Deutschland. Im Saarland wurde bereits im März ein neuer Landtag gewählt. Im Mai folgen Landtagswahlen in Schleswig-Holstein und Nordrhein-Westfalen und im September finden die Wahlen zum 19. Deutschen Bundestag statt.

Das heißt auch, dass der Wahlkampf im vollen Gange ist und die Parteien bei den Wahlberechtigten um ihre Stimmen werben. Für Parteien sind – wie für andere Unternehmen auch – personenbezogene Daten der (potentiellen) Zielgruppe von wichtiger Bedeutung.

Dem betroffenen Bürger mögen sich daher die folgenden Fragen stellen: Woher haben Parteien die Daten der Wahlberechtigten? Welche Daten dürfen in welchem Umfang genutzt werden? Wie kann ich der Nutzung meiner Daten zum Zwecke der Wahlwerbung widersprechen?

Parteien erhalten auf Anfrage von den Meldebehörden 6 Monate vor einer Wahl Auskunft über die Daten der Wahlberechtigten. Im Umgang mit personenbezogenen Daten gilt auch für Parteien der Grundsatz vom Verbot mit Erlaubnisvorbehalt. Das heißt, personenbezogenen Daten dürfen nur genutzt werden, wenn der betroffene Wahlberechtigte seine Einwilligung erteilt hat oder eine gesetzliche Grundlage die Nutzung von personenbezogenen Daten erlaubt. Eine solche gesetzliche Grundlage ergibt sich aus § 50 Abs. 1 des Bundesmeldegesetzes (BMG). Darin heißt es, dass die Meldebehörde Parteien, Wählergruppen und anderen Trägern von Wahlvorschlägen im Zusammenhang mit Wahlen und Abstimmungen auf staatlicher und kommunaler Ebene in den sechs der Wahl oder Abstimmung vorangehenden Monaten Auskunft aus dem Melderegister über die Gruppen von Wahlberechtigten erteilen darf.

Das Auskunftsrecht der Parteien bezieht sich jedoch „nur“ auf folgende Daten: Familienname, Vornamen unter Kennzeichnung des gebräuchlichen Vornamens, Doktorgrad und derzeitige Anschriften sowie – sofern die Person verstorben ist – diese Tatsache. Die Übermittlung von weiteren Daten, beispielsweise der Religionszugehörigkeit, ist unzulässig.

Hinsichtlich der Nutzung der Daten haben die Parteien den Grundsatz der Zweckbindung zu beachten. Nach § 50 BMG dürfen die Parteien die Daten nur für Werbung bei einer Wahl oder Abstimmung verwenden.

Die Grundsätze der Datensparsamkeit und Erforderlichkeit müssen die Parteien ebenfalls beachten und innerhalb eines Monats nach der Wahl oder Abstimmung die Daten löschen.

Jeder Wahlberechtige, der nicht wünscht, dass seine oben genannten Daten an diverse Parteien übermittelt werden, kann gegenüber der jeweils für ihn zuständigen Meldebehörde, einer Auskunft gegenüber den Parteien widersprechen.

Deutscher Mieterbund kritisiert Datenschutz bei der Wohnungssuche

19. April 2017

Der Deutsche Mieterbund (DMB) hat auf seiner Internetpräsenz einen Artikel veröffentlicht, in dem er den Datenschutz bei der Wohnungssuche bemängelt. Kritisiert wird, dass Wohnungssuchende, gerade in Gebieten mit knappem Wohnraum, aufgefordert werden, sensible Daten preiszugeben. Diese Praxis verstoße gegen den Datenschutz. Grund für dieses Urteil war dem Deutschen Mieterbund zufolge eine Untersuchung des Landesbeauftragten für Datenschutz in Nordrhein-Westfalen (LDI). Demnach hat es bei allen 40 geprüften Immobilienmaklern und Wohnungsverwaltungen datenschutzrechtliche Beanstandungen gegebe. Nach Angaben der Datenschutzbeauftragten Helga Block würden so unter anderem Personalausweise kopiert, nach früheren Wohnsitzen gefragt und eine Vorlage der Schufa, die Informationen für Kredite sammelt, angefordert. Hinzukämen unzulässige Fragen zum Beruf oder zum Familienstand. Den Wohnungssuchenden bliebe allerdings aufgrund des knappen Wohnraums in Großststädten und Ballungsräumen keine andere Wahl als den Forderungen nachzukommen.

Aufgrund der datenschutzrechtlichen Bedenken fordert Lukas Siebenkotten, Bundesdirektor des Deutschen Mieterbundes, Konsequenzen. „Wir begrüßen die Aktion des nordrhein-westfälischen Datenschutzbeauftragten. Jetzt müssen bundesweit Konsequenzen aus dieser Untersuchung gezogen werden. Die Angebote von Maklern, Verwaltern und Vermietern, insbesondere auch der Online-Portale, müssen kontrolliert werden. […]“.

Schließlich ist dem Artikel des DMB eine Liste mit den wichtigsten Punkten, die geändert werden sollen, angefügt:

  • Die Mieterselbstauskunft muss ein Interessent erst ausfüllen, wenn nach erfolgter Wohnungsbesichtigung ernsthaftes Interesse an der Wohnung besteht.
  • Kontaktdaten aus vorangegangenen Mieterverhältnissen dürfen nicht abgefragt werden.
  • Fragen zum Familienstand, zum Geburtstag sowie zum Verwandtschaftsverhältnis der zum Haushalt gehörenden Kinder und sonstigen Angehörige sind nicht erforderlich und unzulässig.
  • Fragen nach der Dauer der beruflichen Beschäftigung sind unzulässig.
  • Die undifferenzierte Forderung nach Vorlage einer „Schufa-Auskunft“ oder „Schufa-Selbstauskunft“ oder einer ähnlichen Bonitätsauskunft ist unzulässig. Erst wenn der Abschluss des Mietvertrages unmittelbar bevorsteht, dürfen Bonitätsauskünfte bei Auskunfteien erfragt und die Vorlage einer Bonitätsauskunft verlangt werden.
  • Eine Kopie des Personalausweises darf ebenfalls nicht gefördert werden.

 

1 13 14 15 16 17 152