Datentransfer in Drittländer – Kippen die EU-Standardvertragsklauseln?

12. Oktober 2017

Datentransfers in Drittländer, die kein dem europäischen Standard vergleichbares Datenschutzniveau bieten, sind aus datenschutzrechtlicher Sicht als kritisch einzuordnen. Zu einem solchen Drittland gehören auch die USA. Bis zum Jahr 2015 konnte die Übermittlung in solche Drittländer durch das sogenannte Safe Harbor – Abkommen datenschutzrechtlich legitimiert werden. Durch ein Urteil des EuGH vom 6. Oktober 2015 wurde das Safe Harbor – Abkommen jedoch aufgehoben. Dies wurde damit begründet, dass das Abkommen nach dem EuGH einen Verstoß gegen die europäische Grundrechtecharta darstellt.

Nach dem Ende des Safe Harbor – Abkommens konnte eine Übertragung personenbezogener Daten in die USA nur noch durch die Verwendung von EU-Standardvertragsklauseln oder aufgrund des 2016 als Nachfolger des Safe Harbour – Abkommens beschlossenen EU-US-Privacy Shield legitimiert werden. Kernstück des Privacy Shield ist die Verpflichtung zur Selbstzertifizierung von US-Unternehmen, mit der sichergestellt werden soll, dass gewisse Datenschutzanforderungen eingehalten werden. Daneben wurden durch das Privacy Shield für betroffene EU-Bürger erstmals Rechtsschutzmöglichkeiten gegen Unternehmen mit Sitz in den USA und so Klagemöglichkeiten geschaffen. Jedoch legte bereits Ende Oktober 2016 die irische Nichtregierungsorganisation Digital Rights Ireland Klage vor dem EuGH gegen den Privacy Shield ein und auch mit den Standardvertragsklauseln wird sich der EuGH nun beschäftigen müssen.

Angestoßen durch eine Klage des Anwalts Max Schrems gegen den Datentransfer an Facebook aufgrund der Verwendung von Standardvertragsklauseln hat sich der irische oberste Gerichtshof dazu entschlossen, verschiedene diesbezügliche Fragen zur Vorlage an den EuGH zur Klärung weiterzuleiten. Die irische High Court-Richterin Carolin Costello führte in ihrem Beschluss unter anderem an, dass es begründete Hinweise darauf gebe, dass es in den USA an wirksamen Maßnahmen zum Schutz der Daten von EU-Bürgern fehlen würde. Insbesondere der Rechtschutz für europäische Bürger in den USA sei nur fragmentarisch ausgebildet und die US-Geheimdienste hätten fast unbegrenzte Zugriffsmöglichkeiten auf die Daten.

Nach der Vorlage der konkreten Rechtsfragen an den EuGH wird abzuwarten sein, wie der EuGH die rechtliche Zulässigkeit der Standardvertragsklauseln beurteilt. Sollte der EuGH zum Ergebnis der Unzulässigkeit der Standardvertragsklauseln kommen, dürfte dies viele Unternehmen hinsichtlich der Legitimität von Datentransfers in die USA oder sonstige Drittländer vor ernsthafte Probleme stellen.

AG München verhängt Bußgeld wegen Dashcam-Aufnahme

6. Oktober 2017

Erneut hatte ein Gericht zu entscheiden, ob der Einsatz von Dashcams im Einzelfall zulässig war. Schon im Januar 2016 berichteten wir von der Warnung vor Dashcams seitens der Bundesbeauftragten für den Datenschutz und die Informationssicherheit, Andrea Voßhoff. Im September diesen Jahres schrieben wir, dass laut OLG Nürnberg Dashcam-Aufnahmen als Beweismittel zulässig sind für Fälle, in denen keine anderen Beweismittel zur Verfügung stehen. Dashcams sind kleine Videokameras, die hinter die Fensterscheiben eines PKW befestigt werden.

Das Amtsgericht München (Urteil vom 09.08.2017, Aktenzeichen 1112 OWi 300 Js 121012/17, noch nicht rechtskräftig) verhängte nun eine Geldbuße in Höhe von 150 Euro gegen eine 52-jährige Frau. Die Betroffene parkte für drei Stunden ihr Auto in München. Sie platzierte je eine Dashcam vorne und hinten in ihrem Wagen, um potentielle Täter einer Sachbeschädigung per Videobeweis zu überführen. Mindestens drei andere Autos wurden gefilmt. Ein Auto streifte ihren PWK. Die Videoaufnahmen überreichte sie anschließend der Polizei.

Das Gericht sieht hier einen Verstoß gegen das Bundesdatenschutzgesetz. Die Interessenabwägung ergäbe hier, dass das Recht der gefilmten Personen auf informationelle Selbstbestimmung gegenüber dem Recht auf Aufdeckung einer potentiellen Straftat überwiegt. Ansonsten käme es einer dauerhaften Überwachung öffentlicher Räume gleich, wenn 80 Millionen Bundesbürger anlasslos Privataufnahmen machen würden. Dass der Wagen der Betroffenen in der Vergangenheit bereits beschädigt wurde, stelle lediglich einen subjektiven Anlass dar.

 

 

 

Häufig rechtswidriger Einsatz von gezielter Facebook-Werbung

Anders als bei einem klassischen Flyer im Briefkasten ist es im Bereich der Online-Werbung möglich, Bedürfnisse und Interessen von potentiellen Kunden gezielt zu adressieren und somit das Verkaufspotential erheblich zu steigern. Ein solches Werkzeug für personalisiertes Marketing bietet auch der Internetriese Facebook in Form seiner „Custom Audience“ an.

Das Bayerische Landesamt für Datenschutzaufsicht nahm nun diverse Anfragen von Unternehmen zum rechtskonformen Einsatz des Tools zum Anlass, den Service und die entsprechende Umsetzung unter rechtlichen Gesichtspunkten zu überprüfen. In ihrer Pressemitteilung legt die Behörde anschaulich dar, welche beiden Varianten es von der „Facebook Custom Audience“ gibt:

  • Custom Audience über die Kundenliste:
    Ein Unternehmen erstellt eine Liste mit Name, Wohnort, E-Mail-Adresse u. Telefonnummer seiner Kunden und/oder Interessenten. Nach Umwandlung der Kundendaten mittels Hash-Verfahren gleicht Facebook die Kundenliste mit allen Facebook-Nutzern ab. Es erfolgt eine präzise Auswahl der Personen, deren Interessen sich mit dem Angebot des Unternehmens decken und die Werbung von dem Unternehmen erhalten sollen.
  • Custom Audience über das Pixel-Verfahren:
    Auf der Webseite des Unternehmens wird ein unsichtbares Facebook-Pixel eingebunden, durch welches das komplette Nutzungsverhalten einer Person nachvollzogen werden kann. Das BayLDA skizziert beispielhaft folgendes Szenario: „Ein Nutzer besucht einen Webshop und interessiert sich für das neuste Smartphone, legt es in den Warenkorb, schließt aber den Bestellvorgang nicht ab. Bricht der Nutzer den Bestellvorgang ab, wird auch diese Information an Facebook weitergeleitet.“ Auf Basis dieser Informationen kann das Unternehmen den Kunden nun mit passender Werbung zu dem betreffenden Smartphone versorgen und kann auf die Rückkehr des Kunden auf den zuvor besuchten Webshop hoffen.

Die Prüfung der Unternehmen, die „Facebook Customer Audience“ für sich nutzen, ergab in vielen Fällen einen datenschutzrechtlich unzulässigen Umgang mit dem Service. Oftmals wurde der Nutzer nicht oder nicht vollständig über den Einsatz des Pixel-Verfahrens informiert. Zudem fehlte die Möglichkeit des Users, dem Einsatz von „Customer Audience“ zu widersprechen (Opt-Out). Dies stellt einen Verstoß gegen geltendes Datenschutzrecht dar und kann zu Bußgeldern führen, die sich mit Anwendung der Datenschutz-Grundverordnung ab Mai 2018 drastisch erhöhen.

Großteil der Verbraucher ist gegen Gesichtserkennung im Supermarkt

Laut einer repräsentativen Umfrage der Verbraucherzentrale NRW will der Großteil der Verbraucher nicht, dass das Gesicht für Werbezwecke im Supermarkt gescannt wird. Die Befragten ziehen daraus die Konsequenz, dass sie in den Supermärkten, die diese Technik einsetzen, nicht mehr einkaufen gehen.

Im Laufe dieses Jahres wurde bekannt, dass unter anderem die Deutsche Post und die Supermarktkette Real die Aufzeichnungen von Kameras im Geschäft nicht mehr nur zur Aufklärung von Straftaten benutzen, sondern auch, um durch Hilfe von Gesichtsanalysen, personalisierte Werbung über die Bildschirme im Kassenbereich zu senden.

76% der Befragten lehnen ein solches Vorgehen von Geschäften ab. Die Befragten fühlen sich unsicher und fürchten einen Kontrollverlust ihrer privaten Daten.

71% der Befragten lehnen ebenso eine Auswertung der Daten für zielgruppenorientierte Rabatte ab. 83% sehen die Analyse des Gesichtsausdrucks zur Verbesserung von Werbespots kritisch. Die stärkste Ablehnung herrscht in der Gruppe der über 60-jährigen.

Die Ablehnung von Gesichtserkennung ist auch in sozialen Netzwerken nicht beliebt. Weniger skeptisch sind die Befragten wenn Privatpersonen Gesichtserkennungstechnologien, zum Beispiel durch Überwachungskameras an der Haustür zu Privathaushalten, nutzen (56%).

Das aktuell in der Kritik stehende Pilotprojekt am Bahnhof Südkreuz in Berlin, war nicht Gegenstand der Befragung (wir berichteten).

Yahoo: Hackerangriff aus 2013 betraf mehr als drei Milliarden Nutzer

5. Oktober 2017

Der Hackerangriff auf den US-Internetanbieter Yahoo im Jahr 2013 hat nach Medienangaben alle drei Milliarden Nutzer getroffen – und somit zwei Milliarden mehr als bisher bekannt. Die Betroffenen würden per Email informiert, teilte das Unternehmen mit. Zugleich versicherte Yahoo, dass die Hacker weder Passwörter noch Bankdaten entwendet hätten. Yahoo war Anfang des Jahres von dem US-Telekommunikationskonzern Verizon übernommen worden. Danach wurden das Ausmaß und die Umstände der Cyberattacke von 2013 noch einmal überprüft.

Kategorien: Hackerangriffe
Schlagwörter: ,

Analyse medizinischer Daten – zukünftig möglich oder weiterhin durch das Datenschutzrecht unantastbar?

Bisher war eine umfangreiche Datenanalyse innerhalb der Medizin nahezu unmöglich. Grund dafür ist, dass medizinische Daten innerhalb des Datenschutzes eine besondere Art der personenbezogenen Daten darstellen. Diese Daten rechtskonform für eine Analyse nutzbar zu machen setzt dabei eine Anonymisierung der Daten voraus.

Da eine Analyse medizinischer Daten ein großes Potenzial aufweist und durchaus zu einer besseren medizinischen Entwicklung beitragen kann, hat ein deutsches Start-up Unternehmen eine Methode entwickelt die sensitiven Personendaten zu anonymisieren.

Mittels Algorithmen wird dabei eine Systematik der Daten erstellt ohne diese einem speziellen Patienten zuordnen zu können. Das Ergebnis ist eine Ansammlung von rein synthetischen Daten, die der bald wirksamen Datenschutzgrundverordnung nicht unterliegen.

Trotz sinkender Qualität der Daten überwiegen die Möglichkeiten die sich für Unternehmen daraus bilden. Unternehmen soll dabei die Entwicklung neuer Geschäftsmodelle durch Analyse der Daten zusammen mit Partnern ermöglicht werden. So sollen zukünftig alle Bereiche personenbezogener Daten erschlossen werden, ohne die Privatsphäre der Patienten oder Kunden zu beeinträchtigen.

Bezüglich der Frage, welchen Auflagen eine derartige Synthese von Daten zukünftig unterliegen wird, debattieren Juristen und Datenschutzbeauftragte derzeit.  Ob eine vollständige sowie fehlerfreie Synthese unabhängig von der Datenschutzgrundverordnung durchgeführt werden kann, bleibt jedoch abzuwarten.

Kategorien: Allgemein · Gesundheitsdatenschutz
Schlagwörter: ,

USA: Datenspeicherung von Einwanderern zukünftig auf Onlinesuchen und Social Media erweitert

29. September 2017

Die Trump-Regierung verstärkt ihren Überwachungskurs gegenüber Einwanderern nun auch im Internet. Die Datenerhebung und -speicherung von Einwanderern in die USA soll nach Angaben des US-Heimatschutzministeriums weiter angezogen werden. So sollen ab dem 18. Oktober 2017 von allen Einwanderern, auch Green-Card-Inhabern sowie bereits eingebürgerten Einwanderern, zukünftig personenbezogene Daten im Zusammenhang mit Social-Media-Nutzerkonten gespeichert werden. In den für Einwanderer bestehenden „Alien-Files“ sollen demnach der Nutzername bei dem jeweiligen sozialen Netzwerk, ggfs. der Spitzname des Nutzers sowie weitere Informationen zur Identifizierung des Nutzers aufgeführt werden. Darüber hinaus sollen auch die Onlinesucheingaben der Einwanderer und die dazugehörigen Suchergebnisse gespeichert werden.

Bürgerrechtler kritisieren, dass von dieser neuen Art der Überwachung nicht nur Einwanderer betroffen sein werden, sondern auch Dritte, die in unmittelbaren Kontakt mit den Einwanderern stehen würden. Sie sehen darin einen weiteren Eingriff in die Privatsphäre. Und auch die Meinungsfreiheit könne durch derartige Maßnahmen eingeschränkt werden, indem die Menschen aus Angst vor oder in dem Wissen, dass sie überwacht werden,sich nicht mehr trauen, ihre persönliche Meinung und insbesondere politische Haltung frei in der Öffentlichkeit zu äußern.

Neben LinkedIn droht auch Facebook die Sperrung in Russland

Bekanntermaßen versucht die russische Regierung seit mehreren Jahren die Kontrolle über das Internet auszuüben. Nun droht auch Facebook, sollte es nicht bis 2018 einwilligen, einem russischen Gesetz Folge zu leisten, nach dem russische Nutzerdaten auch auf Servern in Russland gespeichert werden sollen, die Sperrung. Dieses Gesetz über die Speicherung personenbezogener Daten von Russen ist bereits seit 2015 in Kraft.
Twitter hat gegenüber Moskau dem Datenumzug bereits zugestimmt, dieser soll Ende 2018 abgeschlossen sein. Das soziale Netzwerk LinkedIn dagegen wurde von russischen Behörden bereits geschlossen, nachdem es vor Gericht zweimal gegen die drohende Sperrung erfolglos vorgegangen war.
Eine weitere, kürzlich ausgeübte, Kontrollmaßnahme der russischen Führung erfolgte durch einen Gesetzesbeschluss, der die Nutzung von Virtuellen Privaten Netzwerken und von Anonymisierungs-Software im Internet einschränkt.
Alexander Scharow, der Leiter der Aufsichtsbehörde für Medien, Telekommunikation und Datenschutz in Russland erklärte, dass das Gesetz für alle gelte und dass seitens der Regierung keine Ausnahmen gemacht würden.

Reform des § 203 StGB: Wer ist eigentlich Geheimnisträger?

26. September 2017

Der Bundesrat hat am 22.09.2017 eine Gesetzesänderung des § 203 StGB beschlossen, indem er den Entwurf des Bundestages angenommen hat (wir berichteten). Die Norm stellt die Verletzung des Privatgeheimnisses durch bestimmte dort genannte Berufsträger unter Strafe. Darunter fallen Ärzte, Jugendberater, Apotheker aber auch Rechtsanwälte. In Abs. 3 kommen außerdem die „berufsmäßig tätigen Gehilfe und Personen, die bei [diesen Berufsgeheimnisträgern] zur Vorbereitung auf den Beruf tätig sind“ hinzu, an die das Geheimnis (aus Berufsgründen) offenbart werden kann. Damit sind vor allem Sekretäre/innen, Referendare/innen, Arzthelfer/innen oder ähnliche Berufsgruppen gemeint.
Seit dem Erlass der, der jetzt überarbeiteten, Norm haben sich die Arbeitsbedingungen, -abläufe und -möglichkeiten verändert: Immer mehr Tätigkeiten werden an Dienstleister abgegeben, so dass zu dem Kreis der (potentiell) Wissenden beispielsweise IT-Dienstleister, Serverbetreiber oder E-Mail–Provider hinzugekommen sind. Dies ist angesichts der Formulierung des § 203 StGB problematisch und bot Anlass zu einer Gesetzesänderung.
In dem neuen § 203 StGB wird eine Weitergabe des Geheimnisses an Personen erlaubt, die an beruflichen oder dienstlichen Tätigkeiten der Berufsgeheimnisträger mitwirken, soweit sie für die Tätigkeitsausübung erforderlich ist (Abs. 3). Damit sind viele bereits heute in Anspruch genommene (Dritt-)Dienstleister gemeint, auch der Beauftragte für den Datenschutz findet ausdrücklich Erwähnung. Eine Offenbarung des Geheimnisses durch diese Personen wird wiederum unter Strafe gestellt.
Dadurch hat der Gesetzgeber die Gesetzeslage an die realen Verhältnisse angepasst und so mehr Rechtsklarheit geschaffen. Die Anforderung, dass die Offenbarung für die Tätigkeitsausübung erforderlich sein muss, bleibt dabei der Maßstab für eine Weitergabe von geheimen Informationen.

Facebook-App mit Whatsapp verknüpft

22. September 2017

Nach einem Update der Facebook-App können Whatsapp-Nutzer den Messengerdienst nunmehr direkt über die Facebook-App aufrufen. Nach Öffnen der Facebook-App findet sich unter dem Profilnamen des jeweiligen Nutzers ein Symbol, durch das nach Anklicken Whatsapp geöffnet werden kann, sofern der Messengerdienst auf dem Smartphone installiert ist. Eine ähnliche Verknüpfung hatte Facebook schon zum Bildernetzwerk Instagram implementiert.

Aus datenschutzrechtlicher Sicht ist dieses Vorgehen druchaus kritisch zu beäugen, nachdem der Austausch personenbezogener Daten zwischen Facebook und Whatsapp erst vor Kurzem untersagt worden war (wir berichteten). Offen ist bisher allerdings die Frage, ob es bei der Verknüpfung tatsächlich nur um eine reine Verknüpfung handelt oder ob es dadurch auch zu einem Datenaustausch kommt. Ist letzteres der Fall, müsste die datenschutzrechtliche Zulässigkeit geprüft werden. Ob die Verknüpfung auch in der iOS-Variante Einzug halten soll, ist bislang nicht bekannt.

 

Kategorien: Allgemein
1 2 3 4 151