Daten bei Facebook zu unsicher

26. März 2018

Nach einer Umfrage von US-Bürgern hat die Reuters/Ipsos Studie herausgefunden, dass die Mehrheit der Ansicht ist, dass ihre Daten bei Facebook schlechter aufgehoben sind als bei anderen Internet-Unternehmen.

Lediglich 41 % sind davon überzeugt, dass das soziale Netzwerk die Datenschutzvorschriften einhält. Bei Amazon und Google wissen ca. 60 % ihre Daten sicher.

Dieses Misstrauen gegenüber Facebook entstammt wahrscheinlich aus dem aktuellen Datenskandal, bei der Daten von etwa 50 Millionen Facebook-Nutzer ausgespäht wurden.

Nun sollen auch hunderte mit Facebook verknüpfte Apps untersucht werden. Als Gegenmaßnahme sollen auch die Privatsphäre- Einstellungen verbessert und der Zugriff von App-Anbieter eingeschränkt werden.

Dies ist zwar alles begrüßenswert, dennoch zu spät, denn wenn persönliche Daten einmal in die falschen Hände gelangen, sind sie kaum noch zu schützen.

Umso wichtiger ist es, dass Datenschutz am Anfang der Überlegung steht, quasi als Voreinstellung und nicht als unwichtige Draufgabe.

 

 

Wurden Facebook-Daten im amerikanischen Wahlkampf und im Brexit-Referendum manipulativ eingesetzt?

21. März 2018

Der britische Guardian und Channel 4 haben durch ihre Recherche aufgedeckt, dass das Unternehmen Cambridge Analytica für ein erhebliches Datenleck im Umfang von 50 Millionen Facebook-Profilen verantwortlich ist. Das Unternehmen trat ursprünglich als App-Anbieter für Facebook auf und konnte somit von Facebook-Nutzern heruntergeladen werden. Angeboten wurde dabei die Teilnahme an einer Studie, für die man bis zu 2 Dollar erhalten hat.

An dieser Studie haben immerhin 270.000 Nutzer teilgenommen. An die große Menge von 50 Millionen Nutzerdaten kam Cambridge Analytica allerdings erst über eine Einstellung, due auch den Zugriff auf die Daten von Freunden ermöglicht. Alleine die Freunde hätten in den Facebook-Einstellungen dieser Weitergabe ihrer Profildaten an Dritte im Vorfeld verhindern können. Diese Daten wurden danach scheinbar an das Unternehmen Eunoia Technologies weiterverkauft.

Wie jetzt durch einen ehemaligen Mitarbeiter von Eunoia Technologies, Christopher Wylie, bekannt wurde hat das Unternehmen die Daten aber nicht nur für eigene wissenschaftliche Zwecke verwendet, sondern wurde auch auf dem internationalen politischen Parkett aktiv. Neben dem kenianischen Wahlkampf um das Präsidentenamt wurden wohl auch das Brexit-Referendum und der amerikanische Präsidentschaftswahlkampf beeinflusst.

Facebook hat die beiden Unternehmen von der Nutzung ihrer Daten bereits ausgeschlossen. Doch damit allein ist ihre Pflicht wohl noch nicht getan. Die amerikanischen Behörden ermitteln nun, ob Facebook die Daten nicht besser hätte schützen müssen. In Großbritannien wurde die Datenschutzbeauftragte bereits tätig, um etwaigen Datenmissbrauch aufzuklären.

Als Facebook-Nutzer kann man sich gegen die Verwendung seiner Daten nur schützen, indem man in den privaten Einstellungen die Weitergabe an Dritte über Freunde im Vorhinein untersagt. Insbesondere lohnt es sich die mit Facebook verbundenen Apps kritisch zu begutachten. Im Falle von Cambridge Analytica hat der Download der App „thisisyoudigitallife“ bereits den „Datenklau“ initiiert.

Neues Datenschutzrecht setzt Grenzen für Vermieter

20. März 2018

Bei der Wohnungssuche ist die obligatorische Selbstauskunft ein bekanntes Mittel. Potentielle Mieter füllen diese auch zumeist ohne weitere Nachfragen aus. Allerdings wissen viele Mieter nicht, was mit ihren Daten geschieht und wer alles Zugriff auf ihre Daten hat.

Durch die Datenschutzgrundverordnung, welche ab dem 25. Mai angewendet wird, sollen Vermieter nun mit dem Umgang von personenbezogenen Daten potentieller Mieter Grenzen gesetzt werden.

Grundsätzlich dürfen die Daten des Betroffenen nur für die Begründung, Durchführung oder Beendigung eines Mietverhältnisses verarbeitet werden.

Personenbezogene Daten von Personen, mit denen kein Mietvertrag zustande gekommen ist, dürfen weder gesammelt noch gespeichert werden. Eine weitere Verarbeitung ist nur dann zulässig, wenn die Betroffenen damit einverstanden sind, z.B. in der Hoffnung, von Eigentümer, Makler oder Verwalter über die nächste freie Wohnung informiert zu werden.

Auch für den Fall eines Auszugs gelten strengere Vorgaben. Nach dem Auszug eines Mieters müssen die Daten „ohne unangemessene Verzögerung“ gelöscht werden, sobald sie ihren Zweck erfüllt haben. Dies ist grundsätzlich nach der Kündigung und Abrechnung der Nebenkosten und Kaution gegeben.

Kategorien: Allgemein

Steigendes Interesse am Beschäftigtendatenschutz

Das Interesse am Beschäftigtendatenschutz soll im Jahr 2017 erheblich gewachsen sein. So soll laut der Bremer Datenschutzbeauftragten, Imke Sommer, der Beschäftigtendatenschutz einen deutlich größeren Anteil der datenschutzrechtlichen Beschwerden in Bremen ausmachen. Nach dem Tätigkeitsbericht der Datenschutzbeauftragten weisen mittlerweile 20 % der Beschwerden einen Bezug zu Fragen des Beschäftigtendatenschutzes auf.

Der Datenschutzbeauftragte von Baden-Württemberg, Stefan Brink, betrachtet den Beschäftigtendatenschutz als kommenden Tätigkeitsschwerpunkt im Bereich des Datenschutzrechts und hat deshalb einen Ratgeber für den Beschäftigtendatenschutz verfasst.

Unklar ist, ob das gewachsene Interesse in ein Beschäftigtendatenschutzgesetz erwächst. Zum aktuellen Zeitpunkt bestehen lediglich Forderungen nach einem Gesetz, jedoch kein Konsens dazu. Es bleibt abzuwarten, ob sich dies in der aktuellen Legislaturperiode ändert

Datenschutz in Kindergärten und Kindertagesstätten

19. März 2018

Auch in Einrichtungen für die Kinderbetreuung wirft der Datenschutz regelmäßig Fragen hinsichtlich des Umgangs mit personenbezogenen Daten der dort betreuten Kinder auf. Im Fokus steht dabei die Beachtung des Rechts auf informationelle Selbstbestimmung. Die daraus resultierenden Rechte des Kindes werden durch den Erziehungsberechtigten wahrgenommen, das heißt, dass die Eltern stellvertretend für ihr Kind unter Beachtung des Kindeswohls für das Kind Einverständniserklärungen abgeben und Entscheidungen über die Verwendung von dessen personenbezogenen Daten treffen. Außerdem können sie gegen Datenschutzverstöße vorgehen.

Die Grundsätze des Datenschutzrechts gelten mithin für Kindertagesstätten genauso wie für alle anderen Institutionen und ist unter anderem durch das Prinzip der Datensparsamkeit geprägt. Das bedeutet, dass nur die Daten erhoben und verarbeitet werden sollen, die tatsächlich benötigt werden und dass Daten, die nicht mehr benötigt werden, unverzüglich gelöscht werden.

Neben den Rechten der betreuten Kinder steht ebenfalls der Beschäftigtendatenschutz. Für angestellte Erzieher/innen und andere Beschäftigte in den Kindertagesstätten gelten die gleichen Rechte und Pflichten wie für jeden anderen Arbeitnehmer. Hervorzugeben sind hier Teilnahme an regelmäßigen Schulungen zum Datenschutz sowie die arbeitsvertragliche Schweigepflicht, welche durch die Unterzeichnung einer Verpflichtung auf das Datengeheimnis bzw. auf die Vertraulichkeit durch die Mitarbeiter unterstrichen wird.

Die Relevanz des Datenschutzes in Kindestagesstätten zeigen die folgenden Beispiele.
Werden in der Kindertagesstätte im Rahmen von speziellen Aktivitäten oder von Kindesfesten von Erziehern Fotos und Videoaufnahmen der Kinder für die anschließende öffentliche Wahrnehmung erstellt, handelt es sich um personenbezogene Daten. Diese Aufnahmen der Kinder dienen in der Regel nicht der Erfüllung der Erziehungsaufgaben durch die Erzieher und sind mithin nicht erforderlich und nicht zulässig. Im Einzelfall kann dies jedoch anders zu bewerten sein. Dann muss bekannt gemacht werden, für welche konkrete Erziehungsaufgabe die Aufnahmen notwendig sind. Andernfalls muss von den Eltern eine Einwilligung eingeholt werden.
Des Weiteren kann sich die Frage stellen werden, ob Dienstpläne für die Eltern offen einsehbar ausgehängt werden dürfen. Oft haben Eltern ein subjektives Interesse daran, welche Betreuungsperson zu welchen Zeiten arbeitet. Allerdings kann dieses Interesse nicht dazu führen, dass die Dienstpläne für jedermann einsehbar ausgehängt werden. Es muss eine Abwägung erfolgen zwischen den Interessen der Eltern an der Information und den Interessen der Mitarbeiter am Schutz ihrer Daten. Hier kann kein überwiegendes Interesse der Eltern an der Information über die Dienstpläne der Beschäftigten angenommen werden, da im Betreuungsvertrag die Betreuungszeiten geregelt werden und der Träger der Betreuungseinrichtung dafür Sorge tragen muss, dass alle Betreuungspersonen die erforderliche Eigung und Befähigung zur Betreuung der Kinder mitbringen. Ist es für einen geregelten Betriebsablauf erforderlich, darf der Dienstplan jedoch für alle Mitarbeiter einsehbar aufgehängt werden.

Datenschutz in Kindertagesstätten ist ein hochbrisantes Thema, das häufig in entsprechenden Kreisen diskutiert wird; insbesondere deshalb, weil man häufig auf Unverständnis bei Eltern und Beschäftigten trifft.

Kategorien: Allgemein
Schlagwörter: ,

Datenleck in App für Rettungsdienste

16. März 2018

Sobald in der Notrufzentrale ein Anruf eingeht, werden Daten über den gemeldeten Notfall und detaillierte Patientendaten an den Rettungsdienst weitergeleitet. Im Rahmen eines Sicherheitschecks durch das Magazin für Computer Technik – c’t kam raus, dass ein Zugriff auf die Einsatzdaten durch Dritte möglich war.

Getestet wurde die App NaProt des Berliner Unternehmens Pulsation IT. In diese App werden alle notfallrelevanten Daten wie beispielsweise Name, Geburtsdatum und Unfallort von der Notrufzentrale und von den Rettungskräften eingetragen. Das Ergebnis war, dass reale Einsätze einsehbar waren und falsche Daten eingetragen werden konnten. Außerdem wäre es möglich gewesen, dass Einsätze erst gar nicht über NaProt gemeldet worden wären.

Nach dem der Hersteller informiert wurde, hat er umgehend reagiert und ein Update veröffentlicht, das die Sicherheitslücke geschlossen hat.

Google Maps 3D – keine verpixelten Häuser mehr

13. März 2018

Im Jahre 2008 fuhren die Autos von Google durch Deutschlands Straßen um Aufnahmen für Google Streetview zu erstellen. Betroffene konnten Fassaden, Häuser, Autos und Personen über einen Antrag verpixeln lassen. Dies führte in Deutschland dazu, dass die Google Autos 2010 verschwanden, während in anderen Ländern die interaktive Karte von Google Streetview aktualisiert wurde.

Google hat jedoch eine neue Möglichkeit gefunden auch verpixelte Häuser und Fassaden anzuzeigen. Die neue Funktion heißt Google Maps 3D. Hierfür errechnet Google aus unterschiedlichen Luftbildaufnahmen von Apple, Bing oder Satellitenaufnahmen, eine realistische und detailgetreue 3D Aufnahme. Google beruft sich bezüglich der fehlenden Verpixelung darauf, dass die Bilder aus ohnehin frei zugänglichen Quellen zusammengestellt wurden und das darüber hinaus nicht viel zu erkennen sei.

Viele fühlen sich trotzdem in ihrem Persönlichkeitsrecht verletzt und fürchten Einbrüche.

Datenschutz wird durch Lebensmittel-Lieferdienste verletzt

12. März 2018

Foodwatch Deutschland testete mehrere Lebensmittel-Lieferdienste (u.a. Amazon Fresh, Allyouneedfresh, Mytime).

Dabei wurde deutlich, dass viele Lieferdienste zur Verarbeitung der Bestellung die Angabe nicht erforderlicher Daten verlangten, wie z.B. das Geburtsdatum. Das Geburtsdatum ist lediglich bei Bonitätsprüfungen (bei Zahlung auf Rechnung) oder beim Kauf von Alkoholika notwendig.

Auch die Kontrolle der Shops durch Kontrollbehörden wird als mangelhaft angesehen. „Im Onlinehandel besteht ein echtes Kontrolldefizit, weil die Lebensmittelüberwachung nicht zeitgemäß aufgestellt ist. Die kommunal und offline organisierten Kontrollbehörden sind noch nicht im globalen Online-Zeitalter angekommen. Die zuständigen Lebensmittelkontrolleure schaffen es schlichtweg nicht, neben dem Bäcker vor Ort auch noch die großen Online-Supermärkte und die unzähligen Nischenanbieter im Internet zu kontrollieren, die zufällig ihren Sitz in diesem Ort haben.“ , sagte Martin Rücker, Geschäftsführer foodwatch Deutschland.

Außerdem benutzen die Lieferdienste bis auf Allyouneedfresh  eine hohe Anzahl von Trackern, oft völlig unbemerkt. Damit sammeln sie ohne Wissen des Nutzers Informationen über das Nutzerverhalten.

Es besteht mithin ein großer Bedarf an datenschutzrechtlichen Maßnahmen sowie an Kontrollmaßnahmen bei den Lebensmittel-Lieferdiensten.

 

 

Neuer Leitfaden zur Umsetzung der DSGVO für Krankenhäuser

Das Bayerische Landesamt für Datenschutzaufsicht hat gemeinsam mit dem Bayerischen Landesbeauftragten für Datenschutz einen Leitfaden zur Umsetzung der Datenschutzgrundverordnung in bayerischen öffentlichen und privaten Krankenhäusern veröffentlicht. Ziel des Leitfadens ist es, praktische Hinweise zur Umsetzung der DSGVO zur Verfügung zu stellen und bestehende Unsicherheiten abzubauen. Da es bislang nur wenige Hilfstellungen in diesem Bereich gab, war es das erklärte Ziel beider Datenschutzaufsichtsbehörden, erste Hinweise zur Auslegung der DSGVO im Bereich des Gesundheitsdatenschutzes zu geben. Der Leitfaden eignet sich zur Orientierung ebenfalls für Krankenhäuser in anderen Bundesländern.

Schwerpunkt des Leitfadens ist das Datenschutzmanagement, um den erhöhten Anforderungen der DSGVO Rechnung zu tragen. Nach Auffassung der Verfasser sollte das Datenschutzmanagement im Wesentlichen neun Punkte erhalten. Genannt wird in diesem Zuge unter anderem die Festlegung eines Teams, das zur Umsetzung der datenschutzrechtlichen Anforderungen den Datenschutzbeauftragten unterstützen soll. Darüber hinaus enthält der Leitfaden Handlungsempfehlungen zur Erstellung und Pflege des Verzeichnisses der Verarbeitungstätigkeiten, der Auflistung von Datenschutzkonzepten für Verfahren und Auftragsverarbeitungsverträgen, sowie der Erstellung von Datenschutzfolgenabschätzungen. Zudem werden die Punkte der Risikoabschätzung, der Behandlung von Datenschutzverletzungen sowie der Implementierung von Informationspflichten und der Umsetzung von Betroffenenrechten thematisiert.

Datenschutzrecht für Mitglieder in Vereinen – Müssen Vereinsmitglieder in Datenverarbeitung einwilligen?

8. März 2018

Zeitgleich mit der neuen EU-Datenschutzgrundverordnung (DSGVO) tritt am 25.5.2018 ein neues nationales Umsetzungsgesetz in Kraft, das neue Bundesdatenschutzgesetz (BDSG). Neben dem großen Anwendungsbereich der unternehmerischen Datenverarbeitung wirkt das Datenschutzrecht auch in die Vereine und somit in die ehrenamtlichen Tätigkeiten fort.

Sobald ein Verein personenbezogene Daten seiner Mitglieder erhebt, verarbeitet oder nutzt, ist auch für den eingetragenen Verein der Anwendungsbereich gem. § 1 Abs. 4 Satz 2 Nr. 1 BDSG-neu eröffnet. Es greift hierbei keine der Ausnahmeregelung im Sinne des § 1 Abs.6 BDSG-neu i.V.m. Art. 6 Abs. 2 DSGVO. Insbesondere deswegen nicht, weil der Verein diese Datenverarbeitung nicht als natürliche Person für persönliche oder familiäre Zwecke ausübt.

Innerhalb eines typischen Vereins fallen somit eine Vielzahl von organisatorischen Tätigkeiten unter den Begriff der „personenbezogenen Datenverarbeitung“; allein schon durch die Speicherung eines Aufnahmeformulars, das in der Regel alle wichtigen persönlichen Daten enthält (Name, Adresse, Geburtstag, E-Mail-Adresse, Kontodaten usw.). Sollte der Verein weiterhin sogar Daten veröffentlichen oder an Dritte weitergeben, befindet sich der Verein im grundrechtlich sensiblen Bereich.

Nach dem BDSG müsste die Datenverarbeitung durch den Verein zunächst zulässig sein, was nur dann der Fall ist, wenn die Datenverarbeitung ausdrücklich gesetzlich normiert ist oder eine Einwilligung der Personen, deren Daten verarbeitet werden, vorliegt.

Als Rechtsgrundlage kommt § 26 BDSG-neu, vor allem dann nicht in Betracht, wenn die Daten nicht mehr für den Vereinsablauf dringend nötig sind (Fotos, Kleidergrößen, Geburtsdaten).

Vereine, die sensible Daten ihrer Mitglieder verwalten, kommen somit nicht an einer ausdrücklichen Einwilligung zur Datenverarbeitung gem. § 26 Abs. 2 BDSG-neu vorbei.

Eine gängige Praxis in den Vereinen scheint zu sein, sich bereits mit der Unterschrift zum Vereinseintritt eine Einwilligung zur Datenverarbeitung erteilen lassen. Dieser verständliche Wunsch nach Vereinfachung des Verfahrens widerspricht jedoch dem schon länger bestehenden Kopplungsverbot, das auch in der neuen DSGVO wieder verankert wurde (Art. 7 Abs. 4 DSGVO).

Eine ausdrückliche Einwilligung kann somit auch bei Vereinen die einzige Absicherung sein, personenbezogene Daten von seinen Mitgliedern zu sammeln.

Vereine können sich in der Broschüre des baden-württembergischen Datenschutzbeauftragten informieren.

 

Kategorien: EU-Datenschutzgrundverordnung
Schlagwörter:
1 2 3 4 160