Frohe Weihnachten

22. Dezember 2017

Sehr geehrte Leser,

das gesamte Team des Blogs datenschutzticker.de wünscht Ihnen ein besinnliches Weihnachtsfest und frohe und erholsame Weihnachtstage.

Nach einer kurzen Winterpause werden wir, wie gewohnt, an dieser Stelle wieder einige interessante und relevante Meldungen rund um das Thema Datenschutz für Sie zusammentragen.

Rutschen Sie gesund in das neue Jahr.

Weihnachtliche Grüße,

datenschutzticker.de

Kategorien: Allgemein

Bundeskartellamt kritisiert Sammlung von Nutzerdaten durch Facebook

19. Dezember 2017

In dem kartellrechtlichen Verfahren wegen des Verdachts auf Missbrauch einer marktbeherrschenden Stellung gegen Facebook hat das Bundeskartellamt dem Unternehmen heute seine vorläufige rechtliche Einschätzung mitgeteilt. Danach handele das Unternehmen dadurch missbräuchlich, dass es die Nutzung des Netzwerkes davon abhängig mache, eine unbegrenzte Anzahl und jegliche Art von Nutzerdaten aus fremden  Quellen zu sammeln und diese mit Daten aus dem Facebook-Account zu verknüpfen. Zu diesen sog. „Drittquellen“ gehören einerseits konzerneigene Stellen wie WhatsApp, aber auch Apps anderer Betreiber.

Andreas Mundt, Präsident des Bundeskartellamtes, äußerte sich dazu alarmiert: „Wir sehen nach dem jetzigen Stand der Dinge auch nicht, dass zu diesem Verhalten von Facebook, dem Daten-Tracking und der Zusammenführung mit dem Facebook-Konto, eine wirksame Einwilligung der Nutzer vorliegt. Das Ausmaß und die Ausgestaltung der Datensammlung verstößt gegen zwingende europäische Datenschutzwertungen.“ Der Nutzer werde vielmehr vor die Wahl gestellt, entweder das Gesamtpaket zu akzeptieren oder ganz auf die Nutzung des Dienstes zu verzichten.

Diese vorläufige Einschätzung ist mit einem Anhörungsschreiben an das gerügte Unternehmen verbunden und stellt einen Zwischenschritt innerhalb des Missbrauchsverfahrens dar. Facebook hat nun vor allem die Möglichkeit, zu den Vorwürfen Stellung zu nehmen. Mit einer Entscheidung in dem Verfahren wird nicht vor Frühsommer 2018 gerechnet.

Niedersächsische Datenschutzbeauftragte kontrolliert Amazon

14. Dezember 2017

Ein neues Logistikzentrum von Amazon ist ins Blickfeld der niedersächsischen Datenschutzbeauftragten gerückt. Das Zentrum des Online-Händlers in Winsen/Luhe soll von der niedersächsischen Datenschutzbeauftragten Barbara Thiel überprüft werden.

Das Kontrollverfahren soll bereits angelaufen sein. Bereits zum aktuellen Zeitpunkt soll Amazon ein Fragenkatalog vorliegen, auf den bis zum Jahresende geantwortet werden muss.

Laut dem Magazin Panorama 3 des NDR, besteht ein Verdacht auf Datenschutzverstöße durch das genannte Logistikzentrum des Konzerns, das erst im Sommer den Betrieb aufgenommen hat. In der Kritik steht, dass der Konzern die Leistungen und Arbeitsweise seiner Mitarbeiter ohne Ausnahme erfassen soll. Dafür sollen insbesondere Kameras verwendet werden, die zu diesem Zweck in Räumlichkeiten mit Spinden und anderen Räumen installiert wurden.

Laut Jens Thurow, Mitarbeiter der Pressestelle der Datenschutzbeauftragten, will Barbara Thiel diesen aufgekommenen Verdacht prüfen.

Laut Amazon gebe es keine Datenschutzverstöße. Sprecher des Konzerns verweisen darauf, dass in der Vergangenheit bereits mehrfach die, in Verdacht stehenden, Systeme geprüft wurden. Die genannten Kameras sollen danach nur den Schutz der Mitarbeiter bezwecken. Zudem verweisen die Sprecher darauf, dass nicht alle Räume mit Kameras versehen wurden. Die Leistungsüberwachung werde dagegen gar nicht durchgeführt.

Einkaufs-Apps großer Anbieter sammeln Standortdaten

Einkaufs-Apps von Rossmann, Edeka und Budni stellen für die Nutzer einen großen Vorteil dar. Neben exklusiven Rabatten erhalten die Kunden auch maßgeschneiderte Angebot. Über den Preis der eigentlich kostenlosen Apps machen sich viele wohl keine Gedanken, allerdings ist dieser ein hoher, denn die Kunden geben vor allem persönliche Daten preis.

Das NDR-Verbrauchermagazin „Markt“ lies von Informatikern der Universität Hamburg eine Studie zu diesem Thema durchführen. Die Wissenschaftler untersuchten die Apps eingehend, das Ergebnis der Studie ist, dass die Apps während der Nutzung Standortdaten und Daten zu einkaufsbezogenen Interessen und Vorlieben erfassen. Die Informatiker fanden im Rahmen der Studie heraus, dass Daten der Nutzer an Google, Facebook und Marktforschungsunternehmen übermittelt werden.

Grundsätzlich läuft das über eine Einwilligung der Nutzer. Die Kunden erklären sich mit dem Akzeptieren der Datenschutzerklärungen, mit der Preisgabe der Daten einverstanden, höchstwahrscheinlich unbewusst bzw. ohne sich Gedanken darüber zu machen.

Zu betonen ist allerdings, dass die Übermittlung der Daten mithilfe einer Nutzer-ID und nicht in Kopplung mit dem Klarnamen oder dem Alter des Nutzers übermittelt wird.

Im Praxistest überzeugte die Wissenschaftler im Übrigen keine der Apps.

Kopplungsverbot unter DSGVO – Ein „Killer“ vieler Einwilligungen?

12. Dezember 2017

Das sogenannte Kopplungsverbot für datenschutzrechtliche Einwilligungen von Betroffenen ist grundsätzlich keine Neuheit der Datenschutz-Grundverordnung (DSGVO). Auch nach dem bisherigen Recht des Bundesdatenschutzgesetzes war Voraussetzung für eine wirksame Einwilligung, dass diese freiwillig erteilt und der Zugang zu einer Leistung somit nicht an eine solche Einwilligung gebunden wird.

Das Kopplungsverbot stellt sich jedoch nicht als ein allzu scharfes Schwert dar. Immer wieder gibt es im Internet Angebote, die auf den ersten Blick zwar kostenlos sind, sich aber über die Verarbeitung von Daten und die Platzierung von Werbung refinanzieren. Beispielsweise sind Online-Gewinnspiele, für deren Teilnahme der Nutzer in den Erhalt eines Newsletters einzuwilligen hat, keine Seltenheit. Streng genommen läge hier schon eine Kopplung vor. Das angesprochene Verbot präsentiert sich an dieser Stelle offen für Situationen, in denen der Nutzer sich über die „Bezahlung mit seinen Daten“ im Klaren und mit diesen Bedingungen schlicht einverstanden ist.

Womöglich wird durch die ab Mai 2018 anzuwendende DSGVO hier eine spürbare Verschärfung eintreten. Maßgeblich ist Art. 7 Abs. 4 mit dem dazugehörigen Erwägungsgrund 43 zur DSGVO. Insbesondere der Erwägungsgrund fordert der beispielhaften Gewinnspiel-Situation eine getrennte (und eben nicht gekoppelte) Erteilung von Einwilligungen des Nutzers ab. Genauer gesagt müsste sich der User bedingungslos zu einem Gewinnspiel anmelden dürfen und könnte erst im Nachgang gefragt werden, ob er zusätzlich dem Erhalt von Werbung in Form eines Newsletters zustimmen möchte. Dies hätte natürlich eine drastisch niedrigere Quote von Newsletter-Teilnehmern zur Folge.

Stellt sich die Anwendung der DSGVO an dieser Stelle in der gelebten Praxis so streng heraus, wie es der Wortlaut der gesetzlichen Grundlage verspricht, entspricht dies einer deutlichen Verschärfung gegenüber der bisherigen Rechtslage. Viele etablierte Prozesse werden dann zu überdenken sein.

Google sammelt Standortdaten von Android-Nutzern

Die Nachrichtenseite Quartz berichtet, dass Google seit Monaten Standortdaten von Android-Nutzern weltweit sammelt, selbst dann, wenn Nutzer die Ortungsdienste abgeschaltet haben. Google hat dies auch bestätigt. Die Standortdaten werden dazu genutzt, um die Verteilung von Push-Benachrichtigungen zu verbessern. Eine Speicherung der Daten würde aber nicht stattfinden.

Die Rechtmäßigkeit der heimlichen Ortung stützt Google auf ihre Datenschutzerklärung, welcher Android-Nutzer bei Einrichtung ihres Gerätes zustimmen müssen. Dort heißt es: „Wenn Sie Google-Dienste nutzen, erfassen und verarbeiten wir möglicherweise Informationen über Ihren tatsächlichen Standort.“ Dafür kann Google neben „IP-Adressen und GPS“ auch „andere Sensoren“ verwenden, die Informationen über „WLAN-Zugangspunkte oder Mobilfunkmasten“ liefern.

Nutzer haben zudem keine Möglichkeit dieser Datenschutzerklärung zu widersprechen. Ferner geht auch nicht aus der Datenschutzerklärung hervor, auf welche Weise die Standortdaten erfasst werden.

Laut Google wird die Ortung der Android-Nutzer ab Ende November eingestellt.

Kategorien: Allgemein
Schlagwörter: , ,

ENISA-Bericht mit Empfehlungen zu Zertifizierungen nach der DSGVO

8. Dezember 2017

Die europäische IT-Sicherheitsbehörde ENISA (European Union Agency for Network and Information Security) hat Empfehlungen für Unternehmen bei der Umsetzung der DSGVO-Vorgaben für Zertifizierungen veröffentlicht.
Laut Udo Helmbrecht, dem Chef von ENISA, will die Behörde auf diese Weise Unternehmen eine Hilfestellung geben und eine effektive Umsetzung der Gesetzgebung unterstützen.
Der Bericht stellt die Möglichkeit der freiwilligen Zertifizierung nach Artt. 42, 43 DSGVO für Unternehmen in den Mittelpunkt. Helmbrecht betont, dass es vor allem darum geht Datenverarbeitungsvorgänge zu bewerten, ob sie den Anforderungen der DSGVO genügen. ENISA soll ab nächstem Jahr ein europaweites freiwilliges Zertifizierungsverfahren für IT-Sicherheit etablieren. Eine der Empfehlungen ist, dass sich zwar die Aufsichtsbehörden auf ein gemeinsames Vorgehen verständigen, aber die Zertifizierung von einer akkreditierten Stelle vorgenommen werden soll um Interessenskonflikte zu vermeiden.

EU-Sicherheitskommissar will Datenbanken vernetzen

Der britische EU-Kommissar Julian King kündigte an, mehrere Datenbanken der europäischen Sicherheitsbehörden vernetzen zu wollen um die Terrorabwehr innerhalb Europas zu verstärken.

Dieses Vorhaben soll dazu dienen, Polizisten, Grenzschützer und Visa-Beamte bei der Erkennung und Identifizierung von möglicherweise gefährlichen Personen zu unterstützen. Den Beamten dieser Institutionen sollen damit alle nötigen Informationen zu den potentiell gefährlichen Personen in kurzer Zeit Mitgliedsstaaten übergreifend zur Verfügung gestellt werden.

Bisher gibt es separate Datenbanken für Visa-Inhaber, Asylbewerber, Einreisende in die EU und Gefährder, was zu Informationslücken führt, die es Terroristen möglich macht falsche Identitäten anzunehmen. Daher ist es King ein großes Anliegen, besonders Polizisten zu ermöglichen auf alle Informationen zuzugreifen, welche sie für ihre Arbeit benötigen.

Die in diesem Zusammenhang aufkeimenden Datenschutzbedenken weist King zurück und erläutert, dass es ausschließlich darum geht, ein besseres Zusammenspiel der Datenbanken zu ermöglichen und nicht darum, die Datenbanken zu einer großen Datenbank zu vereinen. Es soll lediglich eine bessere Nutzung der Datenbanken unter Berücksichtigung der geltenden Datenschutzregeln verwirklicht werden.

Um dieses Unterfangen durchsetzen zu können möchte King ebenfalls die Zusammenarbeit der Internetbranche verbessern. Aktuell setzt man in diesem Bereich auf freiwillige Kooperationen. Jedoch behält man sich vor, eine Unterstützung durch die Internetbranche mittels des europäischen Gesetzgebers zu beschleunigen.

Die Pläne zur Verwirklichung dieses Gedankens sollen in den nächsten Wochen vorgestellt werden. Anfang des Jahres soll von der EU-Kommission eine Zwischenbillanz gezogen werden.

Kategorien: Allgemein
Schlagwörter: ,

Datenpanne bei PayPal-Tochter: 1,6 Millionen Kundendaten betroffen

6. Dezember 2017

Aufgrund eines Datenlecks bei TIO Networks, einem Unternehmen von Paypal, hat der Online-Bezahldienst bekanntgegeben, dass circa 1,6 Millionen Kundendaten abhanden gekommen sein könnten.

TIO Networks bietet Dienste an, die Kunden das Bezahlen von Rechnungen ermöglicht, die ansonsten keinen einfachen Zugang zu Banken haben. Paypal hatte das Unternehmen aus Kanada im Juli dieses Jahres für circa 233 Millionen US-Dollar gekauft. Zu den betroffenen Daten gehören die persönlichen Informationen von Kunden, insbesondere deren Bankdaten und Sozialversicherungsnummern. Schon am 10. November hatte Paypal die Angebote von TIO Networks daher vorübergehend eingestellt ohne bisher eine Abschätzung abgeben zu können, wann das Unternehmen wieder den Betrieb aufnehmen kann. Auch ist bislang unklar, wer den Angriff initiiert hat und für das Datenleck verantwortlich ist.

Kunden sind angehalten, einen Service zum Schutz ihrer Identität in Anspruch zu nehmen. Darüber hinaus bietet TIO Networks seinen Kunden als Entschädigung ein kostenloses Credit Monitoring für das nächste Jahr an.

Da TIO Networks völlig unabhängig vom Paypal-Netzwerk agiert, sind Kunden von Paypal selbst allerdings nicht betroffen.

Datenschützer nehmen Uber unter die Lupe

5. Dezember 2017

Die Datenpanne des Uber Unternehmens aus dem vergangenen Jahr zieht nun doch weitreichende Konsequenzen nach sich.

Die Artikel-29 Gruppe der EU-Datenschutzbeauftragten hat, als Folge des Datenabflusses von 57 Millionen Uber-Kunden und Mitarbeitern, eine eigene Projektgruppe ins Leben gerufen, welche den Fall genau prüfen soll.

Beteiligt an der Projektgruppe sind Datenschutzbeauftragte aus Deutschland sowie den EU-Ländern Belgien, Frankreich, Spanien, Italien und Großbritannien.

Wie viele EU-Bürger von der Datenpanne betroffen sind und welchen Verstößen gegen das Datenschutzrecht sich Uber zu stellen hat, ist  aktuell noch nicht klar.

Das Unternehmen ließ verlauten, dass Nutzer der Uber-App aus der ganzen Welt betroffen sind und das Unternehmen sowohl Verbraucher als auch Mitarbeiter nicht unverzüglich über den Verstoß in Kenntnis gesetzt hat.

Laut der britischen Datenschutzbehörde ICO waren allein rund 2,7 Millionen Nutzerkonten aus Großbritannien betroffen, welche umgehend benachrichtigt werden müssen.

Das Vorgehen der Behörden auf EU-Ebene beweist eine gute Kooperation untereinander, was eine gute Prognose für die Durchsetzung der Datenschutzgrundverordnung verspricht, die ab dem 25.Mai.2018 in Kraft tritt.

1 2 3 4 155