Uber sammelt unverhältnismäßig Daten

4. Dezember 2014

Der Fahrdienstvermittler Uber sorgt mit seiner App nicht nur bei der Zunft der Droschkenfahrer für Aufsehen, sondern nun auch bei den Datenschützern. Joe Giron, ein US-amerikanischer Software-Experte, hatte festgestellt, dass die App für Android-Geräte auffällig viele Daten sammelt, die in keinem offensichtlichen Bezug zu der Dienstleistung stehen, die über die App vermittelt werden. Uber erklärte dies wie folgt:

  • Namen der umliegenden WLAN-Netze dienen zur präzisen Lokalisierung des Nutzers für die Abholung.
  • Der Kamerazugriff diene zur direkten Einbindung von Profilfotos oder dem Einscannen von Kreditkarteninformationen.
  • Die Telefonfunktion stelle einen direkten Kontakt zum Fahrer her.

Zugegeben, andere Apps greifen auf die gleichen Funktionen zu, aber es stellt sich trotzdem die Frage, ob dies tatsächlich notwendig ist. Muss man etwa bei Uber nun keine Adresse angeben, weil man nur anhand der WLAN-Netze geortet werden kann? Und was passiert mit den Daten, wenn man seine Adresse angibt? Löscht Uber dann umgehend die Informationen die nunmehr ja überflüssigerweise gesammelt worden sind?

Das Datenschutzrecht ist wesentlich geprägt von den Grundsätzen der Datensparsamkeit und Zweckbindung. Diese werden zweifelsfrei durch derartige Zugriffsmöglichkeiten ignoriert. Daher muss es im Eigeninteresse des Nutzers liegen, entweder sofern vorhanden derartige Zugriffe durch das individualisieren der möglichen Einstellungen zu verhindern, diese zu akzeptieren oder sich bewusst gegen die Nutzung dieser Dienste zu entscheiden.

Kategorien: Mobile Business · Online-Datenschutz · Tracking
Schlagwörter:

Papier fordert stärkeren Schutz vor Massenüberwachung

Der frühere Präsident des Bundesverfassungsgerichts, Hans-Jürgen Papier, forderte auf einer Diskussionsveranstaltung des Alexander von Humboldt Instituts für Internet und Gesellschaft , dass der Staat eine sichere und vertrauenswürdige Kommunikation seiner Bürger garantieren können müsse. Er sprach sich dafür aus, dass diese Staatsaufgabe als ein Grundrecht auf IT-Sicherheit „gegebenenfalls ins Grundgesetz aufgenommen werden und dann eben auch durchgesetzt werden“ müsste, so berichtet die ZEIT.

Papier verteidigte die Grundrechte der Bürger, die auch dann nicht aufgegeben werden dürften, wenn der Staat sich neuer technischer Methoden wie Vorratsdatenspeicherung oder Rasterfahndung bedienen wolle, die dem Schutz von Leib, Leben und Freiheit dienten. Der Kernbereich privater Lebensgestaltung dürfe durch staatliche Überwachungsmaßnahmen „in keinem Fall angetastet werden“, sagte Papier. Er regte des Weiteren an, dass auch auf nationaler und EU-Ebene verschärfte Vorschriften zu Datensicherung bei den Telekommunikationsdienstleistern erlassen werden könnten. So könnten sie gegebenenfalls verpflichtet werden, ihre Server in Deutschland oder in Europa zu betreiben.

BfDI: Warnung vor Datenkonzentrationen bei Krankenversicherungen

3. Dezember 2014

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Voßhoff hat ebenfalls die öffentlich bekannt gewordenen Überlegungen, Versicherungstarife im Bereich privater Krankenversicherungen einzuführen, bei denen die Versicherten mit Gutscheinen oder Rabatten für einen gesunden Lebensstil belohnt werden, scharf kritisiert.

Auch wenn die mit Versicherungstarifen dieser Art angebotenen Vorteile gerade für momentan gesunde Menschen verlockend klingen, sollten die Versicherten sich der damit verbundenen Risiken bewusst sein, appelliert Voßhoff. Bei der Übermittlung von z.B. Körper- oder Trainingswerten handele es sich um sensible Gesundheitsdaten. Zusammen mit anderen Daten könne die Versicherung ein umfassendes Gesundheitsprofil der betreffenden Person erstellen und daraus Prognosen über seine zukünftige gesundheitliche Entwicklung ableiten. Unabhängig davon, ob diese Prognosen zutreffend sind oder nicht, könnten sie dazu genutzt werden, profilgenaue Angebote zu unterbreiten, das Leistungsspektrum entsprechend anzupassen oder künftige Risikozuschläge zu berechnen. Es liege deshalb im Eigeninteresse der Versicherten, sorgfältig mit ihren wertvollen Gesundheitsdaten umzugehen und den kurzfristigen Vorteil, den die Datenoffenbarung vielleicht mit sich bringt, mit den langfristigen Gefahren bewusst abzuwägen. Im Bereich der gesetzlichen Krankenversicherung sei zum Schutz der Versicherten detailliert geregelt, welche personenbezogenen Daten die Krankenkasse von ihren Versicherten erheben darf. Darüber hinausgehende Daten dürften im Regelfall auch nicht auf Grundlage einer Einwilligung erhoben werden. Ungeachtet dessen sei auch bei den gesetzlichen Krankenkassen die Tendenz eines wachsenden Interesses an Gesundheits- und Fitnessdaten ihrer Versicherten zu beobachten. Die BfDI kündigte daher an, auch weiterhin ein besonderes Augenmerk auf entsprechende Aktivitäten der Kassen legen, um die Einhaltung hoher Datenschutzstandards zu gewährleisten.

Erneut Straßenaufnahmen durch Google

2. Dezember 2014

Wie auf der Homepage des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) bekanntgegeben wurde, werden seit gestern und im Laufe des kommenden Jahres erneut Straßenaufnahmen in ganz Deutschland durch Google durchgeführt. Google selbst hat dies im Vorfeld mitgeteilt , heißt es in der Pressemitteilung des HmbBfDI. Die eingesetzten Fahrzeuge sollen deutlich als Fahrzeuge von Google zu erkennen sein. Das Unternehmen versichert, keine WLAN oder andere Funknetze zu erfassen; aufgenommene Gesichter und Kfz-Kennzeichen werden unkenntlich gemacht. Das Bildmaterial werde dauerhaft und nur so gespeichert, dass Merkmale nicht wiederhergestellt werden können, heißt es in der Pressemitteilung weiter.

Die Straßenaufnahmen dienen laut Google nicht der Veröffentlichung, sondern lediglich zur Verbesserung und Ergänzung des bestehenden Kartenmaterials. Schwerpunkt der Aufnahmen liege auf Straßennamen, Verkehrsführung aber auch auf Informationen über Unternehmen und Sehenswürdigkeiten. Da die Bilder nicht veröffentlicht werden sollen, ist auch kein Widerspruch gegen eben diese – also eine Veröffentlichung – möglich, wie es bei den Aufnahmefahrten zu Google Street View seinerzeit der Fall gewesen war.

Videoüberwachung an bayerischen Schulen sorgt für Empörung

1. Dezember 2014

Einer Recherche des Bayerischen Rundfunks (BR) zufolge missachten bayerische Schulen offenbar die datenschutzrechtlichen Vorschriften zur Videoüberwachung. An mehr als der Hälfte der vom BR befragten Schulen, die mit Kameras überwachen, fehlen die erforderlichen Hinweisschilder. Die Reporter des BR haben im Rahmen ihrer Recherche 20 Schulleiter befragt, ob und wie diese ihre Videoüberwachung datenschutzrechtlich rechtmäßig umsetzen. Nur die wenigsten konnten Gründe wie gewaltsame Vorfälle oder Vandalismus nennen, die den Einsatz von Kameras rechtfertigen würden. Insgesamt seien nach Angaben des Innenministeriums an 172 bayerischen Schulen Videokameras installiert.

Gegenüber dem BR ließ der bayerische Landesbeauftragte für Datenschutz, Thomas Petri, verlauten, dass die recherchierten Fälle an die Landesaufsichtsbehörde weitergeleitet werden würden. Die Schulleitung könne sich warm anziehen, kündigte Petri an, ebenso wie eine „krachende Beanstandung“, da Tonaufzeichnungen oder heimliche Aufnahmen verboten seien. Von der Einhaltung der datenschutzrechtlichen Vorschriften geht hingegen das bayerische Kultusministerium aus. Dem BR zufolge sagte der Sprecher des Ministeriums, Ludwig Unger, dass man Datenschutzverstößen nachgehen würde, sofern es Hinweise dafür gebe. Es müsse ein mit der Polizei abgestimmtes Sicherheitskonzept für jede Schule geben. Die Kommunen seien hingegen für bauliche Maßnahmen zuständig. Angaben der Augsburger Allgemeine zufolge, sehe der SPD Datenschutzexperte, Florian Ritter, vielmehr die Staatsregierung in der Pflicht und fordere Aufklärung. Die Anlagen seien sofort abzuschalten, bis die gesetzlichen Regeln sicher eingehalten werden. Da an den Schulen weder juristisches noch technisches Know-How vorhanden sei, läge die Verantwortlichkeit bei der Staatsregierung, so der Datenschutzexperte.

Kategorien: Allgemein
Schlagwörter:

LDI NRW: Warnung vor Fitness-Apps für Krankenversicherungen

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Lepper warnt explizit davor, persönlichste Daten zur täglichen Lebensführung Versicherungen zur Verfügung zu stellen, um damit einen Preisvorteil zu erhalten. Er nimmt Bezug auf diesbezügliche Berichte über Planungen einiger deutschen Versicherungen, sich Daten über Fitness, Ernährung und Lebensstil ihrer Kunden übermitteln zu lassen (z.B. über eine App) und zu analysieren. Die Kunden sollen im Gegenzug Gutscheine und Rabatte erhalten.

„Datenschutzrechtlich kann das zulässig sein, wenn die Kunden freiwillig einwilligen und vorher transparent über die geplante Datenverarbeitung informiert werden. Aber mit solchen Geschäftsmodellen wird ein finanzieller Druck erzeugt, tiefen Einblick in Lebensgewohnheiten und Gesundheit ermöglichen“, so Lepper. Schon bei einer Kfz-Versicherung, die Rabatte dafür anbietet, wenn Kunden ihr Fahrverhalten analysieren lassen und sich wunschgemäß verhalten, hatte der Landesdatenschutzbeauftragte davor gewarnt, dass in immer mehr Lebensbereichen persönlichste Daten „verkauft“ werden. Die geplanten Geschäftsmodelle von Krankenversicherungen würden noch einen Schritt weitergehen und auch die Gesundheitsdaten kommerzialisieren. Ulrich Lepper: „Das ist nicht nur eine Datenschutzfrage. Neben Verbraucherschutz und Versicherungsaufsicht ist auch die Politik gefragt. Es ist Zeit für eine gesellschaftliche Debatte darüber, wo Grenzen für solche Geschäftsmodelle zu ziehen sind.“

 

EU-Parlament: Votum zur Entflechtung von Suchmaschinen

27. November 2014

Das EU-Parlament hat am Donnerstag über einen Entschließungsantrag abgestimmt, der die EU-Kommission zum Handeln im Suchmaschinen-Markt auffordern soll. Gegenstand dieses Antrages war der Aufruf des EU-Parlaments, jeglichen Missbrauch bei der Vermarktung von verknüpften Dienstleistungen durch Suchmaschinenbetreiber zu unterbinden. Betont wurde dabei insbesondere das Erfordernis einer nicht-diskriminierenden Online-Suche. So forderten die Abgeordneten, dass die Auflistung, Bewertung, Darbietung und Reihenfolge von Ergebnissen bei Suchmaschinen frei von Verzerrungen und transparent sein müsse. Langfristig seien Vorschläge in Betracht zu ziehen, die darauf abzielen, Suchmaschinen von anderen kommerziellen Dienstleistungen abzukoppeln. Das Ziel einer derartigen Entflechtung ergebe sich zum einen aus der Rolle der Suchmaschinen bei der gewerblichen Weiterverwendung von Informationen, zum anderen jedoch auch aus der Notwendigkeit der Durchsetzung von EU-Wettbewerbsregeln. Dem Online-Magazine Heise zufolge, stehe insbesondere Google seit längerem in Europa in Verdacht, eigene Spezialdienste wie den Kartendienst Maps, Preisvergleiche oder die Suche nach Hotels und Restaurants ungebührlich zu bevorzugen. Der Antrag des EU-Parlaments wurde mit 384 Ja-Stimmen, 174 Nein-Stimmen und 56 Enthaltungen angenommen.

 

EU-Datenschützer fordern weltweite Löschung von Links

Die Artikel-29-Datenschutzgruppe hat Maßgaben zur Umsetzung des Urteils des Europäischen Gerichtshofs zum „Recht auf Vergessen“ vorgelegt. Das Gremium, das sich u.a. aus Vertretern der Aufsichtsbehörden der EU-Mitgliedstaaten und der Europäischen Kommission zusammensetzt, fordert Google auf, Suchergebnisse auch auf .com-Domains zu entfernen.

Der EuGH habe in seinem Urteil zum „Recht auf Vergessen“ einen effektiven und vollständigen Schutz des Rechts auf informationelle Selbstbestimmung Betroffener eingefordert und betont, dass das europäische Recht nicht umgehbar sein dürfe. Im Ergebnis sollen Webseiten mit Inhalten, die dem „Recht auf Vergessen“ unterfallen, mit internationalen .com-Domains nicht mehr abrufbar sein, da Google nicht darauf vertrauen könne, dass Nutzer Suchmaschinen über ihre nationalen Webauftritte wie google.de aufriefen. Wie heise.de berichtet, hatte Google-Verwaltungsratschef Eric Schmidt dagegen mehrfach betont, er interpretiere das Urteil so, dass einschlägige Links nur von europäischen Seiten der Suchmaschine zu löschen seien.

Die von der Artikel-29-Datenschutzgruppe in mehrmonatiger Arbeit verfassten Maßgaben haben keine rechtliche Bindungswirkung. Wie die Leiterin der Runde, Isabelle Falque-Pierrotin, erklärte, könnten die nationale Gesetzgeber die Vorgaben als Vorlage entsprechender Regelungen nehmen.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter:

Newsletter datenschutzkonform versenden

Unverlangte und ohne Einwilligung zugesendete (Werbe)-E-Mails gelten als Spam und stellen im Sinne gesetzlicher Vorschriften eine unzumutbare Belästigung dar. Dies gilt im privaten wie auch geschäftlichen Bereich. Wichtig ist also, dass die Empfänger des Newsletters bei der Anmeldung zum Newsletter zunächst ihre Einwilligung zur Zusendung ausdrücklich erklären.

Für dieses ausdrückliche Einwilligen ist eine vorformulierte Einwilligungserklärung nötig, die beim Abschicken der Bestellung des Newsletter als Erklärung des Nutzers gewertet wird. Damit den Nutzern diese Erklärung rechtlich wirksam zugeschrieben werden kann, darf der Text der Einwilligungserklärung nicht irgendwo versteckt auftauchen, sondern sollte gut sichtbar platziert werden:

1. Mit der Eingabe Ihrer Daten und der Bestätigung des Buttons „Abschicken“ erklären Sie Ihr Einverständnis in den Empfang des Newsletters.

Stimmt der Nutzer auf diesem Weg dem Empfang zu, steht noch die datenschutzrechtliche Einwilligung in die Speicherung der Kontaktdaten aus:

2. Wir versichern Ihnen, dass Ihre Daten nur im Zusammenhang mit dem von uns abonnierten Newsletter verwendet werden. Mit Bestätigung des Buttons „Abschicken“ erklären Sie sich in die Speicherung der von Ihnen angegeben Daten zu diesem Zweck einverstanden.

Um nachweisen zu können, woher die Adressen stammen, die beim Versand des Newsletters verwendet werden, muss belegbar sein, dass ein Nutzer selbst die Daten eingegeben und die Einwilligung erklärt hat.

Dies ist möglich durch das so genannte „Double-Opt-In“-Verfahren für den elektronischen Versandweg. Auf die Anmeldung zum Newsletter hin wird zum Beispiel eine E-Mail an die angegebene Adresse gesendet, in der dazu aufgefordert wird, die Einwilligung zum Empfang des Newsletter erneut zu bestätigen. Durch dieses Prozedere wird sichergestellt, dass nur jemand, der auch Zugriff auf das E-Mail-Postfach hat, diese E-Mail-Adresse zum Newsletter anmelden kann. Unberechtigte Anmeldungen durch unbekannte Dritte können so verhindert werden.

Auf das „Abschicken“ der Newsletter-Anmeldung hin sollte eine Seite erscheinen, die den ersten Schritt der Anmeldung als erfolgreich bestätigt. Zugleich sollte der Nutzer darauf hingewiesen werden, dass eine weitere Bestätigung erforderlich ist:

Vielen Dank für Ihr Interesse und Ihre Anmeldung zum Newsletter. Zum Schutz Ihrer Privatsphäre erhalten Sie nun zuerst eine E-Mail zugeschickt. Diese E-Mail beantworten Sie bitte schlicht ohne Inhalt zur Bestätigung Ihrer Anmeldung. Auf diesem Weg können wir einen möglichen Missbrauch Ihrer E-Mailadresse ausschließen. Bitte haben Sie Verständnis dafür, dass wir die Anmeldungen zur Vermeidung von Spam zunächst einzeln prüfen und der Versand der Bestätigungsmail sich daher etwas verzögern kann.

Die Nutzer sollten daraufhin eine E-Mail mit entsprechendem Inhalt erhalten.

Erst wenn die Antwortmail des Nutzers eintrifft, kann die Anmeldung als erfolgreich abgeschlossen gelten und der nächste Newsletter auch an diesen Nutzer versendet werden. Andernfalls müssen die Daten gelöscht werden.  Eingehende Antwortmails sollten zur Dokumentation der erteilten Einwilligung aufbewahrt werden.

Schließlich verlangt das Gesetz in § 28 IV S. 2 BDSG noch den Hinweis an die Nutzer, ob und wie man sich wieder vom Newsletter abmelden kann. Diese Information ist ebenfalls auf der erste Seite der Newsletter-Anmeldung zu platzieren, etwa im Kontext mit den Einwilligungserklärungen:

3. Wenn Sie unseren Newsletter nicht weiter erhalten möchten, können Sie sich durch eine E-Mail mit dem Betreff „unsubscribe“ vom weiteren Empfang abmelden. Ihre Daten werden dann gelöscht.

 

Transparenz für Nutzer – Facebook bessert vermeintlich beim Datenschutz nach

26. November 2014

Erst kürzlich berichtete der Datenschutzticker über das wiederholt kritisierte undurchsichtige datenschutzrechtliche Gebahren des größten sozialen Netzwerks Facebook. Nun bessert das Unternehmen hinsichtlich der Transparenz nach und bietet seinen Kunden die Möglichkeit in grafisch kundenfreundlich aufbereiteter Art und Weise den Datenschutz hinsichtlich der Nutzerdaten nachzuvollziehen.

„Wir möchten dazu beitragen, dass du verstehst, wie Facebook funktioniert und wie du deine Informationen kontrollieren kannst“ heißt es in einladenden Worten. Was folgt ist ein wortgewaltiger Ausflug durch die unzähligen datenschutzrechtlich relevanten Themenbereiche des Netzwerks. Auffällig dabei ist der stets werbende Charakter der informatorisch auftretenden Seite. „Entdecke was in deinem Umfeld passiert“ ließe sich wohl auch mit „Wir wissen stets wo du dich befindest“ übersetzen, ebenso wie „Bequemer Einkaufen“ gleichfalls bedeuten kann „Auch wenn du nicht auf Facebook selber surfst, wissen wir was du im Web gekauft hast und was wir daher für dich als werberelevant erachten“. Dem zeitschenkenden Nutzer bieten sich jedoch mit ausreichend technischem Verständnis diverse Möglichkeiten, seine Daten zu schützen und die voreingestellten Einstellungen zu ändern. Gleichwohl, das Netzwerk von Facebook angeschlossenen Werbepartnern oder unmittelbar zugehörigen Unternehmen (etwa Whatsapp und Instagramm) und die Datentransfers zu diesen bleiben für den wohl üblichen Normalnutzer kaum überschaubar, geschweige denn sicher kontrollierbar.

Letztlich bleibt die Gewissheit: Facebook ist nicht umsonst, man bezahlt mit seinen Daten, und Facebook wird stets gewillt sein, die Grenzen der rechtlichen Möglichkeiten auszuloten um möglichst viele hiervon verarbeiten zu können. Als Beispiel hierfür darf alleine schon die titelnde Nachricht von Facebook auf der Aufklärungsseite selbst gelten. Hier heißt es:

„Durch Nutzung unserer Dienste nach dem 1. Januar 2015 stimmst du unseren aktualisierten Bedingungen sowie unserer aktualisierten Datenrichtlinie und Cookies-Richtlinie zu und erklärst dich außerdem damit einverstanden, dass du verbesserte Werbeanzeigen siehst, die auf den von dir genutzten Apps und Webseiten basieren. Nachfolgend erfährst du mehr über diese Aktualisierungen und darüber, wie du steuern kannst, welche Werbeanzeigen du siehst.“

Ein aktives Zutun des Nutzers im Sinne einer Einwilligung, etwa durch die Bestätigung die neuen Datenschutzrichtlinien gelesen zu haben und denen zuzustimmen, ist folglich nicht notwendig. Wer nichts tut, außer einfach weiter zu surfen, lässt Facebook damit freie Hand durch die weitreichenden Voreinstellungen.

Kategorien: Online-Datenschutz · Social Media
Schlagwörter:
1 19 20 21 22 23 118