OVG Hamburg weist Beschwerde von Facebook zurück

8. März 2018

Das OVG Hamburg hat entschieden, dass Facebook auf Grundlage einer bisher angeforderten Einwilligungserklärung keine personenbezogenen Daten erheben und speichern darf.

Facebook hatte zuvor erfolglos beim VG Hamburg (Az. 13 E 5912/16) gegen eine Untersagungsverfügung des Hamburger Datenschutzbeauftragten, Johannes Caspar, im Wege des einstweiligen Rechtsschutzes geklagt (wir berichteten).

Das OVG Hamburg schloss sich in seiner Entscheidung nun der Vorinstanz an. Dafür erklärte es zunächst, dass die Rechtmäßigkeit der beanstandeten Untersagungsverfügung offen sei. Im Rahmen der Prüfung ist konkret offen, ob deutsches Recht anwendbar ist und ob der Hamburger Datenschutzbeauftragte gegen das Unternehmen Facebook vorgehen darf, obwohl dieses seinen Sitz in Irland hat. Trotz dieser offenen Rechtsfragen kam das OVG zu der Entscheidung, dass die Untersagungsverfügung nicht die für eine Aufhebung erforderliche offensichtliche Rechtswidrigkeit aufweist. So entspricht die angeforderte Einwilligung der Nutzer von WhatsApp nicht dem deutschen Datenschutzrecht. Diese fehlende Übereinstimmung mit deutschem Datenschutzrecht führt dazu, dass die Interessenabwägung zu Gunsten der Rechte der Nutzer ausfällt.

Nach der ablehnenden Entscheidung des OVG im einstweiligen Rechtsschutz ist weiterhin offen, ob sich ein Klageverfahren in der Hauptsache anschließt. Diese Entscheidung liegt nun bei Facebook.

Bewältigungsaufgabe des neuen Datenschutzes für den Staat

7. März 2018

Am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft, allerdings besteht noch viel Nachholbedarf diesbezüglich.

Allein auf Bundesebene sind 154 Rechtsnormen an die neue Verordnung anzupassen. Die meisten Bundesländer hinken dabei jedoch noch hinterher. Dies sorgt für viel Rechtsunsicherheit im Hinblick auf die Einführung der DGSVO. Auch ein Bußgeldkatalog wurde bisher von der Bundesregierung nicht vorgelegt.

Auf Seiten der Behörden verläuft die Vorbereitung auf die neue Verordnung ebenfalls nur schleppend. Ein großer Personalmangel herrscht bei den Datenschutzbehörden, welcher sich aufgrund des wachsenden Zuständigkeits- und Verantwortungsbereiches durch die DSGVO weiter verschlimmern wird.

Es ist abzuwarten, wie die Länder und die Bundesregierung sich noch bis zum 25. Mai auf die DSGVO vorbereiten.

Bundeshack: Gezielter Angriff auf das Auswärtige Amt

5. März 2018

Nachdem der Angriff auf das Datennetzwerk des Bundes in der vergangenen Woche an die Öffentlichkeit gelangt ist, werden immer weitere Einzelheiten bekannt.

Die russische Hackergruppe „Snake“ soll nach dpa-Informationen, entgegen erster Vermutungen, hinter dem Angriff stecken. Diese sind keine Unbekannten, bereits im Verfassungsschutzbericht 2016 des Bundes wurde die Hackergruppe aufgeführt und soll schon seit 2005 aktiv sein. Ziele der Hackergruppe sind Regierungsstellen und Ziele in der Wirtschaft und Forschung weltweit.

Nach einem Bericht von Spiegel online, waren deutsche Regierungs-Interna das Ziel des Angriffs. Die Hacker gelangten wohl über die Bundesakademie für öffentliche Verwaltung der Fachhochschule des Bundes in das Außenministerium, mit Hilfe einer komplexen und qualitativ hochwertigen Schadsoftware, ein und brachten dort 17 Rechner unter ihre Kontrolle.

Laut Ermittlungen des Bundes in der Sache begann der Angriff wohl schon Ende 2016 mit dem Einschleusen einer Phishing-Mail. Mit einem Steuerbefehl für die hinterlegte Malware, begann im Januar 2017 die Netzwerkanalyse. Die durch die Analyse erlangten Informationen wurden sodann an den Verursacher gesendet. Ab März 2017 waren die Hacker im Besitz von Admin-Rechten. Wie die Hacker an Admin-Rechte gelangten, konnte noch nicht geklärt werden. Ebenso wenig wie genau die Systeme des Auswärtigen Amts kompromittiert werden konnten. Demnach müssen noch einige Untersuchungen durchgeführt werden.

Den Hinweis, dass ein Hackerangriff läuft erhielt der deutsche Geheimdienst von einem ausländischen Partner. Nach diesem Hinweis am 19.Dezember letzten Jahres machte sich das Bundesamt für Sicherheit in der Informationstechnik auf die Suche und wurde Anfang Januar bei der Bundesakademie fündig. Der Angriff lief unter Aufsicht weiter. Ob er inzwischen beendet ist, ist unklar.

Es liegt die Vermutung nahe, dass es sich um einen weltweiten Angriff handelt und noch andere Regierungen betroffen sind.

Inzwischen hat sich auch die Bundesanwaltschaft eingeschaltet und Vorermittlungen wegen geheimdienstlicher Agententätigkeit gegen Unbekannt eingeleitet.

Kategorien: Allgemein · Hackerangriffe · Schadsoftware
Schlagwörter: ,

MESCA als Online-Tool zur Überprüfung der Sicherheit von E-Mail-Kommunikation datenschutzrechtlich bedenklich

28. Februar 2018

Die EU- Kommission brachte vor Kurzem ein Online-Tool namens MESCA auf den Markt. MESCA steht für ‘My Email Communications Security Assessment‘ und dient dazu, die Sicherheit in der E-Mailkommunikation zwischen Providern zu bewerten. Ziel des Tools ist es, dass der Nutzer die technischen Möglichkeiten, insbesondere Sicherheit und Datenschutz, seines E-Mail Providers besser einschätzen kann und, falls nötig, weitere Maßnahmen ergreifen kann.

Das Online-Tool bewertet die Sicherheit anhand von drei Messpunkten:

  •  Vertraulichkeit der Nachrichtenübertragung,
  • Phishing und Identitätsbetrug
  •  Vertrauenswürdigkeit der Nachricht.

Versprochen wird, dass der Nutzer nach der Benutzung einen besseren Überblick über das Sicherheitsniveau seines E-Mail Providers hat.

Gleichzeitig wurden jedoch auch personenbezogenen Daten, wie E-Mailadresse, die Antwort auf die Verifizierungsnachricht und die IP- Adresse erhoben. Während die E-Mailadresse und die Antwortnachricht, welche der Nutzer beide freiwillig zur Verfügung stellt, max. 24 Stunden gespeichert werden, wird die IP-Adresse, welche automatisch erhoben wird, zwei Jahre gespeichert. Dies ist Datenschutzrechtlich sehr bedenklich. Die IP-Adresse wird nach der Rechtsprechung des Europäischen Gerichtshofs als personenbezogenes Datum angesehen. Es besteht kein allgemeiner Bedarf diese überhaupt zu erheben, daher werden die IP-Adressen üblicherweise anonymisiert und nur bei wiederholten Internetattacken gespeichert.

Es ist daher dem Nutzer eines solchen Online-Tools überlassen, wie viel personenbezogene Daten er dafür Preis gibt.

Kategorien: Online-Datenschutz
Schlagwörter: ,

OVG NRW: Google-Streit an den EuGH verwiesen

Das Oberverwaltungsgericht NRW (OVG NRW)in Münster setzt ein Verfahren zwischen der Bundesnetzagentur und Google um deren E-Mail-Dienst GMail aus und verweist den Streit an den Europäischen Gerichtshof (EuGH) in Luxemburg.

Dem Verfahren liegt ein seit 2012 geführter Rechtsstreit zwischen den Parteien zu der Frage zugrunde, ob GMail ein Telekommunikationsdienst im Sinne des deutschen Telekommunikationsgesetzes (TKG) ist und Google daher den dort normierten Pflichten nachkommen muss. Hierzu gehören mitunter spezielle Anforderungen an den Datenschutz, sowie die Anmeldung bei der Budesnetzagentur. Speziell streiten die Parteien über die gesetzliche Definition, wonach ein Telekommuniukationsdienst in der Regel gegen Entgelt Dienste erbringt, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen. Google weigerte sich dieser Anmeldepflicht als Telekommunikationsdienst nachzukommen und vertritt die Auffassung, dasss die Regelungen des TKG für GMail nicht einschlägig sind, da sie sich lediglich das Internet als bestehendes Telekommunikationsnetz zu Eigen machen und darüber hinaus ihre Dienste unentgeltlich zur Verfügung stellen.

Der entscheidenede 13. Senat des OVG führt zur Begründung der Verweisung die „unionsrechtliche Dimension“ des Sachverhaltes an, da das TKG im Wesentlichen auf die EU-Richtlinie 1001/21/EG zurückgeht. Der EuGH soll nun im Rahmen einer Vorabentscheidung klären, ob offen im Inernet bereitgestellte E-Mail-Dienste von der Richtlinie erfasst werden.

Mangel an Verschlüsselungstechniken in mittelständischen Unternehmen

27. Februar 2018

In einem Unternehmen gibt es zahlreiche sensible Daten, die jeden Tag verarbeitet werden. Sei es in Form von Speichern von sensiblen Daten oder im Versenden dieser an Vertragspartner.

Dennoch ergab eine Umfrage des Bundeswirtschaftsministeriums, dass ein Viertel der mittelständischen Unternehmen keine Verschlüsselungstechniken bei ihren Verarbeitungstätigkeiten anwenden. Bei Großunternehmen sind es lediglich 10 %, die es mit der Verschlüsselung nicht ganz so genau nehmen.

Es zeichnen sich auch erhebliche Branchenunterschiede ab. IT- und Telekommunikationsunternehmen speichern und tauschen mit Dritten nur verschlüsselt Daten aus. In der Autobranche sind es beispielsweise jedoch nur zwei Drittel, die verschlüsselt arbeiten.

Als Grund werden technischer und finanzieller Aufwand genannt sowie Komforteinbußen täglicher Arbeit.

„Informationen in einer unverschlüsselten E-Mail sind etwa genauso geschützt wie die auf einer Postkarte“, sagte Brigitte Zypries (SPD), die geschäftsführende Bundeswirtschaftsministerin.

Aus diesem Grund entwickelte das Bundeswirtschaftsministerium auch einen Kompass für Unternehmen, wie man am besten Daten verschlüsseln kann.

Eine Einwilligung zu Werbung (Opt- In) kann sich auf mehrere Kanäle beziehen

Eine ausdrücklich abgegebene Einwilligung (z.B. durch das Anklicken eines Kästchens auf einer Webseite, also ein sog. Opt- In) darf sich nach der neusten Rechtsprechung des Bundesgerichtshofs (BGH) auch auf mehrere Kommunikationskanäle (Telefon, SMS, MMS, E-Mail, etc.) gleichzeitig beziehen.

Das hat der BGH in seinem Urteil vom 1. Februar 2018 – III ZR 196/17 mit folgender Begründung entschieden:

Eine Einwilligungsklausel für weiteren Werbekontakt zwischen Anbietern und Kunden stellt zwar keine Allgemeine Geschäftsbedingung (AGB) im engeren Sinne dar, muss sich aber an den §§ 305 ff. des Bürgerlichen Gesetzbuches (BGB) messen lassen. Einer Inhaltskontrolle gem. § 307 Abs. 1 und 2 BGB hält eine auf mehrere Kanäle bezogene Einwilligung stand, weil sie keine unangemessene Benachteiligung der Kunden darstelle. Maßstab hierfür ist § 7 Abs. 2 Nr. 2 des Gesetzes gegen den unlauteren Wettbewerb (UWG), der eine unzumutbare Belästigung nur bei fehlender Einwilligung bejaht. § 7 Abs. 2 Nr. 2 UWG setzt dabei Art. 13 Abs. 3 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation um.

Fazit: Laut BGH ist für Werbung unter Schutzzweckgesichtspunkten eine gesonderte Einwilligung für jeden Werbekanal nicht erforderlich.

Weiterer Hinweis: Nach der am 25. Mai 2018 in Kraft tretenden EU-Datenschutzgrundverordnung (DSGVO) sind die sog. Opt- Out- Verfahren (also ein bereits gesetzter Haken in einem Einwilligungskästchen) unzulässig.

Datenschutz und die DSGVO im Gesundheitswesen

23. Februar 2018

In der DSGVO nehmen Gesundheitsdaten eine besondere Stellung ein. In der stationären Pflege und in Krankenhäusern muss zwischen Einrichtungen in kirchlicher Trägerschaft und denen in privater oder staatlicher unterschieden werden. Bei den kirchlichen Trägerschaften gilt die Anordnung über den Kirchlichen Datenschutz (KDO) und das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD).

Bei staatlichen oder privaten Trägerschaften sollte insbesondere den Umgang mit Gesundheitsdaten, vor dem Hintergrund der DSGVO nochmals überprüft werden .

Welche Informationen gehören zu den Gesundheitsdaten?

In der DSGVO (Art. 4 Nr. 15) gibt es eine Erläuterung:
„Gesundheitsdaten“ sind demnach personenbezogene Daten, „die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen“.
Gesundheitsdaten gehören -wie schon nach dem BDSG- auch nach der DSGVO zu der besonderen Kategorie personenbezogener Daten. Neu dazugekommen sind genetische Angaben und biometrische Daten zur eindeutigen Identifikation einer Person. Für Gesundheitsdaten gilt eine besondere Schutzbedürftigkeit.

Daher besteht ein grundsätzliches Verbot der Verarbeitung dieser Daten. Eine Verarbeitung ist nur unter bestimmten Voraussetzungen möglich (Art. 92a-j DSGVO). Es bedarf einer Einwilligung des Betroffenen oder eines Rechtfertigungsgrundes.

Organisationen im Sozial- und Gesundheitswesen sollten sich daher rechtzeitig auf die neuen Anforderungen der DSGVO einstellen.

Defizite beim Schutz von Kundenportalen

Laut Andreas Wiegenstein sind Kundenportale von Energieversorgern nicht ausreichend geschützt.

Ebenso wie andere Unternehmen sind auch Energieversorger verpflichtet den Anforderungen an Datenschutz und Datensicherheit nachzukommen. Nach einem Artikel von Andreas Wiegenstein kommen sie diesen Anforderungen jedoch in nur unzureichendem Maße nach.

Gerade bei Kundenportalen soll ein nicht ausreichender Schutz von Kundenkonten gegen Angreifer bestehen, obwohl die Kunden dort sensitive Daten eingeben. Die Angreifer benötigen zwar einige Informationen für einen Zugriff, jedoch ließen sich diese laut Wiegenstein zu leicht beschaffen. So sollen sich speziell die scheinbar sicheren Kundennummern und Zählernummern ohne erhebliche Probleme herausfinden lassen.

Neben einer unzureichenden Absicherung der Kundenkonten bemängelt Wiegenstein zusätzlich die Absicherung beim Transport der Daten.

Im Ergebnis fordert er für die Zukunft zusätzliche Sicherheitsmaßnahmen, um einen ausreichenden Schutz zu gewährleisten. Andernfalls seien für die Zukunft erhebliche Probleme bei der Einhaltung der DSGVO absehbar.

Stiftung Warentest prüft Dating-Apps

21. Februar 2018

Die Stiftung Warentest hat Dating-Apps von 22 Anbietern hinsichtlich des Datenschutzes getestet und ist zu dem Ergebnis gekommen, dass der überwiegende Teil zum einen mehr personenbezogene Daten seiner Nutzer abfragt als notwendig und zum anderen die Datenschutzerklärungen erhebliche Schwächen aufweisen.

Nutzer von Dating-Apps geben viele personenbezogene Daten an, sei es Geschlecht und Alter, die sexuelle Orientierung oder auch den Standort. Dass diese Daten viel über ihn oder sie preisgibt mag dem Nutzer, der Nutzerin, noch bewusst sein, ist aber ein notwendiges Übel um die Apps überhaupt nutzen zu können. Darüber hinaus werden aber teilweise auch Daten zum genutzten Gerät oder der Name des Mobilfunkanbieters an den Anbieter übermittelt, welche für Online-Dating nicht notwendig sind.

Hinzu kommen Übermittlungen des Namens, der Nutzungsstatistik und des Mobilfunkanbieters an Facebook (Grindr, Lovoo, Tinder), Geschlecht und Alter an Werbefirmen (Grindr), Geräteinfos an US-Marketingfirma (Tinder).

Das diese Daten überhaupt übermittelt werden ist datenschutzrechtlich bereits sehr kritisch zu sehen. Darüber hinaus informieren die Datenschutzerklärungen in den meisten Fällen jedoch nur unzureichend über die Übermittlung und weitere datenschutzrechtliche Themen.

Der Test kommt zu dem Ergbenis, dass keine der 22 geprüften Datenschutzerklärungen die Nutzer genau genug informiert.

Die Nutzer von Dating-Apps müssen somit für sich selbst abwägen, wie schlimm sie die Preisgabe ihrer personenbezogenen Daten finden.

1 2 3 4 5 160