4. April 2019
Zwei mit Facebook kooperierende Unternehmen haben nach Medienberichten Daten öffentlich zugänglich gespeichert. So hätten sowohl das Unternehmen Cultura Colectiva sowie die Entwickler der App “At the Pool” (personenbezogene) Daten bei frei zugänglichen Amazon-Cloud-Diensten gespeichert.
Darüber hinaus unterstreiche diese Datenpanne das Problem mangelnder Kontrolle des Unternehmens Facebook über die anvertrauten (personenbezogenen) Daten. Aus Unternehmensperspektive bleibt mithin abzuwarten, ob sich hieraus relevante Entwicklungen ergeben und gegebenenfalls eine Beratung einzuholen ist.
3. April 2019
Vor rund 10 Jahren starteten die Google Fahrzeuge, um weltweit die Straßen und Häuserfronten abzulichten und sie direkt in Google Maps den Nutzern zur Verfügung zu stellen. Seitdem wurden in Deutschland keine neuen Aufnahmen veröffentlicht, weshalb noch heute die verpixelten Aufnahmen vorzufinden sind.
Seit dem 28. März sind die auffälligen Fahrzeuge laut einer Informationsseite von Google wieder in Deutschland unterwegs.
Das dabei gewonnene Bildmaterial wird laut Google aber nicht veröffentlicht, sondern dient dazu, Google Maps zu verbessern.
Google Maps führt die Aktualisierung durch, um sicher zu gehen, für seine Nutzer “die richtigen Straßennamen, Straßenschilder, Streckenführungen und Informationen über Geschäfte und andere Orte […], zu verwenden.”
Auf seiner Informationsseite nennt Google zwar Bezirke, die von den Kameraautos befahren werden sollen. Genauere Zeit- und Ortsangaben finden sich dort aber nicht. Lediglich die Information, dass die Fahrten noch bis November diesen Jahres stattfinden sollen.
2. April 2019
Facebook-Chef Mark Zuckerberg hatte am vergangenen Wochenende eine Debatte über eine einheitliche, weltweit geltende Regulierung im Internet angestoßen. Als Vorbild hierfür hob er die Datenschutzgrundverordnung hervor und betonte “Ich bin überzeugt, dass anstelle nationaler Regulierungen ein gemeinsamer globaler Rahmen notwendig ist, um eine Fragmentierung des Internets zu verhindern, damit Unternehmer nützliche Produkte entwickeln können und alle Menschen den gleichen Schutz erhalten”
Bundesjustizministerin Barley zeigte sich nach einem Treffen in Berlin allerdings nicht überzeugt von dem Modell des Facebook-Chefs und sieht die Vorschläge kritisch: “Mark Zuckerberg spricht seit einem Jahr über die Verantwortung von Facebook für Gesellschaft, Demokratie und die Privatsphäre von mehr als zwei Milliarden Menschen. Doch zu spüren ist davon wenig.” Facebook habe durch sein Verhalten und kontinuierlich bekannt werdende “Sicherheitsskandale” viel Vertrauen verspielt.
Zudem kritisierte Barley auch, dass Facebook plane, die Infrastruktur hinter den Chatdiensten WhatsApp und Messenger sowie der Messengerfunktion von Instagram zusammenzulegen. Dies widerspreche den ursprünglichen Ankündigungen. Sie warnte: “Bei der Zusammenführung dieser Dienste bestehen ganz erhebliche kartellrechtliche und datenschutzrechtliche Fragen.”
29. März 2019
Viele Unternehmen gingen kurz nach dem Inkrafttreten der DSGVO von einem strikten Verhalten der Datenschutzaufsichtsbehörden aus. Inzwischen wundern sich nun immer mehr über deren Zurückhaltung.
Obwohl München zu einem der beliebtesten IT-Standorten Europas gehört und viele Unternehmen der IT-Branche Zweigniederlassungen dort unterhalten, gestaltet sich das Hauptgeschäft des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) primär durch Beratungen. Sanktionen hingegen bildeten bis jetzt ehr die Ausnahme. Dieses Verhältnis soll sich durch die Landespolitik nun ändern.
Während 2017 noch ca. 3.700 Beratungsanfragen beim BayLDA zu verzeichnen waren, sind die Anfragen im Jahr 2018 inzwischen auf ca. 9.200 angestiegen. Das bedeutet ca. 384 Anfragen pro Personalstelle. Dies warf die Frage auf, ob eine Beratung überhaupt zu den Pflichtaufgaben der Behörden gehören.
Der Leiter des BayLDA Thomas Kranig sieht den Ansturm der Anfragen grundsätzlich positiv, da die Datenschutzaufsichtsbehörde somit Einblicke in die Umsetzung der DSGVO durch die Unternehmen erlangt. Aufgrund der Masse müssen Anfragen jedoch immer wieder aus Kapazitätsgründen abgelehnt werden. Der Grund für die Kapazitätsproblematik geht daraus hervor, dass die Personalstellen gegenwärtig nicht aufgestockt werden. Der BayLDA muss somit die Beratungstätigkeit “weitgehend einstellen”.
Anderen Datenschutzaufsichtsbehörden ergeht es ähnlich. Die niedersächsische Landesdatenschutzbeauftragte stellte die Beratung bereits im November weitgehend ein. Ausschließlich Vereine und Verbände werden mittels einer eigenen Hotline noch weiter beraten.
Das Bundesverwaltungsgericht hat am 27. März entschieden, dass eine Videoüberwachung in einer Zahnarztpraxis die ungehindert betreten werden kann, strengen Anforderungen an die datenschutzrechtliche Erforderlichkeit unterliegt.
Die Zahnärztin klagte in diesem Fall gegen eine Anordnung der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA Brandenburg). Die Praxis kann durch Öffnen der Tür ungehindert betreten werden. Der Empfangstresen ist nicht besetzt. Oberhalb des Tresens hat die Klägerin eine Videokamera angebracht. Die aufgenommenen Bilder konnte sie in Echtzeit auf Monitoren in ihren Behandlungszimmern verfolgen. Eine Aufzeichnung hat nicht stattgefunden.
Der Landesdatenschutzbeauftragte hatte die Zahnärztin verpflichtet die Kamera so auszurichten, dass keine Patienten gesehen werden können. Insoweit ist die nach erfolglosem Widerspruch erhobene Klage in den Vorinstanzen erfolglos geblieben. Die DSGVO ist in diesem Fall nicht anwendbar, da die datenschutzrechtliche Anordnung vor dem 25.05.2018 erlassen wurde.
Jedoch ist an dieser Stelle zu erwähnen, dass der aktuell gültige § 4 Abs. 1 S. 1 BDSG mit dem damaligen § 6b Abs. 1 S. 1 BDSG inhaltsgleich übernommen worden ist. Nach Absatz 1 dieser Vorschrift setzte die Beobachtung durch ein Kamera-Monitor-System auch ohne Speicherung der Bilder voraus, dass diese zur Wahrnehmung berechtigter Interessen des Privaten erforderlich ist und schutzwürdige Interessen der Betroffenen nicht überwiegen. Ebenso muss nach der DSGVO bei einer Videoüberwachung eine Interessenabwägung stattfinden. Die Zahnärztin konnte jedoch nicht darlegen, wieso eine Videoüberwachung erforderlich war. Anders wäre der Fall gewesen, wenn sie in der Vergangenheit mehrere Straftaten in der Praxis erlebt hätte.
Die Videoüberwachung ist nicht notwendig, um Patienten, die nach der Behandlung aus medizinischen Gründen noch einige Zeit im Wartezimmer sitzen, in Notfällen betreuen zu können. Schließlich sind die Angaben der Klägerin, ihr entstünden ohne die Videoüberwachung erheblich höhere Kosten, völlig pauschal geblieben.
28. März 2019
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk stellte am 28. März 2019 ihren Bericht für das Jahr 2018 vor. Es wurde insbesondere die gestiegene Anzahl von Beschwerden und gemeldeten Datenpannen hervorgehoben.
So stieg die Zahl der eingegangenen Beschwerden fast auf das Vierfache. Als Grund wird die gestiegene (mediale) Präsenz des Datenschutzes im vergangenen Jahr und die erweiterte Zuständigkeit der Datenschutzbehörde genannt. So können sich Betroffene an die Datenschutzbehörde in Berlin auch bei Beschwerden gegen Behörden oder Unternehmen mit Sitz in anderen Bundesländern oder EU-Ländern wenden. Außerdem konnte die Behörde einen Anstieg der Meldungen von Datenpannen fast um das Vierzehnfache verzeichnen.
Ferner wird in dem Jahresbericht Stellung zu besonderen Rechtsfragen bezogen. So stellt die Behörde klar, dass es für persönlich adressierte Werbung nicht immer einer Einwilligung der Betroffenen bedarf. Auch das EuGH-Urteil zu der Verantwortlichkeit von Facebook-Fanpages-Berteibern wird aufgegriffen. Als regionale datenschutzrelevante Themen wird der Missbrauch der polizeilichen Datenbank und die Speicherpraxis von Journalistendaten im Rahmen ihrer Akkreditierung für den G-20-Gipfel angeführt. In der Pressemitteilung werden weitere Themen und Inhalte des Jahresberichts zusammengefasst.
27. März 2019
Lautsprecher mit Sprachassistenten können nützlich sein, sind aber zugleich sehr neugierig. Wer smarte Boxen nutzt, gibt eine Menge Daten von sich preis und kann sich nicht sicher sein, was mit seinen Daten tatsächlich passiert.
Stiftung Warentest hat daher zahlreiche smarte Lautsprecher, auf denen Amazons Alexa, Google Assistent oder Siri von Apple liefen, stichprobenartig getestet und konnte keines der 18 untersuchten Geräte mit einer besseren Note als “befriedigend” bewerten.
Das Fazit der Warentester fällt damit nicht besonders gut aus. Wer so einen Dienst intensiv nutzt, gebe “einen gehörigen Teil seiner Privatsphäre auf”, heißt es im Bericht.
Zum einen seien die Datenschutzerklärungen nicht transparent genug, sodass man nicht erkennen kann, was tatsächlich mit den Daten geschieht. Diese seien viel zu lang, oft unklar formuliert und verschweigen etwa bestimmte Nutzerrechte. Die Experten kritisieren hier, dass der europäische Datenschutz nicht angemessen umgesetzt werde. Daher die reihenweise Abwertung in den Noten.
Der Warentester rät: Wenn Privatsphäre und Datenschutz geschätzt werden, sollte auf den Einsatz dieser digitalen Helfer verzichtet werden. Sieht man hingegen in der Nutzung der smarten Lautsprecher eher die Vorteile einer guten Sprachbedienung, muss man im Rahmen des Datenschutzes eben Abstriche machen.
Die beiden von Amazon selbst produzierten Boxen Echo Plus (Note 3,1; rund 150 Euro) und Echo (Note 3,2; rund 100 Euro), die mit Alexa bedient werden, schnitten am besten ab. Dicht dahinter kommt die One von Sonos (Note 3,3; 205 Euro). Bei den Boxen, die mit Google Assistent bedient werden, schnitten die JBL Link 20 (172 Euro) und der Onkyo Smart Speaker G3 VC-GX30 (86 Euro) mit der Note 3,4 am besten ab. Das Homepad von Apple mit Siri (330) erreichte lediglich eine Note von 3,7.
26. März 2019
Der Journalist und IT-Sicherheitsexperte Brian Krebs berichtete auf seinem Blog über den neusten Datenskandal bei Facebook.
Das soziale Netzwerk soll Passwörter jahrelang nur im Klartext abgespeichert haben. Die Daten der Nutzer seien für mehr als 20.000 Facebook-Mitarbeiter sichtbar gewesen. Betroffen seien geschätzt 200 bis 600 Millionen Nutzer von Facebook, Instagram und Facebook Lite.
Facebook hat in einer Stellungnahme vom 21. März den Vorfall nicht geleugnet, sieht aber kein Missbrauchsrisiko. Laut Facebook gibt es keine Hinweise darauf, dass jemand intern missbräuchlich auf die Passwörter zugegriffen habe. Die Betroffenen werden dennoch vorsichtshalber benachrichtigt.
Die DSGVO schreibt in einem solchen
Fall eigentlich eine förmliche Meldung der Datenpanne an die Aufsichtsbehörde
nach Art. 33 DSGVO und eine Benachrichtigung aller Betroffenen nach Art. 34
DSGVO vor. Hierzu nimmt Facebook nicht Stellung.
In einer aktuellen Pressemeldung äußert sich der Bundesdatenschutzbeauftragte Ulrich Kelber zu dem Skandal:
„Es ist zwar traurig, aber ein
Datenschutzvorfall bei Facebook
ist mittlerweile leider keine große Überraschung mehr. Skandalös ist allerdings,
dass einer der weltweit größten IT-Konzerne
offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen.
Damit setzt Facebook
seine Kunden einem unnötigen Risiko aus. Das ist in etwa so, wie wenn sich
Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß,
wie ein Sicherheitsgurt funktioniert.“
Empfohlen wird jedem Nutzer von Facebook und Instagram, sein Passwort zu ändern. Wie man ein sicheres Passwort generiert, können Sie hier in unserem Blog nachlesen.
Eine Anleitung zur kompletten Löschung des Facebook Accounts finden Sie hier.
Es bleibt abzuwarten, wie die für
Facebook zuständige Irische Datenschutzbehörde auf den Vorfall reagieren wird.
Die Einleitung eines Bußgeldverfahrens erscheint möglich.
Der BfDI ist sich allerdings sicher, dass eine Prüfung durch die Datenschutzaufsichtsbehörden erfolgen wird. In der Pressemitteilung heißt es:
„Zum einen muss geklärt werden, ob Facebook vorliegend gegen
Meldevorschriften nach der Datenschutz-Grundverordnung verstoßen hat. Das
Problem scheint ja bereits seit Januar bekannt gewesen zu sein. Unabhängig
davon wird die in Europa zuständige Irische Datenschutzbeauftragte sicherlich
die Einleitung eines Bußgeldverfahrens prüfen. Und schließlich werden wir auch
im Europäischen Datenschutzausschuss über den Fall diskutieren.“
25. März 2019
Die Verordnung “…über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation…” (E-Privacy-VO) sollte ursprünglich zeitgleich mit der Datenschutzgrundverordnung (DSGVO), mithin am 25.5.2018, in Kraft treten. Dies ist bekanntermaßen auch zum heutigen Zeitpunkt noch nicht geschehen.
Aus diesem Grund forderte der Europäische Datenschutzausschuss (EDSA) den europäischen Gesetzgeber am 13. März dazu auf, die Bemühungen um den Erlass der E-Privacy-VO zu intensivieren. So müsse in dem hochsensiblen Bereich der elektronischen Kommunikation ein Regelungswerk geschaffen werden, welches ein hohes Schutzniveau für Daten in diesem Bereich garantiert und die DSGVO ergänze. Dies forderte ebenfalls der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber.
22. März 2019
Die Durchführungsverordnung zum KDG (KDG-DVO) wurde durch die Vollversammlung des Verbandes der Diözesen Deutschlands beschlossen. Diese ist am 01.03.2019 in Kraft getreten und löst die „alte“ Durchführungsverordnung zur KDO (KDO-DVO) ab. In der neuen KDG-DVO finden sich Inhalte, welche bereits in der KDO-DVO enthalten waren, aber auch solche, die neu sind. Insbesondere enthält die Durchführungsverordnung genaue Vorgaben hinsichtlich der Auftragsvereinbarung. Danach ist mit Auftragsverarbeiter, die nicht den Regelungen des KDG unterfallen, neben der Anwendung der EU-Datenschutzgrundverordnung die Anwendung des KDG zu vereinbaren.
In der Praxis handelt es sich hierbei um eine schwer
umsetzbare Vereinbarung, insbesondere vor dem Hintergrund, dass ein
privatwirtschaftliches Unternehmen strengere Regelungen schwer befürworten
würde.
Das katholische Datenschutzzentrum vertritt diesbezüglich allerdings eine klare Linie: Auftragsverarbeitungsverträge sind grundsätzlich unter Einbeziehung des KDG abzuschließen. Im Vordergrund steht die Einhaltung der technischen und organisatorischen Maßnahmen. Bereits im § 29 Abs. 4 lit. c) KDG wurde die vertragliche Verpflichtung des Auftragnehmers betont, alle nach § 26 KDG erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen. Auch in der Konferenz der Diözesandatenschutzbeauftragen wurden vermehrt Anfragen gestellt, wie u.a. die im § 31 Abs. 2 KDG aufgestellte Anforderung zur vertraglichen Verpflichtung des Auftragsverarbeiters auf das KDG zu verstehen und umzusetzen sei. Die Konferenz hatte sich mit der Fragestellung in der Sitzung vom 17. und 18. April 2018 befasst und folgenden Beschluss verfasst: Bei Abschluss von Verträgen kirchlicher Dienststellen mit externen Unternehmen soll eine Bezugnahme auf das aktuelle KDG in den Vertragstext aufgenommen werden, um § 31 KDG zu erfüllen.
Der inhaltliche Schwerpunkt der Vereinbarung liegt sicherlich
bei der Gestaltung der technischen und organisatorischen Maßnahmen sowie bei
der Umsetzung der Verzeichnisse von Verarbeitungstätigkeiten. Der
Auftragsverarbeitungsvertrag muss demnach den Anforderungen des § 29 KDG
genügen. Eine sorgfältige Auswahl des Auftragsverarbeiters wird weiterhin
vorausgesetzt.
Pages: 1 2 ... 89 90 91 92 93 ... 274 275 
