26. Februar 2019
Das Wall Street Journal hat herausgefunden, dass Apps wie Menstruationskalender und Herzfrequenzmesser sensible Daten an Facebook weitergeben. Davon wissen die meisten Nutzer jedoch nichts. Facebook sieht sich nicht in der Verantwortung, da die App-Entwickler selbst entscheiden, welche Angaben über bereitgestellte Tools übermittelt werden. Zweck dieser Datenübermittlung ist es, personalisierte Facebook-Werbung zu ermöglichen.
Mithilfe einer Software haben die Journalisten untersucht, welche Daten 70 populäre Apps aus dem Apple Store weitergeben. Elf davon übermitteln sensible Daten, ohne dass der Nutzer darüber gemäß Art. 13 DSGVO informiert wurde. Laut Experten verstößt diese Praxis gegen die DSGVO.
Die App Flo, mit der Frauen ihre Menstruationszyklen festhalten können, sendet die gesammelten Daten, wie etwa zum Eisprung, welche die Nutzerin eingibt.
Facebook reagiert auf die Recherchen und teilt mit, dass diese Apps gegen die Vorgaben von Facebook verstoßen und fordert die Betreiber auf, die Daten nicht mehr an Facebook zu übermitteln.
25. Februar 2019
Das Kammergericht Berling (KG) hat mit einem Urteil vom 27.12.2018 (23 U 196/13), entschieden, dass die von Apple im Jahr 2011 verwendete “Datenschutzrichtlinie” teilweise rechtswidrig war. Diese – noch nicht rechtskräftige – Entscheidung veröffentlichte der klagende Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (vzbv) auf seiner Homepage.
Der vzbv betonte überdies, dass das KG festgestellt habe, dass auch ältere Klauseln zur Nutzung personenbezogener Daten die Anforderungen der seit Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) erfüllen müssten. (Heiko Dünkel, Rechtsreferent beim vzbv in einer Mitteilung vom 22.02.2019).
Die praktische Relevanz dieser Entscheidung bleibt allerdings abzuwarten. So ist aufgrund der aktuellen medialen Präsenz datenschutzrechtlicher Themen davon auszugehen, dass viele Unternehmen ihre Datenschutzrichtlinien im Hinblick auf die Anfordernungen der DSGVO modifiziert haben.
22. Februar 2019
Der Bundesbeauftragte für Datenschutz und die Informationsfreiheit Ulrich Kelber sieht große datenschutzrechtliche Mängel beim aktuelle Gesetzentwurf zur Änderung der Strafprozessordnung (StPO). Im Rahmen einer Anhörung im Rechtsausschuss am 20.02.2019 des Bundestages äußerte er seine Kritikpunkte in einer Stellungnahme.
Der Gesetzesentwurf enthält beispielsweise eine Regelung, die eine Datenübermittlung an den Nachrichtendienst erlaubt. Der BfDI kritisierte die Norm, weil sie zu unbestimmt sei und keine ausreichende Schwelle, wann eine Übermittlung erlaubt sein soll, enthielte. Darüber hinaus äußerte er Bedenken hinsichtlich der datenschutzrechtlichen Konformität der sog. „Mitziehautomatik“ (§ 489 StPO-Entwurf), bei der auch nach einer eigentlich beendeten „kriminellen Karriere“ auch ein leichtes Fahrlässigkeitsdelikt nach einem Verkehrsunfall alte Speicherungen mitziehen kann. Der BfDI kritisierte, dass diese Klausel zu einer unabsehbaren Speicherdauer führen würde, ohne im Einzelfall die Verhältnismäßigkeit hinreichend sicherzustellen
Erheblichen Nachbesserungsbedarf sieht der BfDI darüber hinaus bei den Regelungen zum Umgang mit Strafverfolgungsdateien. Dazu führte Ulrich Kelber aus: „Der Plan, Daten aus individuellen Strafverfahren, auf die bislang nur die mit dem Verfahren betrauten Ermittler Zugriff hatten, künftig allgemein abrufbar in den polizeilichen Informationssystemen auf Vorrat zu speichern, ist aus datenschutzrechtlicher Sicht nicht hinnehmbar. Mit dieser Vorschrift würde ein weiterer Schritt gegangen, die verfassungsrechtlich gebotenen Zweckbindungen bei der Speicherung von Daten aufzulösen. Konkret hätte ein erheblich größerer Kreis als bisher Zugang zu diesen teils sehr sensiblen Dateien. Diese betreffen nicht nur verurteilte Täter, sondern auch Verdächtige, Beschuldigte, Zeugen, Hinweisgeber und durch die Straftat geschädigte Personen. Sie können unbegrenzte Datenmengen und sehr sensible Informationen enthalten, etwa zu Opfern von Sexualstraftaten, die keinen Anlass dafür gegeben haben, dass ihre Daten in einem derart großen Maßstab abrufbar sind. Es wäre deshalb ein unbedingt zu vermeidender Fehler, diese bisherigen Spezialdateien auf breiter Ebene in die Informationssysteme der Polizeibehörden zu integrieren.”
Durch die Gesetzesänderung soll die Datenschutzrichtlinie (EU) 2016/680 für den Bereich der Strafverfolgung umgesetzt und die StPO an die Vorgaben der DSGVO angepasst werden.
21. Februar 2019
Nach der erreichten Einigkeit zwischen Bund und Ländern hinsichtlich des Digitalpakts für Schulen soll das Grundgesetz geändert werden.
Der Kernpunkt der Einigung ist, dass der Bund zukünftig die Möglichkeit hat, die Länder finanziell bei der Digitalisierung von Schulen zu unterstützen, eine gemeinsame Finanzierung der Mittel wurde aber abgelehnt. Der Bund erhält Kontrollrechte, wonach er Unterlagen der Länder über die Ausgabe und Verwendung der Bundesmittel anfordern darf.
“Finanziert werden damit etwa WLAN-Anschlüsse, die Anschaffung digitaler Lerngeräte oder entsprechender Anzeigegeräte wie ‘digitale Tafeln’. Damit soll erreicht werden, dass schnelles Internet in allen Schulen verfügbar wird und der Einsatz digitaler Medien in die Lerninhalte integriert werden kann. Sie sollen die traditionellen Lernmethoden ergänzen, aber können sie keinesfalls ersetzen“ – teilte der Vizechef der Unionsfraktion, Andreas Jung (CDU) der FAZ mit.
Auch das Thema des Einsatzes von Schul-Clouds wird diskutiert. Dadurch soll erreicht werden, dass die zentralen Cloudlösungen die Anschaffung und Wartung von Serverstrukturen, die Auswahl und Aktualisierung der Software sowie eine grundlegende Gewährleistung des Datenschutzes übernehmen. Sollte die Bundesregierung eine bundesweit oder länderübergreifend flächendeckende Schul-Cloud-Dienste einsetzen wollen, sind vorab viele wichtige datenschutzrechtlichen Fragen zu klären. Aus datenschutzrechtlicher Sicht bringt daher der Digitalparkt eine Reihe von Nuancen, die bei der Digitalisierung von Schulen zukünftig zu beachten sind.
20. Februar 2019
Fast 95 Prozent der Unternehmen betreiben E-Mail- und Newsletter-Marketing. Die aktuelle Benchmark-Studie der Unternehmensberatung absolit hat über 5000 Top-Unternehmen im deutschsprachigen Raum untersucht und kommt zu dem Ergebnis, dass jedem 5. Unternehmen ein Bußgeld droht, weil das E-Mail- und Newsletter-Marketing nicht rechtskonform ausgestaltet ist. Besonders nachholbedürftig in Sachen Datenschutz sei der Newsletter-Versand im B2B-Bereich. Als größte Schwachstelle stellt sich dabei ein nicht DSGVO-konformer Eintragungsprozess in den Newsletter-Verteiler heraus.
Folgende Fakten lassen sich der Studie entnehmen:
- 38 Prozent der Unternehmen fragen zu viele Daten ab und ignorieren den Grundsatz der Datensparsamkeit
- mehr als 75 Prozent informieren unzureichend oder gar nicht über die Datenverarbeitung
- 20 Prozent der Unternehmen verzichten auf die Bestätigung einer Formulareintragung mittels Double-Opt-In
- knapp die Hälfte der B2B-Unternehmen (57 Prozent) haben eine rechtskonforme Anmeldung zum Newsletter
Wegen einer nicht rechtskonformen Umsetzung können gegen die Unternehmen hohe Bußgelder verhängt werden (Art. 83 DSGVO). Im schlimmsten Fall von bis zu 20 Millionen oder von bis zu vier Prozent seines gesamten weltweiten erzielten Jahresumsatzes verhängt werden.
Aus diesem Grund sollten Unternehmen folgende Punkte beim Thema Newsletter-Versand beachten:
- ausdrückliche und nachweisliche Einwilligung des Empfängers erforderlich
- idealerweise Nutzung eines Double-Opt-In-Verfahrens
- vorherige Aufklärung des Empfängers über alle Datenverarbeitungsvorgänge – Implementierung einer Checkbox mit Einwilligungserklärung im direkten Umfeld des Anmeldeformulars
- Grundsatz der Datensparsamkeit beachten – nur so viele Daten wie notwendig erheben
- umfangreiche Datenschutzhinweise mit Hinweis zum Widerrufsrecht – müssen durch einen jederzeit abrufbaren und von allen Seiten zugänglicher Link erreichbar sein
- Impressum aktuell halten
- Verzeichnis für Verarbeitungstätigkeiten anlegen
- Abschluss eines Auftragsverarbeitungsvertrages, wenn ein externer Dienstleister eingesetzt wird
In einer Handelsblatt-Umfrage, in der sich die Datenschutzbeauftragten der Länder zu diesem Thema äußerten, heißt es, dass bereits zahlreiche Bußgeldverfahren eingeleitet worden sind und zudem etliche Verwarnungen ausgesprochen wurden. Aus diesem Grund gilt nach wie vor, dass die Vorgaben der DSGVO schnellsmöglichst umgesetzt werden müssen, um Bußgelder zu vermeiden.
19. Februar 2019
Kinder werden, aufgrund der geringeren Einsichts- und Urteilsfähigkeit für die Tragweite eigenen Handelns, vom Datenschutzrecht besonders geschützt.
Nach Art. 8 Abs. 1 DSGVO bedarf es der Zustimmung des Trägers der elterlichen Verantwortung, wenn ein Kind seine Einwilligung zu einem Dienst einer Informationsgesellschaft erteilt. Damit gilt diese Vorschrift ausschließlich, wenn Rechtsgrundlage für die Verarbeitung eine Einwilligung des Kindes ist. Ein Kind im Sinne der Vorschrift ist eine Person, die das 16. Lebensjahr noch nicht vollendet hat.
Die Definition des Begriffs „Dienst der Informationsgesellschaft“ in Art. 4 Nr. 25 DSGVO verweist auf die Richtlinie (EU) 2015/1535. Danach ist ein Dienst der Informationsgesellschaft jede
- in der Regel gegen Entgelt
- elektronisch
- im Fernabsatz und
- auf individuellen Abruf eines Empfängers
- erbrachte Dienstleistung.
Liegen diese 5 Voraussetzungen kumulativ vor, bedarf die Einwilligung in das Angebot der Zustimmung der Eltern. Typische Beispiele für einen solchen Dienst sind Soziale Medien und Online-Spiele. Anhang 1 der Richtlinie (EU) 2015/1535 beinhaltet hierzu einen Negativ-Katalog.
Nach Art. 8 Abs. 2 DSGVO sind angemessene Anstrengungen zu unternehmen, um sich der Zustimmung der elterlichen Verantwortung zu versichern. Als sicheres Verfahren käme eine Videoaufzeichnung oder andere Identifizierungsverfahren in Betracht. Allerdings könnten diese Verfahren mit dem Grundsatz der Datensparsamkeit in Konflikt geraten. Diese beiden Forderungen der DSGVO sind in Einklang zu bringen. Es ist daher zu prüfen, wie sensibel die Daten sind, die von dem Kind erhoben werden. Je sensibler die Daten desto höhere Anforderungen sind an die Anstrengung zur Sicherstellung der Zustimmung der Eltern zu stellen.
Es ist zu empfehlen, bei der Erhebung von personenbezogenen Daten eines Kindes immer den Datenschutzbeauftragten mit einzubeziehen, um zu prüfen, ob die Voraussetzungen des Art. 8 Abs. 1 DSGVO vorliegen und ob die Anforderungen des Art. 8 Abs. 2 DSGVO erfüllt werden.
In den modernen Zeiten kommt es immer öfter dazu, dass Lehrer mit den Eltern ihrer Schüler via WhatsApp kommunizieren. Der Präsident der
Kultusministerkonferenz sieht dies datenschutzrechtlich jedoch als bedenklich an. Seiner Ansicht nach dürften keine personenbezogene Daten durch WhatsApp ausgetauscht werden. In besonderem Maße gälte dies für sensible personenbezogene Daten wie beispielsweise Krankmeldungen aber auch für unterrichtsbezogene sowie notenrelevante Daten, die mittels des Messenger-Dienstes ausgetauscht werden können.
In Deutschland fällt eine solche Kommunikation zwischen Lehrern und Eltern oftmals in eine Grauzone. Eine Umfrage der Deutschen Presse-Agentur ergab, dass manche Bundesländer ihren Lehrkräften untersagen, arbeitsbezogene Nachrichten mittels des Messenger-Dienstes auszutauschen. Eine genaue Regelung gibt es diesbezüglich jedoch nicht. Das Bundesland Niedersachsen eruiert zu dieser Zeit einen datenschutzrechtlich unbedenklicheren, alternativen Messenger-Dienst.
Um die Kommunikation zwischen den Lehrkräften und den Eltern auf datenschutzrechtlich konforme Art und Weise gewährleisten zu können, fordert der Lehrerverband die Einrichtung von Elternportalen. Diese sollen so konzipiert sein, dass eine Kommunikation unter Aufsicht der Schule in einem passwortgeschützten Bereich stattfindet.
18. Februar 2019
Die Vollversammlung des Verbandes der Diözesen Deutschlands hat am 19. November 2018 eine neue Durchführungsverordnung zum „Gesetz über den Kirchlichen Datenschutz“ (KDG-DVO) beschlossen. Die Durchführungsverordnung soll zum 1. März 2019 in Kraft treten. Hintergrund ist, dass die bisherige Durchführungsverordnung zur Anordnung über den Kirchlichen Datenschutz (KDO-DVO), welche vor Inkrafttreten des “Gesetzes über den kirchlichen Datenschutz” (KDG) Anwendung fand, gemäß der in § 57 Abs. 5 KDG festgelegten Übergangsfrist längstens bis zum 30.06.2019 in Kraft bleibt, sodass eine Anpassung der bisherigen DSGVO erforderlich war.
Für das Inkraftsetzung der neuen KDG-DVO bedarf es eines Beschlusses des Bischofs der jeweiligen Diözese. Die Inkraftsetzung der KDG-DVO wurde bislang noch nicht in allen Deutschen (Erz-) Diözesen beschlossen.
In der neuen KDG-DVO finden sich Inhalte, welche bereits in der KDO-DVO enthalten waren, aber auch solche, die neu sind. Die Verantwortlichen müssen insbesondere weiterhin ein Datenschutzkonzept vorhalten. Dies ergibt aus der Pflicht des Verantwortlichen den Schutzbedarf personenbezogener Daten anhand einer Risikoanalyse festzustellen (Kapitel 3 KDG-DVO). Interessant sind vor allem die in § 6 KDG-DVO enthaltenen Vorgaben zu den technischen und organisatorischen Maßnahmen, welche auch die Anforderungen an deren Weiterentwicklung betreffen. Die KDG-DVO sieht weiterhin die Einordung personenbezogener Daten in eine Datenschutzklasse vor und erfolgt durch den Verantwortlichen. Sie soll in der Regel bei der Erstellung des Verarbeitungsverzeichnisses vorgenommen werden. In diesem Zusammenhang soll auch der betriebliche DSB angehört werden. Zusätzlich enthält die KDG-DVO diverse Beispiele für besondere Gefahrenlagen (Kapitel 5). Diese dürften insbesondere für die Pflicht zur Durchführung einer Datenschutzfolgenabschätzung relevant sein.
Jede unter den Anwendungsbereich der neuen KDG-DVO fallende Einrichtung sollte bereits jetzt prüfen, welche Auswirkungen die Neuregelung z. B. auf das bereits erstellte Datenschutzkonzept haben wird, so der Diözesandatenschutzbeauftragte der norddeutschen Bistümer.
Wie die australische Rundfunkgesellschaft ABC berichtet, sind neben dem Parlament in Australien drei große Parteien – namentlich die regierenden Parteien Liberal Party of Australia und die National Party of Australia sowie die stärkste Oppositionspartei Labor – Ziel eines Hackerangriffes geworden. Dies sei bei der Untersuchung eines Angriffes auf IT-Netzwerke des Parlaments am 08. Februar entdeckt worden. Den Berichten zufolge vermutet das, die Hackerangriffe untersuchende, Australian Cyber Securtiy Centre, dass lediglich ein fähiger staatlicher Akteur hinter dem Angriffsversuch stecken könne. Damit erinnert der Fall an den Hackerangriff auf den Bundestag 2015, bei dem in der Folge der Ermittlung staatliche, russische Hacker als verantwortlich ausgemacht wurden.
Unklar scheint bisher noch, ob es im Rahmen der Angriffe zum Verlust von Daten gekommen sei. Mit Blick auf die dieses Jahr stattfindenden bundesweiten Wahlen gebe es bislang allerdings keine Hinweise auf den Versuch einer Wahlbeeinflussung.
Trotz eindeutiger Werberichtlinien von Google senden offenbar zehntausende Android-Apps Werbe-Daten nicht nur mit der dafür vorgesehenen Werbe-ID eines Handys, sondern auch mit permanenten Geräte-IDs an Werbekunden. Werbedienstleister können so auch dann personalisierte Anzeigen darstellen, wenn der Nutzer seine Werbe-ID kürzlich zurückgesetzt hat. Das geht aus einer Untersuchung der unabhängigen Forschungseinrichtung Appcensus aus dem kalifornischen Berkeley hervor. Aus einer Datenbank von 24.000 Android-Apps, die die sogenannte Werbe-ID für Smartphones abfragen, griffen der Studie zufolge rund 70 Prozent weitere Identifizierungsmerkmale ab. Mehr als 18.000 unterschiedliche Apps seien betroffen.
Die sogenannte Werbe-ID soll es eigentlich ermöglichen, dass Smartphone-Nutzer personalisierte Werbung erhalten, ohne gleichzeitig kaum oder gar nicht veränderbare Gerätedaten wie die Seriennummer IMEI, Mac-Adressen von Routern oder die Android-ID (SSAID) übertragen zu müssen. Wie bei Browser-Cookies können Nutzer auf Wunsch die Werbe-ID jederzeit zurücksetzen oder deren Übertragung generell deaktivieren. Im Anschluss sollten Dienstleister nicht mehr in der Lage sein, personalisierte Werbung anhand der vorherigen Nutzung auszuspielen.
Die Forscher vom International Computer Science Institute haben Google bereits im vergangenen September über die Funde informiert, allerdings keine Antwort bekommen. Dem US-Computermagazin Cnet sagte ein Google-Sprecher hingegen: “Die Kombination der Werbe-ID mit Gerätekennungen zum Zwecke der Personalisierung von Anzeigen ist strengstens verboten. Wir überprüfen ständig Apps – einschließlich der im Bericht des Forschers genannten – und werden Maßnahmen ergreifen, wenn sie unseren Richtlinien nicht entsprechen.”
Pages: 1 2 ... 92 93 94 95 96 ... 275 276 
