Schlagwort: Datenschutz

Bose Connect – Hört die App mit?

21. April 2017

Nach Informationen der Nachrichtenagentur Reuters sieht sich der Hersteller von Audioartikeln Bose wegen seiner kostenlosen App „Bose Connect“ in den USA mit einer Klage konfrontiert. Im Mittelpunkt der Klage steht der Vorwurf, dass Bose über diese App unerlaubt zahlreiche Informationen über seine Nutzer sammlt. Mit Hilfe der App soll Bose Informationen darüber gesammelt haben, welche Musik, Podcasts oder sonstigen Medieninformationen sich der Nutzer anhört. In der Klage wird weiterhin angeführt, dass Bose die so erstellten Kundenprofile auch mit dritten Unternehmen geteilt habt.

Zwar ist die Nutzung der Produkte von Bose nicht zwingend an die Nutzung der App Bose Connect gekoppelt. Viele Zusatzfunktionen und Optimierungsmöglichkeiten lassen sich aber nur nach dem Download dieser App nutzen. Über die bei der Verwendung der App gesammelten Nutzungsinformationen lassen sich dann auch weitere Rückschlüsse über den Kunden ziehen. Zur Veranschaulichung können hierfür beispielsweise Podcasts oder Radiosender mit politischen oder religiösen Hintergründen angeführt werden. Informationen über die Nutzung solcher Medien sind dazu geeignet, einen intimen Blick auf die politischen oder religiösen Ansichten und somit auf die Persönlichkeit der jeweiligen Person zu offenbaren.

Inwiefern die in der Klage erhobenen Vorwürfe gegen Bose durch die Nutzung der App zutreffen, ist bis jetzt noch nicht geklärt. Bose selbst hat sich hierzu noch nicht geäußert.

Deutscher Mieterbund kritisiert Datenschutz bei der Wohnungssuche

19. April 2017

Der Deutsche Mieterbund (DMB) hat auf seiner Internetpräsenz einen Artikel veröffentlicht, in dem er den Datenschutz bei der Wohnungssuche bemängelt. Kritisiert wird, dass Wohnungssuchende, gerade in Gebieten mit knappem Wohnraum, aufgefordert werden, sensible Daten preiszugeben. Diese Praxis verstoße gegen den Datenschutz. Grund für dieses Urteil war dem Deutschen Mieterbund zufolge eine Untersuchung des Landesbeauftragten für Datenschutz in Nordrhein-Westfalen (LDI). Demnach hat es bei allen 40 geprüften Immobilienmaklern und Wohnungsverwaltungen datenschutzrechtliche Beanstandungen gegebe. Nach Angaben der Datenschutzbeauftragten Helga Block würden so unter anderem Personalausweise kopiert, nach früheren Wohnsitzen gefragt und eine Vorlage der Schufa, die Informationen für Kredite sammelt, angefordert. Hinzukämen unzulässige Fragen zum Beruf oder zum Familienstand. Den Wohnungssuchenden bliebe allerdings aufgrund des knappen Wohnraums in Großststädten und Ballungsräumen keine andere Wahl als den Forderungen nachzukommen.

Aufgrund der datenschutzrechtlichen Bedenken fordert Lukas Siebenkotten, Bundesdirektor des Deutschen Mieterbundes, Konsequenzen. „Wir begrüßen die Aktion des nordrhein-westfälischen Datenschutzbeauftragten. Jetzt müssen bundesweit Konsequenzen aus dieser Untersuchung gezogen werden. Die Angebote von Maklern, Verwaltern und Vermietern, insbesondere auch der Online-Portale, müssen kontrolliert werden. […]“.

Schließlich ist dem Artikel des DMB eine Liste mit den wichtigsten Punkten, die geändert werden sollen, angefügt:

  • Die Mieterselbstauskunft muss ein Interessent erst ausfüllen, wenn nach erfolgter Wohnungsbesichtigung ernsthaftes Interesse an der Wohnung besteht.
  • Kontaktdaten aus vorangegangenen Mieterverhältnissen dürfen nicht abgefragt werden.
  • Fragen zum Familienstand, zum Geburtstag sowie zum Verwandtschaftsverhältnis der zum Haushalt gehörenden Kinder und sonstigen Angehörige sind nicht erforderlich und unzulässig.
  • Fragen nach der Dauer der beruflichen Beschäftigung sind unzulässig.
  • Die undifferenzierte Forderung nach Vorlage einer „Schufa-Auskunft“ oder „Schufa-Selbstauskunft“ oder einer ähnlichen Bonitätsauskunft ist unzulässig. Erst wenn der Abschluss des Mietvertrages unmittelbar bevorsteht, dürfen Bonitätsauskünfte bei Auskunfteien erfragt und die Vorlage einer Bonitätsauskunft verlangt werden.
  • Eine Kopie des Personalausweises darf ebenfalls nicht gefördert werden.

 

Großbritannien und der Datenschutz nach dem Brexit

10. April 2017

Das ‘Vereinigte Königreich Großbritannien und Nordirland` (Großbritannien) wird aus der EU austreten. Der sogenannte Brexit ist inzwischen beschlossene Sache und hat begonnen. Mit Ablauf der nächsten zwei Jahre wird der Brexit vollzogen sein.

Jetzt muss sich die Frage stellen, wie sich der Datenschutz nach dem Brexit entwickelt, denn vor allem für Datenübermittlungen in Nicht-EU-Länder gelten besonders strenge Regeln und zu diesen Nicht-EU-Ländern gehört dann auch Großbritannien.

Großbritannien kann schon immer als Pionier auf dem Gebiet des Datenschutzes bezeichnet werden und ist auch heute noch aktiv an der EU-Datenschutzrecht Gesetzgebung beteiligt. Die anstehende EU-Datenschutzgrundverordnung (DSGVO) spielt für Großbritannien jedoch keine Rolle mehr, weil sie zum Zeitpunkt des in Krafttretens, sofern der Brexit nach Plan läuft, nicht mehr in der EU sind, sodass Umsetzungsmaßnahmen in Bezug auf die DSGVO keinen Sinn machen. Allerdings ist zu beachten, dass der Regierung Großbritanniens daran gelegen sein muss, dass auch nach dem Brexit ein freier Datenfluss zwischen dem dann Nicht-EU-Land und den EU-Ländern gegeben sein muss. Deswegen ist davon auszugehen, dass sich das Datenschutzrecht nach dem Brexit dem der DSGVO anpassen wird, sodass keine Beeinträchtigungen bestehen. Ansonsten besteht die Möglichkeit das Firmen ihre Firmensitze in die EU verlegen, was zu einer Katastrophe für die Wirtschaft Großbritanniens führen kann.

OLG Köln: Schmerzensgeld wegen Verstoß gegen das Datenschutzrecht

9. Februar 2017

Mit Urteil vom 30.09.2016 (Az. 20 U 83/16) hat das Oberlandesgericht Köln (OLG Köln) einen Anspruch auf Schmerzensgeld aufgrund eines datenschutzrechtlichen Verstoßes bejaht. Die Beklagte hatte ein Urteil mit Gesundheitsdaten des Klägers rechtswidrig an dessen Arbeitgeber weitergegeben. Zu dem Urteil kam es, weil der Kläger mit der beklagten Versicherung über Ansprüche aus einer Berufsunfähigkeitsversicherung stritt. Die Versicherung behauptete, dass sich die Klägerin vertragswidrig Verhalten habe und verweigerte daher die Zahlung. Nachdem die Klage erstinstanzlich noch abgewiesen worden war, verglichen sich die Parteien im Berufungsverfahren auf Zahlung in Höhe von 90.000 Euro an den Kläger.

In der Zwischenzeit hatte die Beklagte das Urteil der ersten Instanz allerdings an den Arbeitgeber des Klägers, ein Unternehmen des gleichen Konzerns, weitergegeben. Der Arbeitgeber des Klägers kündigte ihm daraufhin fristlos.

In dem zu entscheidenden Fall begehrte der Kläger von der Beklagten Schadensersatz und Schmerzensgeld, da sie nach Ansicht des Klägers nicht dazu berechtigt gewesen sei, das Urteil an den Arbeitgeber weiterzugeben. Der Kläger hatte insbesondere keine Einwilligung hinsichtlich der Weitergabe erteilt.

Während das Landgericht Köln die Klage in der ersten Instanz noch abgewiesen hatte, entschied das OLG Köln im Berufungsverfahren zu Gunsten des Klägers. Als Begründung führte es aus, dass die Beklagte die Gesundheitsdaten des Klägers aus keinem rechtlichen Grund an Dritte weitergeben durfte. Vor allem sei die konzernrechtliche Bindung zwischen der Beklagten und dem Arbeitgeber des Klägers im Datenschutzrecht ohne Bedeutung. Da weder eine Einwilligung des Klägers vorgelegen habe, noch ein denkbarer Erlaubnistatbestand einschlägig sei, sei die Weitergabe des Urteils und der Gesundheitsdaten daher rechtswidrig erfolgt.

Damit verletzte die Beklagte das Recht auf informationelle Selbstbestimmung des Klägers und der Kläger könne aufgrund des dadurch erlittenen materiellen und immateriellen Schadens Schadensersatz- und Schmerzensgeldansprüche geltend machen. Da der Kläger zunächst auf die reine Feststellung des Verstoßes geklagt hatte, kann er nun noch die konkrete Höhe beziffern und die entsprechenden Beträge einfordern.

Zwei Männer, ein Thema, zwei Welten

24. Februar 2016

Es ist ein Zufall, wie er manchmal in der Berichterstattung vorkommt, und er verdeutlicht, wie unterschiedlich die Welten und Ansichten sind wenn es um das Thema Datenschutz geht.

Innerhalb von 5 Stunden veröffentlichte heise online gestern erst die Nachricht über das „düstere Fazit“ des Datenschutzbeauftragten von Sachsen-Anhalt, Harald von Bose, und anschließend die Forderung des Kanzleramtsministers Peter Altmaier (CDU), die Grenzen der Datensparsamkeit zu erkennen und das Konzept der informationellen Selbstbestimmung neu zu denken.

Beide Männer haben somit dasselbe Thema, nämlich Datenschutz, aber die Ansichten und Forderungen könnten unterschiedlicher nicht sein.

Während Peter Altmaier die (in solchen Fällen gerne genannte) Terror-Bedrohung als Allzweck-Argument für die massenhafte Erhebung, Verarbeitung und Speicherung von Meta- wie auch persönlichen Daten (und deren Verknüpfung untereinander) heranzieht, sieht Harald von Bose in genau jenem Argument lediglich einen Vorwand, der vor allem dazu diene, den Sicherheitsbehörden (noch) mehr Befugnisse zu geben.

In seinem Tätigkeitsbericht sieht der sachsen-anhaltische Datenschutzbeauftragte Widersprüche zwischen Anspruch und Wirklichkeit. Zwar habe der Europäische Gerichtshof in seinen Entscheidungen zum „Recht auf Vergessen“ und zum Verhältnis von EU und USA als nicht sicherem Datenhafen die Grundrechte gestärkt. Umsetzungen in der Praxis ließen aber vielfach auf sich warten. Stattdessen würden die Menschen immer gläserner, ob als Bürger, als Verbraucher, als Kunde, im Verhältnis zum Staat, zu Unternehmen und zu anderen Menschen, auch als Autofahrer, als Patient, zu Hause, am Arbeitsplatz oder in der Öffentlichkeit. Algorithmen erfassen und steuern zunehmend das Verhalten bis hinein in die Gedankenfreiheit, so Harald von Bose in seiner Pressemitteilung vom 23.02.2016.

Im Verhältnis von Freiheit und Sicherheit sieht er den Staat eindeutig auf der Seite der (vermeintlichen) Sicherheit und in der Übermacht. Das, was Harald von Bose also als Gefährdung der Privatsphäre und damit der freien Gesellschaft insgesamt sieht, stellt für Peter Altmaier den aus seiner Sicht wohl wünschenswerten Anfang des Endes der Datensparsamkeit dar. Nach seinen Forderungen sollten sämtliche Daten von sämtlichen Stellen den Sicherheitsbehörden zur Verfügung gestellt und das Konzept der informationellen Selbstbestimmung neu gedacht werden. Man darf davon ausgehen, dass ein solches „neu denken“ des Konzepts der informationellen Selbstbestimmung wohl kaum zu mehr Datenschutz für die Bürger führen würde.

Die beiden konträren Ansichten zweier Männer über ein Thema an einem Tag zeigen Fragen auf, die sich Viele stellen:

In welcher digitalen Welt wollen wir leben? Können und wollen wir die digitale Zukunft (und Gegenwart) mitbestimmen? Es sind auch grundsätzliche und persönliche Fragen, die manchen vielleicht an die ein oder andere Schulstunde erinnern: War ich Fan oder Gegner von George Orwells „1984“ und Aldous Huxleys „Brave New World“?

Hier geht es um Fragen, die in Form von verschiedenen Themen immer wieder in den Nachrichten oder Foren auftauchen. So z.B. die Übertragung von Gesundheitsdaten an Krankenkassen durch sog. Wearables, die Übertragung des Fahrverhaltens an Autohersteller oder auch die Einschränkung von Suchergebnissen in Internetsuchmaschinen.

Es sind Fragen und Entscheidungen, die möglichst frei und informiert beantwortet und getroffen werden sollten. Sowohl von Jedem einzelnen als auch der Gesellschaft als Ganzem.

 

Safe Harbor 2 – Update zum Stand der Verhandlungen

26. Januar 2016

Wie Reuters vergangenen Freitag berichtete, habe die US-Regierung der EU die Schaffung eines „US privacy ombudsman“ angeboten. Die eigens für das neue Safe Harbor Abkommen einzurichtende Behörde soll dem US-Außenministerium unterstehen und für Beschwerden von EU-Bürgern über den transnationalen Datentransfer zuständig sein. Unter Berufung auf vier an den Gesprächen beteiligten Quellen soll die Behörde sicherstellen, dass der Zugriff auf Daten von EU-Bürgern nicht exzessiv erfolgt.

Darüber hinaus hätten die Vereinigten Staaten eine Liste Regelungen und Maßnahmen vorgelegt, die die Kompetenzen ihrer Nachrichtendienste beschreiben und begrenzen. Auch soll zukünftig ein Rechtsschutz von EU-Bürgern gegen den unberechtigten Datenzugriff der US-Behörden möglich sein.

Derzeitig werde über die konkreten Aufgaben und Befugnisse der neuen Behörde verhandelt.

Der EuGH hatte in dem Urteil vom 06. Oktober 2015 das Safe Harbor Abkommen für ungültig erklärt, da unter anderem nicht berücksichtigt wurde, ob es Rechtsvorschriften gibt, die etwaige Eingriffe in die Grundrechte der Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, begrenzen. Außerdem blieb die Existenz eines wirksamen Rechtsschutzes gegen Eingriffe unbrerücksichtigt.

Der Vorschlag zu einer neuen Schiedsstelle kann daher als Schritt in die richtige Richtung verstanden werden. Ob durch die neue Behörde ein Teil der durch den EuGH aufgestellten Grundsätze erfüllt werden, wird erst anhand weiterer Informationen berurteilt werden können.

Einigung über Safe Harbor 2.0 bis Ende Januar nicht absehbar – Aufsichtsbehördliche Maßnahmen ab Februar?

21. Januar 2016

Mit dem Urteil vom 06. Oktober 2015 hat der EuGH das Safe Harbor Abkommen für ungültig erklärt. Die obersten Datenschutzbehörden (Artikel-29-Gruppe) haben daraufhin in ihrer Presseerklärung vom 16. Oktober 2016 den Unternehmen, die von der Entscheidung des EuGHs betroffen sind, eine Umsetzungsfrist bis Ende Januar 2016 eingeräumt, um Datenübermittlungen in Drittstaaten auf alternative Grundlagen zu stützen.

Gleichzeitig wurden die EU-Regierungen, die EU-Kommission sowie die US-Regierung aufgefordert, innerhalb dieser Frist ein neues Safe Harbor Abkommen zu verbschieden, das die vom EuGH ausgeurteilten Voraussetzungen erfüllt und als weitere Grundlage neben den Standardvertragsklauseln sowie den Binding Corporate Rules für den Datentransfer in die Vereinigten Staaten dienen kann.

Eine Einigung über ein neues Abkommen noch im Januar scheint nach derzeitigem Stand unwahrscheinlich.

Am 15. Januar 2016 habe die EU-Kommission die Mitgliedsstaaten darüber informiert, dass die Verhandlungen ins Stocken geraten seien. Teilnehmer der Sitzung hielten eine zeitnahe Einigung für „unrealistisch“ und „unwahrscheinlich“, die Stimmung sei insgesamt pessimistisch.

Laut dem EU-Datenschutzbeauftragten Giovanni Buttarelli hätte eine Einigung im Januar allenfalls politische Bedeutung, ein rechstwirksames Abkommen mit Bindnungswirkung erfordere noch weitere Monate Verhandlung.

Am 2. Februar 2016 tritt die Artikel-29-Gruppe wieder zu einer Sitzung zusammen. Es ist zu erwarten, dass im Anschluss daran mitgeteilt wird, welche Maßnahmen die Aufsichtsbehörden gegen Unternehmen, die Daten auf Grundlage des für ungültig erklärten Safe Harbor Abkommens in die Vereinigten Staaten übermitteln, ergreifen werden.

Vor dem Hintergrund, dass der unzureichende Schutz vor einem Zugriff von US-Behörden auf Daten von EU-Bürgern wesentlicher Grund für die Ungültigerklärung des Safe Harbor Abkommens war, könnte ein aktueller Rechtsstreit zwischen der US-Regierung und Microsoft Bedeutung erlangen. Die US-Regierung begehrt hier Zugriff auf Daten, die sich auf einem Server von Microsoft in Irland befinden und zwar allein aufrund eines US-amerikanischen Gesetzes ohne Berücksichtigung andere Rechtsordnungen. Dass ein Einigungswille auf Seite der Vereinigten Staaten besteht, ein Abkommen zu schließen, dass die Daten von EU-Bürgern vor einem Zugriff schützt, scheint daher fraglich.

Einheitliche Regeln zur Cybersecurity – EU bringt die Richtlinie zur Netz- und Informationssicherheit (NIS) auf den Weg

10. Dezember 2015

Bereits seit Anfang 2013 arbeitet die EU an einheitlichen Vorschriften zur Gewährleistung der europaweiten Netzwerk- und Informationssicherheit. Der zu diesem Zweck verabschiedete Cybersecurity-Plan beinhaltete bereits einen ersten Entwurf der Network Information Security Directive.

Am 08. Dezember 2015 konnte zwischen Vertretern der EU-Kommission, des Europaparlaments und der Mitgliedstaaten eine Einigung über eine vorläufige Endfassung der Richtlinie erzielt werden.

Die Richtlinie begründet eine Verpflichtung der EU-Mitgliedsstaaten Betreiber und Anbieter „essentieller Dienstleistungen“, die für das soziale oder wirtschaftliche Leben in den Bereichen Energie, Transport, Finanzen, Gesundheit, Wasserversorgung und Digitale Infrastruktur wesentlich sind, zu benennen.

Diese Unternehmen sind zukünftig verpflichtet, angemessene Schutzmaßnahmen zur Gewährleistung der IT-Sicherheit zu treffen und schwerwiegende Vorfälle an die nationalen Behörden zu melden.

Für die Digitale Infrastruktur als wesentlich gelten nach der Richtlinie auch große Internet-Service-Provider, wie Online-Marktplätze, Suchmaschinen und Cloud-Anbieter. In diesem Zusammenhang werden Amazon, Google und Ebay ausdrücklich genannt.

Im Gegensatz zu dem ersten Entwurf der Richtlinie sind der öffentliche Sektor, kleine und mittlere Unternehmen sowie soziale Netzwerke nicht mehr von der vorläufigen Endfassung erfasst.

Die EU-Kommission begrüßt die Einigung in ihrer Pressemitteilung vom 08. Dezember 2015 und verweist auf die 21-monatige Umsetzungsfrist nach der formellen Verabschiedung der Richtlinie. Den Mitgliedsstaaten wird nach Ablauf der Umsetzungsfrist eine weitere Frist von 6 Monaten zur Benennung der relevanten Unternehmen eingeräumt.

Mitteilung der EU-Kommission zum transatlantischen Datentransfer nach der Safe-Harbor-Entscheidung

9. November 2015

In der Mitteilung COM(2015)566 vom 06. November 2015 nimmt der EU-Kommission zu den rechtlichen Folgen der Safe Harbor Entscheidung sowie dem aktuellen Stand der Verhandlungen über ein erneutes Abkommen Stellung.

In Übereinstimmung mit den Ausführungen der Artikel 29-Datenschutzgruppe vom 16. Oktober 2015 empfiehlt die EU-Kommission die Verwendung von Standardvertragsklauseln oder Binding Corporate Rules um personenbezogene Daten von EU-Bürgern datenschutzkonform in die Vereinigten Staaaten zu übermitteln. Sie betont dabei gleichzeitzig, dass die Empfehlung, so wie die Mitteilung insgesamt, ohne rechtliche Bindungswirkung für die Mitgliedsstaaten sei und insbesondere das Vorgehen der nationalen Aufsichtsbehörden in ihrem eigenen Ermessen stehe.

In den seit 2013 stattfindenden Verhandlungen über ein neues Safe-Harbor-Abkommen seien deutliche Fortschritte erzielt worden. Es hätten bereits Verständigungen über eine strengere Überwachung und Durchsetzung der Safe-Harbor-Datenschutzgrundsätze durch Behörden der Vereinigten Staaten, transparentere Verbraucherrechte und einfacherere und günstigere Abhilfemöglichkeiten bei Beschwerden gegeben. Nach der Safe-Harbor-Entscheidung seien die Verhandlungen mit dem Ziel intensiviert worden, die Verhandlungen in drei Monaten abzuschließen.

Bis zu dem Abschluss eines neuen Abkommens seien die breits genannten Standardvertragsklauseln oder Binding Corporate Rules mögliche Optionen. Für die rechtskonforme Durchführung eines transatlantischen Datentransfers seien die Datenexporteure unter der Aufsicht der nationalen Aufsichtsbehörden verantwortlich.

Eine Zusammenfassung der Mitteilung sowie unverbindliche Handlungsempfehlungen der EU-Kommission können dem Q&A-Dokument vom 06. November 2015 entnommen werden.

1 2 3 6