Schlagwort: Datenschutz
20. Juli 2022
Die Verbraucherzentrale Bundesverband (vzbz) hat in einer Pressemitteilung bekannt geben, dass sie beim Landgericht Berlin Klage gegen Tesla erhoben habe. Die vzbz wirft dem Automobilhersteller vor, durch die Nutzung des sog. Wächter-Modus der Tesla-Fahrzeuge gegen die DSGVO zu verstoßen.
Der Wächter-Modus
Laut Angaben des Herstellers seien alle Tesla-Fahrzeuge mit dem Wächter-Modus ausgestattet. Im geparkten und abgeschlossenen Zustand erfassen am Fahrzeug angebrachte Kameras permanent die Umgebung. Sobald sie eine erhebliche Bedrohung erkennen, beginnen die Kameras mit der Aufzeichnung. Zusätzlich wird die Alarmanlage aktiviert und die Fahrezeughalter/innen benachrichtigt. Dabei käme es natürlich auch zur Aufzeichnung von unbeteiligten Passanten/innen, die zufällig den Erfassungsbereich der Kameras betreten. Die vzbz wirft Tesla vor, dass diese anlasslose Aufzeichnung unzulässig sei und Fahrzeughalter/innen durch die Nutzung des Wächter-Modus unwissentlich ein hohes Bußgeld für den DSGVO-Verstoß riskieren würden.
Videoüberwachung unter der DSGVO
Die Videoüberwachung ist eine Form der ganz oder teilweise automatisierten Verarbeitung personenbezogener Daten und folglich nach der DSGVO zu bewerten. Selbst für die Videobeobachtung in Echtzeit, bei der keine Daten gespeichert werden, ist die DSGVO einschlägig. Die Anforderungen an eine DSGVO-konforme Videoüberwachung wurden von der Datenschutzkonferenz (DSK) in einem Kurzpapier zusammengefasst. Demnach bedarf es zuerst einmal einer gültigen Rechtsgrundlage nach Art. 6 DSGVO. Bei einer Videoüberwachung durch nicht öffentliche Stellen, bei der unbeteiligte Passanten aufgenommen werden, käme hier Art. 6 Abs. 1 lit. f DSGVO in Betracht. Demnach ist eine Verarbeitung rechtmäßig, soweit sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Jedoch dürfen dabei nicht die Interessen oder Grundrechte der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, überwiegen. Andernfalls müssen, mangels einer anderen, einschlägigen Rechtsgrundlage, die Einwilligung der betroffenen Personen erhoben werden. Die Videoüberwachung muss zudem für das Erreichen eines bestimmten Zwecks erforderlich sein und der Verantwortliche den Transparenzanforderungen aus Art. 12 ff. nachkommen. Sofern die Überwachung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, bedarf es zudem einer Datenschutz-Folgeabschätzung.
Der Wächter-Modus unter der DSGVO
In Bezug auf den Wächter-Modus wäre es schwer vorstellbar, dass das Interesse der Fahrzeughalter/innen an dem Schutz ihres Fahrzeugs vor Diebstahl und Beschädigung gegenüber dem Interesse der betroffenen Personen am Schutz ihrer personenbezogenen Daten überwiegen würde. Hierfür müsste der Schutz eines einzelnen Fahrzeugs vor möglichen Gefahren die weitreichende Aufzeichnung von unbeteiligten Passanten/innen rechtfertigen. Sofern dies nicht der Fall wäre, fehlte der Verarbeitung bereits eine geeignete Rechtsgrundlage. Um dann den Wächter-Modus DSGVO-konform zu verwenden, benötigten Fahrzeughalter:innen bereits im Vorfeld die Einwilligung jeder aufgezeichneten Person. Das schiere Betreten eines gekennzeichneten Erfassungsbereichs einer Kamera entspräche jedoch nicht den Anforderungen einer eindeutigen und informierten Einwilligung. Stattdessen müssten Passanten/innen vor der Aufzeichnung über die Details der Videoüberwachung aufgeklärt werden. Es bleibt abzuwarten, wie das LG Berlin den Sachverhalt bewerten wird.
6. Juli 2022
Das Oberverwaltungsgericht (OVG) Münster entschied in seinem Urteil vom 15 Juni 2022 (16 A 857/21), dass das Bundesministerium des Innern und für Heimat (BMI) nicht die Postanschrift des Antragstellers, der einen Auskunftsantrag nach dem Informationsschutzgesetz (IFG) stellt, erheben dürfe. Das Urteil wurde noch nicht veröffentlicht, aber das OVG gab eine entsprechende Pressemitteilung ab.
Der Rechtsstreit
Über die Internetplattform fragdenstaat.de stellte ein Bürger einen Auskunftsantrag an das BMI. Die Plattform ermöglicht es Bürgern, Anträge auf Zugang zu amtlichen Informationen zu stellen. Antworten der Behörden sind öffentlich für jeden online einsehbar und Antragssteller werden über deren Eingang per E-Mail benachrichtigt. Das Ministerium forderte die Postadresse des Antragstellers an, um die Entscheidung zu übermitteln. Die Erforderlichkeit dafür ergebe sich aus §41 Abs. 1 Satz 1 VwVfG. Demnach ist ein Verwaltungsakt demjenigen gegenüber bekannt zu geben, für den er bestimmt ist. Der Antragsteller sah in der Erhebung seiner Postanschrift jedoch eine rechtswidrige Verarbeitung personenbezogener Daten. Es fehle eine einschlägige Rechtsgrundlage nach Art. 6 DSGVO.
Vorerst verwarnte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) das BMI. Zwar stelle die zu übermittelnde Entscheidung des BMIs einen Verwaltungsakt dar, jedoch könne dieser auch unmissverständlich an den Antragsteller über fragdenstaat.de bekannt gegeben werden.
VG Köln: Erhebung der Postanschrift zulässig
Im Anschluss erhob das BMI Klage gegen den BfDI. In seinem Urteil vom 18.03.2021 (13 K 1190/20) entschied das Verwaltungsgericht Köln die Verwarnung aufzuheben. Die Verarbeitung der Postanschrift sei nach Art. 6 Abs. 1 lit e) DSGVO i.V.m. §3 BDSG gerechtfertigt. Demnach muss die Verarbeitung erforderlich für die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt sein. Solch eine Aufgabe fand das Gericht in der o.g. Pflicht, einen Verwaltungsakt direkt an den betroffenen Adressaten zu übermitteln. Die Erhebung der Postadresse sei geeignet, um diese Bekanntgabe sicherzustellen. Des Weiteren sei eine Bekanntgabe über die Internetplattform nicht ausreichend, da diese lediglich über den Eingang des Schreibens informiere, dieses aber nicht an die hinterlegte E-Mail-Adresse weiterleite. Zudem könne der Antragssteller seinen Nutzeraccount jederzeit deaktivieren.
Aufhebung des Urteils des VG Köln
Der BfDI legte Berufung ein, welche vor dem OVG Münster Erfolg hatte. Dieses entschied, dass die Erhebung der Postanschrift nicht erforderlich sei: „Weder aus den maßgeblichen Vorschriften des IFG noch aus den Grundsätzen des Allgemeinen Verwaltungsrecht geht hervor, dass ein Antrag nach dem IFG stets die Angabe einer Postanschrift erfordert. Anhaltspunkte dafür, dass eine Datenerhebung im vorliegenden Einzelfall erforderlich war, liegen ebenfalls nicht vor.“ Hiermit verteidigt das Gericht den Grundsatz der Datenminimierung. Bürger können weiterhin die komplette Bearbeitung eines Auskunftsantrags über fragdenstaat.de fordern. Das OVG hat die Revision zum Bundesverwaltungsgericht zugelassen.
16. Mai 2022
Am 1. Juni 2022 soll Thailands erstes Gesetz zum Schutz personenbezogener Daten in Kraft treten. Das sogenannte Personal Data Protection Act (PDPA) wurde ursprünglich im Jahr 2019 unterzeichnet, sein Inkrafttreten wurde jedoch aufgrund der Pandemie verschoben und auf den 1. Juni 2022 datiert. Das Gesetz beschreibt die Verpflichtungen von Unternehmen in Bezug auf die Erhebung und Verarbeitung personenbezogener Daten. Das PDPA definiert personenbezogene Daten als Informationen, die eine lebende Person identifizieren.
Somit schließt sich Thailand in Bezug auf ein Datenschutzgesetz den anderen südostasiatischen Staaten Singapur, Malaysia und den Philippinen an. Diejenigen, die gegen das Gesetz verstoßen, können mit zivil- und strafrechtlichen Geldbußen belangt werden. Ferner unterstützt das PDPA die Anforderungen mehrerer Freihandelsabkommen (FTAs) in Bezug auf die jeweiligen Datenschutzanforderungen, um auf diese Weise den digitalen Handel und das Online-Banking in Thailand zu sichern. Verletzungen des Schutzes personenbezogener Daten treten in den ASEAN-Mitgliedsstaaten immer häufiger auf, da die Digitalisierung der Wirtschaft dazu geführt hat, dass mehr Unternehmen und Menschen ihre Daten online speichern und dies die Anfälligkeit für Datenschutzverletzungen zur Folge hat.
Das thailändische PDPA gilt für Organisationen, die direkt in Thailand oder im Ausland ansässig sind, und zeitgleich an der Kontrolle und Verarbeitung von Waren, Dienstleistungen und Daten zum Verbraucherverhalten in Thailand beteiligt sind. Inhaber der Daten müssen ihre ausdrückliche Zustimmung bezüglich jeder Erhebung, Verwendung oder Weitergabe ihrer personenbezogenen Daten im Vorfeld geben.
Die PDPA wurde stark von der DSGVO beeinflusst. Mit dem PDPA können thailändische Unternehmen die strengen Anforderungen der EU an Datenexportmaßnahmen im Rahmen des Freihandelsabkommens Thailand-EU erfüllen. Im Juni 2021 nahmen die EU und Thailand die Handelsgespräche wieder auf, nachdem sie aufgrund des Militärputsch in Thailand 2014 aufgehoben wurden. Mit der Einrichtung einer zivilen Regierung im Jahr 2019 wurde Thailand als viertgrößter Handelspartner der EU – nach China, Japan und den USA – wiederhergestellt.
4. März 2022
Auskunftsanspruch nach Art. 15 DS-GVO iVm § 83 SGB X
Wird der Nachlass einer Person geregelt, wird häufig außer Acht gelassen, dass auch analoge oder digitale Daten vererbt werden können. Dies führt dazu, dass Erben häufig nicht wissen, ob und wie sie auf die Daten einer verstorbenen Person zugreifen dürfen. Die DSGVO hat ermöglicht, dass die nationalen Gesetzgeber zum Datennachlass eigene Regelungen treffen dürfen. Der deutsche Gesetzgeber hat diese Möglichkeit im Bereich des Sozialdatenschutzes genutzt, was den Umgang mit den vererbten Daten somit erleichtert.
1. Rechtslage unter der DSGVO
In Art. 15 DSGVO wird der Auskunftsanspruch der betroffenen Person gegenüber dem Verantwortlichen geregelt. Hiernach steht der betroffenen Person das Recht zu, erfahren zu dürfen, welche personenbezogenen Daten von ihr durch die Verantwortlichen verarbeitet werden. Verstirbt eine Person, stellt sich für die Hinterbliebenen jedoch die Frage, ob sie nach aktueller Rechtslage ein Auskunftsbegehren geltend machen können. Das könnte beispielsweise für Hinterbliebene von Interesse sein, wenn es darum geht, ein rechtliches Interesse im Namen der verstorbenen Person durchzusetzen.
Grundsätzlich ist die Datenschutz-Grundverordnung gemäß Erwägungsgrund 27 S.1 DSGVO nicht auf Verstorbene anwendbar. Verstirbt die betroffene Person, wären die Erben nach Satz 1 nicht dazu berechtigt, das Auskunftsbegehren in Hinblick auf die Daten der verstorbenen betroffenen Person geltend zu machen. Satz 2 des Erwägungsgrundes 27 DSGVO ermöglicht es den Mitgliedstaaten jedoch, Vorschriften für die Verarbeitung personenbezogener Daten von Verstorbenen zu erlassen. Der deutsche Gesetzgeber hat im Sozialdatenschutz von dieser Möglichkeit Gebrauch gemacht. In § 35 Abs. 5 SGB I ist folglich ausdrücklich geregelt, dass die DSGVO auch für den Sozialdatenschutz Verstorbener gelten soll. Personenbezogene Daten gemäß Art. 3 Abs.1 DSGVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Weder Art. 4 Nr. 1 DSGVO noch Art. 9 DSGVO enthalten den Begriff der Sozialdaten. Allerdings wird dieser in § 67 Abs. 2 S. 1 SGB X genannt, wonach Sozialdaten: personenbezogene Daten gem. Art. 4 Nr. 1 DS-GVO sind, die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben verarbeitet werden. Die Aufgaben werden in § 67 Abs. 3 SGB X näher definiert.
2. Wo ist das Auskunftsbegehren geregelt?
Das Auskunftsbegehren ist auch für den Sozialdatenschutz in Art. 15 DSGVO geregelt. Gemäß § 35 Abs. 2 SGB I gibt es allerdings die Möglichkeit, Ausnahmen zum Auskunftsbegehren nach Art. 15 DSGVO zu regeln. Solche finden sich in § 83 SGB X. Anspruchsgrundlage für ein Auskunftsbegehren bezogen auf Sozialdaten ist demnach Art. 15 DS-GVO iVm § 83 SGB X.
3. Voraussetzungen für ein Anspruchsbegehren
Damit ein Anspruchsbegehren geltend gemacht werden kann, müssen die folgenden Anspruchsvoraussetzungen erfüllt sein:
a) Verantwortliche
Zunächst muss das Auskunftsbegehren gegenüber dem richtigen Verantwortlichen erfolgen. Dies folgt aus Art. 15 Abs. 1 DSGVO. Wer Verantwortlicher ist, definiert Art. 4 DSGVO, hier gilt jedoch § 67 Abs. 4 SGB X ergänzend.
b) Angehörige und Erbenstellung
In § 35 Abs. 5 SGB I geht nicht ausdrücklich hervor, wer Ansprüche der verstorbenen Person geltend machen darf. Erwähnt werden nur die schutzwürdigen Interessen der verstorbenen Person oder den schutzwürdigen Interessen der Angehörigen. Wer Angehörige sind, ist wiederum in § 16 Abs. 5 SGB X geregelt. Die Verwendung des Begriffs der Angehörigen in § 35 Abs. 5 SGB I ist nicht damit gleichzusetzen, dass diese automatisch auch Anspruchsberechtigte sind. Art. 15 DSGVO nennt nur die betroffene Person selbst, die das Begehren geltend machen kann. Verstirbt die Person jedoch, gehen ihre Daten nach § 1922 BGB in die Erbschaftsmasse über, sodass die Erben in die Rechtsstellung der betroffenen Person eintreten und die Ansprüche geltend machen können. Diese benötigen zum Beweis ihrer Stellung beispielsweise einen Erbschein. Anspruchsberechtigt sind also die Erben, die jedoch nicht unbedingt auch gleichzeitig die Angehörigen sein müssen.
c) Rechtsgrundlage für die Verarbeitung der Daten durch den Verantwortlichen
Aus § 35 Abs. 5 S. 2 SGB I folgt, dass eine Datenverarbeitung dann erfolgen kann, wenn schutzwürdige Interessen des Verstorbenen oder seiner Angehörigen dadurch nicht beeinträchtigt werden. Danach hat eine rechtliche Abwägung stattzufinden, um dadurch zu überprüfen, ob Interessen des Verstorbenen oder seiner Angehörigen gegenüber den Interessen der Verantwortlichen überwiegen.
d) Kein entgegenstehender -mutmaßlicher- Wille der verstorbenen Person
Aus der Formulierung des § 35 Abs. 5 S. 2 SGB I, dass eine Datenverarbeitung erfolgen kann, „wenn schutzwürdige Interessen des Verstorbenen … nicht beeinträchtigt werden“, kann entnommen werden, dass die Verarbeitung nicht gegen den Willen bzw. den mutmaßlichen Willen der verstorbenen Person erfolgen darf. Ob ein solcher Wille bzw. ein mutmaßlicher Wille vorlag, muss der Sozialträger beweisen. Dies ließe sich zB durch Zeugen oder einen Urkundenbeweis belegen, dass die verstorbene Person es ausdrücklich oder mutmaßlich nicht wollte, dass ihre Daten offengelegt werden.
21. Januar 2022
In einem Interview gegenüber dem Handelsblatt äußerte sich der Bundesdatenschutzbeauftragte Ulrich Kelber erneut zur Nutzung von Sozialen Netzwerken durch die öffentliche Verwaltung – dabei geht es vor allem um Facebook, Instagram, Tiktok und Clubhouse. Technische Überprüfungen dieser Netzwerke und deren Nutzung auf den Geräten der Bundesbehörden und ihrer Mitarbeiterinnen und Mitarbeiter, die Kelber derzeit gemeinsam mit dem BSI durchführe, wiesen auf “datenschutzrechtliche Probleme” hin. Ein finales Ergebnis gäbe es derzeit jedoch noch nicht.
Im Zusammenhang mit den Äußerungen gegenüber dem Handelsblatt kritisierte Kelber darüber hinaus auch den Betrieb sog. Facebook-Fanpages durch die Bundesbehörden. Aufgrund der “unklaren geteilten datenschutzrechtlichen Verantwortung zwischen Facebook und dem Betreiber der Seite” könne die Fanpage “nach wie vor nicht rechtskonform betrieben werden”. Bereits letztes Jahr hatte der Bundesdatenschutzbeauftragte daher die Bundesregierung und die obersten Bundesbehörden aufgefordert, den Betrieb dieser Fanpages bis Ende 2021 einzustellen – bislang noch ohne Erfolg. Kelber betonte aber auch, dass er durch die Aufforderung nicht “zwingend die Abschaltung von Facebook-Fanseiten” erreichen, sondern lediglich eine “datenschutzkonforme Kommunikation zwischen der Bundesregierung und der Bürgerinnen und Bürgern” ermöglichen wolle. Ziel sei es daher, dass Facebook den Betrieb aller Fanpages an europäische Datenschutzvorgaben anpasse. Laut Kelber haben hierzu erneut Gespräche mit der Bundesregierung und Facebook stattgefunden.
18. August 2021
Im Zuge des Vormarsches der Taliban-Truppen in Afghanistan sollen diese in den Besitz von biometrischen Daten gelangt sein. Dies berichtete ein US-Magazin, demzufolge Geräte, die von dem US-Militär zur biometrischen Identifizierung benutzt werden, sogenannte “Handheld Interagency Identity Detection Equipment” (HIIDE) in die Hände der Taliban gefallen seien. Dabei handelt es sich um eine Art Kamera, mit der Aufnahmen der Iris und des Gesichts gemacht und Fingerabdrücke gespeichert werden können. Diese Daten werden auch auf der HIIDE gespeichert. Zusätzlich sollen die Geräte auch auf andere Datenbanken zugreifen können.
Obwohl die Geräte ursprünglich für die Identifikation von Terroristen gedacht waren, wurden sie in der Praxis dafür eingesetzt, Einheimische, die mit den US-Truppen zusammenarbeiteten, zu identifizieren. Somit sind aktuell vor allem Daten von Helfenden gespeichert. Ob die Taliban bereits jetzt unbegrenzten Zugriff auf die Daten hat, ist nicht klar. Es wird aber befürchtet, dass Geheimdienste von Ländern, die mit der Taliban sympathisieren, z.B. Pakistan, dabei behilflich sein könnten.
Die Neuigkeit kommt gleichzeitig mit anderen Warnungen über Datensicherheit in Afghanistan. Ebenfalls wird befürchtet, dass die Taliban nun auch auf staatliche Datensätze Zugriff erhalten könnte. Behörden hatten biometrische Daten u.a. für die Registrierung zu Wahlen gesammelt. Die Daten könnten genutzt werden, um weitere HelferInnen der ausländischen Truppen oder bestimmte Bevölkerungsgruppen zu identifizieren.
Viele AfghanInnen fürchten nach dem Machtwechsel Repressalien aufgrund ihrer Tätigkeit, Verbindungen oder Lebensweise. Sie sind längst dazu übergegangen, in Eile Dokumente, Nachrichten und Handy-Verläufe zu löschen. Offizielle und wichtige Dokumente werden fotografiert und an Bekannte geschickt, anschließend vernichtet. Auch offizielle Stellen wissen um die Gefahr, die von diesen Daten ausgeht. So hatte die US-Botschaft in Afghanistan sein Personal noch dazu aufgefordert, alle sensiblen Daten vor Ort zu vernichten. Hilfseinrichtungen und Organisationen wurden von der US-Behörde für internationale Entwicklung dazu aufgefordert, Fotos und Informationen, die lokale AfghanInnen identifizierbar machen, zu löschen. Die Menschenrechts-Organisation Human Rights First veröffentlichte einen Leitfaden, wie Betroffene möglichst viel ihrer digitalen Spuren noch löschen können. Betroffene fürchten nun vor allem die Rache der Taliban, sollten sie identifiziert werden können. Dieses Geschehen verdeutlicht, welcher Missbrauch im Extremfall mit Daten betrieben werden kann und wie gefährlich dies für die Betroffenen ist.
4. August 2021
Wer ab Montag, den 2. August einen neuen Personalausweis beantragt, muss dafür seine Fingerabdrücke scannen lassen. Zukünftig wird ein Scan des linken und des rechten Zeigefingers auf dem RFID-Chip des Ausweises gespeichert.
Bisher war das Speichern von Fingerabdrücken im Personalausweis freiwillig. Verpflichtend gespeichert werden sie schon länger bei Reisepässen. Mit dem Gesetz zur Stärkung der Sicherheit im Pass-, Ausweis- und ausländerrechtlichen Dokumentenwesen wurde die Pflicht nun auf Personalausweise ausgeweitet. Dabei setzt das Gesetz eine EU-Verordnung aus dem Jahr 2019 um. Die gespeicherten Fingerabdrücke sollen von den Sicherheitsbehörden der EU-Mitgliedsstaaten ausgelesen werden können, wenn nach Lichtbildabgleich Zweifel an der Identität der Person bestehen bleiben. In Deutschland dürfen außerdem die Personalausweis-, Pass- und Meldebehörden, die Polizeivollzugsbehörden, die Zollverwaltung und die Steuerfahndungsstellen die Abdrücke auf dem Personalausweis auslesen.
Kritik an diesen neuen Regelungen kommt u.a. von Netzwerk Datenschutzexpertise, einem Zusammenschluss rund um den ehemaligen Datenschutzbeauftragten von Schleswig-Holstein, Dr. Thilo Weichert. In ihrem Gutachten bemängeln sie, dass Datenschutzgrundsätze wie Transparenz (Verarbeitung der Daten für betroffene Person nachvollziehbar), Zweckbindung (Erhebung und Verarbeitung nur für festgelegte und legitime Zwecke) und Datenminimierung (Verarbeitung wird auf das für Zweck notwendige Maß beschränkt) missachtet würden. Das Speichern von Abdrücken der Zeigefinger könne als unverhältnismäßig bezeichnet werden, weil mildere Maßnahmen bestünden. So könnte nur ein Fingerabdruck statt zwei gespeichert werden. Auch könnten Finger, die im Alltag weniger Spuren hinterlassen und somit weniger missbrauchsanfällig sind als die Zeigefinger, benutzt werden, z.B. der Ringfinger. Zur Identifikation sei dieser genauso gut geeignet. Der Gedanke dahinter ist, dass Hackerangriffe auf die gespeicherten Fingerabdrücke befürchtet werden. So könnten Kriminelle sich Abdrücke anderer Menschen zunutze machen. Dabei sei das Missbrauchsrisiko sehr hoch, da Fingerabdrücke nun einmal – anders als Passwörter- nicht geändert werden könnten und die Betroffenen von dem Hackerangriff ein Leben lang betroffen sein könnten.
Das Bundesministerium des Innern (BMI) versichert hingegen, dass die Fingerabdrücke nach Aushändigung des Ausweises bei Hersteller und Behörde gelöscht werden. Eine Speicherung in einer zentralen Datenbank fände nicht statt. Die Daten im Chip selbst würden verschlüsselt.
Die alten Personalausweise ohne Fingerabdrücke behalten ihre Gültigkeit bis sie regulär abgelaufen sind. Fingerabdrücke müssen erst bei der Beantragung des neuen Ausweises abgegeben werden. Wie genau die Erfassung erfolgt, kann bei dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachgelesen werden.
18. Juni 2021
Apple CEO Tim Cook hat mit einem neuen Video auf dem YouTube-Kanal von Apple UK, Apple’s neue Datenschutzfunktionen für europäische Nutzer vorgestellt. Dieses sechsminütige Video enthält hauptsächlich datenschutzrelevante Clips von der WWDC (Worldwide Developers Conference von Apple).
Es scheint als habe sich Apple dazu entschlossen, vor allem zu den europäischen Nutzern zu sprechen, da die Privatsphäre in diesem Kontinent als besonders wichtig erachtet wird. Die Europäische Union hat 2018 mit der Datenschutzgrundverordnung ein sehr umfangreiches und strenges Datenschutzgesetz eingeführt. Selbst Apple musste seine Sicherheitsvorkehrungen verstärken, um den extrem hohen Standards des Gesetzes gerecht zu werden. Während einige amerikanische Unternehmen bzw. Unternehmen aus Nicht-EU Ländern die DSGVO nur in Europa einhalten, verpflichtete sich Apple, seinen Kunden weltweit die gleichen verbesserten Datenschutzstandards zu bieten. Apple setzt seine Führungsrolle im Bereich Datenschutz fort, erweitert sein Engagement und fördert positive Veränderungen in der gesamten Branche. Auf der WWDC 2021 wurden eine Reihe neuer Datenschutzfunktionen für iOS 15, iPadOS 15, macOS Monterey, watchOS 8 und iCloud angekündigt. Diese neuen Funktionen sollen Nutzern in Europa und auf der ganzen Welt helfen, den Zugriff auf ihre Daten besser zu kontrollieren und zu verwalten.
Apple-Boss Cook betont gleich zu Anfang des Videos, dass für Apple “Privatsphäre ein grundlegendes Menschenrecht” sei. Man arbeite “schonungslos” daran, diese “in alles was wir machen” einzubauen. Es sei ein Grundelement jedes Designs von sowohl Apple Produkten als auch Apple Diensten, “die wir in die Welt tragen”, so Cook pathetisch. “Andere” hätten den Kunden zum Produkt gemacht und sammelten immer mehr personenbezogene Daten. “Unsere Linse bleibt auf Technik fokussiert, die für die Menschen arbeiten kann.”
Der Schutz der Privatsphäre sei “eine Priorität für unsere Nutzer in Europa und der ganzen Welt”. Cook beginnt, indem er zwei bestehende Funktionen hervorhebt, (Datenschutz-Nährwertkennzeichnungen und App-Tracking-Transparenz), und schließt dann mit einer bekannten Zusammenfassung über die Moral des Unternehmens in diesem Bereich ab.
Diese beschriebenen Datenschutzfunktionen gehören zu den neuesten in einer langen Reihe von Innovationen, die Apple-Teams entwickelt haben, um die Transparenz zu verbessern. Ferner sind es Funktionen, die dazu beitragen, dass die Nutzer ihre Daten besser kontrollieren können und sodann die Freiheit haben, Technologien zu nutzen, ohne sich Gedanken darüber zu machen, wer ihnen über die Schulter schaut.
27. Mai 2021
Nachdem WhatsApp jüngst mit seinen neuen Nutzungsbedingungen für Aufmerksamkeit gesorgt hatte und von Datenschützern für diese kritisiert wurde, tritt nun WhatsApp selbst verteidigend für ihren Datenschutz auf.
So hat WhatsApp beim obersten Gericht Delhi Klage gegen eine Vorgabe der neuen IT-Regelungen der indischen Regierung eingereicht. Diese Regelungen wurden bereits im Februar diesen Jahres vom indischen Ministerium für Elektronik und Informationstechnologie (MeitY) veröffentlicht und sind diese Tage in Kraft getreten. Die von WhatsApp konkret kritisierte Regelung sieht vor, dass Anbieter von Messengerdiensten, auf Anfrage einer Behörde oder auf richterlichen Beschluss hin, die Rückverfolgung von Nachrichten gewähren müssen. So soll ermittelt werden, wer der ursprüngliche Verfasser einer Information ist. Die indische Regierung begründet dies damit, dass dies der „Prävention, Aufdeckung, Untersuchung, Verfolgung oder Bestrafung“ von verschiedenen Straftaten diene. Als solche gelten u.a. die Verbreitung von Material über sexuellen Kindesmissbrauch, Angriffe auf die Staatssicherheit, Souveränität und Integrität Indiens oder die Störung der öffentlichen Ordnung. Auch ist eine Regelung gegeben, die besagt, dass Netzwerke bei gerichtlicher Aufforderung dazu, Inhalte innerhalb von 36 Stunden löschen müssen.
WhatsApp wehrt sich nun gegen diese Vorgaben mit der Begründung, sie würden Nachrichten Ende-zu-Ende verschlüsseln und könnten die Identifikation einer Einzelperson nicht leisten. Würde die Verschlüsselung aufgebrochen, wären sowohl Absender als auch Empfänger betroffen. Die Regelung verlange praktisch, einen Fingerabdruck von jeder einzelnen auf WhatsApp gesendeten Nachricht zu speichern. Dadurch würde eine Verletzung von Datenschutzrechten der Betroffenen stattfinden. Auch das Recht auf Privatsphäre sei betroffen, somit sei die Regelung verfassungswidrig.
Immer wieder betont WhatsApp, dass es Nachrichten selbst nicht speichere und keine Einsicht in Nutzerdaten habe. Trotzdem steht der Konzern häufig selbst wegen seines Umgangs mit Daten in der Kritik, sodass die Streitigkeit mit der indischen Regierung auch für das Image von WhatsApp nicht uninteressant sein dürfte.
7. Mai 2021
Microsoft kündigte in einem Blogbeitrag vom 6. Mai 2021 an, ab Ende 2022 personenbezogene Daten europäischer Kunden nur noch innerhalb der EU zu verarbeiten und speichern. Dies gelte, so Microsoft, für alle zentralen Cloud-Dienste von Microsoft, d.h. Azure, Microsoft 365 und Dynamics 365. Microsoft verspricht mit seinem “EU Data Boundary for the Microsoft Cloud”, d.h. einer EU-Datengrenze für seine Cloud-Lösungen, zukünftig keine Daten seiner Kunden mehr aus der EU heraus transferieren zu müssen. Das Angebot richte sich an Kunden aus dem öffentlichen Sektor und Unternehmenskunden, so der Konzern.
Damit reagiert Microsoft erneut auf das vom Europäischen Gerichtshof (EuGH) im Juli letzten Jahres ergangene Schrems-II-Urteil, dass das Datenschutzabkommen Privacy Shield und damit die rechtliche Grundlage für den Transfer personenbezogener Daten zwischen der EU und den USA wegen ungenügenden Datenschutzes gekippt hat. Nach Ansicht des EuGH haben die USA kein mit der EU vergleichbares Datenschutzniveau. Begründet wird dies insbesondere damit, dass US-Geheimdienste aufgrund des US Gesetzes “Cloud Act” einen umfangreichen Zugriff auf die bei amerikanischen Unternehmen gespeicherten Daten haben.
Geplant ist laut Microsoft in den kommenden Monaten in einen engen Austausch mit seinen Kunden aber auch den Aufsichtsbehörden zu gehen, um damit den Vorschriften zum Schutz der Daten gerecht zu werden. Ob dieses Vorhaben gelingen wird, bleibt abzuwarten. Unklar bleibt auch noch, ob dadurch die Unsicherheiten bei einem Datentransfer zwischen Europa und den USA beseitigt werden kann. Zunächst ist weiterhin der Microsoft-Konzern rechtlich für die Clouddaten verantwortlich. Dies könne laut dem österreichischen Datenschutzaktivist Max Schrems nur dadurch behoben werden, “wenn eine völlig weisungsfreie Einheit in der EU, bei der die Daten bleiben, erreicht würde” – so Schrems gegenüber der Deutschen Presse-Agentur.
Microsoft verweist diesbezüglich auf seine Nutzer selbst. Diese könnten bereits jetzt durch die Verwendung von kundenverwalteten Schlüsseln, die Verschlüsselung ihrer Daten selbst konfigurieren und insbesondere kontrollieren und damit vor einem unzulässigen Zugriff durch staatliche Stellen schützen.
Die Aufsichtsbehörden haben sich zu dem Plan von Microsoft noch nicht geäußert. Vielmehr haben diese erst vor kurzem eine Task-Force eingerichtet, um den Risiken bei der Nutzung von Cloud-Diensten entgegenzuwirken.
Pages: 1 2 3 4 5 6 7 ... 10 11 
