Schlagwort: Nutzerdatenschutz
17. Mai 2017
Wegen der “massiven Kombination” von Nutzerdaten, der nicht widersprochen werden kann, hat die französische Datenschutzaufsichtsbehörde CNIL gegen Facebook eine Strafe in Höhe von 150.000 Euro verhängt. Damit meint die CNIL die Praxis von Facebook, die Daten der Nutzer so zu verknüpfen, dass diese gezielt mit Werbung angesprochen werden können, ohne das sich der Nutzer hiergegen wehren kann. Auch die Möglichkeit des Nutzers, dem Tracking durch Cookies zu widersprechen gäbe es nicht.
Nach Ansicht der französischen Datenschutzaufsichtsbehörde sei auch die Datenschutzerklärung nur ungenügend. So informiere Facebook die Nutzer nur unzureichend darüber, dass es auf anderen Webseiten Daten zum Surfverhalten selbst von solchen Internetnutzern sammle, die kein Konto bei dem Online-Netzwerk haben. Ferner hole das Social-Media-Unternehmen nicht die ausdrückliche Einwilligung seiner Nutzer ein, wenn diese in ihrem Profil sensible Daten, wie z.B. zu politischen und religiösen Einstellungen oder zur sexuellen Orientierung angeben.
Zur verhängten Strafe kam es erst, nachdem die CNIL Facebook im Januar 2006 aufgefordert hatte, sich an die geltenden französischen Vorschriften zu halten, Facebook dieser Forderung aber nicht innerhalb der vorgesehenen drei Monate in zufriedenstellendem Maße nachkam. Dabei ist zu beachten, dass die Strafe in Höhe von 150.000 Euro die höchstmögliche Strafe ist, die die CNIL verhängen kann. Gegen die Strafe kann Facebook innerhalb von vier Monaten Einspruch beim Staatsrat, dem obersten Verwaltungsgericht Frankreichs, einlegen.
Das Verfahren und die nun verhängte Strafe ist Teil von gemeinsamen Untersuchungen des Datenschutzes bei Facebook der Datenschutzbehörden Frankreichs, Deutschlands, der Niederlande, Belgiens sowie Spaniens. Im November 2014 hatte Facebook angekündigt, seine Datenschutzrichtlinien und dem Umgang mit den Cookies zu überarbeiten. Daraus resultierte unter anderem, dass Nutzerdaten zwischen WhatsApp und Facebook nicht ausgetauscht werden dürfen.
26. April 2017
Bei dem kostenlosen unroll.me handelt es sich um ein Programm, das das Email-Postfach seiner Nutzer aufräumt. Dazu werden beispielsweise Gmail-Konten nach Newslettern und Spam durchsucht, so dass diese im Anschluss abbestellt werden können.
Während ihrer Recherche-Arbeit über den Fahrdienstvermittler Uber ist die New York Times gleichzeitig auf die Praktiken von unroll.me aufmerksam geworden. Der Dienst nutzt den Zugriff auf die E-Mail-Konten seiner Nutzer neben dem Aufräumen nämlich auch dazu, Informationen über diese herauszufinden und sie anschließend anonymisiert weiter zu verkaufen.
Nutzer kritisieren den Verkauf ihrer Daten und argumentieren, dass auch ihre nicht-personenbezogenen Daten Rückschlüsse auf sie zuließen.
Der Gründer und Geschäftsführer von unroll.me, Jojo Hedaya, verweist in einer Stellungnahme auf seinem Blog ausdrücklich auf die Datenschutzbestimmungen seines Dienstes, in denen darauf hingewiesen wird, dass unroll.me nicht-personenbezogene Daten seiner Nutzer sammeln, nutzen, übertragen, verkaufen und offenlegen darf. Er versichert jedoch, dass unroll.me nicht auf die persönlichen Daten zugreift und diese dementsprechend auch nicht veröffentlicht oder verkauft werden.
Zum Abschluss verspricht er, dass die Praktiken für die Nutzer in Zukunft deutlicher zu erkennen sein sollen, als dies bisher in den Datenschutzbestimmungen der Fall ist.
29. März 2017
In der vergangenen Woche hat das Bundesministerium der Justiz und für Verbraucherschutz eine Orientierungshilfe herausgegeben, die Maßnahmen und Kriterien beschreibt, wie Apps verbraucherschutzfreundlicher, vor allem auch datenschutzfreundlicher, gestaltet werden können.
Der Leitfaden “Verbraucherfreundliche Best-Practice bei Apps – Eine Orientierungshilfe für die Praxis” wurde von einer Expertengruppe entwickelt, an der Vertreter von App-Store-Anbietern wie Google oder Microsoft beteiligt waren, ebenso wie Entwickler, Tester sowie Verbraucher-, Daten- und Jugendschützer. Für den Datenschutz berieten federführend das Bayerisches Landesamt für Datenschutzaufsicht und der Berliner Beauftragte für Datenschutz und Informationsfreiheit. Das Bundesjustizministerium sah die Notwendigkeit für diese Initiative, da täglich mehr und mehr Apps bereitgestellt würden und mithin auch die Gefahr für eine digitale Überwachung der Nutzer steige. Aufgedeckte Mängel aus datenschutzrechtlicher Sicht seien vor allem unnötiges Abgreifen von Daten, mangelhafter Datenschutz, unklare und unverständliche Informationen, mangelnde Transparenz von Funktionen und Nutzungsbedingungen.
Die Empfehlungen in Bezug auf Datenschutzfragen richten sich vor allem an die Verbesserungen der Transparenz und Entscheidungsfreiheit. So sollte in Zukunft im App-Store eine möglichst knappe Kurzinformation zu den wichtigsten Datenschutzfragen sowie ein Hinweis auf Einstellungsoptionen, anhand derer der Nutzer seine personenbezogenen Daten nach seinem Wunsch schützen kann, erscheinen.
13. Januar 2017
In dieser Woche hat die EU-Kommission einen neuen Entwurf einer ePrivacy-Verordnung vorgelegt, mit dem sie auf Änderungsbedarf aufgrund der EU-Datenschutzgrundverordnung reagiert. Der Vorschlag sieht eine Reihe von Neuregelungen vor, die den Datenschutz der Internetnutzer bei Chat- und Voice-over-IP-Anwendungen sowie bezüglich Cookies und Werbung verbessern sollen.
Beispielsweise soll der Umgang mit Cookies vereinfacht werden: Künftig soll für solche Cookies, “die keine Gefährdung der Privatsphäre darstellen”, keine explizite Zustimmung der Nutzer mehr notwendig sein, hingegen dürfen Cookies von Drittanbietern (z. B. von Werbenetzwerken) nur nach Einwilligung des Nutzers aktiviert werden, erst einmal wären diese vom Browser künftig standardmäßig geblockt.
Endlich werden auch die moderneren Kommunikationsdienste wie WhatsApp und Skype unter die Neuregelungen fallen.
Grundsätzlich stieß der Entwurf auf ein positives Echo: So begrüßte der EU-Abgeordnete Jan Philipp Albrecht den Vorschlag, mit dem die Kommission die Reform des Datenschutzrechts aus seiner Sicht komplett mache.
Die Zustimmung von Parlament und Mitgliedsstaaten zum Verordnungsentwurf muss jedoch noch eingeholt werden.
7. Dezember 2016
Datenschutzaufsichtsbehörden aus Bayern, Brandenburg, Hessen, Niedersachsen, Nordrhein-Westfalen und Schleswig-Holstein sowie die Bundesdatenschutzbeauftragte haben sog. Wearables einer besonderen Prüfung unterzogen.
Das Ergebnis: Kein Gerät erfüllt vollständig die datenschutzrechtlichen Anforderungen.
Insbesondere wurden Geräte wie Fitness-Armbänder oder Activity-Tracker, die Körperaktivitäten wie Schrittzahl, Herzfrequenz, Schlafrhythmus oder Körpertemperatur erfassen, unter die Lupe genommen. Wie aus einer gemeinsamen Pressemitteilung der Aufsichtsbehörden hervorgeht, wurde vor allem überprüft, welche Daten die Wearables erheben und ob die Daten an Dritte weitergegeben werden sowie die Gewährleistung von Auskunfts- und Löschungsansprüche durch den Anbieter. Im Einzelnen fanden sie dabei heraus, dass fast alle Hersteller und Betreiber so genannte Tracking-Tools US-amerikanischer Unternehmen einsetzen, wobei unklar bliebe, was dort mit den Daten im Einzelnen geschehe. Ferner erfüllen bereits die Datenschutzbestimmung meistens nicht die gesetzlichen Anforderungen, d. h. die Nutzer werden über Funktionalität der Geräte und Umfang der Datenverarbeitung gar nicht ausreichend informiert. Die Unsicherheit endet auch nicht bei Verkauf oder Verlust des Geräts, denn viele Geräte bieten keine Möglichkeit, Daten selbstständig vollständig zu löschen. Auch sei unklar, wie lange die Daten bei Hersteller oder Betreiber gespeichert werden.
Die Aufsichtsbehörden kündigten nun an, innerhalb ihrer Zuständigkeiten die Hersteller aufzufordern, die Mängel zu beseitigen.
9. November 2016
Nach einer aktuellen Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nutzt rund jeder fünfte Smartphone-Besitzer (20,7 %) sein Gerät ohne jegliche Sicherheitsfunktion. Dies überrascht umso mehr vor dem Hintergrund, dass fast Dreiviertel der Nutzer (74,6 %) sensible Daten wie Bilder, Videos, Kontaktdaten, Passwörter und sogar Gesundheitsdaten (etwa in Form von sog. Fitness-Apps) auf ihren Smartphones oder Tablets ablegen.
Das Marktforschungsinstituts TNS Infratest GmbH hatte diese Umfrage Ende Oktober im Auftrag des BSI anlässlich der vierten Aktionswoche im European Cyber Security Month (ECSM) durchgeführt. Das BSI nutzte diese Aktionswoche, um über Risiken und Schutzmöglichkeiten für Smartphones aufzuklären und die Nutzer zu sensibilisieren. Wie das konkret aussehen kann, hat das BSI auf einer Service-Seite zusammengestellt. Wenigstens die einfachen Sicherheitsmaßnahmen sollten konsequent und regelmäßig umgesetzt werden, wie beispielsweise die regelmäßige Aktualisierung des Betriebssystems, das Sichern des Gerätes mit PIN, Wischmuster oder Fingerabdruck und die Deaktivierung von offenen Schnittstellen wie WLAN oder Bluetooth bei Nichtgebrauch.
Bedenkt man, dass auch in Unternehmen teilweise die Verwendung des persönlichen Smartphones für betriebliche Zwecke zugelassen ist (“Bring your own device – BYOD”), hat dieses Umfrageergebnis auch eine Bedeutsamkeit für den Datenschutz im Unternehmen.
3. Dezember 2015
So genannte MOOCs, massive open online courses, werden inzwischen auch von deutschen Universitäten, wie beispielsweise der LMU München, angeboten. Insbesondere aus datenschutzrechtlicher Sich begegnen sie jedoch erheblichen Bedenken, wie Recherchen von NDR, Süddeutscher Zeitung und des SRF jetzt gezeigt haben.
In diesen Online-Kursen können Studenten aus der ganzen Welt an Vorlesungen renommierter Professoren teilnehmen, die für sie mit Videos attraktiv aufbereitet werden und die Möglichkeit vorsehen, sich mit den Dozenten und anderen Studenten auszutauschen. Bei der LMU München werden die Inhalte dieser Kurse durch das kalifornische Start-up Coursera vorbereitet, dem Weltmarktführer auf diesem Gebiet.
Das für Coursera geltende amerikanische Recht sieht allerdings vor, dass die dem Unternehmen durch die Kurs-Anmeldung vorliegenden Daten für alle möglichen weiteren Zwecke verarbeitet und genutzt werden dürfen – laut der Recherche-Gruppe sehen die Verträge mit Coursera sogar vor, dass die personenbezogenen Daten der Teilnehmer an Arbeitgeber oder Personalvermittler verkauft werden dürfen. Die Zahl der Betroffenen ist dabei enorm: Weltweit soll es sich um rund 16,5 Millionen Nutzer handeln.
Auch in Punkto Transparenz handelt das Unternehmen alles andere als vorbildlich: Eine Anfrage der Recherchierenden, welche Daten genau gespeichert werden und was damit im Einzelnen geschieht, ließ Coursera unbeantwortet. Es steht zu befürchten, dass ganze Nutzerprofile (welche Videos hat sich ein Nutzer angeschaut? wie hat er bei Tests abgeschlossen? mit wem wurde sich ausgetauscht?) dort vorliegen und eben auch Verwendung finden.
Einige deutsche Universitäten sind dazu übergegangen, ihre Lerninhalte über Plattformen in Europa zu betreiben.
9. November 2015
In der Mitteilung COM(2015)566 vom 06. November 2015 nimmt der EU-Kommission zu den rechtlichen Folgen der Safe Harbor Entscheidung sowie dem aktuellen Stand der Verhandlungen über ein erneutes Abkommen Stellung.
In Übereinstimmung mit den Ausführungen der Artikel 29-Datenschutzgruppe vom 16. Oktober 2015 empfiehlt die EU-Kommission die Verwendung von Standardvertragsklauseln oder Binding Corporate Rules um personenbezogene Daten von EU-Bürgern datenschutzkonform in die Vereinigten Staaaten zu übermitteln. Sie betont dabei gleichzeitzig, dass die Empfehlung, so wie die Mitteilung insgesamt, ohne rechtliche Bindungswirkung für die Mitgliedsstaaten sei und insbesondere das Vorgehen der nationalen Aufsichtsbehörden in ihrem eigenen Ermessen stehe.
In den seit 2013 stattfindenden Verhandlungen über ein neues Safe-Harbor-Abkommen seien deutliche Fortschritte erzielt worden. Es hätten bereits Verständigungen über eine strengere Überwachung und Durchsetzung der Safe-Harbor-Datenschutzgrundsätze durch Behörden der Vereinigten Staaten, transparentere Verbraucherrechte und einfacherere und günstigere Abhilfemöglichkeiten bei Beschwerden gegeben. Nach der Safe-Harbor-Entscheidung seien die Verhandlungen mit dem Ziel intensiviert worden, die Verhandlungen in drei Monaten abzuschließen.
Bis zu dem Abschluss eines neuen Abkommens seien die breits genannten Standardvertragsklauseln oder Binding Corporate Rules mögliche Optionen. Für die rechtskonforme Durchführung eines transatlantischen Datentransfers seien die Datenexporteure unter der Aufsicht der nationalen Aufsichtsbehörden verantwortlich.
Eine Zusammenfassung der Mitteilung sowie unverbindliche Handlungsempfehlungen der EU-Kommission können dem Q&A-Dokument vom 06. November 2015 entnommen werden.
29. Oktober 2015
Die EU-Justizkommissarin Vĕra Jourová hat den Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) am 25. Oktober 2015 über den aktuellen Stand der Verhandlungen über ein neues Safe-Harbor-Abkommen informiert. Zwischen der EU-Kommission und dem US-Handelsministerim bestehe zwar im Grundsatz Einigkeit, jedoch müsse noch über eine Vielzahl kritischer Punkte diskutiert werden.
Die Kommissarin äußerte sich vorsichtig optimistisch, dass die derzeitig stattfindenden Verhandlungen über technische Lösungen bis zu ihrem Besuch Mitte November in Washington fortgeschritten seien. Die Vereinigten Staaten hätten bereits jetzt Zusagen bezüglich einer strengeren Kontrolle der Safe-Harbor-Zertifizierungsverfahrens durch das US-Handelsministerium und einer engeren Zusammenarbeit mit europäischen Datenschutzbehörden gemacht. Neben der Einführung von Datenschutzvorschriften, die denjenigen der EU entsprechen, sei die Regelung des Zugriffs der US-Geheimdienste auf Daten von EU-Bürgern sowie die gerichtliche Kontrolle von Überwachungsmaßnahmen wesentlicher Punkt der Verhandlungen. Dabei sei der letzte Aspekt, die Einführung einer wirksamen gerichtliche Kontrolle der US-Geheimdienste, die größte Herausforderung auf dem Weg zu einem Abkommen.
Mit einer Einigung über ein Safe-Harbor 2.0 könne daher vor Ende Januar 2016 nicht gerechnet werden.
Die Kommissarin macht insoweit deutlich, dass Safe-Harbor 2.0 wesentlich von der Haltung der Vereinigten Staaten zu dem behördlichen Zugriff auf die übermittelten Daten von EU-Bürgern abhängt. Bis zu einem Abschluss eines neuen Abkommens bleibt die Übermittlung im Rahmen von Standardvertragsklauseln und Binding Corporate Rules vorläufig zulässig.
7. Oktober 2015
Nach der Entscheidung des EuGH vom 06. Oktober 2015 über die Gültigkeit des Safe-Harbor-Abkommens haben sich einzelne nationale Datenschutzbehörden zu möglichen Konsequenzen geäußert, die teilweise unterschiedlich bewertet werden. In Rede steht die Aussetzung des Datentranfers in die Vereinigten Staaten, aber auch die fortbestehende Rechtmäßigkeit einer Datenübermittlung im Rahmen von Standardvertragsklauseln oder verbindlichen Unternehmensvereinbarungen.
Die Artikel 29-Datenschutzgruppe hat in der Pressemitteilung vom 06. Oktober 2015 die Safe-Harbor-Entscheidung des EuGH ausdrücklich begrüßt. Sie teilte zudem mit, bereits in der folgenden Woche das Urteil in einer Expertenrunde zu analysieren und die Folgen für den Datentransfer in die Vereinigten Staaten zu diskutieren. Ein Termin für eine außerordentliche Plenarsitzung folge in Kürze.
Der Hamburgische Beauftragte für Datenschutz geht davon aus, dass die Aufsichtsbehörden bei der Umsetzung des Urteils eine Schlüsselrolle einnehmen werden. Dabei sei zu prüfen, ob Datentransfers in die Vereinigten Staaten auszusetzen seien. Dies gelte auch, wenn sie auf andere Rechtsgrundlagen wie Standardvertragsklauseln, Einwilligung oder Binding Corporate Rules gestützt würden. Die Aufsichtsbehörden würden dafür noch in dieser Woche ihr Vorgehen auf nationaler und europäischer Ebene koordinieren. Die EU-Kommission ihrerseits müsse die USA drängen, ein angemessenes Datenschutzniveau herzustellen.
Zustimmend äußerte sich zudem die britische Datenschutzbehörde ICO. Sie werde die Folgen des Urteils analysieren und in den kommenden Wochen bekanntgeben. Bereits jetzt erkennbare Folgen für die Praxis:
- Personenbezogene Daten seien nun nicht verstärkt gefährdet, jedoch seien Unternehmen jetzt verpflichtet sicherzustellen, dass Daten mit dem europäischen Datenschutzrecht konform übermittelt werden.
- Der Datenschutzbehörde sei dabei bewusst, dass den Unternehmen ein gewisser Zeitraum für Erfüllung dieser Pflichten eingeräumt werden müsse.
- Es bestünden bereits jetzt Möglichkeiten für eine rechtskonforme Übertragung.
- Verhandlungen über den Abschluss eines neuen Abkommens zwischen der EU und den Vereinigten Staaten seinen bereits fortgeschritten.
- Die Folgen des Urteils werden durch die ICO analysiert und Ergebnisse in den kommenden Wochen bekanntgegeben.
Die spanische Agencia Española de Protección de Datos – AEPD führt in ihrer Pressemitteilung zu der Entscheidung aus:
Bisher hat die AEPD internationale Datenübermittlungen an Safe Harbor zertifizierte amerikanische Unternehmen rechtlich anerkannt. Diese Unternehmen hatten demnach das Privileg, dass bei einer Meldung eines Systems an die zuständige Behörde keine weitere Genehmigung durch die Datenschutzbehörde erfoderlich war um die Übermittlung datenschutzkonform durchzuführen.
Jetzt hat die Datenschutzbehörde im Einzelfall zu prüfen, ob die Datenübermittlungen an Safe Harbor zertifizierte amerikanische Unternehmen rechtmäßig sind.
Die Europäischen Datenschutzbehörden hätten bereits in der Vergangenheit auf Mängel des Safe Harbor Abkommens aufmerksam gemacht. Nun arbeiteten sie zusammen, um koordinierte Maßnahmen bezüglich des EuGH-Urteils herbeizuführen, damit es gleichmäßig in allen EU Mitgliedstaaten interpretiert und umgesetzt werde.
