23. Januar 2019
Die Organisation Non-OF-Your-Business (NOYB) kritisiert die aus ihrer Perspektive bestehenden strukturellen Verstöße gegen die DSGVO. So moniert NOYB die fehlerhafte – oder gänzlich unterbleibende – Auskunftserteilung im Kontext etwaiger Betroffenenanfragen.
Konkret kritisiert die Organiation die großen bekannten Streaming-Dienste aus den Bereichen Film, Musik und Video. Diese würden ihren Nutzern selbst im Falle eines beantworteten Auskunftsbegehrens nach Art. 15 der Datenschutzgrundverordnung (DSGVO) lediglich Daten in unzureichendem Maße zur Verfügung stellen. Insbesondere würde nicht mitgeteilt, wer die Daten von den Verantwortlichen erhalte.
Problematisch ist dies aufgrund der Tatsache, dass die Verantwortlichen – bei einem dahingehenden Auskunftsbegehren – zur Mitteilung gewisser Informationen an die betroffenen Personen verpflichtet sind. Hiervon sind nach Maßgabe des Art. 15 Abs. 1 lit c) DSGVO ebenfalls die Empfänger der personenbezogenen Daten umfasst. Ein derartiger Verstoß birgt mithin das Risiko eines Bußgeldes durch die Aufsichtsbehörde.
22. Januar 2019
Das kleine Versandunternehmen Kolibri Image wurde von der Hamburger Datenschutzbehörde aufgefordert, ein Bußgeld in Höhe von 5000 Euro zuzüglich 250 Euro Gebühren zu zahlen. Grund hierfür war nach Art. 83 Abs. 4 lit. a DSGVO das Fehlen eines Auftragsverarbeitungsvertrags mit einem spanischen Dienstleister des Versandunternehmens.
Ausgangspunkt für das Bußgeld war, dass Kolibri Image sich im Mai 2018 an den Hessischen Datenschutzbeauftragten gewandt hatte, weil der spanische Dienstleister trotz mehrfacher Anforderungen keinen Vertrag zur Auftragsverarbeitung übersandt hatte. Die Behörde erwiderte, dass die Pflicht zum Abschluss eines Auftragsverarbeitungsvertrages sowohl den Verarbeiter als auch den Verantwortlichen treffe. Das Unternehmen solle und müsse deshalb selbst eine entsprechende Vereinbarung verfassen und an den Auftragsverarbeiter zwecks Unterschrift übermitteln.
Als Kolibri Image daraufhin antwortete, dass man sich diese Arbeit, insbesondere wegen der teuren Übersetzung, nicht machen wolle, gab die hessische Behörde die Sache an die zuständigen Kollegen aus Hamburg ab. Der Hamburger Datenschutzbeauftragte sieht in dem Verhalten des Unternehmens einen Verstoß gegen Art. 28 Abs. 3 DSGVO und hatte deswegen die Geldbuße verhangen. Nach Ansicht der Behörde wurden schützenswerte Daten ohne Rechtsgrundlage an den Dienstleister übermittelt. Erschwerend wirke sich aus, dass man diese Praxis aufrechterhalten habe, obwohl dem Unternehmen die Datenverarbeitungsprozesse des Verarbeiters explizit nicht bekannt waren. Schließlich fehle es auch an einer Zusammenarbeit mit der Behörde, die sich strafmildernd auswirken könne.
Kolibri Image kündigte bereits an, gegen den Bescheid einen Widerspruch einzulegen. Zu Recht?
Zwar liegt der Bußgeldbescheid, und somit der genaue Sachverhalt, hier nicht vor, es drängen sich jedoch insbesondere wegen der Diskussionen im Internet über diesen Fall zwei Fragen auf.
Zum einen scheint die Frage, ob hier überhaupt ein Auftragsverarbeitungsverhältnis vorliegt, noch klärungsbedürftig, da dies von der Behörde noch gar nicht geprüft worden sei.
Darüber hinaus stellt sich die Frage, wann die Grenze zur Selbstbelastungsfreiheit überschritten ist. Das Unternehmen hat im vorliegenden Fall mit seiner initativen Anfrage bei der Datenschutzbehörde den Stein selbst ins Rollen gebracht. Sofern der Verantwortliche sich bezüglich seiner gesetzlichen Meldepflichten nicht ganz sicher ist, sollte er sich also stets datenschutzrechtlichen Rat einholen, bevor er sich an die Behörde wendet.
Aufgrund von Verstößen gegen die DSGVO muss der Internetriese Google in Frankreich eine Strafe in Höhe von 50 Millionen Euro zahlen. Das Bußgeld verhängte die französische Datenschutzbehörde CNIL. Ausgelöst wurde das Verfahren gegen Google durch Beschwerden der Organisation NOYB von Max Schrems und der französischen Netzaktivisten La Quadrature du Net.
Zu dem Bußgeld sei es gekommen, da Google die Anforderungen der DSGVO hinsichtlich der Informationspflichten nur unzureichend erfülle. So seien die Informationen über die Datenverarbeitung im Rahmen verschiedener Google-Applikationen für die Nutzer nur schwerlich über mehrere Links und Buttons zugänglich und insgesamt intransparent. Aufgrund der, dem Nutzer, nur unzureichend zur Verfügungen gestellten Informationen über die Art und Weise der Verarbeitung personenbezogener Daten, seien auch die Einwilligungen zur Anzeige personalisierter Werbung nach Ansicht der französischen Datenschutzbehörde nicht rechtmäßig.
21. Januar 2019
Es werden zurzeit E-Mails im Namen der Deutschen Bank mit dem Betreff „Informationen zu Ihrem Bankkonto“ versendet. In dieser E-Mail wird darauf verwiesen, dass aufgrund der Datenschutz-Grundverordnung (EU-DSGVO) das TAN-Verfahren annulliert werden müsste. Dabei soll der Betroffene das angehängte Formular benutzen um die Änderung des TAN-Systems kostenfrei durchzuführen. Tut er dies nicht, würde die Deutsche Bank dies manuell durchführen und eine Gebühr dafür verlangen. Hierbei handelt es sich um keine E-Mail von der Deutschen Bank. Als Absender der E-Mail wird „info@db.com“ angezeigt. In der Email befindet sich in der Anlage eine Datei mit dem Namen „Formular.html“. Das ist die eigentliche Phishing-Seite, über die die Daten der Betroffenen gestohlen werden. Die Deutsche Bank hat auch einen Sicherheitshinweis auf ihrer Seite veröffentlicht, in der sie vor den Phishing-Mails warnt. Die Empfänger der E-Mails sollen nicht auf enthaltene Buttons oder Links in der E-Mail klicken. Wurde bereits auf den Button oder Link geklickt, dürfen in keinem Fall persönlichen Daten eingegeben werden, da diese sonst unverschlüsselt bei den Cyberkriminellen landen.
Laut dem Bundesdatenschutzbeauftragten Ulrich Kelber arbeitet seine Behörde an einem Konzept zu größerer Transparenz im Datenschutzrecht. Danach entwickelt die Bundesdatenschutzbehörde zurzeit ein Konzept im Hinblick auf die Veröffentlichung von amtlichen Informationen, die die Ahndung von Verstößen gegen die DSGVO betreffen.
Dieses Konzept soll laut Kelber zum Ziel haben, dass grundsätzlich alle nach dem Informationsfreiheitsgesetz abfragbaren Informationen auch veröffentlicht werden können. In der Konsequenz würde die Bundesdatenschutzbehörde folglich aktiv Informationen zu Ahndungen von Datenschutzverstößen veröffentlichen, wenn ein Anspruch des Bürgers auf amtliche Informationen nach dem Informationsfreiheitsgesetz (IFG) bestehen würde.
Damit will der Bundesdatenschutzbeauftragte dem aktuellen Zustand entgegenwirken, dass nur sehr vereinzelt Datenschutzverstöße und ihre Sanktionierung transparent veröffentlicht werden. Diesen Zustand kritisierte bereits der ehemalige Bundesdatenschutzbeauftragte Peter Schaar. Ebenso wurde von Niko Härting angemerkt, dass die meisten Ahndungen der breiten Öffentlichkeit unverständlicherweise nicht bekannt seien.
Zur Erläuterung: Nach § 1 IFG hat jeder Bürger einen Anspruch auf Zugang zu amtlichen Informationen, soweit kein besonderer öffentlicher Belang entgegensteht nach § 3 IFG und der Geheimnisschutz sowie der Schutz personenbezogener Daten gewahrt bleiben, §§ 4, 5, 6 IFG. Ein gesondertes berechtigtes Interesse muss der Bürger dafür gerade nicht nachweisen.
Bürger, Unternehmen und Staat sollen mit einer länderübergreifenden Strategie für mehr Internet-Sicherheit besser gegen die zunehmende Bedrohung durch Cyberangriffe geschützt werden. Die Union forderte in einem der deutschen Presse-Agentur in Berlin vorliegenden Papier einen „Notfallplan, um innerhalb kurzer Zeit auf den Abfluss sensibler Daten, digitale Wirtschaftsspionagen oder Sabotage reagieren zu können“.
Darüber hinaus verlangen die Fraktionschefs von CDU und CSU in Brüssel in dem Entwurf für die am Montag endende zweitägige Konferenz, dass bundeseinheitliche gesetzliche Mindeststandards für die Sicherheit informationstechnischer Geräte benötigt werden. Gelten soll dies beispielsweise für Endverbraucher-Geräte wie Laptops und Mobiltelefone. Angebote sollen von Anbietern von Online-Diensten und Hersteller von Geräten so gestaltet werden, „dass ausreichend starke Passwörter von den Benutzern gewählt und diese regelmäßig geändert werden müssen“.
Weiter verlangt die Union härtere Strafen für Cyberkriminelle, indem das Strafrecht im Bereich der Cyberkriminalität ergänzt wird. Im Entwurf heißt es: “ Mit Abschreckung und hohem Verfolgungsdruck können Erfolge zum Schutz aller erzielt werden.“ Wenn es nach der Meinung der Fraktionschefs von CDU und CSU geht, soll es in allen Ländern zentrale Anlaufstellen für die Wirtschaft geben. Der direkte Informationsaustausch sowie schnelle Hilfe vor Ort sollen hier in den Fokus gerückt werden. Die Idee dahinter ist, dass Bundes- und Landesbehörden „finanziell, technisch, personell und infrastrukturell so ausgestaltet werden, dass Cyberangriffe schnellstmöglich erkannt, betroffene Kreise gewarnt und identifizierte Schwachstellen schnellstmöglich umgehend beseitigt werden können“. Dafür sollen von Bund und Ländern länderübergreifend regelmäßige Krisenmanagementübungen gemacht werden.
18. Januar 2019
Im Internet ist ein 87 Gigabyte großer Datensatz mit gestohlenen Login-Informationen aufgetaucht. Betroffen sind 773 Millionen E-Mailadressen und über 21 Millionen Passwörter.
Die Daten stammen nach ersten Informationen nicht aus einem einzelnen Hack, sondern sind aus verschiedenen zusammengetragen worden. Der Datensatz enthält Informationen von 12.000 Domains und verschiedenen Web-Diensten.
Die Existenz des Datensatzes wurde von dem australischen IT-Sicherheitsexperten Troy Hunt auf seiner Homepage publik gemacht, der den Datensatz als Collection #1. Der Experte schreibt, dass er zunächst von Bekannten auf den Datensatz aufmerksam gemacht worden ist und die Daten ursprünglich bei einem Filehosting-Anbieter verfügbar waren, wo sie inzwischen aber nicht mehr zu finden sind.
Sie haben die Möglichkeit selbst zu überprüfen, ob Ihre Daten betroffen sind. Zur Prüfung muss lediglich die eigene Adresse in das Suchfeld eingegeben und auf „pwned?“ geklickt werden. Der von dem australischen Sicherheitsforscher Troy Hunt veröffentlichte Dienst zur Überprüfung wird von dem Bundesamt für Sicherheit in der Informationstechnik (BSI) für vertrauenwürdig gehalten. Sollten Sie betroffen sein, wird empfohlen schnellstmöglich das Passwort zu ändern.
17. Januar 2019
Eine Studie im Auftrag des Justizministeriums hat gravierende datenschutzrechtliche Mängel bei Apps für Android-Smartphones festgestellt.
Im Auftrag des Bundesministeriums für Justiz und Verbraucherschutz wurde eine Studie („Verbraucherinformationen bei Apps – Empirie“) zu der DSGVO-Konformität von Smartphone-Apps durchgeführt. Getestet wurden zunächst 200 Apps im Jahr 2017 und 50 von den Apps nach Inkrafttreten der DSGVO im Jahr 2018 hinsichtlich der Vollständigkeit und Verständlichkeit der für VerbraucheriInnen bereitgestellten Informationen.
Das Ergebnis war ernüchternd: 2018 wurden zwei Drittel der Apps mit ausreichend oder mangelhaft bewertet. Die Bundesjustizministerin Katarina Barley kritisierte, dass „nur unzureichend über den Umgang mit den erhobenen Daten informiert“ wird. „Die die Datenschutzerklärungen bleiben unkonkret und zählen häufig nur die Verbraucherrechte auf, ohne verständliche Erläuterungen.“
Viele Apps informieren die Verbraucher nicht hinreichend, welche Daten für welche Zwecke verarbeitet würden. Datenschutzerklärungen sind nicht auf die konkrete App zugeschnitten, sondern beziehen sich auf alle Produkte des App-Anbieters. In den Apps werde nicht über die Zugriffsberechtigungen (z. B. auf das Adressbuch oder das Mikrofon) informiert. Teilweise werden Zugriffsberechtigungen eingeholt (z. B. auf die Standortdaten), obwohl sie nicht für die Ausführung der App notwendig sind.
Nachdem der von Premierministerin Theresa May vorgelegte Entwurf eines Vertrags zur Regelung des Brexit am 15. Januar durch eine deutliche Mehrheit der Parlamentarier abgelehnt wurde, rückt das Szenario eines ungeordneten Austritts des Vereinigten Königreichs aus der Europäischen Union wieder in greifbare Nähe. Neben vielfältigen wirtschaftlichen und europarechtlichen Fragestellungen besitzt der Brexit auch eine konkret datenschutzrechtliche Komponente.
Mit dem für den 29.03.2019 angekündigten Austritt des Vereinigten Königreichs aus der Europäischen Union ist das Vereinigte Königreich ohne entsprechende Übergangsregeln ab diesem Zeitpunkt als Drittland im Sinne der DSGVO anzusehen. Dies bestätigte auch Prof. Dr. Dieter Kugelmann, Landesdatenschutzbeauftragter für Rheinland-Pfalz: „Fakt ist, dass das Vereinigte Königreich nach Austritt aus der EU zu einem „Drittland“ im Sinne der Datenschutzgrundverordnung wird“.
Da viele Unternehmen aktuell Kunden- oder Beschäftigtendaten in das Vereinigte Königreich übermitteln und dort ansässige Rechenzentren zu den eigenen Dienstleistern zählen, ergibt sich nach der Datenschutzgrundverordnung durch den Brexit Anpassungsbedarf. Unternehmen mit Vertragspartnern im Vereinigten Königreich müssen im Falle eines Datentransfers sicherstellen, dass es auch nach dem Brexit noch eine hinreichende Rechtsgrundlage für die entsprechenden Datenübermittlungen gibt. Weiterhin sind die Informationspflichten nach Artt. 13, 14 Datenschutzgrundverordnung bezüglich eines Datentransfers in ein Drittland zu ergänzen. Gleiches gilt für Datenschutzerklärungen im Internet. Im Falle eines Auskunftsersuchens einer betroffenen Person ist diese nach Art. 15 Datenschutzgrundverordnung auch über den Datentransfer in ein Drittland zu unterrichten. Darüber hinaus dürften bei Datenübermittlungen in das Vereinigte Königreich als Drittland vielfach die Verzeichnisse von Verarbeitungstätigkeiten nach Art. 30 Datenschutzgrundverordnung anzupassen sein. Gegebenenfalls ist nach dem Brexit auch das Durchführen von Datenschutzfolgenabschätzungen notwendig.
Es empfiehlt sich, dass sich Unternehmen, die personenbezogene Daten in das Vereinigte Königreich übermitteln, bereits jetzt auf entsprechende Anpassungen und Änderungen vorbereiten, um weiterhin eine rechtlich konforme Datenverarbeitung gewährleisten zu können. Da die Datenschutzgrundverordnung kein Konzernprivileg kennt, gelten die zuvor dargestellten Anmerkungen prinzipiell auch für Datenströme innerhalb einer Konzerngruppe.
14. Januar 2019
Der Ökonom Dennis Snower vergleicht das Verhältnis zwischen dem Online-Business und den Nutzern mit moderner Sklaverei. „Wir generieren eine Unmenge an Daten, die nicht uns gehören, sondern den Netzwerken“, sagte der Präsident des Kieler Instituts für Weltwirtschaft (IfW) der Deutschen Presse-Agentur. „Die großen digitalen Netzwerke werden immens reich, so wie es die Sklavenbesitzer einst geworden sind.“
Snower forderte: „Nutzer müssen mehr und mehr Rechte über die Nutzung ihrer Daten bekommen.“ Das Ziel solle sein, „dass sie ein Eigentumsrecht an allen Daten haben, die sie generieren.“ Diese Daten könnten sie dann freiwillig weitergeben an jene, die sie haben wollten – unentgeltlich oder zu einem Preis. Damit würde sich das gesamte Businessmodell bei Google und Facebook komplett ändern. Technologische Lösungen für ein solches Modell existierten bereits.
Für die digitale Zukunft der Welt sieht der Präsident des IfW Europa mit Deutschland an der Spitze in einer Schlüsselverantwortung. „Es geht um sehr, sehr viel, um das Regime des neuen digitalen Zeitalters und damit letztlich auch um die Demokratie“, sagte der Ökonom.
Die von China auf der einen und den US-Weltkonzernen auf der anderen Seite verkörperten Systeme gingen in eine falsche Richtung und seien gefährlich für die liberale Demokratie, mahnte Snower. Dagegen habe Europa mit der DSGVO den richtigen Weg eingeschlagen, welcher weltweit implementiert werden sollte. Dabei könne Deutschland eine zentrale Rolle spielen.
