24. Mai 2018
International ist der Datenaustausch zwischen den Unternehmen schon seit 2016 möglich. In Deutschland war dieser jedoch noch nicht zulässig. Auf der Unterseite der WhatsApp Homepage ist jedoch nun zu erkennen, das WhatsApp unter anderem die Telefonnummer und Gerätedaten an Facebook weitergibt, was aus der aktuellen Datenschutzrichtlinie der App nicht ersichtlich ist.
2016 hat WhatsApp die Nutzungsbedingungen dahingehend geändert, dass Telefonnummern und weitere Informationen mit Facebook ausgetauscht werden, jedoch nicht zu Werbungszwecken.
Deutsche Datenschützer untersagten dies, wogegen Facebook geklagt hat und verlor. Das Verbot gilt aufgrund des neuen Gesetzes nicht mehr, nach DSGVO ist die Datenschutzbehörde in Irland nun zuständig.
Der hamburgische Datenschutzbeauftragte Johannes Caspar bezeichnete den Vorgang als „alarmierend“ und als Verstoß gegen die DSGVO.
Das Oberverwaltungsgericht Hamburg hat Anfang März 2018, die Annahme Caspars bestätigt, wonach Facebook nicht massenhaft Daten seiner Tochterfirma WhatsApp für eigene Zwecke nutzen darf.
Facebook-Chef Mark Zuckerberg hatte an diesem Dienstag bei der Anhörung vor dem Europäischen Parlament die konkrete Frage nach der Weiterleitung der Daten nicht beantwortet.
23. Mai 2018
Am Dienstag, den. 15. Mai, fällte der BGH ein mit Spannung erwartetes Grundsatzurteil, welches die Beweisverwertung von Dashcam-Aufzeichnungen betrifft: Auch wenn die Aufzeichnungen gegen Datenschutzbestimmungen verstoßen, können sie als Beweismittel bei Unfall-Prozessen herangezogen werden.
Damit hatte die Revision eines Autofahrers aus Sachsen-Anhalt Erfolg. Dieser stritt sich nämlich infolge eines erlittenen Sachschadens über dessen Verantwortlichkeit bzw. den konkreten Unfallhergang mit einem anderen Fahrer. Sowohl das Amts-, als auch das Landgericht lehnten eine Verwertbarkeit des Videomaterials der beim Kläger an der Frontscheibe mitlaufenden Dashcam mit der Begründung ab, dass die Aufzeichnungen aus datenschutzrechtlicher Sicht unzulässig seien: Soweit eine Dashcam permanent und anlasslos aufzeichnet, stelle dies nach § 4 BDSG einen Datenschutzverstoß dar. Dieser Datenschutzverstoß führe nach Auffassung der Richter zu einem Beweisverwertungsverbot.
Dies sahen die Richter des BGH anders. In dem Urteil heißt es: „Die Unzulässigkeit oder Rechtwidrigkeit einer Beweiserhebung führt im Zivilprozess nicht ohne Weiteres zu einem Beweisverwertungsverbot. Über die Frage der Verwertbarkeit ist vielmehr aufgrund einer Interessen- und Güterabwägung nach den im Einzelfall gegebenen Umständen zu entscheiden.“
Darf nun jeder Autofahrer ununterbrochen Verkehrsvorgänge filmen? Die Antwort hierauf lautet nein. Die pausenlose Aufzeichnung stellt nach wie vor einen Datenschutzverstoß dar und ist unzulässig. Empfehlenswert ist daher die Anschaffung einer Dashcam, die kurz und anlassbezogen aufzeichnet, beispielsweise indem in kurzen Abständen gefilmt und erst bei Kollision des Fahrzeugs gespeichert wird.
Mit dem Urteil beendet das höchste deutsche Zivilgericht eine andauernde unklare Rechtslage und räumt (in diesem Fall) dem Aufklärungsinteresse an dem Unfallhergang den Vorrang vor dem Persönlichkeitsrecht der gefilmten Verkehrsteilnehmer ein. Die Entscheidung ist grundsätzlich zu begrüßen, denn auch wenn das Urteil aus datenschutzrechtlicher Sicht auf Bedenken stößt, ist zu berücksichtigen, dass die Videoaufnahmen im öffentlichen Verkehrsraum entstehen. Die Dashcam zeichnet keine privaten Handlungen auf, sondern filmt nur Vorgänge, die jeder Verkehrsteilnehmer ohnehin sehen kann. Vor dem Hinergrund erscheint der Eingriff in das Persönlichkeitsrecht der Verkehrsteilnehmer zu Gunsten der Sachverhaltsaufklärung im Zivilprozess durchaus gerechtfertigt.
16. Mai 2018
Der Gesundheitsminister Jens Spahn spricht sich für die elektronische Gesundheitskarte aus. „Die Milliarde ist nicht umsonst investiert“, sagte Spahn der „Süddeutschen Zeitung“ (SZ).
Zuvor hatte es Spekulationen über ein mögliches Aus der elektronischen Gesundheitskarte gegeben. Denn Jens Spahn fordert neben der elektronischen Gesundheitskarte auch einfachere Zugriffsmöglichkeiten auf Patientendaten zu schaffen.
„Wenn Versicherte lieber per Handy und Smartphone-App auf ihre Gesundheitsdaten zugriffen, sollte man ihnen das genauso ermöglichen“, so Jens Spahn.
Der Preis für diese Nutzung könnte ein niedrigerer Sicherheitsstandard sein und damit ein Sicherheitsproblem darstellen. Denn für Datenübertragungen per Smartphone könnten die Nutzer die bisher vorgesehene Sicherheitsschwelle durch Einwilligung individuell senken.
Dieses Vorgehen ist datenschutzrechtlich als kritisch zu betrachten. Gerade, wenn man bedenkt, dass es sich bei Gesundheitsdaten um besonders sensible Daten nach Art. 9 DSGVO handelt, die besonders schützenswert sind.
15. Mai 2018
Das Landgericht Nürnberg-Fürth hat auf Klage des Verbraucherzentrale Bundesverbands (vzbv) entschieden, dass das soziale Netzwerk Stayfriends nicht durch Voreinstellungen für seine Nutzer festlegen darf, dass deren Profilbilder automatisch auf Suchmaschinen und Partnerwebseiten sichtbar sind. Damit folgte die 7.Kammer des Gerichts dem Klageantrag des vzbv und verurteilte die Beklagte zur Unterlassung.
Bei der Neuanmeldung bei stayfriends.de wird der Nutzer nach einigen personenbezogenen Daten und auch einem Profilbild gefragt. Der Nutzer wird auch daraufhin gewiesen, dass das eingestellte Profilbild auf Suchmaschinen und Partnerwebseiten sichtbar ist. Der Knackpunkt an der Sache ist, dass die öffentliche Sichtbarkeit voreingestellt ist, der Nutzer also aktiv tätig werden muss, um die öffentliche Sichtbarkeit zu verhindern.
Dem Rechtsstreit ist eine Unterlassungserklärung der vzbv vom 24.07.2017 voraus gegangen, welche von Stayfriends am 07.08.2017 zurück gewiesen wurde. Der vzbv sah einen Verstoß gege § 2 II 1 Nr. 11 UKlaG iVm §§ 12, 13 TMG, §§ 4, 4a BDSG, denn eine derartige Verwendung der Daten sei schon nicht mehr vom Vertragszweck gedeckt und bedürfe demnach einer Einwilligung. Dem schloss sich die 7. Kammer des Landgerichts Nürnberg-Fürth vollumfänglich an.
14. Mai 2018
Mit ihrer Stellungnahme vom 26.04.2018 hat die Datenschutzkonferenz von Bund und Ländern, bestehend aus Bundesdatenschutzbeauftragten, den Landesdatenschutzbeauftragten der 16 Bundesländer und dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht, zur Frage der Anwendbarkeit des Telemediengesetzes (kurz TMG) nach Inkrafttreten der DSGVO am 25.05.2018 Stellung genommen. Dabei ging es vor allem um die Frage, auf welcher Rechtsgrundlage der DSGVO die Verarbeitung personenbezogener Daten durch den Einsatz von Cookies und Trackingtools wie Google Analytics gestützt werden kann.
Bislang gilt nach dem TMG, dass der Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile erstellen darf, sofern er diese Daten pseudonymisiert und der Betroffene dem nicht widerspricht. Dieses Opt-Out-Verfahren, auf das der Betroffene bislang im Rahmen der Datenschutzerklärung hinzuweisen ist, gilt ebenso für den Einsatz von Cookies. Einer Einwilligung des Betroffenen bedurfte es bisher daher nicht. Nach Auffassung der Datenschutzkonferenz soll sich dies unter der DSGVO nun ändern. Sie ist der Ansicht, dass die DSGVO den Regelungen des TMG sowie denen der bestehenden E-Privacy-Richtlinie vorgeht und Anbieter von Telemediendiensten personenbezogene Daten nur noch dann verarbeiten dürften, wenn dies für die Durchführung des angefragten Online-Services „unbedingt erforderlich“ sei. Für alle anderen Fälle müsse eine Interessenabwägung im Einzelfall durchgeführt werden.
Die Anwendbarkeit der DSGVO habe zur Folge, dass beim Einsatz von Tracking-Maßnahmen, „die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen“, sowie beim Erstellen von Nutzerprofilen ab dem 25.05.2018 eine informierte Einwilligung des Betroffenen einzuholen sei. Dies auch dann, wenn die erhobenen personenbezogenen Daten pseudonymisiert würden. Gleiches gelte für den Einsatz von weiteren Cookies.
Das Papier steht damit im Gegensatz zu der herrschenden Rechtsansicht in der Praxis. Die Gesellschaft für Datenschutz und Datensicherheit (GDD), die hauptsächlich Betriebsdatenschutzbeauftragte vertritt, vertritt ihrerseits die Ansicht, dass Werbung nach der DSGVO prinzipiell „ein berechtigtes Interesse“ der Unternehmen darstelle und so gerade „grundsätzlich nicht von einer Einwilligung abhängig ist“. Da die EU-Gesetzgeber dies zumindest für den Einsatz von Direktwerbung festgelegt hätten, stellt sich die GDD auf den Standpunkt, dass dies ebenfalls für das pseudonymisierte Tracking gelten müsse, da eine solche Verarbeitungsweise weniger stark in das Persönlichkeitsrecht der Betroffenen eingreife als eine direkte werbliche Ansprache. Gleiches gelte aus Sicht der GDD für Cookies, die ebenfalls zu Werbezwecken eingesetzt würden.
8. Mai 2018
Die Polizei in Wales testet seit 2017 ein System zur automatischen Gesichtserkennung in Echtzeit. Dieses System kam auch im Rahmen des Champions League Finales in Cardiff zum Einsatz. Das Ergebnis ist erschreckend: In 92 Prozent der Fälle identifizierte das System Personen fälschlicherweise als Kriminelle. Von 2470 Treffern stellten sich im Nachhinein 2297 als falsch heraus.
Nach einem Bericht von Wales Online macht sich ein Polizeisprecher gleichwohl für das System stark und verweist darauf, dass kein System eine hundertprozentige Sicherheit gewährleisten könne. Zudem habe die Identifizierung keinerlei Konsequenzen für die Betroffenen nach sich gezogen, da die falschen Treffer keine Festnahmen mit sich brachten. Ursache der hohen Fehlerquote sei die schlechte Qualität der Fotos, welche von Europas Fußballverband UEFA, Interpol und anderen Partnern zur Verfügung gestellt wurden.
Aus datenschutzrechtlicher Sicht wirft das System zahlreiche Bedenken auf. Es fehlt an rechtlichen Bestimmungen, welche die neuen Überwachungsmethoden flankieren. Auch ist bislang unklar, was mit den Daten geschieht, welche durch die Gesichtserkennung generiert werden. Darüber hinaus ist eine derart hohe Fehlerquote alarmierend, denn auch wenn sich die Fehlbarkeit von Systemen aus der Natur der Sache ergibt, ist eine Fehlerrate von 92 Prozent jedenfalls nicht mehr tolerabel.
Soweit die Polizei in Wales auf die schlechte Qualität des Bildmaterials verweist ist zu konstatieren, dass es auch bei anderen Rückgriffen auf diese Technik immer noch mehr falsche als richtige Treffer gab. Eine Optimierung des Gesichtserkennungssystems ist vor diesem Hintergrund unumgänglich. Eine solche Verbesserung käme letztlich nicht nur dem Bürger zugute, sondern diente als Arbeitserleichterung gerade der Polizei selbst und trüge somit zu einer effiziernteren Gefahrenabwehr bei.
Nach einem Marktforschungsbericht des Softwareherstellers SafeDK sind ca. 55 % der Apps, die im Google Play Store angeboten werden, mit den Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO) nicht vereinbar. Diese Erkenntnis ist prinzipiell nicht neu, denn auch mit Blick auf die noch aktuellen datenschutzrechtlichen Vorgaben ist die Situation nicht anders. Mit Geltungsbeginn der DSGVO werden allerdings deutlich gesteigerte Anforderungen an die Informationspflichten der Verantwortlichen gestellt und die Rechte betroffener Personen gestärkt. Darüber hinaus erreichen die bußgeldbewährten Sanktionen der DSGVO mit bis zu 20 Mio. Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens bzw. eines Konzerns eine neue und zudem erhebliche Dimension.
Aus Sicht des Datenschutzrechts liegt der Kern der Problematik vor allem darin, dass eine große Anzahl von Apps über Schnittstellen Zugriff auf Mikrofon, Kamera, GPS- oder ähnliche Daten hat, obwohl dies unter funktionellen Gesichtspunkten oftmals gar nicht erforderlich ist. Auf der Hand liegen daher Verstöße gegen den Zweckbindungsgrundsatz, den Grundsatz der Datenminimierung sowie die Aspekte von Privacy by Design & by Default. Entwickler und Anbieter von Apps sollten daher, insbesondere in Bezug auf die Einwilligung in die Verarbeitung personenbezogener Daten, unbedingt darauf achten, keine Daten zu erfassen, die für die Funktionen der App entbehrlich sind oder die Verarbeitung solch personenbezogener Daten zumindest freistellen bzw. eine geeignete Alternative anbieten – etwa die kostenpflichtige Nutzung der App.
Im Übrigen dürfte es aktuell noch bei vielen Apps in Folge von Verstößen gegen das Transparenzgebot bzw. die Informationspflichten nach DSGVO ebenfalls nicht selten dazu kommen, dass die Wirksamkeit einer Einwilligung in die Datenverarbeitung bezweifelt werden darf. Folglich würde eine Verarbeitung von personenbezogenen Daten ohne rechtliche Grundlage stattfinden, gleichbedeutend mit einem Verstoß gegen das Verbot mit Erlaubnisvorbehalt.
Derartige Verstöße können Haftungsansprüche begründen und, wie oben ausgeführt, zu einem empfindlichen Bußgeld führen. In der Folge empfiehlt es sich hier, aufgrund der durch die DSGVO geschaffene Erhöhung der Rechtsunsicherheit im Bereich des Datenschutzes, mit Experten zusammenzuarbeiten, um die z. T. umfangreichen und notwendigen Anpassungen in den genannten Bereichen vorzunehmen. Jedenfalls sollten die Datensätze schon bestehender Apps auf das Bestehen einer rechtmäßigen Verarbeitungsgrundlage geprüft werden und in der Entwicklung befindliche Apps überdies den Privacy by Design & by Default Ansatz berücksichtigen, sowie die Einhaltung der Informationspflichten bei erstmaliger Nutzung der App sicherstellen.
7. Mai 2018
Polizeibeamte in Niedersachen können nun mithilfe der neuen App NIMes Textnachrichten, Audio-, Bild- und Videoaufnahmen austauschen, ohne dass jemand anderes darauf Zugriff hat. Nach Auffassung des niedersächsischen Landesdatenschutzbeauftragten besteht dennoch eine Gefahr hinsichtlich des Datenschutzes, da der größte Teil der Beamten die App auf ihrem Privathandy nutzen. „Wenn der Nutzer das auf dem privaten Mobiltelefon vorhandene Betriebssystem nicht fortlaufend durch Updates zur Virenabwehr aktualisiert, wird Tür und Tor für eine Infizierung der App mit Schadsoftware geöffnet“, sagte Datenschützerin Barbara Thiel.
Damit wäre es empfehlenswert die App nur auf Diensthandys zu installieren. Innenminister Boris Pistorius ist jedoch anderer Ansicht, da NIMes getrennt vom Betriebssystem läuft und damit in einem geschlossenen Benutzerkreis.
Die App hat eine wichtige Bedeutung in der Informationssteuerung bei Einsatzkräften. So können Polizeibeamte wichtige Informationen sicherer als bei der Nutzung von WhatsApp weiterleiten.
Als Pilotprojekt wird NIMes zunächst in Celle und Hannover-Mitte, sowie in der Zentralen Polizeidirektion eingesetzt.
3. Mai 2018
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät, Smartwatch und Fitnesstracker gleich zu Beginn abzusichern, damit die Sicherheit der Daten nicht zu kurz kommt.
Smartwatch und Fitnesstracker können Laufstrecken messen, den Puls kontrollieren und somit den Sportler beim Training unterstützen. Sie können aber auch ein Sicherheitsrisiko für persönliche Daten ihrer Träger sein.
Das BSI empfiehlt dabei, gleich bei der Einrichtung des Gerätes voreingestellte Passwörter zu ändern und einen Zugriffsschutz mit PIN oder Passwort festzulegen. Auch Smartphones, die mit diesen Geräten verbunden sind, sollten eine Bildschirmsperre mit Passwort oder Code haben.
Um einen sicheren Transport der Daten zwischen Wearable, Smartphone und Herstellerservern zu gewährleisten, rät das BSI zu Lösungen, die eine Transport- und eine Speicherverschlüsselung nutzen. Wie so etwas möglich ist, können Sie meist den Hinweisen in den Geschäfts- und Nutzungsbedingungen entnehmen.
Um den Kontroll-Apps der Wearables nur die nötigen Informationen zur Verfügung zu stellen, lohnt sich ein Blick auf deren Berechtigungen. Haben Sie das Betriebssystem Android, müssen Sie dazu in den Einstellung auf „Apps und Berechtigungen“ gehen, im Betriebssystem iOS finden Sie dies unter „Datenschutz“. Das BSI gibt Ihre Empfehlung dahingehend ab, dass nur die absolut benötigten Berechtigungen zu gewähren sind und Foto- oder Kontaktzugriff nicht leichtfertigt aktiviert werden sollte. Da durch Software-Updates diese Berechtigungen ändern können, sollten Sie diese regelmäßig kontrollieren.
2. Mai 2018
Die Konferenz der unabängigen Datenschutzbehörden des Bundes und der Länder kritisiert das soziale Netzwerk Facebook erneut scharf. So wurde der aktuell diskutierte Datenskandal lediglich als „Spitze des Eisbergs“ bezeichnet.
In einer jüngst veröffentlichten Entschließung fordern die Aufsichtsbehörden den kalifornischen Konzern daher auf, „den wahren Umgang der Öffnung der Plattform für App-Anbieter in den Jahren bis 2015“ offenzulegen und „belastbare Zahlen der eingestellten Apps sowie der von dem Facebook-Login-System betroffenen Personen“ zu nennen. Darüber hinaus sollten Betroffene über Rechtsverletzungen informiert werden. Dies sei erforderlich, damit die erheblichen Vorwürfe hinsichtlich mangelndem Datenschutz nicht folgenlos bleiben. So betonte die Bundesdatenschutzbeauftragte Andrea Voßhoff, dass die Vorwürfe „vermutlich nur ein kleines Puzzlestück des datenschutzrechlich problematischen Geschäftsmodells von enstprechenden Unternehmen sind.“
Die Datenschützer gehen davon aus, dass die Zahl der Online-Anwendungen, die allein das Login-System nutze, in die Zehntausende gehe. Es sei nicht auszuschließen, dass „dem Grunde nach alle Facebook-Nutzer betroffen“ sein könnten.
Besonders kritisch betrachtet wird das Vorgehen des Konzerns hinsichtlich der Implementierung einer Gesichtserkennung. Durch diese Funktion kann Facebook erkannte Nutzer automatisch in Fotos markieren. Die Konferenz habe „erheblichen Zweifel“ daran, ob das eingeführte Einwilligungsverfahren des Netzwerks „mit den gesetzlichen Vorgaben vereinbar ist“. „Eine unzulässige Beeinflussung des Nutzers“ steht im Raum.
Im Rahmen der Konferenz appelierten die Teilnehmer an die sozialen Netzwerkbetreiber, ihre Geschäftsmodelle an das Schutzniveau der DSGVO anzupassen und so „ihrer gesellschaftlichen Verantwortung nachzukommen.“
