Face App: Kritik wird lauter

18. Juli 2019

Ist man derzeit im Internet und dort insbesondere auf den unterschiedlichsten Social-Media-Netzwerken unterwegs, stolpert man seit einigen Tagen vermehrt auf Portraitbilder, die die Abgebildeten älter erscheinen lassen als sie tatsächlich sind. Möglich macht dies ein Filter der App „Face App“, die sowohl auf iOS als auch auf Android erhältlich ist und sich momentan großer Beliebtheit erfreut – auch weil oben erwähnter Gesichtsfilter kostenlos und beliebig oft auf bereits vorhandene Fotos sowie auf Liveaufnahmen angewendet werden kann.

Wie so oft bei der Nutzung von neuen Apps bleibt dabei jedoch die datenschutzrechtliche Komponente von der großen Maße der Nutzer unbeachtet. Auch gerade deshalb werden die öffentlichen Stimmen und Kritiken gegen die App des russischen Unternehmens Wireless Lab lauter, um vor datenschutzrechtlichen Risiken zu warnen.
So warnt nun auch der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) bei SWR aktuell wegen „Befürchtungen, dass wichtige persönliche Daten in die falschen Hände geraten könnte“ vor der Nutzung der App. Die Nutzungsbedingungen und die Datenschutzerklärung seien schwammig, insbesondere im Hinblick auf die Informationen wie die im Rahmen der App verarbeiteten und erhobenen personenbezogenen Daten genutzt und weitergegeben werden.
Die Entwickler betonen dagegen, dass keine Daten an Dritte weitergegeben oder verkauft würden.

Kein eigenständiges Recht auf Herausgabe von Datenkopien

Der hessische Beauftragte für Datenschutz hat am 24. Juni 2019 seinen 47. Tätigkeitsbericht veröffentlicht. Dabei hat er Stellung zur umstrittenen Frage bezüglich des Umfangs des Auskunftsanspruchs nach Art. 15 DSGVO genommen.

Gemäß Art. 15 DSGVO erhalten die Betroffenen das Recht, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu erhalten. Art. 15 Abs. 3 DSGVO regelt zudem, dass die verantwortliche Stelle dem Betroffenen „eine Kopie“ der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen müsse.

Zum Teil wird vertreten, dass es sich bei Art. 15 Abs. 3 DSGVO um einen eigenständigen Anspruch des Betroffenen handelt, der dazu berechtigt, von dem Verantwortlichen alle Daten in der Form heraus zu verlangen, wie sie dem Verantwortlichen vorliegen. Diese weite Auffassung des „Kopie“-Begriffs führt zu einem allgemeinen Informations- bzw. Akteneinsichtsrecht. Der Hessische Datenschutzbeauftragte legt demgegenüber den „Kopie“-Begriff aus Art. 15 Abs. 3 DSGVO einschränkend aus. Insofern müssen den Betroffenen nicht sämtliche sie betreffende Dokumente in Kopie zur Verfügung gestellt werden. Vielmehr reicht es aus, wenn diesen eine „sinnvolle strukturierte Zusammenfassung“ bereitgestellt wird, die den Betroffenen im Kontext kenntlich macht, welche Daten zu ihrer Person verarbeitet werden.

Diese Auslegung würde vor allem dem Sinn und Zweck der DSGVO entsprechen. Bei einer weiten Auslegung bestünde die Gefahr, dass ein faktisch entstehendes Informations- und Akteneinsichtsrecht für Ziele missbraucht werde, die mit dem bezweckten Schutz von natürlichen Personen in keinem Zusammenhang stünden. Lediglich in einzelnen Fällen kann aus Art. 15 DSGVO die Pflicht zur Übersendung einer Kopie eines bestimmten Dokuments entstehen, wenn zum Beispiel die Übersendung zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung zwingend notwendig ist.

Der Hessische Datenschutzbeauftragte verbietet Microsoft Office 365 an Schulen

17. Juli 2019

Die digitalen Anwendungen im Schulalltag verändert das Lernen wie kaum zuvor. Jedoch scheint Hessen auf ein Problem mit Cloudanwendung von Office 365 gestoßen zu sein, so dass die Nutzung von Office 365 an hessischen Schulen derzeit verboten werden soll. Was für Microsoft Office 365 gilt, ist auch für andere Cloud-Lösungen etwa von Google oder Apple zutreffend.

Michael Ronellenfitsch, der Hessische Beauftragte für Datenschutz und Informationsfreiheit, betonte, dass Dritte Zugriff auf die Microsoft Cloud erlangen könnten, weswegen Schulen die Cloudanwendung von Office 365 nicht mehr nutzen sollen. Laut Ronellenfitsch liegt das Problem, dass personenbezogene Schülerdaten aus Deutschland in die USA übermittelt werden. In seiner Stellungnahme erklärte der Landesdatenschutzbeauftragte, dass der entscheidende Aspekt ist, „ob die Schule als öffentliche Einrichtung personenbezogene Daten von Kindern in einer europäischen Cloud speichern kann, die z.B. einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist.“ Ferner begründet er seine Auffassung, dass Office 365 nicht für Schulen geeignet ist, mit der besonderen Verantwortung der öffentlichen Einrichtungen in Deutschland beim Datenschutz hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten. Zudem mahnt Ronellenfitsch, dass „die digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein“ müsse. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auch darauf hingewiesen, dass über Windows 10 und Microsoft Office 365 „eine Fülle von Telemetrie-Daten an Microsoft übermittelt“ würden, deren Inhalte trotz wiederholter Anfragen noch nicht hinreichend geklärt seien.

Der Landesdatenschutzbeauftragte argumentiert, dass man auch mit der Einwilligung der Betroffenen das Problem nicht lösen könnte, da die Sicherheit und Nachvollziehbarkeit der Datenverarbeitungsprozesse nicht gewährleistet sind. Der Versuch einer Heilung durch eine Einwilligung der Eltern bietet auch keine Lösung, weil es nicht nachvollziehbar ist, welche Daten tatsächlich übermittelt werden.

Diese Regelungen gelten zurzeit nur in Hessen. Es bleibt abzuwarten, wie die anderen Bundesländer hiermit umgehen werden.

Kein neues Gesetz für Smart-Home-Geräte

16. Juli 2019

Sollten bei einem Zugriff des Staates auf Daten privater Smart-Home-Geräte strengere Regeln gelten? Sicherheitsbehörden können theoretisch vernetzte Geräte zur akustischen Überwachung einsetzen. Bei der Beantwortung dieser Frage sind die Bundesregierung und der Datenschutzbeauftragte unterschiedlicher Meinung.

Nach Einschätzung der Bundesregierung benötigen Sicherheitsbehörden kein neues Gesetz. Die FDP-Fraktion hatte diesbezüglich eine Anfrage gestellt und bekam vom Bundesinnenministerium die Antwort, dass eine neue gesetzliche Regelung nicht erforderlich sei, da der bestehende Rechtsrahmen bereits die Smart-Home-Geräte umfasse. Es müssen laut Innenministerium nicht dieselben Voraussetzungen gelten, die für die Anordnung einer akustischen Wohnraumüberwachung notwendig seien. Zur Anwendung kämen stattdessen die weniger hohen Hürden für die Onlinedurchsuchung. Darunter ist der Eingriff in einen Computer oder ein anderes informationstechnisches System ohne Wissen des Betroffenen zu verstehen.

Auch wenn in beiden Fällen ein richterlicher Beschluss notwendig sei und es sich um Ermittlungen zu einer besonders schweren Straftat handelt, kommt bei einer Wohnraumüberwachung hinzu, dass sie nur dann erlaubt ist, wenn „auf Grund tatsächlicher Anhaltspunkte anzunehmen ist, dass durch die Überwachung Äußerungen des Beschuldigten erfasst werden, die für die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes eines Mitbeschuldigten von Bedeutung sind.“

Der Bundesdatenschutzbeauftragte Ulrich Kleber hat dazu eine andere Meinung. Aus seiner Sicht sei darin eine „verfassungsrechtlich bedenkliche Kompetenzerweiterung“ zu sehen. Neben den klassischen Smart-Home-Geräten wie Alexa zählen auch Luftsensoren, Bewegungsmelder oder Überwachungskameras, die Informationen versenden, dazu.

Der FDP-Innenpolitiker Benjamin Strasser sagt, dass grundsätzlich „alle digitalen und vernetzten Geräte mit Mikrofon wie etwa Sprachassistenten auch für die akustische Überwachung genutzt werden“ können. Daraus ergibt sich für die Bundesregierung offenbar „ein millionenfaches Potential für Wanzen im Wohnzimmer“.

Facebook einigt sich mit der amerikanischen Verbraucherschutzbehörde

15. Juli 2019

Das Unternehmen Facebook und die US-Verbraucherschutzbehörde FTC haben sich im Zusammenhang mit Verstößen gegen datenschutzrechtliche Regelungen Medienberichten zufolge verglichen. Ausgehend von diesen soll das Unternehmen eine Strafe in Höhe von fünf Milliarden US-Dollar zahlen.

Die FTC hatte diese Ermittlungen im vergangenen Jahr eingeleitet. Konkreter Gegenstand der Ermittlungen war der unrechtmäßige Zugriff des Unternehmens Cambridge Analytica auf diverse Nutzerdaten. Damit der Vergleich wirksam wird, muss zunächst das amerikanische Justizministerium dem Vergleich zustimmen.

Dieser Zugriff betraf ebenfalls Fälle im Anwendungsbereich der DSGVO. So hat unter anderem die italienische Datenschutzbehörde ebenfalls ein Bußgeld gegen das Unternehmen verhängt.

Kategorien: Allgemein · Aufsichtsbehördliche Maßnahmen
Schlagwörter:

Engere Vernetzung von europäischen (Regulierungs)Behörden für einen besseren Datenschutz

11. Juli 2019

Im Rahmen einer Podiumsdiskussion mit 300 Gästen zum Thema „Data Protection and Competitiveness in the Digital Age“ diskutierten u.a. der Europäische Datenschutzbeauftragte Giovanni Buttarelli und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber die Herausforderung neuer Technologien und warben für mehr Zusammenarbeit zwischen verschiedenen europäischen Behörden.

Die steigende Datenkonzentration und die Datenmacht global agierender Unternehmen wirke sich auch auf die Rechte der Bürger und die Wettbewerbsfreiheit aus, sodass Datenschutz nicht nur ein Thema der Datenschutzbehörden sei, sondern immer mehr auch ein Thema in verbraucherrechtlichen und wettbewerbsrechtlichen Behörden werde. Eine engere Vernetzung dieser Behörden würde helfen der wachsenden Dominanz von Digitalkonzernen zu begegnen und für einen besseren Datenschutz sorgen. Der Datenschutz sollte nicht als Wettbewerbsnachteil, sondern gerade im Bereich der digitalen Innovation ein Wettbewerbsvorteil in der EU sein.

„Neue Technologien schaffen Chancen – gleichzeitig aber auch Risiken, insbesondere für die informationelle Selbstbestimmung. Daher müssen wir gemeinsam daran arbeiten, proaktiv im Sinne der Gewährleistungsziele des Datenschutzes von Anfang an bei einer „menschzentrierten“ Technikgestaltung mitzuwirken. Dabei sollten wir das Modell der rechtsgebietsübergreifenden Behördenkooperation nicht nur auf nationaler Ebene, sondern auch auf EU-Ebene stärker institutionalisieren.“, betonte Ulrich Kelber.

Teil des Rednerpanels waren außerdem der Präsident des Bundeskartellamtes, Andreas Mundt, die Präsidentin der französischen Datenschutzbehörde (CNIL), Marie-Laure Denis, der Generalsekretär der Europäischen Kommission, Martin Selmayr, und die britische Informationskommissarin, Elizabeth Denham.

Android-Apps sammeln Daten ohne Einwilligung der Nutzer

Die Sicherheitsforscher des „International Computer Science Institute“ (ICSI) mit Sitz in Kalifornien untersuchten 88.000 Apps aus dem Google Play Store und verfolgten, wie Daten von den Applikationen übertragen wurden, wenn ihnen Berechtigungen verweigert wurden. Dabei fanden sie 1325 Android-Apps, die persönliche Informationen des Nutzers abgreifen, obwohl darauf kein Zugriff erlaubt war.

Die Untersuchung hat ergeben, dass die Apps das Berechtigungssystem des Android-Betriebssystems umgehen und Daten, wie beispielweise Standortinformationen, von Geräten sammeln und an die eigenen Server senden, auch wenn Nutzer den Zugriff auf Standortdaten verweigerten. Die 1325 Apps, die die Berechtigungsbestimmungen verletzten, haben in ihrem Code versteckte „Workarounds“ verwendet. Sie entnehmen personenbezogene Daten aus Quellen wie Wi-Fi-Verbindungen und in Fotos gespeicherten Metadaten. Nach Angaben der Forscher sind einige von diesen Apps auf über 500 Millionen Geräten installiert.

Die Forscher des ICSI haben Google und die zuständige Aufsichtsbehörde, die Federal Trade Commission (FTC), über das Resultat der Untersuchung informiert. Google hat angekündigt, die Probleme in der neuen Version Q von Android zu beheben. Die Forscher wollen im August eine detaillierte Liste der 1.325 Apps auf der Usenix Security Konferenz veröffentlichen.

Kategorien: Allgemein
Schlagwörter: ,

Bundesgesundheitsminister plant eigenes Datenschutzgesetz für das Gesundheitswesen

10. Juli 2019

Bun­des­ge­sund­heits­mi­nis­ter Jens Spahn (CDU) plant zum Datenschutz im Gesundheitswesen ein eigenes Gesetz. Er hat bereits Passagen zum Da­tenschutz aus dem Digitale-Versorgungs-Gesetz (DVG) herausgenommen.

Der Vorstandsvorsitzende der Kassenärztlichen Vereinigung (KV) Nordrhein begrüßt Spahns Pläne: „Durch die bereits in Kraft getretenen und für die Zukunft noch geplanten Gesetze des Bundesgesundheitsministers entsteht eine enorme Dynamik, auch bei der – überfälligen – Digitalisierung des Gesundheitswesens.“

Geplant ist, das eigene Datenschutzgesetz in der zweiten Jahreshälfte auf den Weg zu bringen. Vorgesehen ist unter anderem, Versicherte bei der Nutzung der zum 1. Januar 2021 startenden elektronischen Patientenakte zu unterstützen.

Das Ziel ist, dem Thema Datenschutz im Rahmen der neuen Anwendungen und der Vernetzung im Gesundheitswesen gebührend Rechnung zu tragen.

Datenschutzbehörde untersucht Apple auf DSGVO-Verstöße

4. Juli 2019

Die Irische Datenschutzbehörde untersucht ob die Apple Inc. den Pflichten aus der Datenschutzgrundverordnung nachkommt. Es handelt sich dabei nicht um die erste offizielle Prüfung des Unternehmens Für Apple ist innerhalb der Europäischen Union der Data Protection Commissioner (DPC) der Republik Irland zuständig. Bei der aktuellen Prüfung soll der Fokus besonders auf der Realisierung von Auskunftsersuchen durch Kunden gerichtet sein.

Bereits im letzten Jahr wurden durch den DPC zwei Prüfungen des Unternehmens veranlasst um festzustellen, ob die Datenschutzbestimmungen für die Nutzer transparent genug sind.

Falls Verstöße gegen die Datenschutzgrundverordnung festgestellt werden sollten, könnten diese mit hohen Strafzahlungen geahndet werden. Apple ist nicht das einzige Unternehmen gegen das Untersuchungen durch den DPC eingeleitet wurden. Auch Facebook sowie den damit verbundenen Unternehmen Twitter, WhatsApp und Instagram wurden zahlreiche Untersuchungen auferlegt.

Asset Deal- Katalog von Fallgruppen

3. Juli 2019

Am 24.05.2019 hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder auf einen Katalog von Fallgruppen verständigt, die im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 lit. f i.V.m. Abs. 4 DSGVO bei einem Unternehmensverkauf zu berücksichtigen sind.

Ein Asset Deal ist eine Unterart des Unternehmenskaufs, bei dem Wirtschaftsgüter (engl. Assets) eines Unternehmens, wie Grundstücke, Gebäude, Maschinen, Patente etc., im Rahmen der Singularsukzession übertragen werden.

Bisher war es umstritten, ob und in welchem Umfang in einem solchen Fall auch Daten von Kunden verkauft werden dürfen.

Folgende Fallgruppen wurden von der DSK nun beschlossen:

  • Kundendaten bei laufenden Verträgen
  • Bestandskunden ohne laufende Verträge und letzter Vertragsbeziehung älter als 3 Jahre
  • Daten von Kundinnen und Kunden bei fortgeschrittener Vertragsanbahnung; Bestandskundinnen und -kunden ohne laufende Verträge und letzte Vertragsbeziehung jünger als 3 Jahre
  • Kundendaten im Falle offener Forderungen
  • Kundendaten besonderer Kategorie nach Art. 9 Abs. 1 DS-GVO
Kategorien: Allgemein
Schlagwörter: , , ,
1 2 3 194