24. Mai 2019
Nach Informationen des Fachdienstes „Tagesspiegel Background Digitalisierung & KI“ verhängte die Berliner Landesdatenschutzbeauftragte Maja Smoltczyk gegen die N26 Bank eine der bislang höchsten Strafen wegen Verletzungen der DSGVO. Grund für die Strafe ist eine von der N26 Bank geführte schwarze Liste mit ehemaligen Kunden. Zulässig ist dies jedoch nur wenn diese unter Geldwäscheverdacht stehen. Dadurch konnten die Betroffenen kein neues Konto eröffnen.
Auf Nachfrage bestätigte N26, dass diese Praxis inzwischen geändert wurde.
Gegen das verhängte Bußgeld geht die N26 Bank nun rechtlich vor.
Vor kurzem hat auch die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) von dem Unternehmen eingefordert, die Kontrolle von möglicher Geldwäsche zu verbessern.
Unter dem Namen „Privacy Preserving Ad Click Attribution“ hat Apple einen neuen Vorschlag zur Standardisierung eingereicht. Dieser soll Werbetracking im Web ermöglichen, ohne die Privatsphäre der Nutzer zu beeinträchtigen, erklären die für den Safari-Unterbau WebKit zuständigen Entwickler in einem Blog-Beitrag.
Im Kern sollen entscheidende Teile von Werbeabläufen anonymisiert werden. So müsse Seite A, bei der man auf eine Werbung klickt, nicht wissen, dass man auf der dann aufgerufenen Seite B ein Produkt gekauft hat. Zur Messung der Effektivität sei lediglich notwendig, dass Seite A weiß, dass „irgendwer“ danach einen Kauf getätigt hat.
Um dies zu erreichen sollen Cookies, die nur für ein detailliertes Tracking gedacht sind, generell verboten werden. Berichte über die Interaktion mit Werbung sollen um 24 bis 48 Stunden verschoben werden, um die Zuordnung weiter zu erschweren. Im Privatsphärenmodus des Browsers soll eben jenes Tracking komplett unterbunden werden. Zudem soll der Browserhersteller nichts darüber erfahren. Demzufolge sollen alle Auswertungen lokal am Gerät vorgenommen werden.
Im Browser Safari werden solche Tracking-Cookies bereits entweder gleich blockiert oder nach wenigen Tagen automatisch gelöscht. Damit soll ein längerfristiges Werbe-Tracking und eine seitenübergreifende Erstellung von Nutzerprofilen unterbunden werden.
23. Mai 2019
Das LG Köln hatte sich in einem kürzlich veröffentlichten Urteil vom 18.03.2019 (Az. 26 O 25/18) mit dem Umfang des Auskunftsrechts nach Art. 15 DSGVO zu befassen. In dem zugrundeliegenden Fall wollte die Klägerin umfassend Auskunft von einer Versicherung haben, bei der sie zwei Lebensversicherungen abgeschlossen hatte. Sie vertrat die Ansicht, dass die Versicherung ihr keine vollständige Datenauskunft nach § 34 BDSG-alt bzw. Art. 15 DSGVO erteilt hat. Die Beklagte bestand wiederum darauf, dass die Übersendung von Beratungsprotokollen oder ggf. vorliegenden Mitarbeitervermerken nicht vom Auskunftsanspruch umfasst seien.
Nach der in dem Urteil vertretenen Rechtsauffassung umfasst der Auskunftsanspruch nicht interne Vorgänge der Beklagten, wie z.B. Vermerke oder den die Person betreffenden Schriftverkehr, der dem Betroffenen bereits bekannt ist. „Rechtliche Bewertungen oder Analysen stellen insofern ebenfalls keine personenbezogenen Daten […] dar. Der Anspruch aus Art. 15 DSGVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann.“ Die Kammer begründete dies damit, dass der Betroffene (lediglich) einen Anspruch auf die Kopie der verarbeiteten personenbezogenen Daten hat.
Das Urteil des LG Köln wurde nur einen Monat nach dem Urteil des LAG Baden-Württemberg veröffentlicht, das das Auskunftsrecht eines Daimler-Managers stärkte.
Der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) kritisiert Pläne des Bunderats, die sich gegen Betreiber von Darknet-Angeboten richten. Durch das geplante Gesetz würden Unschuldige ins Visier der Behörden geraten, sagte Kelber der Süddeutschen Zeitung. Alle Anbieter von Anonymisierungssoftware müssten sich künftig Gedanken machen, ob ihre Dienste bald für illegal erklärt würden. Das Tor-Netzwerk sei nicht pauschal mit dem Darknet gleichzusetzen.
Der Bundesrat hatte Mitte März 2019 einen Gesetzesentwurf beschlossen, der das „Anbieten von Leistungen zur Ermöglichung von Straftaten“ unter Strafe stellen soll. Aufgrund des (geplanten) § 126a des Strafgesetzbuchs (StGB) droht Anbietern einer „internetbasierten Leistung“, „deren Zweck oder Tätigkeit darauf ausgerichtet ist, die Begehung von rechtswidrigen Taten“ zu ermöglichen oder zu fördern, eine Freiheitsstrafe von bis zu drei Jahren. Mit dem Darknet sind zumeist Webseiten und Dienste gemeint, die im Tor-Netzwerk als sogenannte Onion-Services (früher Hidden-Services) bereitgestellt werden. Das Programm verschleiert die IP-Adresse seiner Nutzer und lässt sie so anonym im Netz surfen.
Das Tor-Netzwerk sei jedoch nicht pauschal mit dem Darknet gleichzusetzen. Dissidenten und Whistleblower in Unrechtsstaaten nutzten es als geschützten Kommunikationsraum. Auch für normale Bürger gebe es gute und legitime Gründe, den Tor-Browser zu nutzen. Sie können sich damit der Überwachung durch Unternehmen entziehen.
„Wenn man nach einer Kneipenschlägerei nicht beweisen kann, wer sich daran mutwillig beteiligt hat, kommt man doch auch nicht auf die Idee, alle zu bestrafen, die in der Nähe herumstanden“, sagte Kelber. Dass die Polizei schon aufgrund eines derart vagen Anfangsverdachts ermitteln dürfe, sei ein kaum zu rechtfertigender Eingriff in die Bürgerrechte, so Kelber.
Die Pläne des Bundesrats waren von Juristen und der Tor-Community scharf kritisiert worden. „Die Verhaltensweisen, um die es den Verfassern des Gesetzentwurfs offiziell geht, sind typischerweise bereits heute strafbar – als Beihilfehandlungen zu den eigentlichen Straftaten“, sagte der Jurist und Richter am Landgericht Berlin, Ulf Buermeyer. Allerdings könnten mit dem neuen Straftatbestand mehr Überwachungsmaßnahmen durchgeführt werden – für die wiederum ein Verdacht ausreiche.
Der Gesetzentwurf des Bundesrats ist inzwischen mit einer Stellungnahme der Bundesregierung versehen in den Bundestag eingebracht worden (PDF).
21. Mai 2019
In der vergangenen Woche fand die diesjährige Ausgabe der European Identity & Cloud Conference 2019 statt.
Im Rahmen dieser Veranstaltung stellten sich unter anderem verschiedene aus datenschutzrechtlicher Perspektive relevanten Fragen, so etwa referierte Dr. Karsten Kinast, Geschäftsführer der KINAST Rechtsanwälte und Fellow Analyst des Veranstalters KuppingerCole, anlässlich seiner Keynote zu der Frage, ob im Kontext eines globalen Wettkampfs um Künstliche Intelligenz (KI) international einheitliche Regelungen geschaffen werde sollten. Dr. Kinast konturierte die kontroverse Debatte um die Gefahr künftiger KI einerseits sowie die daraus resultierenden rechtlichen Probleme und Lösungen andererseits. So gäbe es zum aktuellen Zeitpunkt aktuell keine Form der KI, die den konkreten Inhalt ihrer Verarbeitung versteht. Überdies könne KI bisher keine eigenständigen Schlüsse aus einer Verarbeitung ziehen oder gar autonome Entscheidungen darauf stützen. Ferner sei aus heutiger Perspektive nicht einmal bekannt, wie eine solche synthetische Intelligenz geschaffen werden könnte.
Aus diesem Grund ginge es (im Ergebnis) nicht in erster Linie darum, einen Ethikkodex zu entwickeln, in dem sich die KI als eigenständige Subjekte entfalten können. Vielmehr ginge es aus heutiger Perspektive um die weitaus profanere Sichtweise von Verantwortlichkeiten.
Den gesamten Vortrag in englischer Sprache finden sie hier.
20. Mai 2019
So lautet das interessante Ergebnis einer Studie zweier Datenforscher, wohnhaft in Warschau und Stanford.
Kinga Kita-Wojciechowska und Łukasz Kidziński begannen mit einem Datensatz von 20.000 Personen, die zwischen 2013 und 2015 in Polen eine Autoversicherung abgeschlossen hatten. Diese wurden nach dem Zufallsprinzip aus der Datenbank eines nicht offenbarten Versicherungsunternehmens ausgewählt. Jeder Datensatz enthielt die Adresse des Versicherungsnehmers und die Anzahl der Schadensfälle, die er in der Zeit von 2013 bis 2015 geltend gemacht hat.
Anschließend haben die Forscher die Adressen bei Google Street View eingegeben und ein Bild des Hauses heruntergeladen, welches kommentiert und mit Notizen über das Alter des Gebäudes, dessen Art (Einfamilienhaus, Reihenhaus, Mehrfamilienhaus, etc.) und Zustand versehen wurde.
Eine Software verarbeitete die Daten und erstellte ein Modell, das das Risiko von Autounfällen für die Haushalte genauer vorhersagen konnte, als die derzeit von den Versicherungsgesellschaften eingesetzten Modelle. Diese berücksichtigen für ihre Prognose der zukünftig eintretenden Schäden bisher die Postleitzahl des Versicherungsnehmers, dessen Alter und Geschlecht, sowie die Schadenhistorie des Fahrers und weitere Faktoren.
Laut Kidziński und Kita-Wojciechowska konnte festgestellt werden, dass Merkmale, die auf dem Bild eines Hauses sichtbar sind und Aufschlüsse über die Wohnsituation eines Versicherungsnehmers geben, das Risiko eines Autounfalls vorhersagen können.
Werden diese Faktoren in dem Risikomodell des Versicherers berücksichtigt, können sie seine Vorhersage um 2% verbessern.
Die Google Street View-Technik hat demnach das Potenzial, die Vorhersage zu optimieren.
Der Ansatz der Forscher wirft eine Reihe wichtiger Fragen hinsichtlich der Verwendung personenbezogener Daten auf. Kidziński und Kita-Wojciechowska stellten bereits kritisch fest, dass die Zustimmung der Kunden zum Speichern ihrer Adressen durch das Unternehmen nicht unbedingt eine Zustimmung zum Speichern von Informationen über das Aussehen ihrer Häuser bedeutet.
Es drängt sich die Frage auf, welche Unternehmen ebenfalls von diesem Modell profitieren könnten.
Kidziński und Kita-Wojciechowska vermuten, dass der Bankensektor der Versicherungsbranche schnell folgen könnte, da es eine Korrelation zwischen Versicherungsrisikomodellen und Kreditrisikoscoring gäbe.
In Deutschland sind die Dienste von Google Street View aus Datenschutzgründen nur eingeschränkt verfügbar.
17. Mai 2019
Die Konferenz der Diözesandatenschutzbeauftragten hat in der Sitzung vom 04. April 2019 einen neuen Beschluss zum Umgang mit Bildern von Kindern und Jugendlichen gefasst. Der Beschluss enthält ebenfalls Erläuterungen, um den kirchlichen Einrichtungen die Umsetzung der Vorgaben zu erleichtern. Durch den neu gefassten Beschluss wird die Vorgabe, dass einzelne Fotos von Minderjährigen regelmäßig den Sorgeberechtigten vor der Veröffentlichung vorzulegen sind, entschärft. Für die Rechtmäßigkeit der Erhebung und Speicherung von Bildern von Kindern und Jugendlichen ist es nicht mehr zwingend erforderlich, dass eine Einwilligung der Sorgeberechtigten vorliegt. Rechtsgrundlage für die Erhebung und Speicherung von Bildern kann auch nach erfolgter Abwägung das berechtigte Interesse sein. Ähnliches gilt auch für den Fall der Übermittelung von Fotos Minderjähriger. Als Rechtsgrundlage der Übermittelung kann auch hier das berechtigte Interesse herangezogen werden. Im Rahmen der durchzuführenden Interessenabwägung sind die Grundsätze des § 23 Gesetz betreffend das Urheberrechts an Werken der bildenden Künste und der Photographie zu berücksichtigen.
Die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschlands sieht es als ausreichend an, wenn die Einwilligung für konkret benannte Veranstaltungen vor bzw. bei Beginn des Schul- oder Kitajahres für das jeweilige Jahr eingeholt wird. Die Einwilligung kann entweder unmittelbar im Anmeldeprozess oder am ersten Schul- oder Kitatag eingeholt werden. Das Erfordernis, dass das konkrete Bild im Zeitpunkt der Unterzeichnung der Einwilligungserklärung vorliegen soll, entfällt.
Am Münchner Standort verdoppelt der Internetkonzern Google bis zum Jahresende die Anzahl der Datenschutz-Spezialisten von 100 auf 200. Insgesamt beschäftigt Google in München dann 1000 Mitarbeiter. Für Firmenchef Sundar Pichai wird Deutschland damit zu einem globalen Drehkreuz für die produktübergreifende Datenschutzarbeit.
Zur Einweihung des Google Safety Engineering Centers sind auch Kent Walker, Senior Vice President of Global Affairs und Chief Legal Officer und Kristie Canegallo, Vice President of Trust & Safety aus dem Hauptquartier in Mountain View angereist.
Google habe bei der Entwicklung der Datenschutz-Tools nicht auf gesetzliche Vorgaben gewartet, erklärte Kent Walker, Senior Vice President of Global Affairs und Chief Legal Officer. Walker erkannte zwar an, dass die EU mit der Datenschutzgrundverordnung andere Regionen dazu veranlassen könnte, eigene Datenschutzgesetze zu entwickeln. Viele Google Privacy Tools seien aber älter als die DSGVO, und gingen durchaus über geltendes Gesetz hinaus.
Aktuell arbeitet das Team in München an verbesserten Datenschutzeinstellungen von Chrome und an datenschutzrelevanten Optionen und Funktionen, darunter auch einem Inkognito-Modus, in Apps wie Maps, Suche und Youtube (wir berichteten).
Ein spannendes Projekt ist dabei etwa der Versuch, neben klassischen Angriffen – wie geklaute und im Netz verfügbare Passwörter – bösartiges Browser-Fingerprinting durch Webseiten zu erkennen.
16. Mai 2019
Die Gesellschaft für Freiheitsrechte will die Sammlung und Auswertung von Passagierdaten durch das BKA stoppen. Mit gleich sechs Klagen versuchen die Aktivisten, die entsprechende EU-Richtlinie zu kippen.
In der 2016 beschlossenen EU-Richtlinie zur Fluggastdatenspeicherung sowie in der deutschen Umsetzung, dem Fluggastdatengesetz von 2017, sieht Malte Spitz, Generalsekretär der Bürgerrechtsorganisation, einen „Verstoß gegen europäische Grundrechte“. „Die anlasslose, massenweise Speicherung und Auswertung der Flüge aller internationalen Fluggäste verstößt gegen die Europäische Grundrechtecharta. Die Rasterfahndung am Himmel muss beendet werden.“
„Diese neue Form der Überwachung verletzt die Fluggäste in ihren europarechtlich garantierten Grundrechten auf Achtung des Privat- und Familienlebens sowie auf Schutz personenbezogener Daten“, erklärt der GFF-Koordinator Bijan Moini mit Blick auf Artikel 7 und 8 der EU-Grundrechtecharta.
Alle Informationen von Passagieren, die mit dem Flugzeug in die EU einreisen oder sie verlassen, werden inzwischen für sechs Monate gespeichert. Nach Ablauf dieser Frist werden die Informationen noch anonymisiert vorgehalten. Diese umfangreichen Datensätze übermitteln die Luftfahrtunternehmen an die beim Bundeskriminalamt eingerichtete Fluggastdatenzentralstelle. Die Informationen werden fünf Jahre lang gespeichert. Es gleicht sie automatisiert mit Fahndungs- und Anti-Terror-Dateien ab. Zudem will die Polizeibehörde auch mithilfe automatisierter Mustererkennung verdächtige Flugbewegungen ermitteln. Es werden zig Datenkategorien erhoben, neben Namen, Adressen und Reiserouten sind das Kreditkartennummern, E-Mail, Telefon, die Daten von mitreisenden Kindern, das Gepäck, die Sitzplatzwahl und noch etliches mehr.
Der EuGH entschied vor knapp zwei Jahren bereits, dass das geplante, sehr ähnlich angelegte Abkommen über den Austausch von Fluggastdaten mit Kanada gegen europäische Grundrechte verstößt.
15. Mai 2019
Die Union will die Befugnisse des Verfassungsschutzes ausweiten. Der Nachrichtendienst soll gleiche Rechte wie viele Polizeibehörden bekommen.
Momentan bremst Bundesjustizministerin Katarina Barley (SPD) bei diesem Vorhaben von Bundesinnenminister Horst Seehofer (CSU) allerdings noch.
Nach den Plänen Seehofers soll der Verfassungsschutz mutmaßliche Extremisten künftig besser ausspähen können. Konkret geht es um die Erlaubnis für Online-Durchsuchungen; also den verdeckten Zugriff auf Computer, Smartphones und andere IT-Geräte, deren Daten dann ausgelesen werden können. Außerdem soll in bestimmten Fällen die sogenannte Quellen-TKÜ gestattet werden. Damit können auch verschlüsselte Chats und Sprachnachrichten abgehört werden.
Der Entwurf aus dem Innenministerium erlaubt zudem die Speicherung von Daten von Minderjährigen unter 14 Jahren. Das zielt vor allem auf Kinder ab, die in Dschihadisten-Familien aufwachsen und womöglich schon im ehemaligen Kampfgebiet der IS-Terrormiliz mit Waffen hantiert haben. „Hier geht es nicht um Strafverfolgung, sondern darum, die Gefahr frühzeitig zu erkennen und dann mit den Mitteln der Kinder- und Jugendhilfe einzugreifen“, sagte Armin Schuster, Vorsitzender des für die Geheimdienste zuständigen Kontrollgremiums des Bundestags . Sollte sich herausstellen, „dass die Familie der Radikalisierungsherd ist“, könne es „im Maximalfall dazu führen, dass ein Kind aus einer Familie herausgenommen wird“.
Gegner des Entwurfs befürchten, dass der Einsatz der oben genannten Maßnahmen, zu unverhältnismäßigen Eingriffen in die Privatsphäre führen könnte. Auftrag des Verfassungsschutzes ist die Gefahrenabwehr. Das bedeutet, dass es – anders als bei Ermittlungen der Polizei – keine Voraussetzung für das Hacken eines Computers ist, dass dem Besitzer eine Straftat zur Last gelegt wird.
Eine Sprecherin des Justizministeriums erinnert an den Koalitionsvertrag, der „maßvolle und sachgerechte Kompetenzerweiterungen“ für den Verfassungsschutz und eine gleichzeitige Ausweitung der parlamentarischen Kontrolle vorsieht. Das Justizministerium vermisst stärkere Kontrollmöglichkeiten für den Bundestag.
