19. Juli 2018
Die deutsche Justiz will das digitale Zeitalter nicht verpassen und versucht auf verschiedenen Wegen den analogen Brief- und Aktenverkehr mit digitalen Systemen abzulösen.
So hat die Bundesrechtsanwaltskammer (BRAK) aufgrund sicherheitstechnischer Mängel mit der Einführung eines sog. besonderen elektronischen Anwaltpostfachs (beA) zu kämpfen. Hierbei stehen neben dem Schutzgut der informationellen Selbstbestimmung aus Art. 2 Abs. 1 GG auch die vertrauliche und geheime anwaltliche Kommunikation auf dem Spiel. Da in Anwaltsakten viele personenbezogene Daten übermittelt werden, findet die DSGVO Anwendung.
Das heißt, dass die deutschen Behörden sich ebenfalls an den Anforderungen der DSGVO in Sachen IT-Sicherheit orientieren müssen. So überrascht die Einschätzung , dass das IT-Unternehmen Atos (Anbieter des beA) anscheinend nicht ausreichend technische und organisatorische Maßnahmen ergriffen hat, um eine geheime Kommunikation zu sichern. Es fehle zum Beispiel an einer Ende-zu-Ende Verschlüsselung, wodurch die Vertraulichkeit im Sinn des Art. 32 Abs. 1 lit. b) DSGVO nicht hinreichend berücksichtig wäre. Dies ist jedenfalls die Meinung der Gesellschaft für Freiheitsrechte (GFF), die eine Klage gegen das beA vorbereitet.
Auch seitens der Justizbehörde, konkret der Gerichte, gibt es ambitionierte Planungen eine sogenannte E-Akte einzuführen. Einige Pilotprojekte starteten dieses Jahr, sind aber gerade in Sachen Sicherheit wohl noch nicht ausgereift.
Was Unternehmen schon in großer Zahl abverlangt wird, gilt also auch für öffentliche Stellen. Diese haben nur einige wenige Privilegien. So dürfen mehrere öffentliche Stellen, einen gemeinsamen Datenschutzbeauftragten ernennen, vgl. Art. 37 Abs. 3 DSGVO.
18. Juli 2018
Kalifornische Wissenschaftlicher haben einen neuen Weg gefunden, Passwort-Eingaben auslesen zu können, ohne eine spezielle Software auf dem System installieren oder in das Netzwerk des Unternehmens eindringen zu müssen.
Ausreichend ist eine Wärmebildkamera, mit der die Tastatur gefilmt wird. Die Wissenschaftler der Universität von Kalifornien haben festgestellt, dass bis zu einer Minute nach Eingabe der Passwörter die gedrückten Tasten noch zu erkennen seien, insbesondere dann, wenn die Nutzer die nur mit zwei Fingern statt mit dem Zehn-Finger-System schreiben. In diesen Fällen sind die Wärmeabdrücke bei dieser langsameren Eingabemethode häufig größer und damit für Angreifer einfacher wieder herzustellen.
Die Gefahr ist deshalb so groß, da kein besonderes Fachwissen für die Erkennung der Eingabe notwendig ist und selbst Laien nach einer kurzen Einweisung aus den Bildern auf korrekte Eingabe von Passwort-Fragmenten schließen konnten. Außerdem sei diese Technik unkompliziert und deutlich günstiger als andere Angriffsversuche auf die Infrastruktur eines Netzwerkes. Es ist lediglich eine freie Sicht mit der Kamera auf die Tastatur erforderlich.
Bei dieser Passwort-Rekonstruktion spielen die Stärke des Passworts und andere Maßnahmen, wie etwa spezielle Filter, die den Blick auf den Bildschirm erschweren, keine Rolle mehr.
Um nicht Opfer dieser neuen Methode zu werden, empfehlen die Wissenschaftlicher nach der Eingabe von sensiblen Informationen mit der Hand über die Tastatur zu streichen oder willkürliche Tastenkombinationen einzugeben. Eine weitere Möglichkeit bestünde in der Nutzung einer Bildschirmtastatur.
Diese neue ungewöhnliche Methode für das Ausspähen von Tastatureingaben zeigt auf, dass Passwörter eine Schwachstelle in jedem Sicherheitskonzept darstellen.
Die Zwei-Faktor-Authentifizierung würde eine größere Sicherheit bieten, da diese Möglichkeit den Zugriff auf ein System nicht von der Eingabe eines Passworts abhängig macht.
17. Juli 2018
Der US-Sonderermittler Robert Mueller untersucht seit dem Frühjahr 2017 mit welchen Mitteln die US-Präsidentschaftswahlen 2016 durch Russland beeinflusst werden konnten. Eine im Februar offengelegte Anklageschrift liefert ausführliche Erkenntnisse, dass russische Angreifer das Internet dazu nutzten die politische Haltung von US-Bürgern zu beeinflussen. Ein Sprecher des US-Justizministeriums wies dennoch darauf hin, dass eine Wahlbeeinflussung durch diese Handlung nicht Gegenstand der Anklageschrift sei, da man nicht nachempfinden könnte ob und in welchem Maß die Stimmenabgabe manipuliert wurde. Mueller erläutert in der Anklageschrift vielmehr, in wie weit die russischen Agenten durch Hackerangriffe auf das Wahlkampfteam von Hillary Clinton und die Demokraten in die Wahl eingriffen. Mueller und seinem Team zu Folge schleusten die Hacker sogenannte „Maleware“ auf Rechner der Demokraten durch welche sie beliebig Screenshots machen konnten. Die Ausleitung der Daten erfolgte durch Server, welche in den USA mittels Bitcoins angemietet wurden. Die Veröffentlichung der Daten erfolgte via Twitter und durch den Hacker „Guccifer 2.0“. Darüber hinaus geht die Anklageschrift auf eine vorerst nicht entdeckte „Linux-Maleware“ ein, durch die trotz bereits entdeckter Hackerangriffe weiterhin Daten abgeflossen sind. Auch die Wahlinfrastruktur soll durch ähnliche Hackerangriffe attackiert worden sein, sodass Daten von über 500.000 Wählern erbeutet wurden. Moskau wies die in der Anklageschrift offengelegten Vorwürfe von sich und gab bekannt sich nie in den US-Präsidentschaftswahlkampf eingemischt zu haben. Den Verdacht der Wahlmanipulation erklärte der außenpolitische Berater des russischen Präsidenten damit, dass Gegner einer russisch-amerikanischen Annäherung dieses Thema missbraucht hätten. Die geschädigten Demokraten forderten im Zuge dessen Präsident Trump auf den Gipfel mit Präsident Putin zu verschieben, bis die russische Regierung nachweisen kann, dass die Vorwürfe nicht wahrheitsgetreu sind.
16. Juli 2018
Was passiert mit den Inhalten eines Facebook-Nutzerkontos, wenn der Inhaber verstirbt und diesen Fall nicht vorab in seinen Einstellungen geregelt hat? Sind digitale Daten vererbbar?
Am Donnerstag, den 12. Juli, fiel in Karlsruhe ein Urteil von grundsätzlicher Bedeutung: Private Daten wie ein Facebook-Nutzerkonto fallen nach dem Tod des Nutzers grundsätzlich an seine Erben. Ein Anspruch der Erben auf Einsichtnahme in die Daten ergibt sich aus dem Nutzungsvertrag, welchen ein Kontoinhaber mit Facebook hat. Die Rechte und Pflichten aus diesem Vertrag gehen auf die Erben über.
Das Urteil beendet einen langjährigen Rechtsstreit zwischen Facebook und den Eltern einer verstorbenen Nutzerin, welche sich fünfeinhalb Jahre nach dem Tod ihrer Tochter gegen den US-Konzern durchsetzen konnten. Die Eltern hatten gegen Facebook geklagt, weil sie sich durch eine Einsicht in die Facebook-Kommunikation ihrer Tochter eine Aufklärung der Todesumstände erhofften. Das Mädchen war Ende 2012 in Berlin vor eine U-Bahn gestürzt. Bis heute ist ungewiss, ob es sich um einen tragischen Unfall oder um Selbstmord handelte.
Facebook hatte das Konto nach dem Tod des Mädchens in den Gedenkzustand versetzt und somit „eingefroren“. Auch mit dem Passwort war eine Anmeldung für die Eltern nicht möglich. Das Unternehmen verweigerte eine Freigabe der Kontoinhalte, weil die Freunde des Mädchens darauf vetraut hätten, dass ihre Kommunikation privat bliebe. Diese Ansicht teilte das höchste deutsche Gericht nicht: Zwar können der Absender einer Nachricht bei Facebook darauf vertrauen, dass diese an ein spezielles Konto zugestellt werde, nicht jedoch an eine konkrete Person.
Auch wenn das Urteil Bedenken in Bezug auf die Persönlichkeitsrechte Dritter, mit welchen die Verstorbene kommuniziert hat aufwirft, so ist dieses nur konsequent: Bei Briefen und Tagebüchern bestehen hinsichtlich einer Erbschaft keine Bedenken. Warum sollten digitale Daten dann anders behandelt werden?
Die Mitglieder der gesetzlichen Krankenversicherungen sollen zukünftig über ihr Smartphone oder Tablet auf ihre Patientendaten zugreifen können.
Der Gesundheitsminister Jens Spahn beabsichtigt bereits ab 2021 diese neue Zugriffsmöglichkeit einzuführen.
Laut FAZ will der Gesundheitsminister noch im Juli die erforderlichen Vorgaben gegenüber den betroffenen gesetzlichen Krankenversicherungen tätigen.
Das Ziel der neuen Zugriffsmöglichkeit soll darin bestehen für die Versicherten die Nutzungsfreundlichkeit zu erhöhen und eine weitere Zugriffsoption zu schaffen.
Mit Einführung der neuen Option soll speziell die Digitalisierung vorangetrieben werden.
Die Zugriffsmöglichkeit auf Patientendaten über das Smartphone oder Tablet bedeutet jedoch laut dem Gesundheitsminister nicht die letzte Erweiterung in diesem Bereich. Daneben sollen im Rahmen der elektronischen Patientenakte auch die bisherigen Zugänge und Authentifizierungsverfahren erweitert werden. Im Gespräch ist ein vergleichbarer Zugang wie beim Online-Banking über die Verwendung von TAN und PIN.
Immer mehr Hersteller bieten Haushaltsgeräte wie die elektrische Zahnbürste, Kühlschränke oder Staubsaugerroboter mit der Funktion, dass sich die Geräte mit dem WLAN verbinden, an. Vielen Nutzern ist nicht bewusst, dass diese Geräte ihr Verhalten „tracken“, dh. erheben, auswerten und an ihren Hersteller weiterleiten. So meldet die elektrische Zahnbürste wie lange und wie häufig sie in Gebrauch ist. In Kühlschränken werden Kameras installiert, die dokumentieren, welche Lebensmittel wie häufig gekauft werden und der Staubsaugerroboter kann Auskunft über die Dauer und Häufigkeit seiner Nutzung und teilweise über die Größe oder sogar Zuschnitt der Wohnung geben. Diese Daten benutzen die Hersteller vor allem für Marketingzwecke, um ihr Angebot an das Verhalten ihrer Kunden anzupassen.
Dieses Tracking ist datenschutzrechtlich mehr als bedenklich. Nach der DSGVO spricht einiges dafür, dass diese Datenverarbeitung nicht datenschutzkonform ist.
Zunächst könnte das heimliche und uferlose Tracking könnte gegen das Transparenzgebot aus Art. 5 Abs. 1 lit. a DSGVO verstoßen. Beim Kauf eines internetfähigen Haushaltsgeräts ist es für den Kunden nicht ersichtlich, ob und welche seiner Verhaltensdaten übermittelt werden. Als Teil der Informationspflichten, muss der Betroffene über die Datenverarbeitung in Kenntnis gesetzt werde.
Gegen die Rechtmäßigkeit dieser Datenverarbeitung und Übermittlung spricht außerdem, dass sie auf keine Rechtsgrundlage gestützt werden kann. Art. 6 Abs. 1 lit. a) DSGVO scheidet aus, weil keine vorherige Einwilligung beim Nutzer eingeholt wird.
Art. 6 Abs. 1 lit. b) DSGVO erlaubt eine Verarbeitung, wenn dies für die Erfüllung des Vertrages notwendig ist. Der Kaufvertrag braucht aber gerade keine solches Tracking um erfüllt zu werden. Insbesondere können alle Geräte für ihren bestimmungemäßen Gebrauch ohne diese Datenverarbeitung genutzt werde.
Nach Art. 6 Abs. 1 lit. f) DSGVO ist eine Verarbeitung erlaubt, wenn der Hersteller ein berechtigtes Interesse an der Erhebung und Auswertung der Kundendaten hat. Dieses Interesse ist als berechtig einzustufen, wenn die schutzwürdigen Interessen des Kunden an seiner Privatsphäre nicht überwiegen. Beim Gebrauch von Haushaltsgeräten zum Staubsaugen, Aufbewahren und Kühlen von Lebensmitteln und Zähneputzen ist die Privatsphäre des Nutzers aber gerade höher zu bewerten, als die wirtschaftlichen Interessen der Hersteller und damit schutzwürdig.
Abgesehen von der mangelnden Rechtsgrundlage, könnte das Tracking gegen das Kopplungsverbot aus Art. 7 Abs. 4 DSGVO verstoßen. Danach ist es verboten einen Vertragsabschluss von der Einwilligung in eine nicht für die Erfüllung notwendige Datenverarbeitung abhängig zu machen. In diesen Fällen ist die Einwilligung nicht mehr freiwillig erteilt worden und damit ungültig. Darüber hinaus trifft die Hersteller nach Art. 25 DSGVO die Pflicht datenschutzfreundliche Voreinstellungen bei Geräten zu treffen. Der Verstoß ist auch bußgeldbewehrt nach Art. 83 Abs. 4 lit. a) DSGVO.
Es lässt sich festhalten, dass das Tracking bei der Nutzung von internetfähigen Haushaltsgeräten nach der DSGVO problematisch ist. Es kann unter Umständen auf keine Rechtsgrundlage gestützt werden, verstößt gegen Datenschutzgrundsätze und ist bußgeldbewehrt.
13. Juli 2018
Der Europäische Gerichtshof (EuGH) hat auf ein Vorabentscheidungsersuchen aus Finnland am 10.07.2018 (Az.: C-25/17) entschieden, dasss die Zeugen Jehovas bei ihren Hausbesuchen die EU-Vorschriften hinsichtlich des Datenschutzes beachten müssen.
Wie wir bereits berichteten, hat das finnische Oberste Verwaltungsgericht den EuGH im Wege des Vorabentscheidungsverfahren um Klärung ersucht. Der finnische Datenschutzbeauftragte ist der Ansicht, dass es sich bei den Notizen der Zeugen Jehovas um eine Datenerhebung handelt, für die sowohl die einzelnen Mitglieder als auch die Gemeinschaft der Zeugen Jehovas als solche verantwortlich sind und die dem europäischen Datenschutzrecht unterfällt.
Dieser Ansicht wurde bereits von dem Generalanwalt, in seinem vorbereitenden, Schlussantrag, gefolgt. Diesem sind die Richter nun gefolgt: Die notierten Daten, wie etwa Name, Adresse und religiöse Orientierung unterfallen den EU-Vorschriften und sowohl die Mitglieder als auch die Gemeinschaft als solche sind verantwortlich für die Datenverarbeitung.
Der EuGH begründet die Entscheidung folgendermaßen: zunächst ist keine der normierten Ausnahmen einschlägig, was insbesondere damit zusammenhängt, dass es sich nicht um eine ausschließlich persönliche oder familiäre Tätigkeit handelt. Eine andere Sichtweise ergibt sich auch nicht daraus, dass die Verkündungstätigkeit unter Art. 10 Abs. 1 EU-Grundrechtecharta fällt, denn sie geht über die private Sphäre hinaus. Darüber hinaus wendet der EuGH einen weiten „Datei“-Begriff an, der nicht notwendigerweise ein Speichern im technischen Sinne vorsieht. Ausreichend ist, die strukturierte Sammlung personenbezogener Daten nach bestimmten Kriterien, damit sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind. Diese Voraussetzungen sah der EuGH als gegeben an.
Zu beachten ist, dass die Fragen sich auf die Datenschutzrichtlinie 95/46/EG bezogen, welche am 25.05.2018 von der Datenschutzgrundverordnung (DSGVO) abgelöst wurde. Nichts desto trotz ist davon auszugehen, dass dieses Urteil auch den Anforderungen der DSGVO genügt, denn die DSGVO ist in ihren Voraussetzungen strenger als die alte Richtlinie.
12. Juli 2018
In vielen Unternehmen werden unterschiedliche Formen im Umgang mit Smartphones praktiziert. Teilweise werden private Handys zu dienstlichen Zwecken verwendet oder dienstliche Handys auch privat genutzt. Aus datenschutzrechtlicher Sicht besteht insbesondere aufgrund verschiedener Messenger-Dienste, wie beispielsweise WhatsApp, ein Datenschutz-Problem.
Dennoch ist die Mischnutzung der Smartphones zu dienstlichen und privaten Zwecken bei vielen Unternehmen heute nicht mehr wegzudenken. Auch auf die Nutzung von Messenger-Diensten, insbesondere im privaten Bereich will keiner mehr verzichten.
Mit dem Herunterladen der App wird dem Messenger-Dienst ein Zugriff auf die im Handy gespeicherten Kontakte eingeräumt. Datenschutzrechtlich stellt das eine Übermittlung von personenbezogenen Daten dar, die einer Ermächtigungsgrundlage bedarf. In der Regel wird eine solche nicht vorliegen, da davon auszugehen ist, dass für die Übermittlung keine Einwilligung eingeholt wurde, kein Vertragsverhältnis und auch kein berechtigtes Interesse besteht. Damit ist die Übermittlung der personenbezogenen Daten rechtswidrig.
Für eine datenschutzkonforme Lösung dieses Problems sind folgende Lösungen denkbar:
• Die Trennung von Diensthandy und Privathandy. Das bedeutet, die Diensthandys dürfen ausschließlich dienstlich genutzt werden. Messenger-Dienste, die einen Zugriff auf die Kontaktdaten erhalten, dürfen auf diesen Diensthandys nicht installiert werden.
• Die Einholung von Einwilligungen der gespeicherten dienstlichen Kontaktpartner.
• Ein zentraler Verzeichnisdienst, durch den keine dienstlichen Kontakte auf den Smartphones mehr gespeichert werden, sondern der Mitarbeiter die Möglichkeit erhält, mithilfe einer App auf ein zentrales Verzeichnis zuzugreifen, in dem die dienstlichen Kontakte zentral verwaltet werden.
• Eine Containerlösung, durch die auf dem Smartphone ein abgegrenzter Bereich geschaffen wird, der nicht mit dem privat genutzten Bereich kommuniziert und keinerlei Daten mit diesem austauscht.
Um einen Messenger-Dienst dienstlich zu nutzen, verbleibt bisher als datenschutzkonforme Lösung aber einzig die Einholung von Einwilligungen. Die beiden letztgenannten Alternativen bieten ausschließlich eine Lösung dafür, Messenger-Dienste, auf einem auch zu dienstlichen Zwecken genutzten Handy, privat nutzen zu können.
11. Juli 2018
Die Regelungen der EU-Datenschutzgrundverordnung (DSGVO) gelten auch für Unternehmen außerhalb der Europäischen Union, wenn sie Daten von EU-Bürgern verarbeiten. Statt die 99 Artikel der DSGVO umzusetzen, haben einige US-Medien schlicht ihre Online-Präsenz für europäische Bürger gesperrt. So sind für Besucher mit europäischen IP-Adressen die Nachrichtenseiten der Baltimore Sun, Chicago Tribune, Los Angeles Times, New York Daily News und San Diego Union-Tribune geblockt. Alle genannten Seiten gehören zum Verleger Tronc, welcher bei einem Zugriff aus Europa verlautbaren lässt, man suche nach Möglichkeiten, die digitalen Angebote auf dem europäischen Raum anzubieten. Die Washington Post hat anlässlich der DSGVO ihr Geschäftsmodell erweitert und bietet eine „Premium EU Ad-Free Subscription“ ohne Werbung und Third-Party-Cookies für Europäer an.
Die wirtschaftlichen Folgen mögen für genannten US-Journalismus gering sein, da sich wohl nur wenige Europäer für Lokalnachrichten aus den USA interessieren. Kleinere Firmen, Start-Ups oder Vereine aus dem EU-Ausland ringen aber mit der DSGVO. Bevor Bußgelder oder Abmahnungen zu befürchten sind, blocken einige Verantwortliche während der Arbeit an den DSGVO-Vorgaben ihre Internetseiten für Europäer.
Die DSGVO gilt unmittelbar, sobald personenbezogene Daten von EU-Bürgern verarbeitet werden. Ob Großkonzern oder Start-Up, die datenschutzrechtlichen Pflichten unterscheiden sich grundsätzlich nicht. Lediglich in Erwägungsgrund 13 der Verordnung werden kleine und mittlere Unternehmen (KMU) ausdrücklich erwähnt. So kann es Entlastungen hinsichtlich Verzeichnissen von Verarbeitungstätigkeiten für Unternehmen mit weniger als 250 Mitarbeitern geben. Doch selbst diese Entlastung birgt gewisse Rechtsrisiken, sodass in der Regel dieser Dokumentationspflicht zu genügen ist. Zusätzlich ruft Artikel 40 DSGVO Verbände und Behörden dazu auf, Verhaltensregeln mit Berücksichtung der Bedürfnisse von KMU anzufertigen. Das Bayerische Landesamt für Datenschutzaufsicht hat für KMU einen Fragebogen und Handreichungen veröffentlicht.
Es bleibt abzuwarten, welche Reaktionen die DSGVO noch auf im EU-Ausland ansässige Anbieter mit Datenverarbeitung von EU-Bürgern haben wird. Journalismus mit globaler Berichterstattung und europäischer Leserschaft wird jedenfalls kaum den Weg einiger US-Medien wählen können und wollen, die Internetpräsenz für Europäer zu sperren.
9. Juli 2018
Ab dem 09.07.18 bietet das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach eine Telefonhotline für Fragen zur neuen Datenschutzgrundverordnung an. Die Hotline soll Vereine und Ehrenamtliche bei der Umsetzung der Datenschutzgrundverordnung (DSGVO) unterstützen und somit Sanktionen vermeiden. Können einzelne Fragen über das Telefon nicht beantwortet werden, gibt es zusätzlich auch einen E-Mail-Kontakt. Außerdem will die Datenschutzbehörde die meist gestellten Fragen inklusive Antworten auf ihrer Homepage veröffentlichen.
In der Zeit von Montag bis Freitag, von 08.00 bis 19.00 Uhr, sind fachkundige Mitarbeiter des Landesamts unter der Telefonnummer 0981/531810 erreichbar.
Hintergrund für die Einrichtung der Hotline ist, dass viele Vereine und ehrenamtlich Tätige wegen des neuen europäischen Datenschutzrechts stark verunsichert sind. Zuletzt wurden in Bayern sogar pauschale Fotografier-Verbote für Veranstaltungen von Schulen und Kinderkrippen ausgesprochen. Dabei sind Fotografien für den Privatgebrauch von der DSGVO überhaupt nicht betroffen. Insbesondere wegen der hohen angedrohten Strafen, wollen sich jedoch viele unbedingt absichern.
Thomas Kranig, der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht, erklärt: „Unser Ziel ist nach wie vor, diejenigen, die sich um die Einhaltung datenschutzrechtlicher Vorschriften bemühen, dabei zu unterstützen und nicht zu sanktionieren. Nur wer sich um den Datenschutz überhaupt nicht kümmert, muss auch mit Sanktionen rechnen.“
