Kategorie: Allgemein
26. März 2020
Laut IT-Sicherheitsexperten machen sich Kriminelle die momentanen Sorgen und Ängste von Nutzern, hinsichtlich des Coronavirus, zu Nutze.
Demnach würden Kriminelle unter anderem gefälschte E-Mails zu Coronavirus-Themen im Namen der Weltgesundheitsorganisation WHO oder im Namen von Hotelketten, Fluggesellschaften und Fitnessstudios verschicken. Ziel sei es, an die Passwörter der Nutzer zu gelangen. Mit Anklicken der in den E-Mails enthaltenen Links werde der Nutzer auf eine Pishing-Seite weitergeleitet oder es lade sich eine Schadsoftware im Hintergrund.
Aber auch das von vielen Arbeitgebern im Zuge der Corona-Krise angesetzte Homeoffice berge laut den Experten große Risiken. Da viele Arbeitscomputer nun dauerhaft außerhalb der Firmennetzwerke liefen, seien diese auch nicht mehr so gut geschützt. Die Experten empfehlen daher Arbeitgebern, die Ihren Mitarbeitern einen Fernzugriff auf das Firmennetzwerk ermöglichen, den Zugang mit einer Zwei-Faktor-Authentifizierung abzusichern – lesen Sie in diesem Zusammenhang auch gerne unseren Beitrag aus der Themenreihe.
Vor allem aber bestehe für öffentliche Gesundheitseinrichtungen ein hohes Risiko, Opfer von Cyberangriffen zu werden. Insbesondere Krankenhäuser seien ein beliebtes Ziel für Attacken mit sogenannten Erpresserprogrammen, die die IT-Systeme verschlüsseln und anschließend ein Lösegeld fordern. Für einige Kriminelle sei gerade die Corona-Krise ein großer Anreiz um Krankenhäuser anzugreifen.
24. März 2020
Um das Infektionsschutzgesetz (Gesetz zur Verhütung und Bekämpfung von Infektionskrankheiten beim Menschen, IfSchG) an die aktuelle Situation anzupassen, hat das Bundeskabinett einen Entwurf zur Änderung des Gesetzes vorgelegt. In einer Stellungnahme kritisiert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber, dass nicht alle Einschränkungen des Grundrechts auf informationelle Selbstbestimmung in jeder Hinsicht verhältnismäßig seien.
Der BfDI spricht sich in der Stellungnahme zunächst dafür aus, dass ein vorgesehener Bericht des Bundesministeriums für Gesundheit zu den Erkenntnissen aus der durch das neuartige SARS-CoV-2 verursachten Epidemie auch Informationen zu Maßnahmen, die geeignet sind das Recht auf informationelle Selbstbestimmung einzuschränken (§ 5 Abs.3 Nr.1 lit.c), d) und e) des Enwurfs), enthalten soll. Des Weiteren sollen Löschregelungen für (teils sensible) personenbezogene Daten von Reisenden, die nach § 5 Abs.3 Nr.1 und 2 des Entwurfs verarbeitet werden dürfen, aufgenommen werden. Außerdem regt der BfDI an, dass seine Bundesdatenschutzbehörde bei Vorhaben der Versorgungs-und Gesundheitsforschung, an denen mehrere Verantwortliche beteiligt sind, die zuständige Aufsichtsbehörden sein soll. Darüber hinaus begrüßt der BfDI, dass die Regelung zur Erfassung von Daten aus Mobilfunkgeräten, die im vorangegangenen Entwurf des BMG noch enthalten waren, nicht in den aktuellen Entwurf des Kabinetts aufgenommen wurden.
Das IfSchG regelt, zum einen welche Krankheiten bei Verdacht, Erkrankung oder Tod und welche labordiagnostischen Nachweise von Erregern meldepflichtig sind. Zum anderen legt es fest, welche Angaben von den Meldepflichtigen gemacht werden müssen und welche weiteren Meldewege (z.B. an das Gesundheitsamt) einzuhalten sind.
12. März 2020
Anfang des Jahres wurde bekannt, dass das Unternehmen Clearview riesengroße Datenbanken zur Gesichtserkennung erstellt hatte (wir berichteten). Dazu verwendete es Milliarden Fotos aus öffentlich zugänglichen Quellen wie Facebook, Twitter und LinkedIn. Nach ersten Angaben des Unternehmens wurde das Programm nur Sicherheits- und Strafverfolgungsbehörden, wie ausgewählten Sicherheitsexperten zur Verfügung gestellt. Laut jüngsten Berichten der New York Times und der Webseite BussFeed News wurde die Datenbank jedoch auch von Privatpersonen für rein persönliche Zwecke genutzt.
Das Programm ist derart konzipiert, dass es Menschen in Echtzeit erkennt und dem Nutzer verschiedene Informationen zur identifizierten Person liefert. Es entsteht ein automatisch generiertes, biometrisches Profil, das neben dem Namen weitere persönliche Daten wie Wohnort, Aktivitäten sowie Freunde und Bekannte anzeigt.
Dem Bericht der Times zufolge bekamen Private und Unternehmen Zugang zur App, um Investitionsanreize zu schaffen. Dies wurde mittlerweile auch vom Gründer bestätigt. Der Billionär John Catsimatidis nutzte die App beispielweise um seine Einkaufshäuser vor Diebstählen zu schützen. Nach Angaben der Times missbrauchte er das Programm aber auch um seiner Tochter nachzuspionieren. Investoren und Freunde des Gründers verwendeten die App um auf Partys anzugeben. Die Liste der Leute, die Cleaview privat genutzt haben sollen, wird immer länger. Cleaview’s Kunden kommen dabei nicht nur aus den USA und Kanada. Zu den mehr als 2.200 Klienten gehören scheinbar auch Organisationen in Saudi-Arabien und den Vereinten Arabischen Emiraten.
10. März 2020
Die niederländische Aufsichtsbehörde verhängte gegen den Tennisverband „Koninklijke Nederlandse Lawn Tennisbond“ (KNLTB) eine Geldbuße von 525.000 EUR, weil er die personenbezogenen Daten seiner Mitglieder verkauft hatte. Im Jahr 2018 stellte KNLTB unrechtmäßig die personenbezogenen Daten einiger tausend seiner Mitglieder zwei Sponsoren zur Verfügung.
Darunter waren der Name, das Geschlecht und die Adresse der Mitglieder. Die Sponsoren nutzten die Daten dazu um an die betroffenen Personen heranzutreten und ihnen tennisbezogene und andere Angebote unterbreiten zu können. Ein Sponsor erhielt personenbezogene Daten von 50.000, der andere von mehr als 300.000 Mitgliedern. Die Sponsoren wandten sich per Post oder Telefon an einige dieser KNLTB-Mitglieder.
Der Tennisverband hat sich auf
das berechtigte Interesse am Verkauf der Daten berufen. Die niederländischen
Aufsichtsbehörden waren anderer Ansicht und entschieden, dass KNLTB keine
Grundlage für die Weitergabe dieser personenbezogenen Daten an die Sponsoren
hatte. Daher war die Übermittlung der personenbezogenen Daten rechtswidrig. Das
verhängte Bußgeld von 525.000 Euro ist allerdings noch nicht rechtskräftig,
weil der Tennisverband Rechtsmittel eingelegt kann.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland Pfalz (LfDI RLP) hat am 06. März 2020 seinen aktualisierten Handlungsrahmen für die Nutzung von „Social Media“ durch öffentliche Stellen veröffentlicht.
Wie bereits berichtet stellte der EuGH im Juni 2018 fest, dass der Betreiber einer Fanseite auf Facebook gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten verantwortlich ist. Daraufhin stellte das BVerwG im September 2019 klar, dass die Datenschutzaufsichtsbehörden bei Verstößen gegen die Betreiber von Facebook-Fanpages vorgehen können.
Der LfDI RLP beschäftigt sich zunächst mit der Zulässigkeit der Datenverarbeitung durch öffentliche Stellen. Diese könnten zwar Öffentlichkeitsarbeit als Annexkompetenz zu ihren Aufgaben betreiben. Die Stellen könnten sich dabei aber nicht auf Art. 6 Abs. 1 lit. e DSGVO i.V.m. § 3 LDSG RLP berufen. Danach ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Nach Ansicht des LfDI RLP ist die Weitergabe an Social Media-Dienste für die Öffentlichkeitsarbeit aber nicht erforderlich. Es bedürfe daher einer Einwilligung oder anderen Rechtsgrundlage.
Ob angemeldete Nutzer eine wirksame Einwilligung abgegeben haben lässt der Handlungsrahmen offen. Der LfDI RLP sieht es unter Vorbehalt als akzeptabel an, in einer Einwilligung an den Dienst auch eine solche für die Verarbeitung im Zusammenhang mit bestimmten Angeboten der Plattform zu sehen. Eine Einwilligung fehle aber jedenfalls regelmäßig bei Nutzerinnen und Nutzern, die nicht Mitglied der jeweiligen Social Media-Plattform sind. Jedenfalls sehe Facebook dafür keine technische Lösung vor.
Der Handlungsrahmen führt weiter aus, dass öffentliche Stellen für einen datenschutzkonformen Betrieb von Social Media-Plattformen eine Vereinbarung zur gemeinsamen Verantwortlichkeit schließen müssen. Solche Vereinbarungen müssten Antworten auf die im Fragenkatalog des Beschlusses der Datenschutzkonferenz zu Facebook Fanpages vom 5. September 2018 gestellten Fragen enthalten. Facebook beantworte in seiner Seiten-Insights-Ergänzung aktuell nicht alle diese Fragen. Zudem müssen der Verantwortliche auch weiteren Pflichten nachkommen, wie den Informationspflichten oder der Bereitstellung alternativer Informations- und Kommunikationsmöglichkeiten.
Der LfDI RLP weist darauf hin, dass er bei Verstößen die Außerbetriebnahme des Angebots anordnen könnte und eine Beanstandung oder Verwarnung erfolgen könnte. Daneben könnten betroffene Personen gegenüber Betreibern von Fanpages Schadensersatzansprüche haben.
Nachdem insbsondere der Landesbeauftragter für den Datenschutz des Landes Baden-Württemberg mit seinen Äußerungen zur Nutzung des Kurznachrichtendienstes Twitters für Aufsehen gesorgt hatte, beschäftigt sich jetzt eine weitere Aufsichtsbehörde mit der Nutzung von Social Media durch öffentlich Stellen.
9. März 2020
Das Verwaltungsgericht Berlin (VG Berlin) hat in einem Beschluss (vom 28.02.2020 – VG 3 L 1028.19) entschieden, dass Daten aus der Akte eines Schülers (13 Jahre) im Rahmen eines Löschbegehrens nach der DSGVO nicht gelöscht werden dürfen.
Dem Beschluss liegt ein Fall zugrunde, bei dem ein Schüler ein Berliner Gymnasiums im Schuljahr 2017/2018 wegen eines Gewaltvorfalls verlassen musste. Auch an seiner neuen Schule kam es zu Gewaltvorfällen. Alle Ereignisse sind in seiner Schülerakte dokumentiert worden. Nun strebt der Schüler an, an eine Privatschule zu wechseln.
Seine Eltern und er sind der Ansicht, dass die Angaben in der Schülerakte die Aufnahme auf einer Privatschule gefährden können. Im Wege des vorläufigen Rechtschutzes begehrten die Eltern und der Schüler deshalb die Entfernung bestimmter Einträge aus der Akte, da sie fehlerhaft und diskriminierend seien. Das Löschbegehren in Art. 17 DSGVO schreibt vor, dass der Verantwortliche einer Datenverarbeitung personenbezogene Daten, die unrechtmäßig verarbeitet werden oder für die Zweckerfüllung nicht mehr notwendig sind, löschen muss.
Nach dem Berliner Schulgesetz dürfen Schulen die personenbezogenen Daten der Eltern und der Schüler verarbeiten, soweit dies zur Erfüllung ihrer schulbezogenen Aufgaben dient. Das Gericht begründet die Datenverarbeitung damit, dass es Aufgabe der Schule ist bei der Auswahl der pädagogischen Maßnahme auch das vorherige Verhalten des Schülers zu berücksichtigen. Danach bewertet das Gericht die Weitergabe der vollständigen Schülerakte an die Privatschule als zulässig.
Das VG Berlin betont darüber hinaus, dass eine Schülerakte dazu
dient, die Persönlichkeitsentwicklung und das Verhalten des Schülers über seine
Schullaufbahn hinweg sowie die Zusammenarbeit mit den Erziehungsberechtigten
über einen längeren Zeitraum nachvollziehbar zu machen und schließt aus der Berliner
Schuldatenverordnung, dass dieser Zweck nach einem Schulwechsel gerade nicht
wegfällt.
Aus den oben genannten Gründen hat das VG Berlin den Antrag der Eltern und des Schülers zurückgewiesen.
Das Bundesamt für Sicherheit in der Informationstechnik (im Folgenden: BSI) hat einen neuen Anforderungskatalog hinsichtlich Sicherheitskriterien für Smartphones veröffentlicht. Dadurch soll die Datensicherheit der Nutzer in der digitalen Welt verbessert werden.
Der BSI-Präsident Arne Schönbohm erklärte in der Pressemitteilung: „Smartphones haben sich in den letzten Jahren zur Schaltzentrale entwickelt, über die wir immer mehr Alltagsvorgänge steuern und abwickeln. Hersteller und OEM sind daher aufgerufen, die Geräte so sicher wie möglich zu machen, und zwar von Anfang an und über eine gewisse Nutzungsdauer hinweg. Unser Anforderungskatalog ist ein Wegweiser zu mehr Security-by-Design und Security-by-Default.”
Der Sicherheitskatalog richtet sich an die Hersteller, Mobilfunkanbieter und Erstausrüster von Smartphones. Dort werden Kriterien beschrieben um Mobilfunkgeräte über spezielle Hardware-Eigenschaften zu schützen und die Software im Auslieferungs-Zustand bereits zu stärken.
Zusätzlich werden Voraussetzungen an die einheitliche Bereitstellung
von Updates während der Gerätelaufzeit aufgestellt.
Der Katalog kann kostenlos auf der Seite des BSI heruntergeladen werden.
5. März 2020
Google verlegt die Verantwortlichkeit für ihre britischen Nutzerdaten von Irland in die USA. Damit unterstellt Google die Daten der Zuständigkeit der US-Regulierungsbehörden.
Dieser Wechsel könnte Auswirkungen auf den Umfang des rechtlichen Schutzes der britischen Nutzerdaten von Google haben. Denn im Gegensatz zu Irland, unterliegen die USA nicht den strengen Anforderungen der DSGVO.
Die Verlegung der Verantwortlichkeit erfolgt aufgrund des Ausstiegs Großbritanniens aus der Europäischen Union und den damit geschaffenen Unsicherheiten über die Zukunft der Datenschutzbestimmungen des Landes.
Am 24. Januar 2020 hat die EU das Austrittsabkommen mit Großbritannien unterzeichnet. Das Austrittsabkommen beinhaltet eine Übergangsfrist bis zum 31.12.2020. Während dieser Übergangsfrist wird Großbritannien weiterhin wie ein EU-Mitgliedsstaat behandelt. Die DSGVO findet dementsprechend weiter Anwendung.
Was nach der Übergangszeit wird, bleibt abzuwarten. Falls kein weiteres internationales Abkommen geschlossen wird, würde Großbritannien spätestens dann zu einem Drittland im Sinne der DSGVO werden. Möglich wäre aber auch der Erlass eines Angemessenheitsbeschlusses gem. Art. 45 DSGVO durch die EU-Kommission.
Das Datenschutzrecht in Großbritannien wird durch das Datenschutzgesetz von 2018 (Data Protection Act) geregelt, dass die Umsetzung der DSGVO im Vereinigten Königreich darstellt.
Darüber hinaus plant die britische Regierung, laut britischer Datenschutzbehörde, mit dem Ende der Übergangsfrist, die DSGVO als „UK DSGVO“ in das britische Recht zu übernehmen.
Google selbst teilte mit, dass sich die Datenschutzstandards für britische Nutzer mit der Verlegung der Verantwortlichkeit nicht ändern sollen.
4. März 2020
Das Oberlandesgericht Stuttgart hat mit seinem Urteil vom 27.02.2020 (2 U 257/19) dazu Stellung genommen, ob der Verstoß gegen die Informationspflichten aus Art. 13 DSGVO einen Wettbewerbsverstoß im Sinne des UWG darstellen und somit einen Unterlassungsanspruch nach § § 8 Abs. 1 UWG i.V.m. §§ 3, 3a UWG begründen kann. Dies wurde durch das Gericht bejaht.
Voraussetzung für diesen Unterlassungsanspruch ist eine unzulässige geschäftliche Handlung im Sinne des § 3 UWG. Eine solche begeht, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln und wenn der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen. Erforderlich ist also ein Marktbezug der Vorschrift, gegen welche verstoßen wurde. Dies wurde durch das Gericht mit Blick auf Art. 13 DSGVO, insbesondere deswegen bejaht, weil den Informationen über den Verantwortlichen eine verbraucherschützende Funktion zukomme. Aber auch die Angaben etwa über Zwecke und Dauer der Verarbeitung schützten Informationsinteresse sowie Entscheidungs-und Verhaltensfreiheit der Verbraucher in Bezug auf die Marktteilnahme und begründeten daher einen Marktbezug der Norm.
Des Weiteren befasste sich das Gericht ausführlich mit der Frage, ob den Ansprüchen und Sanktionsmechanismen der DSGVO ein abschließender Charakter zukommt, sodass der Unterlassungsanspruch des UWG von diesen verdrängt wird. Dies verneinte das Gericht und verwies darauf, dass der erforderliche abschließende Charakter insoweit weder aus dem Wortlaut noch aus der Entstehungsgeschichte der Verordnung zu schließen sei. Die Rechtsdurchsetzung bei Verstößen gegen die DSGVO sei demnach auch mittels des wettbewerbsrechtlichen Unterlassungsanspruch möglich.
Mit dieser Entscheidung bewegt sich das OLG Stuttgart im Fahrwasser der bisher überwiegenden Rechtsprechung (etwa OLG Hamburg, Urt. v. 25.10.2018 – 3 U 66/17, LG Würzburg, Beschluss vom 13.9.2018 – 11 O 1741/18 UWG, OLG Naumburg, Urt. v. 7.11.2019 – 9 U 39/18 zur unwirksamen Einwilligung). Wegen der grundsätzlichen Bedeutung der Frage wurde die Revision zugelassen. Insofern ist die weitere Entwicklung aufmerksam zu verfolgen, ist die Streitfrage doch von enormer Relevanz in der unternehmerischen Praxis.
27. Februar 2020
Am 20. Februar erhielten zahlreiche Nutzer auf der ganzen Welt eine unbekannte Nachricht mit dem Inhalt „1 1“ durch „Find My Mobile“ von Samsung. Nun wurde bekannt, dass es sich dabei um einen Datenpanne bei Samsung handelte.
Aufgeschreckt durch die Find My Mobile-Push Mitteilung wollten die Nutzer sich in ihr Samsung-Konto einloggen, um dort das Passwort zu ändern und bekamen dabei Einsicht in fremde Konten. So konnten Nutzer des Samsung-Dienstes „Find My Mobile“ die eigentlich geschützten Daten fremder Nutzer einsehen. Telefonnummern, E-Mails, Lieferadressen, letzte Bestellungen und sogar die letzten 4 Ziffern der Kreditkarten waren sichtbar.
Laut Samsung handelte es sich dabei um Server-Probleme und die Mitteilung wurde versehentlich an eine begrenzte Anzahl von Galaxy Nutzern gesendet. Eine Sprecherin des Unternehmens erklärte: „Ein technischer Fehler führte dazu, dass eine kleine Anzahl von Benutzern auf die Details eines anderen Benutzers zugreifen konnte. Sobald wir von dem Vorfall erfuhren, wurde die Möglichkeit, sich auf der Website anzumelden, entfernt, bis das Problem behoben wurde.“ Sie fügte hinzu: „Wir werden die von dem Problem betroffenen Personen mit weiteren Einzelheiten kontaktieren.“
Wie groß die Anzahl der „kleinen Anzahl von Benutzern“ war, ist noch unklar. Interessant ist, dass Nutzer, welche den Dienst deaktiviert hatten, die Nachricht ebenfalls erhielten.
