Kategorie: Allgemein
21. Mai 2019
In der vergangenen Woche fand die diesjährige Ausgabe der European Identity & Cloud Conference 2019 statt.
Im Rahmen dieser Veranstaltung stellten sich unter anderem verschiedene aus datenschutzrechtlicher Perspektive relevanten Fragen, so etwa referierte Dr. Karsten Kinast, Geschäftsführer der KINAST Rechtsanwälte und Fellow Analyst des Veranstalters KuppingerCole, anlässlich seiner Keynote zu der Frage, ob im Kontext eines globalen Wettkampfs um Künstliche Intelligenz (KI) international einheitliche Regelungen geschaffen werde sollten. Dr. Kinast konturierte die kontroverse Debatte um die Gefahr künftiger KI einerseits sowie die daraus resultierenden rechtlichen Probleme und Lösungen andererseits. So gäbe es zum aktuellen Zeitpunkt aktuell keine Form der KI, die den konkreten Inhalt ihrer Verarbeitung versteht. Überdies könne KI bisher keine eigenständigen Schlüsse aus einer Verarbeitung ziehen oder gar autonome Entscheidungen darauf stützen. Ferner sei aus heutiger Perspektive nicht einmal bekannt, wie eine solche synthetische Intelligenz geschaffen werden könnte.
Aus diesem Grund ginge es (im Ergebnis) nicht in erster Linie darum, einen Ethikkodex zu entwickeln, in dem sich die KI als eigenständige Subjekte entfalten können. Vielmehr ginge es aus heutiger Perspektive um die weitaus profanere Sichtweise von Verantwortlichkeiten.
Den gesamten Vortrag in englischer Sprache finden sie hier.
20. Mai 2019
So lautet das interessante Ergebnis einer Studie zweier Datenforscher, wohnhaft in Warschau und Stanford.
Kinga Kita-Wojciechowska und Łukasz Kidziński begannen mit einem Datensatz von 20.000 Personen, die zwischen 2013 und 2015 in Polen eine Autoversicherung abgeschlossen hatten. Diese wurden nach dem Zufallsprinzip aus der Datenbank eines nicht offenbarten Versicherungsunternehmens ausgewählt. Jeder Datensatz enthielt die Adresse des Versicherungsnehmers und die Anzahl der Schadensfälle, die er in der Zeit von 2013 bis 2015 geltend gemacht hat.
Anschließend haben die Forscher die Adressen bei Google Street View eingegeben und ein Bild des Hauses heruntergeladen, welches kommentiert und mit Notizen über das Alter des Gebäudes, dessen Art (Einfamilienhaus, Reihenhaus, Mehrfamilienhaus, etc.) und Zustand versehen wurde.
Eine Software verarbeitete die Daten und erstellte ein Modell, das das Risiko von Autounfällen für die Haushalte genauer vorhersagen konnte, als die derzeit von den Versicherungsgesellschaften eingesetzten Modelle. Diese berücksichtigen für ihre Prognose der zukünftig eintretenden Schäden bisher die Postleitzahl des Versicherungsnehmers, dessen Alter und Geschlecht, sowie die Schadenhistorie des Fahrers und weitere Faktoren.
Laut Kidziński und Kita-Wojciechowska konnte festgestellt werden, dass Merkmale, die auf dem Bild eines Hauses sichtbar sind und Aufschlüsse über die Wohnsituation eines Versicherungsnehmers geben, das Risiko eines Autounfalls vorhersagen können.
Werden diese Faktoren in dem Risikomodell des Versicherers berücksichtigt, können sie seine Vorhersage um 2% verbessern.
Die Google Street View-Technik hat demnach das Potenzial, die Vorhersage zu optimieren.
Der Ansatz der Forscher wirft eine Reihe wichtiger Fragen hinsichtlich der Verwendung personenbezogener Daten auf. Kidziński und Kita-Wojciechowska stellten bereits kritisch fest, dass die Zustimmung der Kunden zum Speichern ihrer Adressen durch das Unternehmen nicht unbedingt eine Zustimmung zum Speichern von Informationen über das Aussehen ihrer Häuser bedeutet.
Es drängt sich die Frage auf, welche Unternehmen ebenfalls von diesem Modell profitieren könnten.
Kidziński und Kita-Wojciechowska vermuten, dass der Bankensektor der Versicherungsbranche schnell folgen könnte, da es eine Korrelation zwischen Versicherungsrisikomodellen und Kreditrisikoscoring gäbe.
In Deutschland sind die Dienste von Google Street View aus Datenschutzgründen nur eingeschränkt verfügbar.
17. Mai 2019
Die Konferenz der Diözesandatenschutzbeauftragten hat in der Sitzung vom 04. April 2019 einen neuen Beschluss zum Umgang mit Bildern von Kindern und Jugendlichen gefasst. Der Beschluss enthält ebenfalls Erläuterungen, um den kirchlichen Einrichtungen die Umsetzung der Vorgaben zu erleichtern. Durch den neu gefassten Beschluss wird die Vorgabe, dass einzelne Fotos von Minderjährigen regelmäßig den Sorgeberechtigten vor der Veröffentlichung vorzulegen sind, entschärft. Für die Rechtmäßigkeit der Erhebung und Speicherung von Bildern von Kindern und Jugendlichen ist es nicht mehr zwingend erforderlich, dass eine Einwilligung der Sorgeberechtigten vorliegt. Rechtsgrundlage für die Erhebung und Speicherung von Bildern kann auch nach erfolgter Abwägung das berechtigte Interesse sein. Ähnliches gilt auch für den Fall der Übermittelung von Fotos Minderjähriger. Als Rechtsgrundlage der Übermittelung kann auch hier das berechtigte Interesse herangezogen werden. Im Rahmen der durchzuführenden Interessenabwägung sind die Grundsätze des § 23 Gesetz betreffend das Urheberrechts an Werken der bildenden Künste und der Photographie zu berücksichtigen.
Die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschlands sieht es als ausreichend an, wenn die Einwilligung für konkret benannte Veranstaltungen vor bzw. bei Beginn des Schul- oder Kitajahres für das jeweilige Jahr eingeholt wird. Die Einwilligung kann entweder unmittelbar im Anmeldeprozess oder am ersten Schul- oder Kitatag eingeholt werden. Das Erfordernis, dass das konkrete Bild im Zeitpunkt der Unterzeichnung der Einwilligungserklärung vorliegen soll, entfällt.
Am Münchner Standort verdoppelt der Internetkonzern Google bis zum Jahresende die Anzahl der Datenschutz-Spezialisten von 100 auf 200. Insgesamt beschäftigt Google in München dann 1000 Mitarbeiter. Für Firmenchef Sundar Pichai wird Deutschland damit zu einem globalen Drehkreuz für die produktübergreifende Datenschutzarbeit.
Zur Einweihung des Google Safety Engineering Centers sind auch Kent Walker, Senior Vice President of Global Affairs und Chief Legal Officer und Kristie Canegallo, Vice President of Trust & Safety aus dem Hauptquartier in Mountain View angereist.
Google habe bei der Entwicklung der Datenschutz-Tools nicht auf gesetzliche Vorgaben gewartet, erklärte Kent Walker, Senior Vice President of Global Affairs und Chief Legal Officer. Walker erkannte zwar an, dass die EU mit der Datenschutzgrundverordnung andere Regionen dazu veranlassen könnte, eigene Datenschutzgesetze zu entwickeln. Viele Google Privacy Tools seien aber älter als die DSGVO, und gingen durchaus über geltendes Gesetz hinaus.
Aktuell arbeitet das Team in München an verbesserten Datenschutzeinstellungen von Chrome und an datenschutzrelevanten Optionen und Funktionen, darunter auch einem Inkognito-Modus, in Apps wie Maps, Suche und Youtube (wir berichteten).
Ein spannendes Projekt ist dabei etwa der Versuch, neben klassischen Angriffen – wie geklaute und im Netz verfügbare Passwörter – bösartiges Browser-Fingerprinting durch Webseiten zu erkennen.
16. Mai 2019
Die Gesellschaft für Freiheitsrechte will die Sammlung und Auswertung von Passagierdaten durch das BKA stoppen. Mit gleich sechs Klagen versuchen die Aktivisten, die entsprechende EU-Richtlinie zu kippen.
In der 2016 beschlossenen EU-Richtlinie zur Fluggastdatenspeicherung sowie in der deutschen Umsetzung, dem Fluggastdatengesetz von 2017, sieht Malte Spitz, Generalsekretär der Bürgerrechtsorganisation, einen „Verstoß gegen europäische Grundrechte“. „Die anlasslose, massenweise Speicherung und Auswertung der Flüge aller internationalen Fluggäste verstößt gegen die Europäische Grundrechtecharta. Die Rasterfahndung am Himmel muss beendet werden.“
„Diese neue Form der Überwachung verletzt die Fluggäste in ihren europarechtlich garantierten Grundrechten auf Achtung des Privat- und Familienlebens sowie auf Schutz personenbezogener Daten“, erklärt der GFF-Koordinator Bijan Moini mit Blick auf Artikel 7 und 8 der EU-Grundrechtecharta.
Alle Informationen von Passagieren, die mit dem Flugzeug in die EU einreisen oder sie verlassen, werden inzwischen für sechs Monate gespeichert. Nach Ablauf dieser Frist werden die Informationen noch anonymisiert vorgehalten. Diese umfangreichen Datensätze übermitteln die Luftfahrtunternehmen an die beim Bundeskriminalamt eingerichtete Fluggastdatenzentralstelle. Die Informationen werden fünf Jahre lang gespeichert. Es gleicht sie automatisiert mit Fahndungs- und Anti-Terror-Dateien ab. Zudem will die Polizeibehörde auch mithilfe automatisierter Mustererkennung verdächtige Flugbewegungen ermitteln. Es werden zig Datenkategorien erhoben, neben Namen, Adressen und Reiserouten sind das Kreditkartennummern, E-Mail, Telefon, die Daten von mitreisenden Kindern, das Gepäck, die Sitzplatzwahl und noch etliches mehr.
Der EuGH entschied vor knapp zwei Jahren bereits, dass das geplante, sehr ähnlich angelegte Abkommen über den Austausch von Fluggastdaten mit Kanada gegen europäische Grundrechte verstößt.
15. Mai 2019
Die Union will die Befugnisse des Verfassungsschutzes ausweiten. Der Nachrichtendienst soll gleiche Rechte wie viele Polizeibehörden bekommen.
Momentan bremst Bundesjustizministerin Katarina Barley (SPD) bei diesem Vorhaben von Bundesinnenminister Horst Seehofer (CSU) allerdings noch.
Nach den Plänen Seehofers soll der Verfassungsschutz mutmaßliche Extremisten künftig besser ausspähen können. Konkret geht es um die Erlaubnis für Online-Durchsuchungen; also den verdeckten Zugriff auf Computer, Smartphones und andere IT-Geräte, deren Daten dann ausgelesen werden können. Außerdem soll in bestimmten Fällen die sogenannte Quellen-TKÜ gestattet werden. Damit können auch verschlüsselte Chats und Sprachnachrichten abgehört werden.
Der Entwurf aus dem Innenministerium erlaubt zudem die Speicherung von Daten von Minderjährigen unter 14 Jahren. Das zielt vor allem auf Kinder ab, die in Dschihadisten-Familien aufwachsen und womöglich schon im ehemaligen Kampfgebiet der IS-Terrormiliz mit Waffen hantiert haben. „Hier geht es nicht um Strafverfolgung, sondern darum, die Gefahr frühzeitig zu erkennen und dann mit den Mitteln der Kinder- und Jugendhilfe einzugreifen“, sagte Armin Schuster, Vorsitzender des für die Geheimdienste zuständigen Kontrollgremiums des Bundestags . Sollte sich herausstellen, „dass die Familie der Radikalisierungsherd ist“, könne es „im Maximalfall dazu führen, dass ein Kind aus einer Familie herausgenommen wird“.
Gegner des Entwurfs befürchten, dass der Einsatz der oben genannten Maßnahmen, zu unverhältnismäßigen Eingriffen in die Privatsphäre führen könnte. Auftrag des Verfassungsschutzes ist die Gefahrenabwehr. Das bedeutet, dass es – anders als bei Ermittlungen der Polizei – keine Voraussetzung für das Hacken eines Computers ist, dass dem Besitzer eine Straftat zur Last gelegt wird.
Eine Sprecherin des Justizministeriums erinnert an den Koalitionsvertrag, der „maßvolle und sachgerechte Kompetenzerweiterungen“ für den Verfassungsschutz und eine gleichzeitige Ausweitung der parlamentarischen Kontrolle vorsieht. Das Justizministerium vermisst stärkere Kontrollmöglichkeiten für den Bundestag.
14. Mai 2019
Durch eine Sicherheitslücke bei WhatsApp konnte sich eine Überwachungssoftware auf Smartphones installieren. Hinter der Angriffs-Technologie wird die israelische Firma NSO vermutet, berichtet die New York Times.
Der Chatdienst WhatsApp hat eine Sicherheitslücke geschlossen, durch die eine Überwachungssoftware auf Smartphones installiert werden konnte. Die Geräte konnten mit einem präparierten WhatsApp-Anruf infiziert werden, da die Schwachstelle in der Umsetzung der Internet-Telefonie lag.
WhatsApp erfuhr nach eigenen Angaben Anfang Mai von dem Problem und schloss die Lücke innerhalb weniger Tage. Betroffen waren laut einem technischen Hinweis sowohl Smartphones mit Googles Android-System als auch Apples iPhones, Telefone mit Microsofts Windows Phone und Samsungs Tizen. Auch die US-Regierungsbehörden wurden in die Ermittlungen eingeschaltet.
Der Facebook-Konzern, zudem WhatsApp gehört, empfiehlt Nutzern dringend, App und Betriebssystem auf den neusten Stand zu bringen.
13. Mai 2019
Laut einem Bericht der Welt am Sonntag haben die Datenschutzaufsichtsbehörden der Länder seit Inkrafttreten der DSGVO im Mai 2018 in mindestens 75 Fällen Bußgelder gegen Unternehmen wegen des Verstoßes gegen datenschutzrechtliche Regelungen verhängt. Dabei soll die Summe der Bußgelder insgesamt 449.000 Euro betragen und sich auf Vorfälle in sechs Bundesländern beziehen.
Die Bußgelder gliedern sich wie folgt:
- Baden-Württemberg: 7 Fälle / 203.000 Euro
- Rheinland-Pfalz: 9 Fälle / 124.000 Euro
- Berlin: 18 Fälle / 105.600 Euro
- Hamburg: 2 Fälle / 25.000 Euro
- Nordrhein-Westfalen: 36 Fälle / 15.600 Euro
- Saarland: 3 Fälle / 590 Euro
An der Befragung der Welt am Sonntag nahmen 14 von 16 Bundesländer teil. Mecklenburg-Vorpommern und Thüringen machten keine Angaben.
Das mit 80.000 Euro höchste Bußgeld in einem einzelnen Fall hatte Baden-Württemberg verhängt.
Ab nächstem Jahr drohen in Mecklenburg-Vorpommern für Ärztinnen und Ärzte bei Datenschutzverstößen empfindliche Bußgelder.
Heinz Müller, der Landesbeauftragte für Datenschutz in Mecklenburg-Vorpommern versucht diese im Rahmen einer Fragebogenaktion so gering wie möglich zu halten. Die Überprüfung des Datenschutzmanagements der einzelnen Arztpraxen soll zur allgemeinen Sensibilisierung der Ärzteschaft beitragen und als Grundlage einer besseren Beratung im Umgang mit besonders sensiblen Daten führen.
Die Arztpraxen werden dabei zufällig ausgewählt und erhalten einen Fragebogen mit Fragen rund um die datenschutzrechtliche Praxisorganisation. Dabei werden Themen, wie die Zulässigkeit der Datenverarbeitung, Benennung eines Datenschutzbeauftragen, technische und organisatorische Maßnahmen, Umgang mit Datenpannen und Betroffenenrechten sowie die Inhalte einer datenschutzkonformen Einwilligung, bzw. Datenschutzinformation abgefragt.
Um zu überprüfen, ob Ihr Datenschutzmanagement in der Arztpraxis den Anforderungen der DSGVO entspricht, können Sie auch in Eigeninitiative den Fragebogen ausfüllen. Gerade auch mit Blick auf mögliche Schadensersatzansprüche gegenüber Patienten ist eine Anpassung der Datenschutzorganisation in der Arztpraxis empfehlenswert.
Am 12. März 2019 hat das Verwaltungsgericht Hannover (VG) durch Beschluss (Az.: 7 A 849/19) entschieden, dass die sogenannte Section Control, also das Streckenradar an der B6 bei Hannover, unzulässig ist, weil keine gesetzliche Ermächtigungsgrundlage für ein solches Vorgehen vorliegt und demnach dem Recht auf informationelle Selbstbestimmung Vorrang gewährt werden muss.
Gegen diesen Beschluss legte die Polizeidirektion Hannover Beschwerde ein, um zu erreichen, dass das Streckenradar zukünftig benutzt werden darf.
Das angerufene niedersächsische Oberverwaltungsgericht (OVG) hat die Beschwerde im Eilverfahren zurückgewiesen und damit das vorläufige Aus für das bundesweit erste Streckenradar bestätigt, Az. 12 ME 68/19.
Die Zurückweisung wird damit begründet, dass sich die Polizdeidirektion Hannover nicht ausreichend mit den tragenden Gründen des verwaltungsgerichtlichen Beschlusses auseinander gesetzt hat. Insbesondere sei nicht dargelegt worden, warum die Verletzung des Rechts auf informationelle Selbstbestimmung von dem ursprünglichen Kläger hingenommen werden müsste.
Da die Beschwerde bereits auf diese Gründe gestützt werden kann musste sich das OVG mit der Frage, ob es eine taugliche Ermächtigungsgrundlage, für einen solchen Eingriff gibt, gar nicht mehr auseinander setzen. Demnach blieb außen vor, ob die für diesen Monat angekündigte Gesetztesänderung, eine andere Beurteilung des Sachverhalts zulässt.
Gegen die Entscheidung im Eilverfahren sind keine Rechtsmittel gegeben, allerdings besteht die Möglichkeit bei einer Änderung der Rechtslage eine neuerliche gerichtliche Prüfung zu erwirken. Zudem ist auch das Hauptsacheverfahren, die Berufung gegen die Entscheidung des VG, noch bei dem OVG anhängig.
