Kategorie: Allgemein

Massenüberwachung durch BND

29. Mai 2019

Durch eine umstrittene Befugnis ist es dem Bundesnachrichtendienst (BND) erlaubt massenhafte „strategische“ Fernmeldeaufklärung zu betreiben. Der Auslandsgeheimdienst spricht dabei von einem „Datenstaubsauger“, welcher besonders im Gefahrenbereich „Internationaler Terrorismus“ eingesetzt wird. Im Jahr 2017 wurden dadurch bereits 13.829 Suchbegriffe im Zusammenhang mit Terrorismus herausgefiltert.

Es wird mittlerweile nicht mehr verraten, wie viele Kommunikationsinhalte den Filter des BND durchlaufen jedoch wird geschätzt, dass nur etwa 119 Telefonate, Chat-Verläufe oder E-Mails eine nachrichtendienstliche Relevanz vorweisen.

Für den noch neuen Gefahrensektor „Cyber“ wurden die Filter von über 1.000 Suchbegriffen auf 122 gesenkt um die Trefferquote zu erhöhen.

Nach der Enthüllung im Fall „Snowden“ hatte der BND den „Datenstaubsauger“ massiv zurückgefahren. Da der Einsatz jedoch wieder auf das vorherige Niveau aufgestockt wurde, sind Verfassungsbeschwerden aufgrund von Bespitzelungsaktionen anhängig.

Kategorien: Allgemein
Schlagwörter:

OLG München: Urteil zur Sperrwirkung der DSGVO

27. Mai 2019

In seinem Urteil vom 07.02.2019 (Az.: 6 U 2404/18) hat sich das OLG München mit dem Verhältnis des Wettbewerbsrechts (insbesondere UWG) zum europäischen Datenschutzrecht auseinandergesetzt. Die Parteien des Rechtsstreits stritten über die Zulässigkeit von Telefonanrufen zu Werbezwecken.

Das Gericht bestätigt die Feststellung des erstinstanzlichen Gerichts, dass die Beklagte mit einem Telefonanruf ohne vorherige ausdrückliche Einwilligung des angerufenen Marktteilnehmers gegen das in § 7 Abs. 2 Nr. 2 UWG geregelte Verbot verstoßen habe.

Nach Urteil des BGH „double-opt-in-Verfahren“ (GRUR 2011, 936) stehe § 7 Abs. 2 Nr. 2 UWG mit dem Unionsrecht im Einklang.
Art. 13 Abs. 3 der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) erlaube ausdrücklich mitgliedstaatliche Regelungen, nach denen Telefonwerbung ohne Einwilligung des Betroffenen nicht gestattet ist (sog. „opt-in“).
Ansprüche nach dem UWG werden nicht durch die datenschutzrechtlichen Bestimmungen der DSGVO und auch der – derzeit sich noch im europäischen Gesetzgebungsverfahren befindlichen – ePrivacy Verordnung gesperrt. Vielmehr kommen beide Vorschriften im Rahmen ihres Regelungsgehalts nebeneinander zur Anwendung.

Zusammenfassend kann also festgestellt werden, dass das wettbewerbsrechtliche Belästigungsverbot nach § 7 Abs. 2 Nr. 2 UWG, auch angesichts des Unionsrechts, insbesondere auch im Hinblick auf die DSGVO, nach diesem Urteil anwendbar bleibt.

Kategorien: Allgemein · Wettbewerbsrecht
Schlagwörter:

Apple plant datenschutzgerechtes Werbe-Tracking

24. Mai 2019

Unter dem Namen „Privacy Preserving Ad Click Attribution“ hat Apple einen neuen Vorschlag zur Standardisierung eingereicht. Dieser soll Werbetracking im Web ermöglichen, ohne die Privatsphäre der Nutzer zu beeinträchtigen, erklären die für den Safari-Unterbau WebKit zuständigen Entwickler in einem Blog-Beitrag.

Im Kern sollen entscheidende Teile von Werbeabläufen anonymisiert werden. So müsse Seite A, bei der man auf eine Werbung klickt, nicht wissen, dass man auf der dann aufgerufenen Seite B ein Produkt gekauft hat. Zur Messung der Effektivität sei lediglich notwendig, dass Seite A weiß, dass „irgendwer“ danach einen Kauf getätigt hat.

Um dies zu erreichen sollen Cookies, die nur für ein detailliertes Tracking gedacht sind, generell verboten werden. Berichte über die Interaktion mit Werbung sollen um 24 bis 48 Stunden verschoben werden, um die Zuordnung weiter zu erschweren. Im Privatsphärenmodus des Browsers soll eben jenes Tracking komplett unterbunden werden. Zudem soll der Browserhersteller nichts darüber erfahren. Demzufolge sollen alle Auswertungen lokal am Gerät vorgenommen werden.

Im Browser Safari werden solche Tracking-Cookies bereits entweder gleich blockiert oder nach wenigen Tagen automatisch gelöscht. Damit soll ein längerfristiges Werbe-Tracking und eine seitenübergreifende Erstellung von Nutzerprofilen unterbunden werden.

Kategorien: Allgemein · Tracking
Schlagwörter: ,

LG Köln befasst sich mit der Reichweite des Auskunftsanspruchs nach Art. 15 DSGVO

23. Mai 2019

Das LG Köln hatte sich in einem kürzlich veröffentlichten Urteil vom 18.03.2019 (Az. 26 O 25/18) mit dem Umfang des Auskunftsrechts nach Art. 15 DSGVO zu befassen. In dem zugrundeliegenden Fall wollte die Klägerin umfassend Auskunft von einer Versicherung haben, bei der sie zwei Lebensversicherungen abgeschlossen hatte. Sie vertrat die Ansicht, dass die Versicherung ihr keine vollständige Datenauskunft nach § 34 BDSG-alt bzw. Art. 15 DSGVO erteilt hat. Die Beklagte bestand wiederum darauf, dass die Übersendung von Beratungsprotokollen oder ggf. vorliegenden Mitarbeitervermerken nicht vom Auskunftsanspruch umfasst seien.

Nach der in dem Urteil vertretenen Rechtsauffassung umfasst der Auskunftsanspruch nicht interne Vorgänge der Beklagten, wie z.B. Vermerke oder den die Person betreffenden Schriftverkehr, der dem Betroffenen bereits bekannt ist. „Rechtliche Bewertungen oder Analysen stellen insofern ebenfalls keine personenbezogenen Daten […] dar. Der Anspruch aus Art. 15 DSGVO dient nicht der vereinfachten Buchführung des Betroffenen, sondern soll sicherstellen, dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann.“ Die Kammer begründete dies damit, dass der Betroffene (lediglich) einen Anspruch auf die Kopie der verarbeiteten personenbezogenen Daten hat.

Das Urteil des LG Köln wurde nur einen Monat nach dem Urteil des LAG Baden-Württemberg veröffentlicht, das das Auskunftsrecht eines Daimler-Managers stärkte.

Kelber kritisiert Darknet-Gesetzesentwurf

Der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) kritisiert Pläne des Bunderats, die sich gegen Betreiber von Darknet-Angeboten richten. Durch das geplante Gesetz würden Unschuldige ins Visier der Behörden geraten, sagte Kelber der Süddeutschen Zeitung. Alle Anbieter von Anonymisierungssoftware müssten sich künftig Gedanken machen, ob ihre Dienste bald für illegal erklärt würden. Das Tor-Netzwerk sei nicht pauschal mit dem Darknet gleichzusetzen.

Der Bundesrat hatte Mitte März 2019 einen Gesetzesentwurf beschlossen, der das „Anbieten von Leistungen zur Ermöglichung von Straftaten“ unter Strafe stellen soll. Aufgrund des (geplanten) § 126a des Strafgesetzbuchs (StGB) droht Anbietern einer „internetbasierten Leistung“, „deren Zweck oder Tätigkeit darauf ausgerichtet ist, die Begehung von rechtswidrigen Taten“ zu ermöglichen oder zu fördern, eine Freiheitsstrafe von bis zu drei Jahren. Mit dem Darknet sind zumeist Webseiten und Dienste gemeint, die im Tor-Netzwerk als sogenannte Onion-Services (früher Hidden-Services) bereitgestellt werden. Das Programm verschleiert die IP-Adresse seiner Nutzer und lässt sie so anonym im Netz surfen.

Das Tor-Netzwerk sei jedoch nicht pauschal mit dem Darknet gleichzusetzen. Dissidenten und Whistleblower in Unrechtsstaaten nutzten es als geschützten Kommunikationsraum. Auch für normale Bürger gebe es gute und legitime Gründe, den Tor-Browser zu nutzen. Sie können sich damit der Überwachung durch Unternehmen entziehen.

„Wenn man nach einer Kneipenschlägerei nicht beweisen kann, wer sich daran mutwillig beteiligt hat, kommt man doch auch nicht auf die Idee, alle zu bestrafen, die in der Nähe herumstanden“, sagte Kelber. Dass die Polizei schon aufgrund eines derart vagen Anfangsverdachts ermitteln dürfe, sei ein kaum zu rechtfertigender Eingriff in die Bürgerrechte, so Kelber.

Die Pläne des Bundesrats waren von Juristen und der Tor-Community scharf kritisiert worden. „Die Verhaltensweisen, um die es den Verfassern des Gesetzentwurfs offiziell geht, sind typischerweise bereits heute strafbar – als Beihilfehandlungen zu den eigentlichen Straftaten“, sagte der Jurist und Richter am Landgericht Berlin, Ulf Buermeyer. Allerdings könnten mit dem neuen Straftatbestand mehr Überwachungsmaßnahmen durchgeführt werden – für die wiederum ein Verdacht ausreiche.

Der Gesetzentwurf des Bundesrats ist inzwischen mit einer Stellungnahme der Bundesregierung versehen in den Bundestag eingebracht worden (PDF).

Der globale Wettkampf um Künstliche Intelligenz, oder: sollten wir diese zum jetzigen Zeitpunkt regeln?

21. Mai 2019

In der vergangenen Woche fand die diesjährige Ausgabe der European Identity & Cloud Conference 2019 statt.
Im Rahmen dieser Veranstaltung stellten sich unter anderem verschiedene aus datenschutzrechtlicher Perspektive relevanten Fragen, so etwa referierte Dr. Karsten Kinast, Geschäftsführer der KINAST Rechtsanwälte und Fellow Analyst des Veranstalters KuppingerCole, anlässlich seiner Keynote zu der Frage, ob im Kontext eines globalen Wettkampfs um Künstliche Intelligenz (KI) international einheitliche Regelungen geschaffen werde sollten. Dr. Kinast konturierte die kontroverse Debatte um die Gefahr künftiger KI einerseits sowie die daraus resultierenden rechtlichen Probleme und Lösungen andererseits. So gäbe es zum aktuellen Zeitpunkt aktuell keine Form der KI, die den konkreten Inhalt ihrer Verarbeitung versteht. Überdies könne KI bisher keine eigenständigen Schlüsse aus einer Verarbeitung ziehen oder gar autonome Entscheidungen darauf stützen. Ferner sei aus heutiger Perspektive nicht einmal bekannt, wie eine solche synthetische Intelligenz geschaffen werden könnte.
Aus diesem Grund ginge es (im Ergebnis) nicht in erster Linie darum, einen Ethikkodex zu entwickeln, in dem sich die KI als eigenständige Subjekte entfalten können. Vielmehr ginge es aus heutiger Perspektive um die weitaus profanere Sichtweise von Verantwortlichkeiten.

Den gesamten Vortrag in englischer Sprache finden sie hier.

Google Street View: Das Bild eines Hauses sagt das Risiko eines Autounfalls voraus

20. Mai 2019


So lautet das interessante Ergebnis einer Studie zweier Datenforscher, wohnhaft in Warschau und Stanford.

Kinga Kita-Wojciechowska und Łukasz Kidziński begannen mit einem Datensatz von 20.000 Personen, die zwischen 2013 und 2015 in Polen eine Autoversicherung abgeschlossen hatten. Diese wurden nach dem Zufallsprinzip aus der Datenbank eines nicht offenbarten Versicherungsunternehmens ausgewählt. Jeder Datensatz enthielt die Adresse des Versicherungsnehmers und die Anzahl der Schadensfälle, die er in der Zeit von 2013 bis 2015 geltend gemacht hat.
Anschließend haben die Forscher die Adressen bei Google Street View eingegeben und ein Bild des Hauses heruntergeladen, welches kommentiert und mit Notizen über das Alter des Gebäudes, dessen Art (Einfamilienhaus, Reihenhaus, Mehrfamilienhaus, etc.) und Zustand versehen wurde.
Eine Software verarbeitete die Daten und erstellte ein Modell, das das Risiko von Autounfällen für die Haushalte genauer vorhersagen konnte, als die derzeit von den Versicherungsgesellschaften eingesetzten Modelle. Diese berücksichtigen für ihre Prognose der zukünftig eintretenden Schäden bisher die Postleitzahl des Versicherungsnehmers, dessen Alter und Geschlecht, sowie die Schadenhistorie des Fahrers und weitere Faktoren.

Laut Kidziński und Kita-Wojciechowska konnte festgestellt werden, dass Merkmale, die auf dem Bild eines Hauses sichtbar sind und Aufschlüsse über die Wohnsituation eines Versicherungsnehmers geben, das Risiko eines Autounfalls vorhersagen können.
Werden diese Faktoren in dem Risikomodell des Versicherers berücksichtigt, können sie seine Vorhersage um 2% verbessern.

Die Google Street View-Technik hat demnach das Potenzial, die Vorhersage zu optimieren.

Der Ansatz der Forscher wirft eine Reihe wichtiger Fragen hinsichtlich der Verwendung personenbezogener Daten auf. Kidziński und Kita-Wojciechowska stellten bereits kritisch fest, dass die Zustimmung der Kunden zum Speichern ihrer Adressen durch das Unternehmen nicht unbedingt eine Zustimmung zum Speichern von Informationen über das Aussehen ihrer Häuser bedeutet.

Es drängt sich die Frage auf, welche Unternehmen ebenfalls von diesem Modell profitieren könnten.
Kidziński und Kita-Wojciechowska vermuten, dass der Bankensektor der Versicherungsbranche schnell folgen könnte, da es eine Korrelation zwischen Versicherungsrisikomodellen und Kreditrisikoscoring gäbe.

In Deutschland sind die Dienste von Google Street View aus Datenschutzgründen nur eingeschränkt verfügbar.

Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 13): Konferenz ersetzt Beschluss für Kinderfotos

17. Mai 2019

Die Konferenz der Diözesandatenschutzbeauftragten hat in der Sitzung vom 04. April 2019 einen neuen Beschluss zum Umgang mit Bildern von Kindern und Jugendlichen gefasst. Der Beschluss enthält ebenfalls Erläuterungen, um den kirchlichen Einrichtungen die Umsetzung der Vorgaben zu erleichtern. Durch den neu gefassten Beschluss wird die Vorgabe, dass einzelne Fotos von Minderjährigen regelmäßig den Sorgeberechtigten vor der Veröffentlichung vorzulegen sind, entschärft. Für die Rechtmäßigkeit der Erhebung und Speicherung von Bildern von Kindern und Jugendlichen ist es nicht mehr zwingend erforderlich, dass eine Einwilligung der Sorgeberechtigten vorliegt. Rechtsgrundlage für die Erhebung und Speicherung von Bildern kann auch nach erfolgter Abwägung das berechtigte Interesse sein. Ähnliches gilt auch für den Fall der Übermittelung von Fotos Minderjähriger. Als Rechtsgrundlage der Übermittelung kann auch hier das berechtigte Interesse herangezogen werden. Im Rahmen der durchzuführenden Interessenabwägung sind die Grundsätze des § 23 Gesetz betreffend das Urheberrechts an Werken der bildenden Künste und der Photographie zu berücksichtigen.

Die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschlands sieht es als ausreichend an, wenn die Einwilligung für konkret benannte Veranstaltungen vor bzw. bei Beginn des Schul- oder Kitajahres für das jeweilige Jahr eingeholt wird. Die Einwilligung kann entweder unmittelbar im Anmeldeprozess oder am ersten Schul- oder Kitatag eingeholt werden. Das Erfordernis, dass das konkrete Bild im Zeitpunkt der Unterzeichnung der Einwilligungserklärung vorliegen soll, entfällt.

Kategorien: Allgemein · Kirchlicher Datenschutz
Schlagwörter: , ,

Google eröffnet globales Zentrum für Datenschutz in München

Am Münchner Standort verdoppelt der Internetkonzern Google bis zum Jahresende die Anzahl der Datenschutz-Spezialisten von 100 auf 200. Insgesamt beschäftigt Google in München dann 1000 Mitarbeiter. Für Firmenchef Sundar Pichai wird Deutschland damit zu einem globalen Drehkreuz für die produktübergreifende Datenschutzarbeit.

Zur Einweihung des Google Safety Engineering Centers sind auch Kent Walker, Senior Vice President of Global Affairs und Chief Legal Officer und Kristie Canegallo, Vice President of Trust & Safety aus dem Hauptquartier in Mountain View angereist.

Google habe bei der Entwicklung der Datenschutz-Tools nicht auf gesetzliche Vorgaben gewartet, erklärte Kent Walker, Senior Vice President of Global Affairs und Chief Legal Officer. Walker erkannte zwar an, dass die EU mit der Datenschutzgrundverordnung andere Regionen dazu veranlassen könnte, eigene Datenschutzgesetze zu entwickeln. Viele Google Privacy Tools seien aber älter als die DSGVO, und gingen durchaus über geltendes Gesetz hinaus.

Aktuell arbeitet das Team in München an verbesserten Datenschutzeinstellungen von Chrome und an datenschutzrelevanten Optionen und Funktionen, darunter auch einem Inkognito-Modus, in Apps wie Maps, Suche und Youtube (wir berichteten).

Ein spannendes Projekt ist dabei etwa der Versuch, neben klassischen Angriffen – wie geklaute und im Netz verfügbare Passwörter – bösartiges Browser-Fingerprinting durch Webseiten zu erkennen.

Klage soll europäische Fluggastdatenspeicherung stoppen

16. Mai 2019

Die Gesellschaft für Freiheitsrechte will die Sammlung und Auswertung von Passagierdaten durch das BKA stoppen. Mit gleich sechs Klagen versuchen die Aktivisten, die entsprechende EU-Richtlinie zu kippen.

In der 2016 beschlossenen EU-Richtlinie zur Fluggastdatenspeicherung sowie in der deutschen Umsetzung, dem Fluggastdatengesetz von 2017, sieht Malte Spitz, Generalsekretär der Bürgerrechtsorganisation, einen „Verstoß gegen europäische Grundrechte“. „Die anlasslose, massenweise Speicherung und Auswertung der Flüge aller internationalen Fluggäste verstößt gegen die Europäische Grundrechtecharta. Die Rasterfahndung am Himmel muss beendet werden.“

„Diese neue Form der Überwachung verletzt die Fluggäste in ihren europarechtlich garantierten Grundrechten auf Achtung des Privat- und Familienlebens sowie auf Schutz personenbezogener Daten“, erklärt der GFF-Koordinator Bijan Moini mit Blick auf Artikel 7 und 8 der EU-Grundrechtecharta.

Alle Informationen von Passagieren, die mit dem Flugzeug in die EU einreisen oder sie verlassen, werden inzwischen für sechs Monate gespeichert. Nach Ablauf dieser Frist werden die Informationen noch anonymisiert vorgehalten. Diese umfangreichen Datensätze übermitteln die Luftfahrtunternehmen an die beim Bundeskriminalamt eingerichtete Fluggastdatenzentralstelle. Die Informationen werden fünf Jahre lang gespeichert. Es gleicht sie automatisiert mit Fahndungs- und Anti-Terror-Dateien ab. Zudem will die Polizeibehörde auch mithilfe automatisierter Mustererkennung verdächtige Flugbewegungen ermitteln. Es werden zig Datenkategorien erhoben, neben Namen, Adressen und Reiserouten sind das Kreditkartennummern, E-Mail, Telefon, die Daten von mitreisenden Kindern, das Gepäck, die Sitzplatzwahl und noch etliches mehr.

Der EuGH entschied vor knapp zwei Jahren bereits, dass das geplante, sehr ähnlich angelegte Abkommen über den Austausch von Fluggastdaten mit Kanada gegen europäische Grundrechte verstößt.

1 2 3 4 141