Kategorie: Allgemein

Bundeskartellamt kritisiert Facebook

7. Februar 2019

Das Bundeskartellamt kritisiert Facebook und ist der Meinung, dass Facebook seine marktherrschende Stellung missbrauche.

Deshalb soll Facebook im Sammeln von Nutzerdaten beschränkt werden. Erhält Facebook Daten aus verschiedenen Quellen, etwa WhatsApp und Instagram, dürfen diese Daten nur mit Zustimmung der Nutzer zusammengeführt werden, teilte die Behörde mit. Auch die Verwendung des „Like“-Buttons auf Internetseiten anderer Anbieter soll eingeschränkt werden.

Facebook möchte diese Einschränkungen nicht hinnehmen und kündigte an, gegen den Beschluss Beschwerde einzulegen. Facebook ist der Meinung, dass sie zwar ein populäres Netzwerk seien, allerdings keine marktherrschende Stellung einnehmen. Zudem läge kein Verstoß gegen die DSGVO vor und könne auch nicht vom Kartellamt beurteilt werden. Für die Aufsicht über die Einhaltung der DSGVO seien Datenschutzbehörden zuständig.

Zwölf Monate hat Facebook Zeit, um sein Verhalten zu ändern und muss innerhalb der nächsten vier Monate Lösungsvorschläge machen. Gegen diese Entscheidung des Kartellamts kann Facebook innerhalb eines Monats beim Oberlandesgericht Düsseldorf Beschwerde einlegen.

Datenschutzverstöße durch Berliner Polizei- und Justizbeamte?

Beschäftigte des Polizei- und Justizdienstes in Berlin stehen unter dem Verdacht, im Winter 2017 Drohbriefe an verschiedene Einrichtungen der linksautonomen Szene versendet zu haben. Inhalt der Drohbriefe seien Lichtbilder und weitergehende Informationen von 21 Personen, die angeblich ausschließlich aus polizei- und justizbehördlichen Quellen stammten. Die Drohbriefe seien Reaktionen auf Veröffentlichungen von linksautonomen Gruppen gewesen, die anlässlich des G20-Gipfels Lichtbilder von mehreren Berliner Polizeibeamten beinhalteten.

Als Folge des Verdachts stellte die Berliner Datenschutzbeauftragte Maja Smoltczyk damals einen Antrag auf Strafverfolgung gegen Unbekannt wegen Verstößen gegen das Berliner Datenschutzgesetz. Da die Vorfälle allerdings bislang – bis auf einen Fall, indem im August 2018 ein Polizeibeamter wegen unbefugtem Datenzugriff verurteilt wurde – noch nicht aufgeklärt wurden, forderte die Berliner Datenschutzbeauftragte die Staatsanwaltschaft nun erneut auf, ihr umfassende Informationen zukommen zu lassen. So sei bis heute unklar, wie die Täter an die personenbezogenen Daten gekommen sind und wo diese gespeichert wurden.

Da anders als z.B. in Hessen (wir berichteten kürzlich über einen ähnlichen Fall) die Datenschutzbeauftragte des Landes Berlin gemäß des Berliner Datenschutzgesetzes über keine Anordnungsbefugnis verfügt und so keine gerichtliche Klärung herbeiführen, sondern lediglich Beanstandungen aussprechen kann, ist sie auf die behördliche Zusammenarbeit angewiesen.

Automatisierte Kontrolle des Kraftfahrzeugkennzeichens nach dem Bayerischen Polizeiaufgabengesetz in Teilen verfassungswidrig

6. Februar 2019

Das Bundesverfassungsgericht hat in einem heute veröffentlichten Beschluss – die Beschlussfassung erfolgte bereits am 18. Dezember 2018 –  die automatisierte Kraftfahrzeugkennzeichenkontrolle nach dem Bayerischen Polizeiaufgabengesetz als Verstoß gegen das Recht auf informationelle Selbstbestimmung in Teilen für verfassungswidrig erklärt.

Zur Begründung führten die Richter des obersten deutschen Gerichtes an, dass eine automatisierte Kontrolle des Kennzeichens einem Grundrechtseingriff gegenüber allen Personen entspräche, deren Kraftfahrzeugkennzeichen erfasst und abgeglichen werde. Dies gelte unabhängig davon, ob die Kontrolle zu einem Treffer führt oder nicht (Änderung der Rechtsprechung). Ausgehend hiervon bedürften Kennzeichenkontrollen nach dem Grundsatz der Verhältnismäßigkeit grundsätzlich eines hinreichend gewichtigen Anlasses. Liege ein derartiger Anlass nicht vor, könne der Grundrechtseingriff nicht gerechtfertigt werden. Diesen Anforderungen genügten die Vorschriften als Mittel der Schleierfahndung nicht.

Der Senat hat die verfassungswidrigen Vorschriften größtenteils übergangsweise für weiter anwendbar erklärt, längstens jedoch bis zum 31. Dezember 2019.

Kategorien: Allgemein
Schlagwörter:

Fotodokumentation betrieblicher Veranstaltungen

Sofern im Rahmen einer unternehmensinternen Veranstaltung Fotografien von Mitarbeitern und/oder Gästen angefertigt werden, liegt darin grundsätzlich ein Eingriff in das Recht am eigenen Bild der betroffenen Personen gemäß Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 Grundgesetz (GG). Da es allein dem Betroffenen obliegt, darüber zu entscheiden, wer unter welchen Umständen Fotos von ihm anfertigen und veröffentlichen darf, ist eine Rechtfertigung erforderlich.

Bei den Fotografien handelt es sich um personenbezogene Daten i.S.d. Art. 4 Nr. 1 Datenschutzgrundverordnung (DSGVO). Deren Verarbeitung ist auf Grund von Art. 6 Abs. 1 S. 1 lit. f DSGVO dann rechtmäßig, wenn die Veröffentlichung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen. Es ist eine umfassende Interessenabwägung durchzuführen. Wirtschaftliche Interessen des Unternehmens können zum Beispiel die Dokumentation einer betrieblichen Veranstaltung zu Werbezwecken, die interne Stärkung des Betriebsklimas oder der Betriebstreue und ggf. auch die Kundenbindung im Rahmen weiterer Marketingmaßnahmen sein.

Daneben kommt außerdem die Einwilligung gemäß Art. 4 Nr. 11, Art. 7 DSGVO als rechtssichere Rechtfertigungsgrundlage in Betracht. Sofern es sich bei den fotografierten Personen u.a. um Mitarbeiter handelt, wovon bei einem betrieblichen Ereignis auszugehen ist, sind hierbei die strengen Anforderungen des § 26 Abs. 2 Bundesdatenschutzgesetz (BDSG) zu beachten.
Während die Einwilligung im Sinne der DSGVO formfrei erteilt werden kann, sieht § 26 Abs. 2 S. 3 BDSG grundsätzlich die Schriftform für Einwilligungen im Rahmen eines Beschäftigtenverhältnisses vor.
Darüber hinaus muss die Einwilligung bestimmt, informiert und freiwillig abgegeben werden. Für die Beurteilung der Freiwilligkeit der Einwilligung von Mitarbeitern sieht § 26 Abs. 2 S. 1 BDSG ergänzend zu den Bestimmungen der DSGVO vor, dass bei der Beurteilung die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt wurde, zu berücksichtigen sind. Von der Freiwilligkeit kann jedoch gemäß § 26 Abs. 2 S. 2 BDSG ausgegangen werden, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.

Um der Informationspflicht ausreichend nachzukommen, sollte sich der Verantwortliche an den Art. 12 ff. DSGVO orientieren. Wegen der sog. Rechenschaftspflicht des Verantwortlichen sollte die Information schriftlich erfolgen. Es empfiehlt sich ein Aushang am Eingang des jeweiligen Veranstaltungsortes sowie innerhalb des Veranstaltungsgeländes. Die Aushänge müssen hierbei deutlich platziert werden, gut lesbar und inhaltlich verständlich sein. Sofern von den Mitarbeitern vorab eine schriftliche Einwilligung, etwa im Rahmen eines Onboarding-Prozesses, eingeholt wird, sollten die erforderlichen Informationen bereits im Rahmen der Einwilligung erteilt werden.
Schließlich ist die freie Widerrufbarkeit der Einwilligung gemäß Art. 7 Abs. 3 S. 1 DSGVO zu beachten, wobei der Widerruf seine Wirkung nur für die Zukunft entfaltet.

Fazit:
Sofern nicht ausgeschlossen werden kann, dass auch Fotos von einzelnen Mitarbeitern bzw. Gästen angefertigt und veröffentlicht werden, wobei eine Veröffentlichung im Intranet schon ausreicht, stellt die Eiwilligungserklärung den rechtssichersten Weg dar. Es sollte für diesen Fall vor Beginn einer betrieblichen Veranstaltung eine Einwilligung aller Teilnehmer schriftlich eingeholt werden.
Sofern von einem Mitarbeiter oder Gast keine Einwilligung vorliegt, dürfen von ihm/ihr keine Fotografien angefertigt und veröffentlicht werden, auf welchen der Betroffene im Fokus der Aufnahme steht und nicht lediglich als Beiwerk abgebildet wird.

GFF zieht wegen Testlauf zur Volkszählung 2021 vor das BVerfG

4. Februar 2019

Das Thema der Volkszählungen beunruhigt die Gesellschaft in Deutschland immer wieder. Ein knappes Jahr nach dem Inkrafttreten der DSGVO kritisieren die Datenschützer den für Mitte Januar bis Mitte Februar 2019 geplanten Zensus-Probelauf wegen fehlender Anonymisierung. Die Gesellschaft für Freiheitsrechte ruft das BVerfG an.

Aufgrund der für das Jahr 2021 geplanten Volkszählung hat der Bundestag das Zensusvorbereitungsgesetz (ZensVorbG 2021) am 03.03.2017 verabschiedet. Nach § 1 ZensVorbG wird der Zensus 2021 als eine Kombination aus Bevölkerungszählung und Erfassung des Bestandes an Gebäuden mit Wohnraum und Wohnungen durchgeführt.

Der Grund für die Einschaltung des BVerfG ist der eingeführte § 9a ZensVorbG, wonach zur Vorbereitung des registergestützten Zensus ein Testlauf zur Prüfung der Übermittlungswege und der Qualität der übermittelten Daten aus den Melderegistern ermöglicht wurde.

Die Gesellschaft für Freiheitsrechte (GFF) sieht in der Übermittlung und Speicherung einer großen Zahl echter Daten wie Name, Geschlecht, Familienstand, Religionszugehörigkeit ohne Anonymisierung einen Verstoß gegen das Grundrecht auf informationelle Selbstbestimmung und will den Testlauf stoppen.

Die GFF ist der Meinung, die vorgegebene zweijährige Speicherdauer stellt ein großes Risiko dar und sie befürchtet, dass durch die Speicherung von echten Daten von bis zu 82 Millionen Menschen diese Daten zum Magnet für Missbrauch und unbefugte Beschaffung werden.

Auf der anderen Seite verweist der Staat auf die EU-weite Verpflichtung aus der EU VO Nr. 712/2017, wonach der Zensus 2021 für alle EU-Staaten verbindlich ist. Die gewonnenen Daten sollen die Grundlage für die Berechnung der Verteilung von EU-Fördermitteln und von Steuermitteln sein. Um diese Ziele zu erreichen, ist der Testlauf unverzichtbar.

Das BVerfG soll im Rahmen eines einstweiligen Rechtsschutzverfahrens darüber entscheiden, ob die Erhebung echter, nicht anonymisierter Daten im Rahmen eines Testlaufs das Grundrecht auf informationelle Selbstbestimmung verletzt.


Hackerangriff bei Airbus: Unbekannte verschaffen sich Zugriff auf Mitarbeiter-Daten

31. Januar 2019

Der größte europäische Flugzeughersteller Airbus ist offenbar einem Cyberangriff zum Opfer gefallen.
Wie Airbus am Mittwoch in einer kurzen Stellungnahme bekannt gab, verschafften sich Angreifer Zugang zu einem zentralen Server und gelangten so an personenbezogene Daten. Betroffen seien einige Airbus-Mitarbeiter in Europa.

Laut dem Unternehmen sei der Geschäftsbetrieb der Zivilflugzeugsparte Airbus Commercial nicht beeinträchtigt. Ebenso wenig betroffen seien die Bereiche Rüstung und Raumfahrt sowie der Geschäftsbereich Helikopter.
Ein Zugriff auf Bordsysteme von Airbus-Flugzeugen sei auszuschließen.

Der Hackerangriff wurde am 11. Januar der französischen Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) nach Maßgabe der Datenschutz-Grundverordnung (DSGVO) gemeldet. Erste Hinweise auf den Zugriff gab es bereits am 6. Januar.

Das genaue Ausmaß des Angriffs ist noch nicht bekannt, ebenso wenig die Anzahl der Betroffenen.

Ungeklärt ist derzeit, ob es sich um einen gezielten Angriff auf spezielle Daten gehandelt hat und wer hinter dem Angriff steckt.

Airbus gibt an, anlässlich des Vorfalls die bestehenden Sicherheitsmaßnahmen zu verstärken.

Kategorien: Allgemein · Hackerangriffe
Schlagwörter:

Zusammenführung der Messenger von Facebook, WhatsApp und Instagram

Auf dem Markt befinden sich derzeit mehrere unterschiedliche Messenger. Die bekanntesten davon sind Facebook, Instagram und WhatsApp. Um mit dem gesamten Bekanntenkreis in Kontakt zu bleiben, ist oft erforderlich, gleich zahlreiche Accounts zu verwenden, da die Kommunikation zwischen den Diensten nicht möglich ist. Dies soll sich jedoch in absehbarer Zeit ändern. Mark Zuckerberg hat nun angeordnet, die Chat-Technik der drei Dienste zu verschmelzen, wie die New York Times zuerst berichtete.

Die geplante Zusammenführung der Messenger würde ein Kommunikationsmonopol errichten und gleichzeitig große Sicherheitsfragen aufwerfen. Insgesamt würden die drei Dienste auf gut 2,6 Milliarden Nutzer kommen. Die Zusammenführung steht zunächst vor der Hürde, eine Ende-zu-Ende-Verschlüsselung für alle Dienste zu implementieren. Dies ist technologisch einfacher gesagt als getan. Selbst wenn die Verschlüsselung zum Standard wird, dürften die User sich der Frage stellen, welche Daten sie nun eigentlich mit welcher Plattform teilen.

Es gibt zwar noch keine Einzelheiten dazu, ob die Nutzerdaten über alle Dienste hinweg geteilt werden. Aus Marketingsicht wäre dieser Schritt jedoch nur logisch. Für Nutzer, die ihre Daten auf einen Dienst beschränken wollen, wäre dies jedoch ein Problem. Bundesjustizministerin Katarina Barley kritisiert das Vorhaben des Internetkonzerns Facebook, seine sozialen Netzwerke und Sofortnachrichten zu verknüpfen. „Die EU hat ein scharfes Wettbewerbsrecht und seit einem halben Jahr auch ein starkes Datenschutzrecht.“ Beide sähen Sanktionen vor. „Dieses Recht werden wir gegenüber Datenmonopolisten konsequent durchsetzen“, sagte Barley gegenüber der WirtschaftsWoche.

Datenschutzkontrollen bei der Polizei

Laut der Hessenschau gab es allein letztes Jahr 180 Fälle, bei denen ein Zugriff auf personenbezogene Daten aus dem internen Polizeiauskunftssystem HEPOLAS für nicht dienstliche Zwecke erfolgte. Polizisten werden also verdächtigt unbefugt die persönlichen Daten von Bürgern abgerufen zu haben.

Grundsätzlich gilt, dass nur solche Mitarbeiter Zugriff auf das System haben, die auch es auch für die Ausübung ihrer Tätigkeit brauchen. Fast alle etwa 15 000 Polizeibeamten in Hessen haben Zugang zu den Daten in dem System. Laut hessischem Innenministerium wird etwa 45 000 Mal pro Tag auf HEPOLAS zugegriffen. Es gibt Auskunft über Privatadressen, Angaben zu Familienmitgliedern, Einträge im Melderegister aber auch über Angaben zu (eingestellten) Ermittlungsverfahren gegen den Betroffenen.

Einer der Verdachtsfälle steht im Zusammenhang mit den rechtsextremen Drohbriefen an die Frankfurter Anwältin Seda Basay-Yildiz. Den Ermittlungen zufolge sind die in den Briefen enthaltenen personenbezogenen Daten zuvor auf einem Computer im 1. Frankfurter Polizeirevier abgefragt worden.

Es stellt sich die Frage, wie ein unbefugtes Abrufen – etwa für nicht dienstliche Zwecke – verhindert werden kann. Die Datenabfragen werden protokolliert und bislang nur bei Verdachtsfällen datenschutzrechtlich überprüft. Nun sollen die Datenschutzbeauftragten der Polizeipräsidien anlassunabhängige Kontrollen durchführen.

Datenschutz versus Social Media – Nimmt man den Datenschutz ernst genug?

30. Januar 2019

Seit Anwendung der Datenschutzgrundverordnung (DSGVO) werden mehr und mehr Verstöße gegen den Datenschutz sowie Fehler bei der Sicherheit personenbezogener Daten in Social-Media Kanälen publik (zuletzt beispielsweise bei der Apple Inc.).

Passend hierzu war am Montag, den 28.01.2019 der Europäische Datenschutztag. Diesen zum Anlass genommen lässt sich festhalten, dass das Verhalten vieler Nutzer und das Verständnis von Datenschutz – mithin auch Unternehmen! – keineswegs mit den Vorstellungen der DSGVO korrelieren.

Facebook, Instagram, Twitter und weitere. Hier werden beispielsweise fleißig Bilder von Produktionswerken, von Arbeitnehmern oder aber (zu) private Videos und Fotos des eigenen Nachwuchses geteilt. Überdies werden Informationen zu allerlei privaten Dingen preisgegeben. Es liegt mithin in der Woche um den Europäischen Datenschutztag Nahe, den Umgang mit personenbezogen Daten im Kontext des Internets kritisch zu hinterfragen.

Jörg Schieb, bei ARD sowie WDR als Experte für den Bereich Internet tätig, vergleicht beispielsweise das Einkaufsverhalten in Online Shops mit einem Einkauf, bei dem der Kunde gänzlich überwacht würde. Er bedient sich hierfür eines Beispiels der Netzaktivistin Katharina Nocun und verglich den Online Einkauf mit einem Einkauf im Supermarkt, bei dem ein Mitarbeiter der Filiale ununterbrochen über die Schulter des Kunden schaut und dessen Einkauf genau beobachtet.

Der Umgang mit personenbezogenen Daten in diversen Social Media-Netzwerken stößt dennoch höchst selten sauer auf. Das mag daran liegen, dass der Account von Unternehmen kleinerer und mittlerer Größe weniger im Fokus der Öffentlichkeit erscheint. Gerade hier lassen sich jedoch Defizite im Umgang mit Datenschutz im Kontext Social-Media feststellen. Aus Erwägungen ordnungsgemäßer Unternehmens-Compliance sowie der Vermeidung potentieller Bußgelder ist jedoch gerade diesen Unternehmen ein sorgsamer Umgang mit dem Thema Datenschutz anzuraten.

Datenschutzeinstellungen für Windows 10

Windows 10 gilt als besonders neugierig und wurde zum Start von Verbraucherschützern stark kritisiert. Der Vorwurf bestand darin, dass das neue Betriebssystem zu viele Daten sammle. Nach mehreren Updates werden Nutzer nunmehr auf die Einstellmöglichkeiten besser hingewiesen, allerdings muss der Nutzer selbst aktiv werden.

Wer weitreichende Einblicke in sein Nutzerverhalten vermeiden möchte, sollte die Standard-Einstellungen von Windows 10 ändern. Entweder wird man direkt nach der Installation der Software auf Datenschutzfragen hingewiesen oder man findet über „Start“ unter „Einstellungen“ den Unterpunkt „Datenschutz“. Im Folgenden wird auf die wichtigsten Datenschutzeinstellungen hingewiesen.

Grundsätzlich kann man erst einmal alles ausschalten. Es kann passieren, dass Funktionen blockiert werden, allerdings weisen die Apps einen darauf hin, sodass man die Funktionen für bestimmte Dienste (bspw. Standorterkennung für Google-Maps) wieder aktivieren kann.

Geht man auf die Datenschutzeinstellungen, stößt man zuerst auf den Reiter „Allgemein“, unter dem man die Werbe-ID deaktivieren kann. Die Werbe-ID speichert die Interessen des Nutzers über Produkte und Internetseiten. Diese Informationen helfen dabei, passende Werbung zu schalten. Wenn dies nicht wünscht ist, sollte neben der Werbe-ID auch die Punkte „Websites den Zugriff auf die eigene Sprachliste gestatten“ und „Windows erlauben, das Starten von Apps nachzuverfolgen“ ausgeschaltet werden.

Wenn die Kamera nicht benötigt wird, sollte sie ausgeschaltet werden. Unter dem Punkt „Kamera“ kann festgelegt werden, ob diese aktiv sein soll und welche Programme die Kamera nutzen darf.

Microsoft enthält weniger Informationen über Ihr Nutzerverhalten, wenn Sie unter dem Punkt „Diagnose“ die Einstellung „Einfach“ wählen. Soll der Rechner nicht über Sprache oder Stift gesteuert werden, kann die Funktion „Freihand- und Eingabeerkennung verbessern“ ausgeschaltet werden. Damit ein automatisches und unbemerktes Abrufen von Nutzerdaten durch Microsoft verhindert werden kann, muss bei „Feedbackhäufigkeit“ die Einstellung „Nie“ gewählt werden. Wird nur auf einem Gerät Windows 10 genutzt, können unter „Aktivitätsverlauf“ alle Funktionen deaktiviert werden.

Unter „Kontoinformationen“ kann eingestellt werden, welche Apps auf das eingerichtete Konto zugreifen dürfen. Wichtig ist dies beispielsweise für die Mail-Anwendung. Im Rahmen der „Hintergrund-Apps“ wird festgelegt, welche Programme im Hintergrund Daten austauschen dürfen. So können beispielsweise automatisch E-Mails abgerufen werden. Wird diese App ausgeschaltet, muss das Abrufen manuell erfolgen. Gleiches gilt für Diagnosedaten, Dokumente, Bilder, Videos sowie das Dateisystem.



Kategorien: Allgemein
Schlagwörter: ,
1 2 3 4 131