Kategorie: Allgemein

Grenzen der Datenminimierung bei der Speicherung von IP-Adressen

30. Januar 2019

Mit Beschluss vom 20.12.2018 hat die 3. Kammer des Zweiten Senats des Bundesverfassungsgericht entschieden, die Verfassungsbeschwerde eines E-Mail-Anbieters gegen eine von der Staatsanwaltschaft Stuttgart angeordnete Erhebung und Übermittlung von IP-Adressen nicht zuzulassen. Im Rahmen einer ordnungsgemäß veranlassten Telekommunikationsüberwachung sollte der E-Mail-Anbieter wegen mutmaßlicher Verstöße gegen das Betäubungsmittel- und das Kriegswaffenkontrollgesetz eines Nutzers die IP-Adressen des betreffenden Nutzers der Staatsanwaltschaft zur Verfügung stellen.

Im Rahmen der Verfassungsbeschwerde führte der E-Mail-Anbieter aus, dass ihm dies nicht möglich sei, da die IP-Adressen aus Gründen der Datenvermeidung und der Datensparsamkeit lediglich anonymisiert gespeichert würden. Nach Auffassung des E-Mail-Anbieters sei es technisch nicht erforderlich, die IP-Adressen mit Personenbezug zu speichern und er sei hierzu auch nicht per Gesetz verpflichtet. Die § 100 Abs. 3 S. 2 StPO a.F. iVm § 7 Abs. 1 S. 2 Nr. 4 Telekommunikationsüberwachungsverordnung würden lediglich dazu verpflichten, bereits vorhandene Daten an die Strafverfolgungsbehörden zu übermitteln. Da die IP-Adressen aber schon nicht in der notwendigen Form protokolliert werden würde, seien schon keine Daten zur Übermittlung vorhanden.

Dieser Ansicht folgte das Bundesverfassungsgericht jedoch nicht. Um eine E-Mail einem Empfänger zuordnen zu können, müsse die IP-Adresse zumindest vorübergehend für die Dauer der Kommunikation zwischengespeichert werden. Damit seien die Daten jedoch bei dem Anbieter vorhanden. Der E-Mail-Anbieter müsse seine Dienste so einrichten, dass er im Falle ordnungsgemäß angeordneter Überwachungsmaßnahmen die angefragten IP-Adressen in verwertbarer Form an die Strafverfolgungsbehörden weitergeben könne. Hierzu verpflichte schon § 110 Abs. 1 Nr. 1 TKG, nach dem Anbieter öffentlicher Telekommunikationsdienste auf eigene Kosten technische Einrichtungen zur Umsetzung gesetzlich vorgesehener Maßnahmen zur Überwachung der Telekommunikation vorhalten und organisatorische Vorkehrungen für deren unverzügliche Umsetzung treffen müssen.

Neue Gesetze verlangen die Verschlüsselung von Daten

25. Januar 2019

Grundsätzlich ist jedes Unternehmen und jede Behörde durch die neuen Gesetze dazu angehalten sensibel Daten zu verschlüsseln. Viele Unternehmen schätzen den Nachdruck, der hinter der Umsetzung steht, falsch ein. Erst wenn Daten verloren gehen oder durch Hacker gestohlen und veröffentlicht werden, wird die Bedeutung der Gesetze greifbar.

Auch wenn in der DSGVO nicht explizit das Wort „Verschlüsselung“ verwendet wird, ist es trotzdem zwingend, dass Daten spätestens bei Speicherung in einer Cloud oder bei Übermittlung via Internet verschlüsselt werden müssen.

Geheimnisträger wie beispielsweise Anwälte, Notare sowie Wirtschaftsprüfer sind zu dem noch an den im Jahr 2017 neugefassten § 203 StGB gebunden, der den Schutz von Informationen zusätzlich regelt. Im Falle eines Verstoßes drohen Bußgelder sowie Gefängnisstrafen.

Der Schutz von Daten wird in vielen Branchen durch zusätzliche Normen geschützt. Ärzte und Apotheker sind beispielsweise an das E-Health-Gesetz gebunden. Betreiber kritischer Infrastrukturen unterliegen dem IT-Sicherheitsgesetz, welches ausdrücklich eine Verschlüsselung vorschriebt.

In eigener Sache: privacy-ticker.com – unser englischsprachiger Blog rund um das Thema Datenschutz

Liebe Leserinnen, liebe Leser,

danke, dass Sie unseren Datenschutzticker abonniert haben! Wenn Ihnen das Angebot gefällt, schauen Sie doch gerne einmal auf unserem englischsprachigen Blog, dem privacy-ticker , vorbei.

Auch dort halten wir Sie rund um das Thema Datenschutz auf dem Laufenden und fokussieren uns vor allem auf internationale Entwicklungen und Meldungen. Wenn Sie also stets über internationale Datenschutzgesetze und Datentransfer, Meldungen über Facebook, Google und Co. sowie viele weitere Themen informiert werden möchten, abonnieren Sie doch gerne auch unseren privacy-ticker.

See you soon!

Kategorien: Allgemein
Schlagwörter:

Erstes Treffen der Europäischen Datenschutzbeauftragten in 2019

In der ersten Sitzung des Europäischen Datenschutzausschusses (EDSA) im neuen Jahr wurden unter anderem folgende Punkte aufgegriffen: der EU-US Privacy Shield, Leitlinien zur Zertifizierung und die Verbesserung der Kommunikation mit Social-Media-Anbietern bei Datenschutzvorfällen. Vor allem die Überprüfung des EU-US Privacy Shield und der dazugehörige Berichtsbeschluss waren wichtige Tagesordnungspunkte der Sitzung. Trotz Überprüfung durch US-Behörden bestehen weiterhin gewichtige Kritikpunkte. Einer dieser Kritikpunkte ist das Fehlen einer dauerhaften Besetzung der Ombudsperson und die Offenlegung ihrer Befugnisse gegenüber den Sicherheitsbehörden.

Ein weiteres wichtiges Thema war die Verabschiedung der Guidelines on Certification. Diese Leitlinien sollen eine Unterstützung für die Ausgestaltung von Zertifizierungsprozessen nach der DSGVO sein. Zusammen mit den bereits vergangenen Jahres verabschiedeten Guidelines on Accreditation dienen beide Papiere als wichtige Orientierungshilfen.

Um bei Datenschutzvorfällen im Social-Media-Bereich schneller reagieren zu können hat man sich in der Sitzung das Ziel gesetzt gemeinsam technische und organisatorische Maßnahmen zu erörtern, um in Eilfällen eine unmittelbare Kontaktaufnahme mit den verantwortlichen Stellen zu ermöglichen. Dazu werden deutsche Aufsichtsbehörden ein Vorschlag erarbeiten.

Der Bundesdatenschutzbeauftragte Ulrich Kelber betonte nach seiner ersten Teilnahme am EDSA noch einmal die Wichtigkeit dieses Gremiums: „Daten kennen schon lange keine Grenzen mehr. Daher muss auch ihr Schutz grenzübergreifend sein.“

Gerichtsentscheidung: Veröffentlichung von Videoaufnahmen im Internet ohne Einwilligung ist unzulässig

23. Januar 2019

Nach der Entscheidung des Landgerichts Frankfurt am Main (LG Frankfurt a.M. – Az.: 2-03 O 283/18) ist der Besitzer eines Friseursalons verpflichtet, Videoaufnahmen, in der eine Kundin bei der Behandlung erkennbar ist und die er zu Werbezwecken auf seiner Facebook-Fanpage veröffentlicht hat, von der Internetseite zu entfernen. Grund hierfür ist, dass der Besitzer des Friseursalons nicht glaubhaft gemacht hat, dass eine Einwilligung der Kundin zu der Fertigung und Veröffentlichung der Videoaufnahmen vorlag.

Der Besitzer des Friseursalons behauptet, dass die Kundin ausdrücklich auf die Videoaufzeichnung und die Veröffentlichung hingewiesen wurde und diese ausdrücklich darin eingewilligt hat. Hilfsweise behauptete er, dass die Einwilligung zumindest stillschweigend erfolgte. Die Kundin behauptet, dass ein solcher Hinweis zu keinem Zeitpunkt erfolgt ist und sie auch keine Einwilligung erteilt habe. Da der Besitzer des Friseursalons die Beweislast dafür trägt, nachzuweisen, dass eine Einwilligung erteilt wurde und er dies nicht glaubhaft machen konnte, wurde er verurteilt, die Videoaufnahmen von der Internetseite zu entfernen.

Auch das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f Datenschutzgrundverordnung (DSGVO) kann in diesem Fall nicht als Rechtsgrundlage herangezogen werden. Zwar sei die Verarbeitung von personenbezogenen Daten zu Zwecken der Direktwerbung anerkannt. Es sei aber fraglich, ob die Verwendung von Bildaufnahmen hierzu erforderlich sei. In diesem Fall überwiegt jedenfalls das Interesse der Kundin, dass diese Form der Verarbeitung unterbleibt.

Das LG Frankfurt a.M. lässt bei der Entscheidung bedauerlicherweise offen, ob es seine Begründung auf §§ 22, 23 Kunsturhebergesetz (KUG) stützt oder aber auf die DSGVO. Somit ist die Unsicherheit, ob die Regelungen des KUG Normen im Sinne von Art. 85 Abs. 1 DSGVO sind, nicht beseitigt.

5000 Euro Bußgeld für fehlenden Auftragsverarbeitungsvertrag

22. Januar 2019

Das kleine Versandunternehmen Kolibri Image wurde von der Hamburger Datenschutzbehörde aufgefordert, ein Bußgeld in Höhe von 5000 Euro zuzüglich 250 Euro Gebühren zu zahlen. Grund hierfür war nach Art. 83 Abs. 4 lit. a Datenschutzgrundverordnung (DSGVO) das Fehlen eines Auftragsverarbeitungsvertrags mit einem spanischen Dienstleister des Versandunternehmens.

Ausgangspunkt für das Bußgeld war, dass Kolibri Image sich im Mai 2018 an den Hessischen Datenschutzbeauftragten gewandt hatte, weil der spanische Dienstleister trotz mehrfacher Aufforderung keinen Vertrag zur Auftragsverarbeitung übersandt hatte. Die Behörde erwiderte, dass die Pflicht zum Abschluss eines Auftragsverarbeitungsvertrages sowohl den Verarbeiter als auch den Verantwortlichen treffe. Das Unternehmen solle und müsse deshalb selbst eine entsprechende Vereinbarung verfassen und an den Auftragsverarbeiter zwecks Unterschrift übermitteln.

Als Kolibri Image daraufhin antwortete, dass man sich diese Arbeit, insbesondere wegen der teuren Übersetzung, nicht machen wolle, gab die hessische Behörde die Sache an die zuständigen Kollegen aus Hamburg ab. Der Hamburger Datenschutzbeauftragte sieht in dem Verhalten des Unternehmens einen Verstoß gegen Art. 28 Abs. 3 DSGVO und hatte deswegen die Geldbuße verhangen. Nach Ansicht der Behörde wurden schützenswerte Daten ohne Rechtsgrundlage an den Dienstleister übermittelt. Erschwerend wirke sich aus, dass man diese Praxis aufrechterhalten habe, obwohl dem Unternehmen die Datenverarbeitungsprozesse des Verarbeiters explizit nicht bekannt waren. Schließlich fehle es auch an einer Zusammenarbeit mit der Behörde, die sich strafmildernd auswirken könne.

Kolibri Image kündigte bereits an, gegen den Bescheid einen Widerspruch einzulegen. Zu Recht?
Zwar liegt der Bußgeldbescheid, und somit der genaue Sachverhalt, hier nicht vor, es drängen sich jedoch, insbesondere wegen der Diskussionen im Internet über diesen Fall, zwei Fragen auf.
Zum einen scheint die Frage, ob hier überhaupt ein Auftragsverarbeitungsverhältnis vorliegt, noch klärungsbedürftig, da dies von der Behörde bevor der Bescheid erlassen wurde gar nicht geprüft worden sei.
Darüber hinaus stellt sich die Frage, wann die Grenze zur Selbstbelastungsfreiheit überschritten ist. Das Unternehmen hat im vorliegenden Fall mit seiner initativen Anfrage bei der Datenschutzbehörde den Stein selbst ins Rollen gebracht. Sofern der Verantwortliche sich bezüglich seiner gesetzlichen Meldepflichten nicht ganz sicher ist, sollte er sich also stets datenschutzrechtlichen Rat einholen, bevor er sich an die Behörde wendet.

Französische Datenschutzbehörde verhängt Bußgeld gegen Google

Aufgrund von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) muss der Internetriese Google in Frankreich eine Strafe in Höhe von 50 Millionen Euro zahlen. Das Bußgeld verhängte die französische Datenschutzbehörde CNIL. Ausgelöst wurde das Verfahren gegen Google durch Beschwerden der Organisation NOYB von Max Schrems und der französischen Netzaktivisten La Quadrature du Net.

Zu dem Bußgeld sei es gekommen, da Google die Anforderungen der DSGVO hinsichtlich der Informationspflichten nur unzureichend erfülle. So seien die Informationen über die Datenverarbeitung im Rahmen verschiedener Google-Applikationen für die Nutzer nur schwerlich über mehrere Links und Buttons zugänglich und insgesamt intransparent. Aufgrund der, dem Nutzer, nur unzureichend zur Verfügungen gestellten Informationen über die Art und Weise der Verarbeitung personenbezogener Daten, seien auch die Einwilligungen zur Anzeige personalisierter Werbung nach Ansicht der französischen Datenschutzbehörde nicht rechtmäßig.

Update: Google hat inzwischen Berufung eingelegt.

Zugriff auf Kundendaten durch Phishing-Mails

21. Januar 2019

Es werden zurzeit E-Mails im Namen der Deutschen Bank mit dem Betreff „Informationen zu Ihrem Bankkonto“ versendet. In dieser E-Mail wird darauf verwiesen, dass aufgrund der Datenschutzgrundverordnung (DSGVO) das TAN-Verfahren annulliert werden müsste. Dabei soll der Betroffene das angehängte Formular benutzen um die Änderung des TAN-Systems kostenfrei durchzuführen. Tut er dies nicht, würde die Deutsche Bank dies manuell durchführen und eine Gebühr dafür verlangen.

Hierbei handelt es sich um keine E-Mail von der Deutschen Bank. Als Absender der E-Mail wird „info@db.com“ angezeigt. In der Email befindet sich in der Anlage eine Datei mit dem Namen „Formular.html“. Das ist die eigentliche Phishing-Seite, über die die Daten der Betroffenen gestohlen werden.

Die Deutsche Bank hat auf ihrer Seite einen Sicherheitshinweis veröffentlicht, in der sie vor den Phishing-Mails warnt. Die Empfänger der E-Mails sollen nicht auf enthaltene Buttons oder Links in der E-Mail klicken. Wurde bereits auf den Button oder Link geklickt, dürfen in keinem Fall persönlichen Daten eingegeben werden, da diese sonst unverschlüsselt bei den Cyberkriminellen landen.

Mehr Transparenz im Datenschutz

Laut dem Bundesdatenschutzbeauftragten Ulrich Kelber arbeitet seine Behörde an einem Konzept zu größerer Transparenz im Datenschutzrecht. Danach entwickelt die Bundesdatenschutzbehörde zurzeit ein Konzept im Hinblick auf die Veröffentlichung von amtlichen Informationen, die die Ahndung von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) betreffen.

Dieses Konzept soll laut Kelber zum Ziel haben, dass grundsätzlich alle nach dem Informationsfreiheitsgesetz abfragbaren Informationen auch veröffentlicht werden können. In der Konsequenz würde die Bundesdatenschutzbehörde folglich aktiv Informationen zu Ahndungen von Datenschutzverstößen veröffentlichen, wenn ein Anspruch des Bürgers auf amtliche Informationen nach dem Informationsfreiheitsgesetz (IFG) bestehen würde.

Damit will der Bundesdatenschutzbeauftragte dem aktuellen Zustand entgegenwirken, dass nur sehr vereinzelt Datenschutzverstöße und ihre Sanktionierung transparent veröffentlicht werden. Diesen Zustand kritisierte bereits der ehemalige Bundesdatenschutzbeauftragte Peter Schaar. Ebenso wurde von Niko Härting angemerkt, dass die meisten Ahndungen der breiten Öffentlichkeit unverständlicherweise nicht bekannt seien.

Zur Erläuterung: Nach § 1 IFG hat jeder Bürger einen Anspruch auf Zugang zu amtlichen Informationen, soweit kein besonderer öffentlicher Belang entgegensteht (§ 3 IFG) und der Geheimnisschutz sowie der Schutz personenbezogener Daten gewahrt bleiben, §§ 4, 5, 6 IFG. Ein gesondertes berechtigtes Interesse muss der Bürger dafür gerade nicht nachweisen.

Länderübergreifende Cybersicherheitstrategie gefordert

Bürger, Unternehmen und Staat sollen mit einer länderübergreifenden Strategie für mehr Internet-Sicherheit besser gegen die zunehmende Bedrohung durch Cyberangriffe geschützt werden. Die Union forderte in einem der deutschen Presse-Agentur in Berlin vorliegenden Papier einen „Notfallplan, um innerhalb kurzer Zeit auf den Abfluss sensibler Daten, digitale Wirtschaftsspionagen oder Sabotage reagieren zu können“.

Darüber hinaus verlangen die Fraktionschefs von CDU und CSU in Brüssel in dem Entwurf für die am Montag endende zweitägige Konferenz, dass bundeseinheitliche gesetzliche Mindeststandards für die Sicherheit informationstechnischer Geräte benötigt werden. Gelten soll dies beispielsweise für Endverbraucher-Geräte wie Laptops und Mobiltelefone. Angebote sollen von Anbietern von Online-Diensten und Hersteller von Geräten so gestaltet werden, „dass ausreichend starke Passwörter von den Benutzern gewählt und diese regelmäßig geändert werden müssen“.

Weiter verlangt die Union härtere Strafen für Cyberkriminelle, indem das Strafrecht im Bereich der Cyberkriminalität ergänzt wird. Im Entwurf heißt es: “ Mit Abschreckung und hohem Verfolgungsdruck können Erfolge zum Schutz aller erzielt werden.“ Wenn es nach der Meinung der Fraktionschefs von CDU und CSU geht, soll es in allen Ländern zentrale Anlaufstellen für die Wirtschaft geben. Der direkte Informationsaustausch sowie schnelle Hilfe vor Ort sollen hier in den Fokus gerückt werden. Die Idee dahinter ist, dass Bundes- und Landesbehörden „finanziell, technisch, personell und infrastrukturell so ausgestaltet werden, dass Cyberangriffe schnellstmöglich erkannt, betroffene Kreise gewarnt und identifizierte Schwachstellen schnellstmöglich umgehend beseitigt werden können“. Dafür sollen von Bund und Ländern länderübergreifend regelmäßige Krisenmanagementübungen gemacht werden.

1 2 3 4 5 131