Kategorie: Allgemein
11. Februar 2020
Der Landesbeauftragter für den Datenschutz des Landes Baden-Württemberg, Stefan Brink, löschte am 31. Januar 2020 seinen Twitter-Account mit rund 5400 Followern. Diesen Schritt begründete er damit, dass die Benutzung des datenschutzrechtlich problematischen Dienstes nicht mit seiner Tätigkeit vereinbar sei. Er wolle nun prüfen, „ob die anderen drinbleiben dürfen.“ Die Landesregierung Baden-Württembergs und die Landespolizei meldeten kurz danach an, nicht auf den Kurznachrichtenndienst verzichten zu wollen. Der „Twexit“ des Landesbeauftragten könnte nun aber Folgen für Behörden und Unternehmen haben. Kürzlich veröffentlichte die Aufsichtsbehörde Anforderungen an die behördliche Nutzung „Sozialer Netzwerke„. Im Wesentlichen werden 5 Anforderungen aufgestellt: Behörden müssten eine datenschutzrechtliche Rechtsgrundlage für die Benutzung vorweisen und Transparenzgebote einhalten. Sie sollen mit dem Sozialen Netzwerk einen Vertrag zur gemeinsamen Verantwortung schließen. Zudem müssten Behörden alternative Informations- und Kommunikationswege anbieten und technisch und organisatorische Sicherungsmaßnahme einhalten. Besonders die Forderung nach einem Vertrag über die gemeinsame Verantwortung hat es in sich: Denn Twitter weigert sich aktuell solche Verträge mit seinen Nutzern zu schließen. Stefan Brink sieht aber Verträge für die gemeinsame Verantwortlichkeit als zwingende Voraussetzung für eine rechtskonforme Benutzung des Dienstes an. Diese Anforderung schließt die Aufsichtsbehörde aus den neuerlichen Urteilen des EuGH und des BVerwG zu Facebook-Fanpages, die auf Twitter übertragbar seien.
In einem Interview mit JUVE Rechtsmarkt erläuterte Stefan Brink nun seine Strategie: Zunächst will er mit Behörden den Dialog suchen. Wenn das nicht funktioniere könnten Anordnungen erlassen werden, um „die Behörden [zu] zwingen, mit dem Twittern aufzuhören.“ Er erkennt zwar die große Rolle die Social-Media-Kanäle spielen, möchte sich aber trotzdem „in der zweiten Jahreshälfte […] Unternehmen ansehen.“ Er ist sich sicher durch „Druck auf die Unternehmen“ zu erreichen, dass „die Unternehmen ihrerseits Druck auf die Plattformbetreiber ausüben“ und so an „den formal nötigen Vertrag“ kommen werden.
10. Februar 2020
Am 10.02.2020 eröffnete der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zum ersten Mal ein öffentliches Konsultationsverfahren, bei dem Akteure aus Politik, Wirtschaft, Gesellschaft und Verwaltung, Stellung zu einem ausgewählten datenschutzrechtlichen Thema nehmen können.
Im Fokus des ersten Konsultationsverfahrens soll die Anonymisierung von Daten unter der DSGVO unter besonderer Berücksichtigung der Telekommunikationsbranche sein. Zu diesem umstrittenen Thema hat der BfDI ein Positionspapier veröffentlicht. Ziel ist es, Verantwortlichen „eine Orientierung zum rechtssicheren und datenschutzfreundlichen Umgang mit der Anonymisierung von Daten“ zu geben.
Der BfDI Ulrich Kelber betonte hierbei: Das Konsultationsverfahren ist ein weiterer Schritt zu noch mehr Transparenz in meiner Behörde. Der Datenschutz lebt von einer breiten gesellschaftlichen Diskussion. Daher werde ich zukünftig vermehrt auf dieses Mittel der Öffentlichkeitsbeteiligung zurückgreifen. Wir wollen alle Stimmen hören, um gemeinsam konstruktive Vorschläge zu erarbeiten. Ich fordere die Expertinnen und Experten auf, diese Möglichkeit intensiv zu nutzen.
6. Februar 2020
Wie bereits berichtet, hatte die Gesichtserkennungsfirma Clearview circa drei Milliarden Bilder in ihrer Datenbank gesammelt. Unter anderem griff Clearview dafür auch auf das Videomaterial von Youtube zurück.
Dieses Verhalten führte nun zu einer Abmahnung von
Google gegenüber der Firma Clearview. Im Abmahnschreiben fordert Google die
Löschung des Bild- und Videomaterials. Dem Startup wird vorgeworfen, dass es
mit der Speicherung der Videos, zum Zwecke der Identifizierung von Personen,
gegen die Youtube Richtlinien verstoßen hat.
Das Unternehmen hatte gestanden die Daten der Videoplattform zum Zwecke der Gesichtserkennung gespeichert zu haben. Laut der Pressesprecherin von Youtube war dieses Geständnis der Auslöser für die Abmahnung.
Neben Google haben bereits weitere Unternehmen wie z.B. Twitter und Facebook von Clearview die Löschung der Bilder gefordert. Es bleibt abzuwarten wie ein mögliches Gerichtsverfahren in diesem Fall ausgehen würde.
5. Februar 2020
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist von seiner bisherigen Empfehlung abgerückt, wonach Passwörter in regelmäßigen Abständen gewechselt werden sollten. Eine entsprechende Empfehlung fehlt in dem IT-Grundschutz-Kompendium Edition 2020 des BSI.
Mit dem IT-Grundschutz-Kompendium veröffentlicht das BSI im Februar jeden Jahres seine wesentlichen Empfehlungen zum IT-Grundschutz. Der IT-Grundschutz soll Unternehmen eine Empfehlung zur Identifizierung und Umsetzung von Sicherheitsmaßnahmen in der Informationstechnik an die Hand geben. Bisher empfahl das BSI stets, in der Informationstechnik genutzte Passwörter in regelmäßigen Abständen zu ändern. Nur auf diese Weise sei die Entschlüsselung von Passwörtern zu verhindern und somit ein hinreichender Schutz der Systeme gewährleistet.
Von dieser Empfehlung ist das BSI nun abgerückt. Der Wechsel eines Passworts sei nur dann zwingend erforderlich, „wenn es unautorisierten Personen bekannt geworden ist oder der Verdacht dazu besteht“ (IT-Grundschutz-Kompendium: ORP.4.A8 Regelung des Passwortgebrauchs). Die weiteren Vorgaben beschränken sich darauf, dass eine Mehrfachverwendung von Passwörtern zu unterbleiben hat, genutzte Passwörter geheimzuhalten (insbesondere ist eine schriftliche Fixierung nur für Notfälle erlaubt und dann eine sichere Aufbewahrung erforderlich) und nur hinreichend sichere, ausschließlich dem Nutzer bekannte Passwörter zu nutzen sind.
Unternehmensinterne Regelungen zum IT-Grundschutz können nun in Zukunft auch dann entsprechend dieser Maßgaben angepasst werden, wenn sie nach den Bestimmungen des BSI zertifiziert werden sollen. Aber auch ohne ein solches Zertifizierungsvorhaben empfiehlt sich die Änderung entsprechender Regelungen und die Sensibilisierung der Beschäftigten: Datenschützer weisen seit Jahren darauf hin, dass das regelmäßige Auswechseln von Passwörtern mehr Risiken als Nutzen birgt.
28. Januar 2020
Während die EU-Kommission über
ein zeitweiliges Verbot der Verwendung von Gesichtserkennung zum Schutz der
Persönlichkeitsrechte nachdenkt, hat die britische Polizei als Teil eines
risikoorientierten Plans zur Regulierung der künstlichen Intelligenz den
Einsatz der datenschutzfeindlichen Technologie vorangetrieben und die operative
Nutzung der Live-Gesichtserkennungskameras in der britischen Hauptstadt erlaubt.
Die britische Polizei erklärte,
dass die Technologie dabei helfen würde, Verdächtige schnell zu identifizieren
und festzunehmen sowie schwere Verbrechen unter anderem Waffen- und
Messerverbrechen zu bekämpfen. Die
Kameras würden in Vierteln eingesetzt, in denen es wahrscheinlich sei, dass
sich bestimmte Verdächtigte aufhalten.
Die Technologie, die die Polizei einsetzen
wird, geht über die verwendeten Gesichtserkennungssysteme hinaus, die ein Foto
mit einer Datenbank abgleichen, um eine Person zu identifizieren. Die neuen
Tools verwenden eine Software, die Personen auf einer polizeilichen
Beobachtungsliste sofort identifizieren kann, sobald sie von einer Videokamera
gefilmt werden.
27. Januar 2020
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber hat in seiner Stellungnahme zur Datenstrategie der Bundesregierung dazu aufgefordert, den „Datenschutz als Innovationsmotor einer Digitalisierung made in Germany bzw. made in Europe zu sehen.
Der BfDI fordert, dass klare
Grenzen gesetzt werden sollen, „wo Daten von Bürgerinnen und Bürger[n] nicht
mit ihrem Einverständnis und zu ihrem Wohl, sondern zu deren Nachteil genutzt
werden oder genutzt werden können“. Um diesen Grundschutz in der
digitalisierten Welt zu erreichen seien klare Regelungen und wirksame Sanktionen
notwendig.
Dabei würde Datenschutz die technische Entwicklung nicht blockieren. Der Datenschutz in Form einer „digitalen Souveränität“ soll Innovationen eine Richtung vorgeben. Die Datenstrategie der Bundesregierung soll den Bürgerinnen und Bürgern ermöglichen die Hoheit über ihre digitalen Datenspuren zurückzugewinnen. So kann Datenschutz zum „Alleinstellungsmerkmal für Produkte und Dienstleistungen“ werden.
„Erste Grundlagen wurden bereits gelegt: Die Datenethikkommission hat der Bundesregierung
wichtige Empfehlungen gegeben, wie datenschutzfreundliche
Innovationen gezielt gefördert werden können. Gerade im Bereich Dataspaces, persönliche Datenmanagementsysteme
und Datentreuhänder sowie dezentrales Lernen könnte Deutschland leicht
in Führung gehen. Auch im Bereich der Interoperabilität
können Regierung und Gesetzgeber Voraussetzungen schaffen, damit die bestehenden Oligopole abgebaut werden
und Raum für europäische Anbieter entsteht.“
Am Donnerstag, den 23. Januar fand im Bundeskanzleramt eine Expertenanhörung zur Datenstrategie der Bundesregierung statt. Experten aus Wirtschaft, Wissenschaft und Politik haben über die Frage „Wie können wir in Deutschland Daten verantwortungsvoll und innovativ nutzen?“ beraten.
Der Modehändler H&M steht wegen massiven Datenschutzverstößen in der Kritik. Die FAZ berichtete am Samstag, dass H&M im großen Stil private Daten seiner Mitarbeiter gesammelt und gespeichert hat. Die FAZ zitiert den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit mit den Worten, dass die Daten „detaillierte und systematische Aufzeichnungen von Vorgesetzten über ihre Arbeitnehmerinnen und Arbeitnehmer“ enthalten. Dabei geht es auch um Krankheiten und Familienstreitigkeiten.
Die Datenschutzbehörde in Hamburg (dort hat die Deutschlandzentrale von H&M ihren Sitz) ein Bußgeldverfahren eingeleitet, so die FAZ, nachdem sich der Verdacht der Spionage erhärtete. Der Datenschutzbeauftragte Johannes Caspar teilte mit, dass „das qualitative und quantitative Ausmaß der für die gesamte Leitungsebene des Unternehmens zugänglichen Mitarbeiterdaten eine umfassende Ausforschung der Mitarbeiterinnen und Mitarbeiter zeigt, die in den letzten Jahren ohne vergleichbares Beispiel ist“.
Der Umfang der Datenspeicherung war zufällig aufgeflogen, als Mitarbeiter des Kundencenters beim Durchstöbern interner Dateien im IT-System auf offen zugängliche Ordner mit brisantem Material stießen.
H&M äußerte sich zum Vorfall und teilte mit, dass der Vorfall ernst genommen werde und er aufrichtig bedauert wird. Der Vorfall befände sich in juristischer Prüfung.
Was für ein Bußgeld die Hamburger Datenschützer ins Auge fassen, bleibt abzuwarten.
22. Januar 2020
Aufgrund der neuesten Berichte über das US-Unternehmen Clearview, das eine Datenbank mit rund 3 Milliarden frei im Internet verfügbaren Fotos erstellt haben soll und mit dieser nun bei Behörden für einen Gesichtserkennungsdienst wirbt, hat sich Ulrich Kelber, der Bundesdatenschutzbeauftragte, nun klar gegen ein solches Vorgehen in Europa gestellt.
Im Statement gegenüber den Zeitungen des „Redaktionsnetzwerks Deutschland“ stellte Kelber klar, dass die biometrische Gesichtserkennung im öffentlichen Raum einen potenziell sehr weitgehenden Grundrechtseingriff darstelle, der auf jeden Fall durch konkrete Vorschriften legitimiert sein müsste, an der es allerdings bislang fehle. Fraglich sei allerdings auch bereits, ob eine solche Rechtsgrundlage überhaupt verfassungskonform ausgestaltet werden könne.
Kelber befürchtet zudem, dass der Einsatz von Gesichtserkennung im öffentlichen Raum das Verhalten der betroffenen Bürger zu sehr beeinträchtigen könnte, die so beispielsweise auf die Teilnahme an Demonstrationen – und damit auf die Ausübung ihrer Freiheitsrechte – verzichten könnten, um so eine Identifizierung durch Gesichtserkennung zu verhindern.
Letztlich liegt es daher nach Aussage Kelbers daran, den Einsatz von Technologie so zu regulieren, dass eine missbräuchliche und sozialschädliche Nutzung ausgeschlossen wird.
21. Januar 2020
Der Europäische Gerichtshof befasst sich derzeit im Rahmen mehrerer Vorabentscheidungsverfahren wieder einmal mit der Zulässigkeit verschiedener nationaler Regelungen zur Vorratsdatenspeicherung. In diesen Verfahren haben zwei Generalanwälte nun ihre Schlussanträge vorgelegt. Diese sind für den EuGH zwar nicht bindend, regelmäßig zeichnet sich in ihnen jedoch die spätere Entscheidung ab, sodass sich hier schon eine nähere Betrachtung lohnt.
Bereits 2014 hatte der EuGH die Richtlinie 2006/24/EG zur Vorratsdatenspeicherung von Telekommunikationsverkehrsdaten für unverhältnismäßig und damit nichtig erklärt (verbundene Rechtssachen C‑293/12 und C‑594/12), ebenso wie im Jahr 2016 verschiedene, auf dieser Richtlinie beruhende nationale Regelungen (verbundene Rechtssachen C‑203/15 und C‑698/15). Das Gericht begründete seine Entscheidungen insbesondere damit, dass eine anlasslose und undifferenzierte Vorratsdatenspeicherung einen unverhältnismäßigen Eingriff in die Grundrechte der Betroffenen darstelle. Trotz dieser eindeutigen Entscheidungen weigerten sich jedoch zahlreiche Mitgliedsstaaten, auf die bereits erlassenen Gesetze zur Vorratsdatenspeicherung zu verzichten. Unter anderem die entsprechenden Gesetze aus Frankreich, Belgien, Großbritannien und Estland sind der Anlass dafür, dass sich der EuGH nun erneut mit dieser Frage beschäftigt.
Bereits vergangene Woche hat der in vier Verfahren (Verbundene Rechtssachen C‑511/18 und C‑512/18, Rechtssache C‑520/18 und Rechtssache C‑623/17) zuständige Generalanwalt Campos Sánchez-Bordona seine jeweiligen Schlussanträge vorgelegt. Neben der Anwendbarkeit der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) behandelt der Generalanwalt vor allem die Frage, unter welchen Umständen eine Vorratsdatenspeicherung zulässig sein könnte. Eine allgemeine und unterschiedslose Speicherung könne jedenfalls – so sah es auch schon der EuGH in den oben genannten Urteilen – nicht zulässig sein.
Der Generalanwalt liefert jedoch zugleich mehrere Situationen bzw. Ausgestaltungsmöglichkeiten nationaler Regelungen, die eine zulässige Vorratsdatenspeicherung ermöglichen könnten. Dies sei beispielsweise bei einer zeitlich beschränkten Speicherung nur solcher Kategorien von Daten denkbar, die für eine wirksame Kriminalitäts- und Terrorismusbekämpfung absolut unerlässlich sind. Wichtig sei auch ein begrenzter Zugang zu diesen Daten, etwa durch eine vorherige gerichtliche Kontrolle. Ausnahmsweise könne eine weitreichende Vorratsdatenspeicherung aber auch denkbar sein, wenn die Mitgliedsstaaten durch zeitlich beschränkte und Rechtsschutzgarantien beinhaltende Notstandsregelungen auf unmittelbare Bedrohungen reagieren müssen.
In einem weiteren Verfahren (Rechtssache C‑746/18) wurden am heutigen Dienstag (21.01.2020) die Schlussanträge von Generalanwalt Giovanni Pitruzella veröffentlicht. Dabei ging es zwar nicht um die Speicherung der Daten an sich, sondern um die Zulässigkeit des Zugangs durch staatliche Behörden zu diesen Daten. Der Generalanwalt weist aber darauf hin, dass der Zugang nur dann gerechtfertigt sein könne, wenn schon die Speicherung dieser Daten nach den unionsrechtlichen Vorgaben zulässig ist. Hinsichtlich der Rechtmäßigkeit der Speicherung verweist dieser nun ebenfalls auf die bisherige Rechtsprechung des EuGH zur allgemeinen und unterschiedslosen Speicherung. Weitere Ausgestaltungsmöglichkeiten hinsichtlich der Zulässigkeit der Speicherung, wie sie in den Schlussanträgen von Generalanwalt Campos Sánchez-Bordona enthalten sind, finden sich hier jedoch nicht.
Nun bleibt abzuwarten, ob der EuGH diesen Ansichten folgen wird, wobei erst in einigen Monaten mit entsprechenden Entscheidungen zu rechnen ist. Von Interesse sind diese Entscheidungen auch deshalb, weil das Bundesverwaltungsgericht erst im September 2019 die deutsche Regelung zur Vorratsdatenspeicherung – welche vergleichsweise kurze Speicherfristen vorsieht – dem EuGH vorgelegt hat. Ob der komplexen rechtlichen Problematik jedoch mit einer neuen Richtlinie zur Vorratsdatenspeicherung begegnet werden kann, wie teilweise von politischer Seite gefordert wird, ist fraglich.
Nach Recherchen der New York Times hat das US-Unternehmen Clearview mehrere Milliarden Fotos von Nutzern aus sozialen Netzwerken wie Facebook, YouTube und Instagram gesammelt. Damit hat das Unternehmen die bisher größte bekannte Gesichtsdatenbank aufgebaut.
Clearview verkauft die Datenbank in Form einer App an seine Kunde. Mit Hilfe der App sollen Millionen Menschen innerhalb von Sekunden erkannt werden können.
Die App wurde im letzten Jahr bereits von 600 Behörden genutzt. Dabei machen insbesondere Strafverfolgungsbehörden von der privaten Datenbank Gebrauch. Die Behörden seien, auch wenn sie nicht genau wüssten wie Clearview arbeite, von den Ergebnissen überzeugt. Unter den Kunden sollen sich auch private Sicherheitsunternehmen befinden.
Der Bericht zeigt zudem die Gefahren der massenhaften Datensammlung des Unternehmens im Hinblick auf den Schutz der Privatsphäre des Einzelnen auf.
So offenbart die App nicht nur den Namen einer Person, sondern liefert auch weitere persönliche Daten über den Wohnort, die Aktivitäten sowie Freunde und Bekannte.
Darüber hinaus ist die Fehleranfälligkeit der Gesichtserkennungssoftwares allgemein bekannt. Es besteht daher durchaus die Möglichkeit, dass eine falsche Person durch die Clearview Datenbank identifiziert wird und im Zweifel ins Visier der Strafverfolgungsbehörden gerät.
Weiterhin ist auch nicht bekannt, wie Clearview die Fotos, die US-Behörden zwecks Gesichtserkennung auf die Server des Unternehmens laden, im datenschutzrechtlichen Sinne schützt. Die Firma Clearview war vor den Recherchen der New York Times praktisch unbekannt und gibt sich Mühe im Hintergrund zu bleiben.
