Kategorie: DSGVO

Datenschutzvorfall bei „Biostar 2“

19. August 2019

Medienberichten zufolge haben Hacker aus Israel eine Datenbank aufgespürt, in der circa eine Millionen Fingerabdrücke sowie andere biometrische Daten nahezu ungeschützt abgelegt sind.

Ausweislich des Berichtes handelt es sich hierbei um eine Datenbank für die Software „Biostar 2“. Diese wird von dem koreanischen Unternehmen Suprema Inc. entwickelt und verkauft. Mittels dieser Software wird Unternehmen die Verwaltung der Zugangskontrolle mittels intelligenter Türschlösser ermöglicht. Zu diesem Zweck werden beispielsweise Fingerabdrücke oder sonstige biometrische Daten im System hinterlegt.

Der Vorfall bezöge sich auf mehr als 27 Millionen Datensätze sowie 23 Gigabyte Daten. Diese seien durch Kunden durch lediglich unzureichende Passworte, wie beispielsweise „abcd1234“, gesichert worden. Darüber hinaus seien von Unternehmensseite ebenfalls unzureichende Maßnahmen die zur Sicherung der Daten vorgenommen worden.

Aus datenschutzrechtlicher Perspektive ist die Vertraulichkeit personenbezogener Daten elementar wichtig. Dies zeigt bereits, dass Integrität und Vertraulichkeit personenbezogener Daten einer der Grundsätze für jede Datenverarbeitung im Sinne der DSGVO ist (vgl. Art. 5 Abs. 1 lit f) DSGVO).

„Lovoo“ steht wegen fehlenden Datenschutzes in der Kritik

12. August 2019

Journalisten des Bayerischen Rundfunks (BR) haben festgestellt, dass der Partnervermittlungsdienst „Lovoo“ lediglich über unzureichende Maßnahmen zum Schutz personenbezogener Daten verfügt.

So hätten die Journalisten des BR die Standorte von Nutzern des Dienstes mittels einer „Radarfunktion“ für einen Zeitraum von mehreren Tagen aufgezeichnet. Mit diesen Daten hätte man Bewegungsprofile erstellen und Rückschlüsse auf Wohn- und Arbeitsorte ziehen können. Darüber hinaus ließen sich diese Informationen mit weiteren Profilinformationen wie der sexuellen Orientierung oder hinterlegten Bildern kombinieren.

Die Kritik des BR resultiert daraus, dass der Nutzerstandort mittels eines geometrischen Messverfahrens wohl wesentlich genauer bestimmen lässt als von „Lovoo“ angegeben. Durch die konkrete Lokalisierbarkeit etwaiger Nutzer steigt die Gefahr des Missbrauchs dieser Daten. Das Risiko ist umso größer, da es sich bei den potentiell abgefragten Daten um besonders sensible, mithin schutzwürdige Daten handelt.

„Lovoo“ selbst nahm in einer Pressemitteilung zum potentiell unzureichenden Datenschutz Stellung. Das Unternehmen erläuterte, dass bereits vor Veröffentlichung der Ergebnisse durch den BR Maßnahmen zur Behebung des Problems ergriffen worden wären. So könnten Nutzer nun lediglich in einem Umkreis von maximal 1000 Meter lokalisiert werden. Darüber hinaus sei die mehrfache Abfrage des Standorts von Nutzern in der Umgebung eingeschränkt worden.

Kategorien: Allgemein · DSGVO · Social Media · Tracking

Neue Stellungnahme des Hessischen Datenschutzbeauftragten über Microsoft Office

8. August 2019

Anfang Juli 2019 hatte die hessische Datenschutzbehörde Schulen die Nutzung von Microsoft Office 365 untersagt. In seiner Stellungnahme erklärte der Hessische Beauftragte für Datenschutz und Informationsfreiheit, dass es unzulässig sei, das Programm an hessischen Schulen einzusetzen, sofern dort personenbezogene Daten in der europäischen Cloud gespeichert werden.

Am 2. August 2019 folgte eine zweite Stellungnahme zum Einsatz von Microsoft Office 365 in hessischen Schulen. Der Landesdatenschutzbeauftragte erklärte darin: „Seither fanden intensive Gespräche mit Microsoft über die Datenschutzkonformität der schulischen Anwendung von Office 365 statt, die zu einer datenschutzrechtlich veränderten Einschätzung führten und die einen erheblichen Anteil der Bedenken entkräfteten.“ Im Rahmen dieser Einschätzung erweist sich diese Überprüfung als außerordentlich komplex und aufwendig, da eine Vielzahl rechtlicher und technischer Fragen zu klären war.

In seiner zweiten offiziellen Stellungnahme hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit sich nach intensiven Gesprächen mit Microsoft dazu entschlossen, den Einsatz von Office 365 in hessischen Schulen unter bestimmten Voraussetzungen und dem Vorbehalt weiterer Prüfungen zum gegenwärtigen Zeitpunkt zu dulden. Die Einschätzung betrifft die Version ab 1904 (für die Produkte Office 365 ProPlus, Office 365 Online und Office 365 Apps) und der Landesdatenschutzbeauftragte betont, dass Schulen Office 365 einsetzen dürfen, wenn sie die Übermittlung jedweder Art von Diagnosedaten unterbinden.

Zu gegebener Zeit wird der Landesdatenschutzbeauftragte weitere Vorgaben hinsichtlich der Parameter machen, die als Grundlage für die Nutzung der Cloud umzusetzen sind. Dazu wird auch Microsoft Schulen Handlungsanleitungen zur Verfügung stellen.

Allerdings können sich die Schulen, die den Erwerb beabsichtigen, ebenfalls auf die Duldung berufen, aber tragen das finanzielle Risiko, falls die weitere Überprüfung zur Unzulässigkeit des Einsatzes von Office 365 in hessischen Schulen führen sollte.

Nur wenige Nachbesserungen bei Microsoft-Anwendungen

1. August 2019

Bei Untersuchungen im Auftrag des niederländischen Justizministeriums wurden letztes Jahr massive Datenschutzverstöße bei Microsoft festgestellt. Das Ergebnis einer Nachuntersuchung zeigt, dass trotz vieler Nachbesserungen Office Online, die mobilen Apps und Windows 10 Enterprise immer noch nicht datenschutzkonform sind.

Als Nachbesserungsmaßnahmen wurden z.B. neue Datenschutzbestimmungen für die Nutzung von Enterprise-Versionen von Office und Windows 10-Software für die rund 300.000 digitalen Arbeitsplätze in den Ministerien und anderen Behörden vereinbart. Die acht vorher identifizierten Mängel bei Office 365 ProPlus wurden ebenfalls behoben.

Diese Nachbesserungen wurden aber noch nicht für Office Online und den mobilen Office-Apps umgesetzt. So kann man den Datenverkehr in Office nicht minimieren und bei den iOS App (Word, Excel und PowerPoint) werden Daten an eine US-amerikansiches Marketing-Unternehmen weitergeleitet, das sich auf Profiling spezialisiert hat. Die Nutzer werden nicht über den Zweck dieser Verarbeitung informiert und können sie auch nicht abstellen.

BfDi Prof. Ulrich Kelber möchte „Alexa“ und „Siri“ überprüfen

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit, Herr Prof. Ulrich Kelber möchte künftig die Sprachassistenten „Alexa“ und „Siri“ überprüfen. Zumindest geht dies aus Medienberichten sowie einer Mitteilung des Bundestages hervor. Er betonte, dass sich mit den in Rede stehenden Sprachassistenten beschäftigt und deren datenschutzrechtliche Konformität auf Grundlage der Datenschutzgrundverordnung geprüft werden müsse.

Darüber hinaus hat der Hessische Landesdatenschutzbeauftragte, Herr Prof. Ronellenfitsch die Nutzung von Microsoft Office 365 an Schulen verboten. Dies sind nur zwei Beispiele dafür, dass die Aufsichtsbehörden mittlerweile langsam die Überforderung des ersten Jahres nach Inkrafttreten der DSGVO überwinden und zum täglichen Geschäft übergehen.

Ob dies tatsächlich der Fall ist und wie die Meinung der Aufsichtsbehörden bezüglich der Umsetzung der DSGVO im Allgemeinen aussieht, können Sie beim datenschutzticker.live, am 30.10.2019 in der Wolkenburg in Köln erfahren. Im Rahmen des datenschutzticker.live werden unter anderem sowohl Herr Prof. Kelber als auch Herr Prof. Ronellenfitsch und der Landesdatenschutzbeauftragte für Sachsen-Anhalt, Herr Dr. von Bose über aktuelle Themen referieren.

Hierfür müssen Sie sich lediglich verbindlich anmelden. Die Veranstaltung ist kostenlos.

EuGH entscheidet über „Gefällt mir“-Button

30. Juli 2019

Der EuGH hat vergangenen Montag in einem Urteil verkündet, dass Webseiten mit integrierten Facebook „Gefällt mir“-Button eine Mitverantwortung für die Erhebung und Übermittlung von personenbezogenen Daten an Facebook tragen (C-40/17).

Die Betreiber der Webseiten müssen in diesem Falle über die Erhebung der Daten informieren und eine entsprechende Einwilligung einholen. Für die weitere Verarbeitung nach Übermittlung der Daten ist Facebook alleinverantwortlich.

In dem konkreten Fall ging es darum, dass der Webseitenbetreiber Fashion ID den „Gefällt mir“-Button eingesetzt hat um sein Onlinesortiment zu bewerten. Die personenbezogenen Daten wurden jedoch bereits bei Aufsuchen der Webseite an Facebook übermittelt, vollkommen unabhängig, ob der Webseiten-Nutzer einen „Gefällt mir“-Button genutzt hat oder überhaupt ein Facebook-Account betreibt. Die Klage ging von der Verbraucherzentrale NRW aus, die eine Datenübermittlung ohne Einwilligung stark kritisierte.

Das Verfahren begann beim Landgericht Düsseldorf und führte über das Oberlandesgericht Düsseldorf zum Europäischen Gerichtshof.

Die Entscheidung des EuGH wurde mit dem Prinzip der „Gemeinsamen Verantwortung“ gemäß Art. 26 DSGVO untermauert, wodurch Fashion ID selbst auf seiner Webseite über die Erhebung, Nutzung und Übermittlung der personenbezogenen Daten informieren und die Einwilligung der Nutzer einholen muss.

Der Digitalverband Bitkom kritisierte die Entscheidung des EuGH, da sich diese auf alle Social-Media-Plugins auswirken wird und Cookie-Banner sowie Datenschutzerklärungen bereits viel Platz auf den Webseiten einnehmen ohne vom Nutzer genügend Beachtung zu erhalten.

Kategorien: Allgemein · DSGVO · Social Media
Schlagwörter: , , ,

Kein eigenständiges Recht auf Herausgabe von Datenkopien

18. Juli 2019

Der hessische Beauftragte für Datenschutz hat am 24. Juni 2019 seinen 47. Tätigkeitsbericht veröffentlicht. Dabei hat er Stellung zur umstrittenen Frage bezüglich des Umfangs des Auskunftsanspruchs nach Art. 15 DSGVO genommen.

Gemäß Art. 15 DSGVO erhalten die Betroffenen das Recht, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu erhalten. Art. 15 Abs. 3 DSGVO regelt zudem, dass die verantwortliche Stelle dem Betroffenen „eine Kopie“ der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen müsse.

Zum Teil wird vertreten, dass es sich bei Art. 15 Abs. 3 DSGVO um einen eigenständigen Anspruch des Betroffenen handelt, der dazu berechtigt, von dem Verantwortlichen alle Daten in der Form heraus zu verlangen, wie sie dem Verantwortlichen vorliegen. Diese weite Auffassung des „Kopie“-Begriffs führt zu einem allgemeinen Informations- bzw. Akteneinsichtsrecht. Der Hessische Datenschutzbeauftragte legt demgegenüber den „Kopie“-Begriff aus Art. 15 Abs. 3 DSGVO einschränkend aus. Insofern müssen den Betroffenen nicht sämtliche sie betreffende Dokumente in Kopie zur Verfügung gestellt werden. Vielmehr reicht es aus, wenn diesen eine „sinnvolle strukturierte Zusammenfassung“ bereitgestellt wird, die den Betroffenen im Kontext kenntlich macht, welche Daten zu ihrer Person verarbeitet werden.

Diese Auslegung würde vor allem dem Sinn und Zweck der DSGVO entsprechen. Bei einer weiten Auslegung bestünde die Gefahr, dass ein faktisch entstehendes Informations- und Akteneinsichtsrecht für Ziele missbraucht werde, die mit dem bezweckten Schutz von natürlichen Personen in keinem Zusammenhang stünden. Lediglich in einzelnen Fällen kann aus Art. 15 DSGVO die Pflicht zur Übersendung einer Kopie eines bestimmten Dokuments entstehen, wenn zum Beispiel die Übersendung zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung zwingend notwendig ist.

Der Hessische Datenschutzbeauftragte verbietet Microsoft Office 365 an Schulen

17. Juli 2019

Die digitalen Anwendungen im Schulalltag verändert das Lernen wie kaum zuvor. Jedoch scheint Hessen auf ein Problem mit Cloudanwendung von Office 365 gestoßen zu sein, so dass die Nutzung von Office 365 an hessischen Schulen derzeit verboten werden soll. Was für Microsoft Office 365 gilt, ist auch für andere Cloud-Lösungen etwa von Google oder Apple zutreffend.

Michael Ronellenfitsch, der Hessische Beauftragte für Datenschutz und Informationsfreiheit, betonte, dass Dritte Zugriff auf die Microsoft Cloud erlangen könnten, weswegen Schulen die Cloudanwendung von Office 365 nicht mehr nutzen sollen. Laut Ronellenfitsch liegt das Problem, dass personenbezogene Schülerdaten aus Deutschland in die USA übermittelt werden. In seiner Stellungnahme erklärte der Landesdatenschutzbeauftragte, dass der entscheidende Aspekt ist, „ob die Schule als öffentliche Einrichtung personenbezogene Daten von Kindern in einer europäischen Cloud speichern kann, die z.B. einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist.“ Ferner begründet er seine Auffassung, dass Office 365 nicht für Schulen geeignet ist, mit der besonderen Verantwortung der öffentlichen Einrichtungen in Deutschland beim Datenschutz hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten. Zudem mahnt Ronellenfitsch, dass „die digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein“ müsse. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auch darauf hingewiesen, dass über Windows 10 und Microsoft Office 365 „eine Fülle von Telemetrie-Daten an Microsoft übermittelt“ würden, deren Inhalte trotz wiederholter Anfragen noch nicht hinreichend geklärt seien.

Der Landesdatenschutzbeauftragte argumentiert, dass man auch mit der Einwilligung der Betroffenen das Problem nicht lösen könnte, da die Sicherheit und Nachvollziehbarkeit der Datenverarbeitungsprozesse nicht gewährleistet sind. Der Versuch einer Heilung durch eine Einwilligung der Eltern bietet auch keine Lösung, weil es nicht nachvollziehbar ist, welche Daten tatsächlich übermittelt werden.

Diese Regelungen gelten zurzeit nur in Hessen. Es bleibt abzuwarten, wie die anderen Bundesländer hiermit umgehen werden.

Datenschutzbehörde untersucht Apple auf DSGVO-Verstöße

4. Juli 2019

Die Irische Datenschutzbehörde untersucht ob die Apple Inc. den Pflichten aus der Datenschutzgrundverordnung nachkommt. Es handelt sich dabei nicht um die erste offizielle Prüfung des Unternehmens Für Apple ist innerhalb der Europäischen Union der Data Protection Commissioner (DPC) der Republik Irland zuständig. Bei der aktuellen Prüfung soll der Fokus besonders auf der Realisierung von Auskunftsersuchen durch Kunden gerichtet sein.

Bereits im letzten Jahr wurden durch den DPC zwei Prüfungen des Unternehmens veranlasst um festzustellen, ob die Datenschutzbestimmungen für die Nutzer transparent genug sind.

Falls Verstöße gegen die Datenschutzgrundverordnung festgestellt werden sollten, könnten diese mit hohen Strafzahlungen geahndet werden. Apple ist nicht das einzige Unternehmen gegen das Untersuchungen durch den DPC eingeleitet wurden. Auch Facebook sowie den damit verbundenen Unternehmen Twitter, WhatsApp und Instagram wurden zahlreiche Untersuchungen auferlegt.

Unzulässige Melderegisterauskünfte: Wahlwerbung für Kleinkinder

1. Juli 2019

Bei der baden-württembergischen Landesdatenschutzbehörde sind vermehrt Beschwerden gegen Meldebehörden im Zusammenhang mit der Wahlwerbung im Rahmen der Europa- und Kommunalwahlen im Mai eingegangen. In einigen Fällen sollen Kleinkinder und Säuglinge personalisierte Wahlwerbung erhalten haben.

Grundsätzlich können Parteien bei Meldebehörden unter bestimmten Voraussetzungen Daten von Wahlberechtigten zum Zwecke der Wahlwerbung erfragen (§ 50 Abs. 1 Bundesmeldegesetz). Dies ist aus datenschutzrechtlicher Sicht zulässig, soweit die Betroffenen dagegen keinen Widerspruch eingelegt haben. Teilweise haben Meldebehörden aber auch Daten von Nichtwahlberechtigten und Personen, für die eine Übermittlungssperre eingetragen war, weitergegeben. Laut Datenschutzbehörde war diese Datenverarbeitung nicht zulässig, sodass es sich um Datenpannen bei den Behörden handelt.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Dr. Stefan Brink hob in einer Pressemittelung den dringenden Handlungsbedarf bei Meldebehörden hervor und drückte sein Verständnis für den Unmut der Bürger aus. Daneben betonte er aber auch die Bedeutung des Auskunftsrechts der Parteien in diesem Zusammenhang: „Parteien nehmen im demokratischen Willensbildungsprozess eine hervorgehobene Rolle ein und sind deshalb melderechtlich privilegiert“.

1 2