Kategorie: Internationaler Datenschutz

TikTok im Fokus der irischen Datenschutzbehörde

16. September 2021

Die umstrittene chinesische App steht schon lange wegen ihrer datenschutzrechtlichen Praktiken in der Kritik. In den USA erhielt TikTok bereits Millionenstrafen für die Datenschutzrechtsverletzungen von Kindern und Jugendlichen. Nun hat auch die irische Datenschutzbehörde DPC Ermittlungen in zwei Fällen aufgenommen. Zum einen gehe es um die Verarbeitung von persönlichen Daten von Kindern und Jugendlichen und zum anderen um die Weitergabe von Daten nach China, ließ die DPC verlautbaren.

Gegenstand der Untersuchungen

Im Fokus der Untersuchungen steht, ob TikTok die Privatsphäre seine jugendlichen Nutzer:innen ausreichend schützt. Datenschützer:innen kritisieren unter Anderem, dass TikTok seine Nutzer nicht eindeutig und vor allem nicht in einer für Kinder und Jugendliche verständlichen Weise darüber informiere, welche personenbezogenen Daten zu welchem Zweck und aus welchem Rechtsgrund erhoben werden. Außerdem untersuchen die Behörden mögliche Datenabflüsse aus Europa in Drittstaaten wie China. Denn TikTok gehört zum chinesischen Konzern ByteDance mit Sitz in Peking- und in China müsse man mit einem unbeschränktem und anlasslosen Zugriff der Behörden auf die Daten rechnen, so Datenschutzrechtler.

Streit um die Zuständigkeit

Dass die irische Datenschutzbehörde nun ermittelt, ist keinesfalls selbstverständlich, hatte sie doch noch im letzten Jahr vehement ihre Zuständigkeit abgestritten. Im letzten Jahr hatten Dänemark, die Niederlande und Frankreich Untersuchungen gegen TikTok wegen möglicher Datenschutzverletzungen eingeleitet. Gibt es keinen zentralen EU-Sitz, können schließlich Datenschutzbehörden in jedem EU-Land eigenständig ermitteln. Dann hatte TikTok jedoch einen zentralen europäischen Sitz in Datenschutzangelegenheiten in Irland angekündigt. Gegen die Niederlassung von TikTok in Irland hatte sich die DPC lange Zeit gewehrt und bezweifelt, dass sich TikTok wirklich dauerhaft in Dublin niederlassen würde- während TikTok andere Datenschutzbehörden bereits auf die Hauptniederlassung in Irland verwiesen hatte. Für TikTok war dies zweifelsohne eine begrüßenswerte Situation.

Nun besteht Klarheit bezüglich der Zuständigkeit der irischen Datenschutzbehörde. Sie hat damit ein weiteres Verfahren von immenser Tragweite und Bedeutung neben denen gegen Facebook, Google und Twitter zu bewältigen. Viele befürchten aufgrund mangelnder Ressourcen und Personal, dass auch im Verfahren gegen TikTok die Untersuchung und Ahndung von etwaigen Datenschutzverletzungen nur schleppend vorangehen wird.

Neues Datenschutzgesetz in China verabschiedet

1. September 2021

Am 01.09.2021 tritt das neue Datensicherheitsgesetz in China in Kraft. Doch daneben gibt es auch ein neues Datenschutzgesetz, das am 01.11.2021 in Kraft treten soll. Damit reagiert die Zentralregierung der Kommunistischen Partei auf die Sorgen der chinesischen Bevölkerung über Datenmissbrauch, insbesondere durch große Technologie- und Internetkonzerne. Auf den ersten Blick gibt es Ähnlichkeiten zur europäischen Datenschutz-Grundverordnung, es lohnt sich jedoch, einen zweiten Blick auf das Gesetz zu werfen.

Zu den Ähnlichkeiten zählt zunächst der recht weite Anwendungsbereich des neuen chinesischen Datenschutzgesetzes. Der Umgang mit personenbezogenen Daten muss einen angemessenen Zweck verfolgen und auf den minimalen Umfang beschränkt werden. Außerdem gibt es Einschränkungen für Profiling und die Information und Zustimmung der Betroffenen wird wichtiger. Richtlinien zur Übermittlung der Daten ins Ausland sind ebenso vorhanden wie die Pflicht ausländischer Unternehmen, einen Verantwortlichen als Ansprechpartner für chinesische Behörden zu benennen.

Neben diesen Aspekten, die so oder ähnlich in der DSGVO zu finden sind, fehlen jedoch wesentliche Prinzipien derselben. Zwar können einzelne Personen in Zukunft Rechtsmittel bei Datenpannen einlegen, den Strauß an Betroffenenrechten der DSGVO sucht man jedoch vergebens. Ein Pendant zur Datenschutzrichtlinie für Polizei und Justiz gibt es ebenfalls nicht. Der größte Unterschied ist jedoch, dass staatliche Akteure größtenteils nicht unter die neuen Regelungen fallen.

Der chinesische Staat sammelt selbst große Mengen an Daten über seine Einwohner, inklusive eines großen Sozialkreditsystems. Dies wird auch durch das neue Gesetz nicht unterbunden werden, es geht eher darum, große Technologiekonzerne zu regulieren. Unternehmen wie Alipay oder Wechat wurden in den letzten Jahren kaum reguliert und haben dadurch eine Vormachtstellung eingenommen. Das Gesetz könnte daher in Zukunft auch dazu eingesetzt werden, diese Vormachtstellung der Technologiekonzerne einzudämmen, in der Vergangenheit wurde dafür beispielsweise auch das Kartellrecht genutzt.

Großbritannien will sich von DSGVO lösen

30. August 2021

Letzten Donnerstag kündigte die britische Regierung an, sich zukünftig von den wesentlichen Inhalten der DSGVO trennen und ein neues Gesetz einführen zu wollen. Der Datenschutz solle weniger bürokratisch sein und einige Vorschriften sollen abgeschafft werden. Konkret als Beispiele wurden dabei die Cookie-Banner genannt, die von Minister Oliver Dowden in vielen Fällen als ‚sinnlos‘ angesehen werden. Diese Banner, die vom Webseiten-Besucher eine Einwilligung in das Speichern seiner Daten durch Cookies verlangen, sollen nach dem Willen der britischen Regierung zukünftig nur noch erforderlich sein, wenn ein hohes Risiko für die Privatsphäre der Besucher besteht. Dabei sollen vor allem kleine Unternehmen und Wohltätigkeitsorganisationen entlastet werden. Nach der Aussage von Oliver Dowden soll von diesen nicht dasselbe verlangt werden, wie von riesigen Social-Media-Unternehmen.

Auch freiere internationale Datenflüsse sind geplant. Dazu will Großbritannien Datenschutzvereinbarungen mit weiteren Staaten abschließen, u.a. den USA und Dubai. Die Abkommen sollen dabei z.B. Online-Banking und die Strafverfolgung regeln.

Eingerichtet werden soll auch ein ExpertInnen-Rat, der “International Data Transfers Expert Council”. Dieser Rat soll Vereinbarungen treffen und gleichzeitig auf die Einhaltung des Datenschutzes achten.

Der Vorschlag für das neue Gesetz soll im Laufe des Septembers veröffentlich werden. Die EU-Kommission plant dann eine sofortige Überprüfung, ob das geplante Gesetz dem Datenschutzniveau der EU entspricht. Sollte dies nicht der Fall sein, hätte dies Folgen für den erst seit zwei Monaten bestehenden Angemessenheitsbeschluss. Dieser kann jederzeit ausgesetzt und beendet werden, bekräftigte ein Kommissionsprecher. Dann würde die Datenübertragung zwischen Großbritannien und der EU wieder wesentlich komplizierter. Da Datentransfers sodann einer erneuten Überprüfung unterliegen und zum Beispiel Standardvertragsklauseln geschlossen werden müssen. Großbritanniens Minister Dowden versichert hingegen, das Datenschutzniveau der EU würde beibehalten.

Es ist das erste Mal seit dem Austritt Großbritanniens aus der EU, dass die britische Regierung europäische Regeln verwerfen will. Die weitere Entwicklung bliebt abzuwarten und wird maßgeblich von dem Inhalt des Gesetzesentwurfes abhängen.

Schrems vs. Facebook: Vorlagefragen des OGH an den EuGH

27. August 2021

Der österreichische Oberste Gerichtshof (OGH) hat im Rechtsstreit von Max Schrems gegen Facebook den Europäischen Gerichtshof (EuGH) angerufen, um einzelne Fragen überprüfen zu lassen. Die Fragen beziehen sich auf die Rechtmäßigkeit der Datennutzung durch Facebook bei allen Nutzer:innen innerhalb der EU. 

Das zuständige Landesgericht urteilte im Sommer, dass die Datenverarbeitung vertrags- und rechtskonform sei. Diese Ansicht teilte auch das Oberlandesgericht Wien. Im März wandte sich Schrems dann an den OGH.

Einwilligung oder Vertrag zur Datennutzung

In dem Rechtsstreit geht es unter anderem um die Frage, ob Nutzer:innen tatsächlich eine Einwilligung oder einen Vertrag mit Facebook schließen, da Facebook als angebliche “Leistung” Werbung anbiete. Da diese beiden Rechtsgrundlagen in der DSGVO verschieden geregelt seien, argumentiert Facebook, dass die Regeln der DSGVO zur Einwilligung nicht mehr anwendbar wären. Laut Schrems wären damit die Vorschriften, die vorgeben, wie eine eindeutige Zustimmung aussehen müsse (und auch jederzeit widerrufen werden könne), hinfällig. Dies sei eine rechtswidrige Umgehung der DSGVO.

Werbe-Targeting und Verarbeitung sensibler Daten

Entscheiden soll der EuGH nun auch konkrete Fragen rund ums Werbe-Targeting. Dazu gehört auch die Fragestellung, ob die Verwendung aller personenbezogener Daten der Nutzer:innen auf Facebook sowie aus vielen anderen Quellen, wie etwa Websites, die Facebook “Like”-Buttons oder Werbung verwenden, mit der DSGVO und dem Grundsatz der “Datenminimierung” vereinbar ist.

Des Weiteren beziehen sich die Fragen auch auf die Problematik der Filterung und Verwendung sensibler Daten, wie beispielsweise politische Ansichten oder sexuelle Orientierung für personalisierte Werbung. “Diese weiteren Fragen sind extrem wichtig, da Facebook dann selbst bei einer gültigen Einwilligung möglicherweise nicht mehr alle Daten für Werbung nutzen darf”, so Schrems dazu. Zusätzlich müsste der Konzern dann möglicherweise sensible Daten wie politische Ansichten oder Daten zur sexuellen Orientierung herausfiltern.

Anspruch auf Schadensersatz möglich

Vor dem OGH konnte Schrems bereits einen Teilerfolg verbuchen. Das Gerichts sprach ihm 500 Euro Schadensersatz zu, da Facebook ihm keinen vollen Zugang zu den über ihn gespeicherten Daten gewährt hatte. Der Konzern habe Schrems damit „massiv genervt“, daraus begründe sich ein berechtigter Anspruch auf Schadensersatz.

“Verliert Facebook vor dem EuGH, müssten sie nicht nur damit aufhören Daten zu missbrauchen und illegal gesammelte Daten löschen, sondern auch Millionen von Nutzer:innen Schadenersatz zahlen. Wir sind über die Vorlage daher sehr glücklich”, so Max Schrems.

Höchstes Bußgeld in der Geschichte der Datenschutzgrundverordnung geht an Amazon

24. August 2021

Medienberichten zufolge sieht sich der Digitalkonzern Amazon mit dem höchsten Bußgeld in der Geschichte der Datenschutzgrundverordnung konfrontiert. Wie die Nachrichtenagentur Bloomberg berichtete, hat die Luxemburger Datenschutzbehörde Commission nationale pour la protection des données (CNPD) dem Konzern ein Bußgeld in Höhe von 746 Millionen Euro auferlegt. Dies geht auch aus dem Quartalsbericht des Unternehmens hervor.

Dem Beschluss vorangegangen war eine Beschwerde der französischen Bürgerrechtsorganisation La Quadrature du Net und mehr als zehntausend Unterstützerinnen und Unterstützern aus Mai 2018. In dieser beanstandet die Organisation, dass Nutzerinnen und Nutzer den Einsatz personalisierter Werbung auf der Webseite des Online-Marktplatzes nicht ablehnen könnten. Dabei sähe die Datenschutzgrundverordnung eine freie Wahl diesbezüglich vor. Auch die Luxemburger Datenschutzbehörde sah den freien Willen der Nutzerinnen und Nutzer und damit das Recht auf informationelle Selbstbestimmung derer verletzt. Durch das von der Einverständniserklärung der Nutzerinnen und Nutzer losgelöste Werbe-Targeting durch den Konzern könnten Grundprinzipien der Datenschutzgrundverordnung verletzt worden sein.

Amazon hingegen wies den Vorwurf zurück und kündigte Berufung an. Laut einem Sprecher des Unternehmens gab es “keine Verletzung des Schutzes personenbezogener Daten, und es wurden keine Kundendaten an Dritte preisgegeben“. Weiterhin führte er aus, dass es im Hinblick darauf, wie Amazon Kundinnen und Kunden relevante Werbung anzeige, die Entscheidung der CNDP auf subjektiven und ungeprüften Auslegungen des europäischen Datenschutzes beruhe und die beabsichtigte Geldbuße selbst bei dieser Auslegung in keinem Verhältnis stünde. Als Reaktion auf diese Stellungnahme konterte La Quadrature de Net in seinem Beitrag über den Beschluss, dass Amazon insofern Recht habe, als dass die Entscheidung nicht Datenpannen zum Gegenstand hatte. Vielmehr ginge es um das Target-Advertising selbst und damit um ein Herzstück der Big-Tech-Unternehmen.

Nach der angekündigten Berufung werden die Gerichte entscheiden. Diese hatten in der Vergangenheit bei hohen Bußgeldern zumeist zugunsten der angeklagten Unternehmen mildere Strafen erlassen, als die Datenschutzbehörden. So musste die Fluggesellschaft British Airways wegen einer Datenschutzpanne 22 Millionen Euro Bußgeld bezahlen – statt zunächst verhängten 204 Millionen Euro. Diese Herabsetzung war jedoch insbesondere mit den wirtschaftlichen Einbußen des Unternehmens in der Corona-Pandemie begründet. Eine ähnliche Begründung würde aufgrund des enormen Zuwachses des Online-Händlers, insbesondere zu Beginn der Corona-Pandemie, jedoch nicht zu erwarten sein.

Taliban sollen Zugriff auf biometrische Daten erhalten haben

18. August 2021

Im Zuge des Vormarsches der Taliban-Truppen in Afghanistan sollen diese in den Besitz von biometrischen Daten gelangt sein. Dies berichtete ein US-Magazin, demzufolge Geräte, die von dem US-Militär zur biometrischen Identifizierung benutzt werden, sogenannte “Handheld Interagency Identity Detection Equipment” (HIIDE) in die Hände der Taliban gefallen seien. Dabei handelt es sich um eine Art Kamera, mit der Aufnahmen der Iris und des Gesichts gemacht und Fingerabdrücke gespeichert werden können. Diese Daten werden auch auf der HIIDE gespeichert. Zusätzlich sollen die Geräte auch auf andere Datenbanken zugreifen können.

Obwohl die Geräte ursprünglich für die Identifikation von Terroristen gedacht waren, wurden sie in der Praxis dafür eingesetzt, Einheimische, die mit den US-Truppen zusammenarbeiteten, zu identifizieren. Somit sind aktuell vor allem Daten von Helfenden gespeichert. Ob die Taliban bereits jetzt unbegrenzten Zugriff auf die Daten hat, ist nicht klar. Es wird aber befürchtet, dass Geheimdienste von Ländern, die mit der Taliban sympathisieren, z.B. Pakistan, dabei behilflich sein könnten.

Die Neuigkeit kommt gleichzeitig mit anderen Warnungen über Datensicherheit in Afghanistan. Ebenfalls wird befürchtet, dass die Taliban nun auch auf staatliche Datensätze Zugriff erhalten könnte. Behörden hatten biometrische Daten u.a. für die Registrierung zu Wahlen gesammelt. Die Daten könnten genutzt werden, um weitere HelferInnen der ausländischen Truppen oder bestimmte Bevölkerungsgruppen zu identifizieren.

Viele AfghanInnen fürchten nach dem Machtwechsel Repressalien aufgrund ihrer Tätigkeit, Verbindungen oder Lebensweise. Sie sind längst dazu übergegangen, in Eile Dokumente, Nachrichten und Handy-Verläufe zu löschen. Offizielle und wichtige Dokumente werden fotografiert und an Bekannte geschickt, anschließend vernichtet. Auch offizielle Stellen wissen um die Gefahr, die von diesen Daten ausgeht. So hatte die US-Botschaft in Afghanistan sein Personal noch dazu aufgefordert, alle sensiblen Daten vor Ort zu vernichten. Hilfseinrichtungen und Organisationen wurden von der US-Behörde für internationale Entwicklung dazu aufgefordert, Fotos und Informationen, die lokale AfghanInnen identifizierbar machen, zu löschen. Die Menschenrechts-Organisation Human Rights First veröffentlichte einen Leitfaden, wie Betroffene möglichst viel ihrer digitalen Spuren noch löschen können. Betroffene fürchten nun vor allem die Rache der Taliban, sollten sie identifiziert werden können. Dieses Geschehen verdeutlicht, welcher Missbrauch im Extremfall mit Daten betrieben werden kann und wie gefährlich dies für die Betroffenen ist.

Chinas neues Datensicherheitsgesetz

6. August 2021

Am 10.Juni 2021 hat China ein neues Datensicherheitsgesetz verabschiedet, das sich auf alle Unternehmen auswirken wird, die in China tätig sind oder mit China Geschäfte betreiben. Das Gesetz, das am 1.September 2021 in Kraft treten wird, hat einen weitreichenden Geltungsbereich. Es legt umfangreiche Verpflichtungen für die Datenverarbeitung fest und sieht bei Verstößen potenziell schwere Strafen vor. Auch wenn viele Details der Umsetzung noch unklar sind, sollten Unternehmen mit globaler Geschäftspräsenz angesichts der umfangreichen Anforderungen des Gesetzes und der hohen Strafen bei Nichteinhaltung jetzt mit der Planung beginnen.
Obwohl noch keine offizielle englische Übersetzung vorliegt, ist jedoch mittlerweile bereits eine inoffizielle Übersetzung vorhanden. Das Datensicherheitsgesetz hat eine große Reichweite; es regelt nicht nur Datenverarbeitungsaktivitäten innerhalb Chinas, sondern auch solche außerhalb Chinas, die der nationalen Sicherheit oder dem öffentlichen Interesse Chinas schaden oder die rechtlichen Interessen eines chinesischen Bürgers oder einer chinesischen Organisation beeinträchtigen könnten.

Inhalt des Gesetzes

Das Gesetz sieht vor, dass die chinesische Zentralregierung ein hierarchisches Datenkategorisierungs- und -klassifizierungssystem einführt, das die Daten entsprechend ihrer Bedeutung für die chinesische Wirtschaft, die nationale Sicherheit sowie öffentliche und private Interessen regelt. Auf der Grundlage dieses Systems sowie eines detaillierten Katalogs “wichtiger Daten”, der auf nationaler Ebene formuliert wird, wird jede Region und jedes Ministerium in China einen eigenen Katalog “wichtiger Daten” herausgeben. Die Einzelheiten dieses Systems – einschließlich einer Definition des Begriffs “wichtige Daten”, die noch nicht in chinesischen Gesetzen oder Vorschriften enthalten ist – werden voraussichtlich in künftigen Durchführungsbestimmungen festgelegt.

Verpflichtungen für Unternehmen

Das Datensicherheitsgesetz erlegt Unternehmen und Einzelpersonen, die mit der Datenverarbeitung befasst sind, umfangreiche Pflichten auf. Zu diesen Verpflichtungen gehören zum einen die Einrichtung eines Managementsystems für die Datensicherheit, Ergreifung der erforderlichen Maßnahmen zur Gewährleistung der Datensicherheit und Durchführung von Schulungen zur Datensicherheit und zum anderen die Überwachung potenzieller Risiken und, im Falle der Entdeckung eines Sicherheitsvorfalls, die unverzügliche Benachrichtigung der Nutzer und Ergreifung von Abhilfemaßnahmen.

Je sensibler die zu verarbeitenden Daten sind, desto strenger sind die Datensicherheitsverpflichtungen eines Unternehmens. So müssen Unternehmen, die “wichtige Daten” verarbeiten, nicht nur strenge Verarbeitungsbeschränkungen für “nationale Kerndaten” einhalten, sondern auch einen Datensicherheitsbeauftragten benennen, eine Abteilung für Datensicherheitsmanagement einrichten, regelmäßige Bewertungen zur Überwachung potenzieller Risiken durchführen und die Ergebnisse an die zuständigen Regierungsbehörden melden.

Strafen

Diejenigen, die gegen ihre Verpflichtungen aus dem Datensicherheitsgesetz verstoßen, müssen mit schweren Strafen rechnen. Die chinesischen Behörden können gegen Unternehmen, die die Vorschriften nicht einhalten, Geldstrafen von bis zu 77.000 US-Dollar (500.000 Yuan) verhängen, den Verantwortlichen zusätzliche Geldstrafen auferlegen und Abhilfemaßnahmen anordnen.

Fazit
Viele der Anforderungen des Gesetzes scheinen anderen Datensicherheitsgesetzen zu entsprechen, insbesondere denen der Datenschutz-Grundverordnung (DSGVO). So verlangen beide im Allgemeinen, dass Unternehmen geeignete Maßnahmen zum Schutz der Datensicherheit ergreifen, die Nutzer im Falle eines Vorfalls benachrichtigen und verantwortliche Beauftragte benennen. In vielerlei Hinsicht sind die Anforderungen des Datensicherheitsgesetzes jedoch weitreichender als die der DSGVO. So regelt das neue chinesische Gesetz nicht nur die personenbezogenen Daten chinesischer Bürger, sondern auch Daten, die für die nationale Sicherheit und die Wirtschaft Chinas wichtig sind. Außerdem enthält es viel strengere Beschränkungen für die Datenübertragung als die DSGVO.

Abgabe von Fingerabdrücken für neue Personalausweise verpflichtend

4. August 2021

Wer ab Montag, den 2. August einen neuen Personalausweis beantragt, muss dafür seine Fingerabdrücke scannen lassen. Zukünftig wird ein Scan des linken und des rechten Zeigefingers auf dem RFID-Chip des Ausweises gespeichert.

Bisher war das Speichern von Fingerabdrücken im Personalausweis freiwillig. Verpflichtend gespeichert werden sie schon länger bei Reisepässen. Mit dem Gesetz zur Stärkung der Sicherheit im Pass-, Ausweis- und ausländerrechtlichen Dokumentenwesen wurde die Pflicht nun auf Personalausweise ausgeweitet. Dabei setzt das Gesetz eine EU-Verordnung aus dem Jahr 2019 um. Die gespeicherten Fingerabdrücke sollen von den Sicherheitsbehörden der EU-Mitgliedsstaaten ausgelesen werden können, wenn nach Lichtbildabgleich Zweifel an der Identität der Person bestehen bleiben. In Deutschland dürfen außerdem die Personalausweis-, Pass- und Meldebehörden, die Polizeivollzugsbehörden, die Zollverwaltung und die Steuerfahndungsstellen die Abdrücke auf dem Personalausweis auslesen.

Kritik an diesen neuen Regelungen kommt u.a. von Netzwerk Datenschutzexpertise, einem Zusammenschluss rund um den ehemaligen Datenschutzbeauftragten von Schleswig-Holstein, Dr. Thilo Weichert. In ihrem Gutachten bemängeln sie, dass Datenschutzgrundsätze wie Transparenz (Verarbeitung der Daten für betroffene Person nachvollziehbar), Zweckbindung (Erhebung und Verarbeitung nur für festgelegte und legitime Zwecke) und Datenminimierung (Verarbeitung wird auf das für Zweck notwendige Maß beschränkt) missachtet würden. Das Speichern von Abdrücken der Zeigefinger könne als unverhältnismäßig bezeichnet werden, weil mildere Maßnahmen bestünden. So könnte nur ein Fingerabdruck statt zwei gespeichert werden. Auch könnten Finger, die im Alltag weniger Spuren hinterlassen und somit weniger missbrauchsanfällig sind als die Zeigefinger, benutzt werden, z.B. der Ringfinger. Zur Identifikation sei dieser genauso gut geeignet. Der Gedanke dahinter ist, dass Hackerangriffe auf die gespeicherten Fingerabdrücke befürchtet werden. So könnten Kriminelle sich Abdrücke anderer Menschen zunutze machen. Dabei sei das Missbrauchsrisiko sehr hoch, da Fingerabdrücke nun einmal – anders als Passwörter- nicht geändert werden könnten und die Betroffenen von dem Hackerangriff ein Leben lang betroffen sein könnten.

Das Bundesministerium des Innern (BMI) versichert hingegen, dass die Fingerabdrücke nach Aushändigung des Ausweises bei Hersteller und Behörde gelöscht werden. Eine Speicherung in einer zentralen Datenbank fände nicht statt. Die Daten im Chip selbst würden verschlüsselt.

Die alten Personalausweise ohne Fingerabdrücke behalten ihre Gültigkeit bis sie regulär abgelaufen sind. Fingerabdrücke müssen erst bei der Beantragung des neuen Ausweises abgegeben werden. Wie genau die Erfassung erfolgt, kann bei dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachgelesen werden.

Zoom will Sammelklage mit Millionenzahlung beilegen

In mehreren Klagen sieht sich der Videokonferenzanbieter Zoom Vorwürfen ausgesetzt, einerseits gegen Datenschutzvorgaben zu verstoßen und andererseits nicht genug gegen sog. “Zoombombing” unternommen zu haben. Mit der Zahlung von 85 Millionen Dollar will Zoom diese Sammelklagen jetzt außergerichtlich erledigen. Aus Gerichtsdokumenten geht hervor, dass Zoom kein Fehlverhalten eingesteht. Der Vergleich muss noch von der zuständigen US-Bezirksrichterin angenommen werden.

Der Vorwurf, gegen Datenschutzvorgaben verstoßen zu haben, beruht auf der Weitergabe von personenbezogenen Daten der Nutzer an Facebook, LinkedIn und Google. Unter “Zoombombing”, dem anderen Vorwurf, versteht man das Zuschalten von fremden Personen mit dem Ziel, die Videokonferenz zu stören. Nutzer sind hierbei zum Teil schwer beleidigt worden. Um diese Störungen zu vermeiden, hat Zoom bereits im vergangenen Jahr mit Codes das zufällige Zuschalten zu fremden Videokonferenzen erheblich erschwert.

Ursprünglich war Zoom eine Anwendung, die hauptsächlich von Unternehmen genutzt wurde. Im Rahmen der Corona-Pandemie vergrößerte sich der Nutzerkreis stetig, sodass auch Home Office und Home Schooling über Zoom organisiert wurde bzw. wird.

Datenschutz-Ausnahme zum Wohl von Kindern

7. Juli 2021

Im Internet kursieren immer mehr Bilder von sexuellem Missbrauch von Kindern. Bis zum 21.12.2020 konnten Online-Anbieter Nachrichten nach Hinweisen auf Kindesmissbrauch filtern, die in Mail- oder Messengerdiensten verschickt wurden. Dies wurde dann an nationale Behörden gemeldet und die entsprechenden Inhalte aus dem Netz entfernt.

Dann trat jedoch ein neuer EU-Kodex für elektronische Kommunikation in Kraft, der dieses Filtern verbietet. Seitdem haben die Online-Anbieter darauf verzichtet, um nicht Gefahr zu laufen, dagegen zu verstoßen. Nun hat das Europaparlament jedoch einer Vereinbarung zugestimmt, die Anbietern das Scannen wieder ermöglicht. Es ist bislang eine Übergangslösung mit einer Frist von drei Jahren.

Einige Datenschützer sind der Ansicht, der Kompromiss greife zu weit in die Vertraulichkeit der Kommunikation ein. Gleichwohl wird diese gefundene Lösung überwiegend als Kompromiss zwischen Datenschutz und Kindeswohl betrachtet. EU-Innenkommissarin Johansson betont die Schutzmechanismen wie menschliche Aufsicht und Überprüfbarkeit. Zudem sei nur das erlaubt worden, was unbedingt nötig sei. Kinderrechtsorganisationen sehen ein Gleichgewicht zwischen Kinderschutz und Datenschutz.

1 2 3 29