Kategorie: Internationaler Datenschutz

25.000 Dollar Strafe für Google

18. April 2012

Nach einem Bericht von heise.de wurde Google für mangelnde Kooperation bei der Aufarbeitung eines Datenskandals abgemahnt. Das Bußgeld in Höhe von 25.000 US-Dollar sei die höchstmögliche Strafe dafür, dass Google die Untersuchungen erschwert und verzögert habe. Dahinter steht die US-Aufsichtsbehörde FCC, die ihre Entscheidung nun in einem Zwischenbericht begründet.

Anlass gaben die Kamerafahrten von Google für Street View in den Jahren 2007 bis 2010. Dabei wurden nicht nur Fotos geschossen, sondern auch WLAN-Daten gesammelt. Sie sollten gespeichert werden, um spätere Lokalisierungen zu ermöglichen. Gespeichert wurden jedoch nicht nur Name und Ort des WLANs, sondern auch Inhalte der abgefangenen Kommunikation wie zum Beispiel E-Mails oder Passwörter.

Dem Bericht zufolge bestritt Google zunächst die Vorgänge, das Unternehmen hätte die Speicherung solcher Daten nicht in Auftrag gegeben. Später folgte ein Eingeständnis, es seien mehr Daten gespeichert worden, als geplant gewesen wäre.

Untersuchungen der US-Handelsbehörde FTC wurden eingestellt, nachdem Google versprochen hatte, die fälschlicherweise gesammelten Daten wieder zu löschen. Die Regulierungsbehörde FCC hat daraufhin ihre eigenen Untersuchungen begonnen, auf die Google aber kaum reagierte. Vor allem hielt Google die Namen der Verantwortlichen für die damalige Aktion zurück.

Später sei Google der Behörde zwar ein Stück weit entgegengekommen und habe einige Namen genannt. Belege, dass interne Untersuchungen vorangetrieben worden wären, hätten jedoch weiterhin gefehlt.

Ob Google sich von der Strafzahlung nachhaltig zu mehr Kooperation bei der Aufklärung motivieren lässt, sei dahingestellt.

Indien fordert Bestätigung durch EU

17. April 2012

Wie The Economist Times berichtet, hat Neu Delhi die EU aufgefordert, Indien in die Riege der sicheren Drittstaaten mit angemessenem Datenschutzniveau aufzunehmen. Dieser Status ermöglicht den Ländern, auf die in der Praxis schwer durchsetzbaren Standardvertragsklauseln der EU zu verzichten.

Bislang ist es EU-Staaten nicht ohne Weiteres erlaubt, sensible personenbezogene Daten nach Indien zu übermitteln. Dies behindere zum Beispiel Dienstleistungen wie die Telemedizin und schränke insgesamt den Dienstleistungsverkehr ein.

In Indien beruft man sich auf Verbesserungen der heimischen Datenschutzgesetze, die nun eine hohe Datensicherheit gewährleisten sollen. Aus den USA gäbe es bereits ungehindert die Möglichkeit, auch sensible Daten nach Indien zu übermitteln und Dienstleistungen auszulagern. Der Vorteil für Indien, in den jeweiligen Wirtschaftszweigen zu wachsen, sei groß, wenn nur die EU Indien als sicheres Land im Sinne des Datenschutzes deklariere. Die EU dürfe  den Blick nicht nur auf Konformität mit den eigenen Regeln lenken. Auch wenn Indien abweichende Regelungen treffe, könnten diese als niveaukonform bewertet werden und  angemessenen Datenschutz gewährleisten.

Kategorien: Allgemein · Internationaler Datenschutz
Schlagwörter:

Facebook führt Timeline ein – ob man will oder nicht

31. Januar 2012

Die neue Funktion „Timeline“ (deutsch „Chronik“) ist eine gravierende Umstellung für alle Nutzer des Internetportals Facebook. Denn sie gräbt alles aus, was ein Nutzer jemals im social Network sichtbar gemacht hat. Zwar lassen sich alle Einträge im Nachhinein verbergen oder löschen, aber das Internet vergisst nie. Die Timeline gibt einen direkten Zugriff auf alle Statusnachrichten, Fotos, Pinnwandeinträge, und neu: eine Karte, auf der alle besuchten Orte und derzeitigen Standorte eingezeichnet sind. Zudem kann der jeweilige Nutzer seine Seite noch individueller gestalten, da die Timeline eine weitere Neuigkeit mit sich bringt: das sogenannte „Cover“ ist ein großformatiges Foto am oberen Rand des Profils, dass das Profil noch persönlicher gestalten soll. Laut Marc Zuckerberg hat es den Vorteil „alle wichtigen Geschichten deines Lebens auf einer einzigen Seite zu erzählen“.

Doch fraglich ist, ob man damit nicht zu viel von sich Preis gibt. Alles in allem ist die Timeline ein öffentlich einsehbarer Lebenslauf mit Details, die man lieber verschweigen würde, oder sogar sollte, denn viele User verwechseln ihr Profil mit einem Tagebuch.

Datenschutzrechtlich wirft das aktuelle Vorgehen diverse Bedenken auf:

  • Zunächst wird das Transparenzgebot nicht gewahrt; der Nutzer wird nicht (genügend) über die Verwendung seiner personenbezogenen Daten aufgeklärt.
  • Auch hat der Nutzer beim Hochladen von Informationen keine Wahl sich zu schützen, da alles sofort publiziert wird. Es gibt keinen regelmäßigen Opt-in, der sich auf diese Frage bezieht. Der Nutzer kann also im extremsten Falle erst durch nachträgliche Löschung von Daten aus der Timeline seine Privatsphäre schützen.
  • Auch ist fraglich, was mit den preisgegebenen personenbezogenen Daten passiert. Denn was in Facebook veröffentlicht wird, wird in den USA gehostet. Dies ist datenschutzrechtlich angesichts der unterschiedlichen Datenschutz-Niveaus rechtlich bedenklich, wenngleich immer wieder eingewendet wird, dass Facebook ja Mitglied des sog. Safe Harbor Abkommens ist. Letzteres erlaubt den Datentransfer auch nicht per se sondern nur unter bestimmten Voraussetzungen. Vor diesem Hintergrund beschloss der Düsseldorfer Kreis am 8.Dezember 2011 „auch außereuropäische Anbieter sozialer Netzwerke, müssen das nationale Datenschutzrecht beachten, wenn sie ihr Angebot an deutsche Nutzerinnen und Nutzer richten“. Dies wird gerade jetzt zu einem so wichtigen Thema, da die Timeline für Mitglieder verpflichtend wird, d.h. diese wird bald für sämtliche Nutzer eingeschaltet, egal ob er dies will, oder nicht.

Den Usern, denen die Timeline zuwider ist, bleibt nichts anderes übrig, als sich bei Facebook abzumelden. Und das ist bekanntlich nicht leicht, jedenfalls wenn man seine Daten nach der Kündigung des Accounts auch wirklich gelöscht wissen will. (evn)

Apple, RIM und Nokia sollen indischem Geheimdienst Zugriff auf E-Mails der Kunden erlauben

12. Januar 2012

Die Hackergruppierung The Lords of Dharmaraja hat einige Dokumente veröffentlicht, die Medienberichten zufolgen belegen, dass  Apple, Nokia und Research in Motion (RIM)  mit einem indischen Geheimdienst Verträge eingegangen sind, die die Überwachung von Kunden-E-Mails erlauben. Dies soll Bedingung für den Zugang zum indischen Markt gewesen sein. Einem der Schreiben ist zu entnehmen, dass neben den namentlich genannten Firmen alle wichtigen Gerätehersteller eine solche Vereinbarung abgeschlossen hätten. Weiterhin soll aus einem anderen Dokument hervorgehen, dass über diese Schnittstelle auch eine E-Mail der U.S.-China Economic and Security Review Commission (USCC), die sich mit Wirtschafts- und Sicherheitsfragen in den Beziehungen zwischen USA und China beschäftigt, mitgelesen wurde. USCC Verantwortliche überprüfen laut Reuters die Sachlage und sehen sich momentan nicht zu einer weiteren Stellungnahme in der Lage.

Ebendiesem Reuters Artikel zufolge hat Apple Sprecherin Trudy Muller dementiert, dass Apple eine Hintertür für die Indische Regierung in seine Produkte integriert habe. Ein indischer RIM-Sprecher erklärte gegenüber Reuters, dass man Gerüchte nicht kommentiere und Nokia lehnte jeglichen Kommentar ab. RIM musste bereits in der Vergangenheit sowohl Indien, als auch Saudi Arabien und den Vereinigten Arabischen Emiraten Zugang zu bestimmten verschlüsselten Teilen seines BlackBerry Systems gewähren, um nicht von diesen Märkten ausgeschlossen zu werden.

Für die Plausibilität der Berichte spricht, dass die Hacker von The Lords of Dharmaraja kürzlich zweifelsfrei einen Quellcode des Sicherheitsspezialisten Symantec entwenden konnten. Auch bezüglich dieses Quellcodes deuten einige Anzeichen darauf hin, dass dieser von indischen Regierungsservern stammen könnte. (se)

Düsseldorfer Kreis äußert sich zum Datenschutz in sozialen Netzwerken

14. Dezember 2011

Der Düsseldorfer Kreis (eine informelle Vereinigung der obersten Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich) hat am 08.12.2011 einen Beschluss zum Datenschutz in sozialen Netzwerken gefasst. Folgende Kernpunkte wurden dabei herausgearbeitet:

  • Das Telemediengesetz erfordert zumindest die pseudonyme Nutzungsmöglichkeit von sozialen Netzwerken. Nutzungsdaten dürfen nicht zur personenbeziehbaren Profilbildung verwendet werden, solange keine Einwilligung vorliegt. Nach der Beendigung der Mitgliedschaft sind jegliche Daten zu löschen.
  • Informationen darüber, welche Daten erhoben werden, und für welche Zwecke diese verarbeitet werden, müssen leicht zugänglich und verständlich sein.
  • Sämtliche Voreinstellungen müssen auf dem Einwilligungsprinzip beruhen, wenn nicht die Mitgliedschaft zwingend die Angabe solcher Daten voraussetzt. Insbesondere ist es nicht rechtmäßig zunächst mit der Datenverarbeitung zu beginnen und nur eine Widerspruchsmöglichkeit vorzusehen.
  • Ohne ausdrückliche und bestätigte Einwilligung des Abgebildeten ist es unzulässig, anhand von Fotos biometrische Gesichtserkennungsmerkmale zu erheben, zu speichern oder zu verwenden.
  • Die Betreiber der Netzwerke haben die sensiblen Daten durch geeignete technisch-organisatorische Maßnahmen zu schützen und einen Nachweis über diese Maßnahmen zu erbringen.
  • Um die besonders sensiblen Daten von Minderjährigen angemesen zu schützen sind datenschutzfreundliche Standardeinstellungen zu wählen. Weiterhin sind die Informationen über die Datenverarbeitung so zu formulieren, dass diese auch für Minderjährige verständlich sind.
  • Betroffenen muss eine einfache Möglichkeit gegeben werden, ihre Auskunfts-, Berichtigungs-, und Löschungsansprüche geltend zu machen. Dafür müssen zumindest die Kontaktdaten leicht auffindbar sein, damit Betroffene einen Ansprechpartner finden.
  • Es ist unzulässig Social-Plugins (z.B. den Like-Button von Facebook) auf Websites einzubinden, wenn dadurch eine Datenübertragung an den Anbieter des sozialen Netzwerkes erfolgt und die Nutzer nicht bereits vorher bezüglich der Datenübertragung informiert wurden und ihnen eine Möglichkeit zur Unterbindung der Datenübertragung eingeräumt wurde. Nur wenn die Nutzer verlässliche Informationen über die übermittelten Daten und deren Zweck erhalten, können sie rechtswirksam ihre Einwilligung erklären. In der Regel werden Anbieter deutscher Websites nicht über die nötigen Kenntnisse bezüglich der Datenverarbeitungsvorgänge verfügen, um  die Nutzer entsprechend zu informieren. Daher begehen die Anbieter der Websites selbst Rechtsverstöße, wenn sie Social-Plugins einbinden, die sie in Bezug auf die Datenverarbeitung nicht überblicken können.
  • Auch Betreiber, die außerhalb des Europäischen Wirtschaftsraumes (EWR) ansässig sind, müssen sich deutschem Datenschutzrecht unterwerfen, wenn sie ihre Datenerhebung durch einen Rückgriff auf Rechner von Nutzern in Deutschland verwirklichen (§ 1 Abs. 5 Satz 2 BDSG). Daher sei auch ein Inlandsvertreter als Ansprechperson für die Datenaufsicht zu bestellen (§ 1 Abs. 5 Satz 3 BDSG). Eine Anwendung des BDSG kann nich dadurch umgangen werden, dass eine rechtlich selbständige Niederlassung in einem anderen Staat des EWR gegründet wird. (Damit stellt sich der Düsseldorfer Kreis gegen Facebook, die bisher auf dem Standpunkt beharren, dass nur der irische Datenschutz auf Facebook Anwendung fände – Anmerkung der Redaktion)

(se)

Fluggastdatenabkommen EU-USA meistern weitere Hürde – Datenschützer protestieren weiterhin

Nachdem wir bereits vor Kurzem über den Streit bezüglich des “Drückens” und “Ziehens” beim geplanten Fluggastdatenabkammen (PNR-Abkommen) zwischen der EU und den USA berichtet haben, hat das umstrittene Abkommen eine weitere Hürde genommen: So haben die Innen- und Justizminister der jeweiligen Nationalstaaten im Rat der Europäischen Union am gestrigen Dienstag grünes Licht für das umstrittene Abkommen gegeben. Österreich, Deutschland und Frankreich haben sich dabei ihrer Stimme enthalten.

Auch wenn die Verabschiedung des Abkommens damit wieder einen Schritt näher gerückt ist, verstummt die Kritik der Datenschützer nicht. Ebenfalls am gestrigen Dienstag äußerte sich der europäische Datenschutzbeauftragte, Peter Hustinx, kritisch gegenüber dem Regelwerk. Die von ihm vorgetragenen Bedenken decken sich dabei im Wesentlichen mit den bereits zuvor geäußerten Einwänden:

  • Die 15-jährige Aufbewahrungsfrist sei übertrieben: Daten sollten sofort nach deren Analyse oder nach maximal 6 Monaten gelöscht werden.
  • Auch die Zweckbindung sei zu weit gefasst. Fluggastdatensätze sollten nur verwendet werden, um Terrorismus oder eine gut definierte Liste von schweren grenzüberschreitenden Verbrechen zu bekämpfen.
  • Die Liste der Daten, die übermittelt werden sollen, sei unverhältnismäßig und sollte daher begrenzt werden.
  • Es dürfe keine Ausnahmen zur “Push”-Methode geben.
  • Es müsste für jeden Bürger ein Recht auf effektiven gerichtlichen Rechtsschutz vereinbart werden.
  • Die Daten sollten nach Ansicht Hustinx’ nur an andere US-Behörden oder an Drittländer übermittelt werden dürfen, wenn diese ein gleichwertiges Schutzniveau gewährleisten könnten.

(se)

Verbraucherschutzministerin Aigner legt Beschwerde gegen Facebooks Gesichtserkennung ein

Nachdem der Hamburgische Beauftragte für Datenschutz bereits rechtliche Schritte gegen Facebook angekündigt hat, ist nun auch Bundesverbraucherschutzministerin Aigner aktiv geworden. Sie hat sich nach Meldung der dpa mit einem Brief an die US-Handelskommission FTC gewandt, in welchem sie moniert, dass Facebook das Safe-Harbor-Abkommen verletze.

Nach DPA-Angaben wirft Aigner Facebook insbesondere vor, in Bezug auf die Gesichtserkennung vermutlich die weltweit größte Datenbank mit biometrischen Merkmalen einzelner Personen zu erstellen, ohne über deren biometrische Erfassung klar und verständlich zu informieren

Wenig später erklärte sich Facebook gegenüber der FTC zu strengeren Datenschutzauflaugen in den USA bereit, nachdem zuvor mehrfach gegen datenschutzrechtliche Selbstverpflichtungen verstoßen worden war. Insbesondere verpflichtete sich Facebook nun dazu, neue Funktionen und Einstellungen nicht mehr automatisch freizuschalten, ohne die Einwilligung des Nutzers einzuholen. Diese Praxis hatte in der Vergangenheit vielfach für Kritik gesorgt, so auch bei der Einführung der Gesichtserkennung.

Eben diese von Aigner expliziert kritisierte Gesichtserkennung findet jedoch keinen expliziten Niederschlag in der neuen Vereinbarung mit der FTC (se).

 

EU-Kommissarin fordert mehr Befugnisse für Datenschutzbehörden

30. November 2011

EU-Justizkommissarin Viviane Reding forderte in einer Rede am Montag in Brüssel deutlich mehr Befugnisse für Datenschutzbehörden in der Europäischen Union. Um den Datenschutz in allen 27 Mitgliedsstaaten wirksamer durchzusetzen, reichten aber nicht allein vermehrte Kompetenzen – auch verstärkte Ressourcen seien nötig für die Behörden, wird Reding in Medienberichten zitiert. Reding forderte Rechtssicherheit und Gleichbehandlung für alle Wirtschaftszweige, in denen personenbezogene Daten geschützt werden müssen.

Im vergangenen Jahr hatte Reding eine Neuauflage der inzwischen 16 Jahre alten EU-Datenschutzrichtlinien angekündigt. Online-Werbung und Social Networks stehen dabei im Fokus, es sollen strengere Sanktionen und eine Klagemöglichkeit für Verbraucherschützer eingeführt werden.

Die Neuregelung soll der Vereinheitlichung des Datenschutzrechts dienen. Durch die 27 unterschiedlichen Datenschutzregeln in der EU entstünden Unternehmen Kosten von bis zu geschätzten 2,3 Milliarden Euro pro Jahr. Verstärkte Koordination und Kooperation zwischen den nationalen Datenschutzbehörden würde eine flächendeckende Durchsetzung des Datenschutzes sicherstellen.

Wieder im Gespräch ist der Plan der EU-Kommissarin, eine grundsätzliche Meldepflicht für Datenschutzverstöße einzuführen. Aktuelle Skandale wie der Einbruch in das PlayStation Netzwerk bei Sony würden das Vertrauen der Verbraucher erschüttern, Gegenmaßnahmen zum Vertrauensaufbau durch Informationspflichten seien dringend notwendig. (ssc)

Weiteren Veröffentlichungen kann entnommen werden, dass in der Neufassung der Richtlinie auch das Recht, vergessen zu werden, verankert werden soll. Auch die Sanktionsmöglichkeiten der Datenschutzbehörden sollen stark aufgewertet werden. So soll es möglich sein, bei Verstößen gegen die EU-Datenschutzrichtlinie Geldstrafen in der Höhe von bis zu 5% des weltweiten Jahresumsatzes des Unternehmens zu verhängen.  (se)

 

ENISA mahnt zur Vorsicht beim Cloud Computing

23. November 2011

Udo Helmbrecht, Direktor der Europäischen Agentur für Netz- und Informationssicherheit, warnte Medienberichten zufolge vor einer unvorsichtigen Nutzung des Cloud Computings. Gerade mittelständische Unternehmen speicherten sensible Daten in der digitalen Wolke, so Helmbrecht, ohne datenschutzrechtliche Risiken zu beachten. Handele es sich um ausländische Anbieter von Cloud Computing, landeten die Daten möglicherweise in den USA oder anderen Drittstaaten. Dieser Datentransfer verstößt möglicherweise gegen das Bundesdatenschutzgesetz – und birgt damit ungeahnte Risiken für die Unternehmen, die auf das kostensparende Cloud Computing setzen.

Nach Ansicht von Helmbrecht seien die ersten Skandale beim Cloud Computing nur noch eine Frage der Zeit. (ssc)

BAG: Betrieblicher Datenschutzbeauftragter kann aus wichtigem Grund wieder abberufen werden

2. November 2011

Ein betrieblich bestellter Datenschutzbeauftragter kann nach § 4f Abs. 3 Satz 4 BDSG und dem dortigen Verweis auf § 626 BGB aus wichtigem Grund wieder abberufen werden. Als wichtiger Grund im Sinne dieser Normen zähle jedoch nicht allein die Absicht des Arbeitgebers, künftig einen externen Datenschutzbeauftragten zu bestellen, entschied das Bundesarbeitsgericht (Urt. v. 23.03.2011, Az. 10 AZR 562/09). Die wichtigen Gründe müssten sich vielmehr aus der Funktion und Tätigkeit des Datenschutzbeauftragten ergeben und als solche auch vorgebracht werden. Wird der betriebliche Datenschutzbeauftragte unzuverlässig oder reichen seine fachlichen Kenntnisse nicht (mehr) aus, dürfe der Arbeitgeber sehr wohl den Datenschutz in die Hände externer Datenschützer geben.

Betriebliche Datenschutzbeauftragte genießen einen besonderen Abberufungsschutz, der Verweis auf § 626 BGB soll ihre Unabhängigkeit stärken. Sie müssten ihr Amt weisungsfrei ausüben können, ohne dass die Erfüllung ihrer Aufgaben beeinträchtigt werde. Eine Furcht vor der Abberufung sei dabei hinderlich, nur objektive und schwerwiegende Gründe könnten sie rechtfertigen.

Der Arbeitgeber hatte aber keine besonderen Gründe vorgebracht, sondern die Abberufung allein mit dem Plan der künftigen Bestellung eines externen Datenschutzbeauftragten begründet. Das sei jedoch, so die Richter, kein so wichtiger Grund, der es dem Arbeitgeber „unter besonderer Berücksichtigung des Einzelfalls und unter Abwägung der Interessen beider Vertragsteile unzumutbar mache, die betriebliche Datenschutzbeauftrage auch nur bis zum Ablauf der ordentlichen Kündigungsfrist weiterhin einzusetzen“.

Daran ändern könne auch nichts der Umstand, dass der Arbeitgeber sich für einen internen oder externen Datenschutzbeauftragten bei der erstmaligen Bestellung habe entscheiden können. Einmal getroffene Entscheidungen binden ihn trotz der vorherigen Wahlfreiheit, damit der Abberufungsschutz seine Wirkung entfalten könne. (ssc)

 

 

 

 

1 30 31 32 33 34 35