Kategorie: Online-Datenschutz
30. November 2021
Der Verein des österreichischen Juristen und Datenschützers Maximilian Schrems noyb (none of your business) hat die irische Datenschutzkommission (DPC) bei der österreichischen Wirtschafts- und Korruptionsstaatsanwaltschaft angezeigt. Dabei wirft man der Behörde intransparentes Verhalten vor. In dem Verfahren bei der irischen Behörde geht es um die Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO) durch Facebook.
Non-Disclosure-Agreement vorgelegt
Zuvor hatte die Behörde noyb aufgefordert, innerhalb eines Arbeitstages eine Verschwiegenheitsvereinbarung (Non-Disclosure-Agreement, NDA) zu unterzeichnen. Ohne eine solche Geheimhaltungsvereinbarung zugunsten der DPC und Facebook würde die DPC die Rechte der Beschwerdeführerin noyb in einem laufenden Verfahren aussetzen.
Hintergrund
Maximilian Schrems führte in der Vergangenheit schon einige erfolgreiche Verfahren gegen den Social-Media Konzern. In dem eigentlichen Rechtsstreit (wir berichteten) geht es unter anderem um die Frage, ob Nutzer:innen tatsächlich eine Einwilligung oder einen Vertrag mit Facebook schließen, da Facebook als angebliche „Leistung“ Werbung anbiete. Laut Schrems wären damit die Vorschriften, die vorgeben, wie eine eindeutige Zustimmung aussehen müsse (und auch jederzeit widerrufen werden könne), hinfällig. Dies sei eine rechtswidrige Umgehung der DSGVO.
Fehlende Rechtsgrundlage und Verzögerungen
Die DPC lässt sich mit diesem und anderen Verfahren gegen Techkonzerne nach Einschätzung von Schrems zu viel Zeit. Auch der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber hatte seiner irischen Kollegin Helen Dixon vorgeworfen, die Verfahren zu verschleppen und ihr Zögern mit „falschen Aussagen“ zu verschleiern.
Aufgrund Facebooks Hauptsitz in Irland wurde die Beschwerde an die irische Datenschutzkommission weitergeleitet. Nach über drei Jahren erließ sie schließlich einen Entscheidungsentwurf. Nachdem noyb diese Entscheidung veröffentlicht hatte, forderte die DPC noyb auf, die Entscheidung der Datenschutzbehörde sowie noyb’s eigene Stellungnahmen zu löschen. Dies geschah ohne die Nennung einer Rechtsgrundlage, so der Datenschutzverein. Darüber hinaus sei die DPC außerhalb Irlands nicht zuständig. Aufgrund des Kooperationsmechanismus der DSGVO müssten die Dokumente über die österreichische Datenschutzbehörde zugestellt werden und unterlägen somit dem geltenden österreichischen Recht (§ 17 AVG). Wie die österreichische Datenschutzbehörde bestätigte, unterliegen derartige Verfahrensdokumente nicht der Geheimhaltung. Zum anderen gebe es auch nach irischem Recht keine gesetzliche Verpflichtung für die Parteien, Dokumente vertraulich zu behandeln, so noyb.
Maximilian Schrems: „Die irische Behörde hat die Verpflichtung uns zu hören, aber sie hat uns nun praktisch erpresst: Prozessrechte wurden davon abhängig gemacht, dass wir eine Verschwiegenheitsvereinbarung zu Gunsten der Behörde und Facebook unterzeichnen.“
Zeichen stehen auf Konfrontation
Für die Adventszeit hatte Schrems öffentliche Lesungen aus Dokumenten von Facebook und der irischen Datenschutzbehörde angekündigt. Inzwischen meldete sich auch der Datenschützer Johnny Ryan vom Irish Council for Civil Liberties zu Wort. Auch er habe in seiner Beschwerde gegen Google eine Verschwiegenheitserklärung von der irischen Behörde vorgelegt bekommen.
Die irische Behörde reagierte bisher nicht öffentlich auf die Vorwürfe.
12. November 2021
In dem am Donnerstag erschienenen Buch „Die Maschine: Im Bann der Booking.com“ von drei Journalisten der niederländischen nationalen Zeitung NRC, berichten diese von einem Hackerangriff, der 2016 die Server von Booking.com durchbrochen und Benutzerdaten im Zusammenhang mit dem Nahen Osten gestohlen hat.
Die Personen hinter dem Hackerangriff hatten auf Tausende von Hotelreservierungen Zugriff. Hierbei sind vor allem die Länder des Nahen Ostens wie Saudi-Arabien, Katar und die Vereinigten Arabischen Emirate betroffen gewesen. Ferner heißt es, dass unter den offengelegten Daten auch Namen von Booking.com Kunden und deren Reisepläne veröffentlich wurden. Der bei Booking.com interne Name für diesen Verstoß war das „PIN-Leck“, weil der Verstoß auch gestohlene PINs aus Reservierungen beinhaltete. Zwei Monate nach diesem Verstoß bekam Booking.com bei der Suche nach dem Hacker Unterstützung von US-Privatdetektiven. Hierbei stellten sie fest, dass es sich bei dem Hacker um einen Amerikaner handelte, der für ein Unternehmen arbeitete, das Aufträge von US-Geheimdiensten ausführte. Die Autoren haben bis jetzt nicht feststellen können, welche Agentur hinter dem Angriff steckte.
Der Vertreter von Booking.com äußerte sich zu diesem Geschehen. Booking.com sah sich nicht in der Pflicht, diesen Verstoß offenzulegen und zu melden. Es lagen nämlich keine Beweise für „tatsächlich nachteilige Auswirkungen auf das Privatleben von Einzelpersonen“ vor. Die in Amsterdam ansässige Booking.com traf diese Entscheidung, nachdem sie den niederländischen Geheimdienst AIVD angerufen hatte, um diese Datenschutzverletzung zu untersuchen. Auf Anraten eines Rechtsberaters hat das Unternehmen die betroffenen Kunden und die niederländische Datenschutzbehörde daraufhin nicht benachrichtigt. Die Begründung: Booking.com war gesetzlich nicht dazu verpflichtet, weil keine sensiblen oder finanziellen Informationen abgerufen wurden.
Im April wurde Booking.com von den niederländischen Datenschutzbehörden mit einer Geldstrafe von 475.000 Euro belegt, da Booking.com eine separate Datenschutzverletzung gemäß der DSGVO verspätet gemeldet hatte. Bei diesem Verstoß wurden mehr als 4.000 Booking.com Kunden von Cyberkriminellen auf ihre Namen, Adressen, Telefonnummern und Buchungsdetails zugegriffen. Weitere 300 Personen hatten auch Kreditkarteninformationen gestohlen, einschließlich des CVV-Codes in fast 100 Fällen.
In mehreren Berliner Corona-Testzentren hatten die Betreiber eine unsichere Software-Lösung benutzt. Dies hat dazu geführt hat, dass hunderttausende Nutzerdaten von Getesteten im Internet aufgetaucht sind. Betroffen sind diejenigen Kunden, die sich bei Testzentren „Schnelltest Berlin“ haben testen lassen. Das IT-Kollektiv „Zerforschung“ fand heraus, dass aufgrund einer nicht geschützten Schnittstelle verschiedener Testanbieter die Daten ins Netz gelangen konnten und somit für Dritte einsehbar waren.
Neben sensiblen, personenbezogenen Daten wie Name, Anschrift oder Telefonnummer befanden sich darunter offenbar auch Testergebnisse und Zertifikate des Robert-Koch-Instituts (RKI). Weiter fand Zerforschung heraus, dass sich auch Testzertifikate für PCR-Tests erstellen ließen. So konnten die Programmierer ein Zertifikat über ein negatives Corona-Testergebnis für einen von ihnen frei gewählten Namen ausstellen. In einem Versuch generierten sie einen PCR-Test, der mit negativem Ergebnis für einen fiktiven 177 Jahre alten Mann ausgestellt werden konnte. Hinzu kommt, dass das manipulierte Testzertifikat selbst den sogenannten BärCODE enthielt. Dieser markiert Zertifikate im Normalfall als offiziell und gilt als Sicherheitsmerkmal.
Nach Aufdeckung der Sicherheitslücken informierte Zerforschung die zuständigen Stellen. Der Betreiber der in Rede stehenden IT-Datenbank „WeCare Services“ hat auf Nachfrage gegenüber dem rbb die Datenpanne zugegeben und versichert, die Lücken seien inzwischen geschlossen. Kunden wurden bisher nicht über die Datenlücke informiert.
Der Zusammenschluss „Schnelltest Berlin“ ist nicht der einzige Anbieter, der Sicherheitsmängel aufweist. Auch andere Teststellen gehen unverantwortlich mit Daten um. Dementsprechend sind diese Fehler weitverbreitet, so Zerforschung gegenüber rbb24.
3. November 2021
Der kürzlich in Meta umbenannte Internetkonzern Facebook stellt nach über zehn Jahren die Automatische Gesichtserkennung auf dem sozialen Medium ein.
In einem Blogeintrag auf der Website von Meta verkündete Jerome Pesenti, Vize-Chef der Abteilung für Künstliche Intelligenz, die Beendigung des Projekts der automatischen Gesichtserkennung. Seit 2010 identifiziert diese automatisch die auf den Fotos der Usern abgebildeten Personen. Dadurch wird eine Verknüpfung von Gesicht und Konto möglich gemacht. Laut Pesenti ergebe die Einstellung des Tools Nachteile, wie zum Beispiel Einschränkungen der Nutzbarkeit durch blinde User. Starke gesellschaftliche Kritik sowie eine unklare Gesetzeslage über den Einsatz der Technologie hätten jedoch zu der Abschaffung der automatischen Gesichtserkennung geführt.
Zudem kündigte Pesenti an, die zur automatischen Gesichtserkennung erhobenen Daten der User zu löschen. Dies betrifft rund eine Milliarde Nutzerdaten.
Bereits im Februar dieses Jahres unterlag Facebook einer Sammelklage, in welcher es um die Funktion der automatischen Gesichtserkennung ging, und wurde zu einer Zahlung von 650 Millionen US-Dollar verurteilt.
Wann die Software abgeschaltet wird und die erhobenen Daten gelöscht werden, ist jedoch noch unklar.
28. Oktober 2021
Die Schul-App Scoolio hat die personenbezogenen Daten ihrer Nutzerinnen und Nutzer, also minderjähriger Schüler, nicht ausreichend geschützt. Das hat die IT-Sicherheitsaktivistin Lillith Wittmann mit ihren Kollegen des IT-Sicherheitskollektiv „Zerforschung“ herausgefunden. Laut dem App-Anbieter wurden die Sicherheitslücken inzwischen geschlossen.
Die Sicherheitsforscher konnten über einen sogenannten Person-in-the-Middle-Proxy nachvollziehen, dass die Schnittstellen in der Kommunikation zwischen der App und den Nutzern nicht ausreichend gesichert waren. Dadurch konnten sie auf alle Daten von allen Nutzern zugreifen, also Nicknames, Geburtsdaten, E-Mail-Adresse und auch den Standort.
Die Missbrauchs-Potentiale sind groß, in der App können Chaträume wie „Christen“ oder „LGBTQ“ erstellt werden, sodass über die Mitgliedschaften auch Informationen über besondere Kategorien personenbezogener Daten erlangt werden können. Außerdem kann die App für Cybergrooming von Erwachsenen missbraucht werden. Es sei möglich gewesen, ein Profil für eine 33 Jahre alte Person anzulegen und damit Zutritt zur Chatgruppe „Suche Freund zwischen 12 und 13“ zu bekommen.
Die in Dresden ansässige Scoolio GmbH hat die Sicherheitslücken nach mehr als 30 Tagen geschlossen, wichtige Schutzmaßnahmen aber kurzfristig umgesetzt. Aus diesem Grund hat der Datenschutzbeauftragte Sachsens keine weiteren Maßnahmen oder Bescheid erlassen. Der Verantwortliche habe sich kooperativ gezeigt und dankte auch den Sicherheitsforschern. Zusätzlich interessant ist, dass der Technologiegründerfonds Sachsen mit öffentlichem Geld aus Sachsen und der EU in Scoolio investiert hat.
22. Oktober 2021
Hintergrund
Mit Einführung der DSGVO am 25.Mai 2018 erhielten Verbraucher besondere Rechte. Unter anderem sollte sichergestellt werden, dass große Konzerne die (sensiblen) personenbezogenen Daten ihrer Nutzer nicht gegen deren Willen sammeln und verarbeiten.
Von der Verarbeitung personenbezogener Daten lebt jedoch das Geschäftsmodell von Social Media Anbietern wie Facebook, denn durch die Auswertung des Nutzerverhaltens kann Werbung auf die jeweiligen Nutzer- Interessen genau zugeschnitten werden.
Facebook wendet bislang folgenden Trick an, um die personenbezogenen Nutzerdaten zu eigenen Zwecken verarbeiten zu können und damit die Voraussetzungen der DSGVO zu umgehen: Die Einwilligung wurde vollständig in die AGB verschoben, denen potenzielle Nutzer zustimmen müssen, um Facebook überhaupt benutzen zu können. Auf eine separate Einwilligung verzichtete Facebook. So werden strenge Anforderungen der DSGVO, wie die freiwillige Einwilligung in die Verarbeitung personenbezogener Daten und das jederzeitige Widerspruchsrecht hinsichtlich dessen, umgangen. Die Betroffenenrechte der DSGVO sind so praktisch ausgehebelt. Facebooks rechtliche Argumentation ist simpel: Wird die Vereinbarung als „Vertrag“ gemäß Art. 6 Abs.1 lit.b DSGVO statt als „Einwilligung“ gemäß Art.6 Abs.1 lit.a DSGVO ausgelegt, sollen die strengen Vorschriften der DSGVO für den Konzern nicht mehr gelten.
Dem österreichischen Juristen und Datenschutz-Aktivisten Max Schrems entgingen Facebooks Änderungen nicht. Er reichte damals Beschwerde bei der zuständigen Aufsichtsbehörde in Irland ein. Die hat nun, mehr als drei Jahre später, eine vorläufige Entscheidung getroffen. Es ist ein Bußgeld in Höhe von 28 bis 36 Millionen Euro für Facebook vorgesehen. Allerdings soll Facebook weiterhin an seiner Art und Weise der Zustimmungspraxis festhalten dürfen. Kritisch wurde lediglich die Herangehensweise von Facebook angemerkt. So habe Facebook auf die Verschiebung der Einwilligung zur Datennutzung in die AGB nicht transparent hingewiesen. Dies ist sodann auch der Grund für das Bußgeld in Höhe von 28 bis 36 Millionen.
Aktuell
Letzte Woche schickte die irische Datenschutzbehörde ein Schreiben an NOYB, dessen Vorsitzender Max Schrems ist. In diesem Schreiben wird NOYB dazu aufgefordert, einen Entscheidungsentwurf unverzüglich von ihrer Website zu entfernen und von jeder weiteren oder sonstigen Veröffentlichung oder Weitergabe desselben abzusehen. Zuvor legte die irische Datenschutzbehörde den anderen europäischen Datenschutzbehörden einen „Entscheidungsentwurf“ bezüglich des juristischen Tricks, mit dem Facebook die DSGVO umgeht, vor. Diesen Entscheidungsentwurf hat NOYB sodann veröffentlicht. NOYB weist jede Aufforderung seitens der irischen Datenschutzbehörde ab, den Entwurf zu entfernen; gemäß Art. 80 DSGVO sieht sich NOYB in der Pflicht, mit den Behörden zusammenzuarbeiten und die Entwicklung der DSGVO zu verfolgen. Hierunter fallen auch Veröffentlichungen von Entscheidungen, die für die Öffentlichkeit von Bedeutung sind.
14. Oktober 2021
Auf Twitter hat der Streaming-Anbieter Twitch bestätigt, dass es ein Datenleck gegeben hat. Unbekannte hatten zuvor bekanntgegeben, den Dienst „komplett“ gehackt zu haben. Die Webseite ist eine der größten Video-Plattformen im Internet und gehört seit 2014 zu Amazon. Anfangs konnten Nutzer über Twitch Gamern live beim Computer spielen zuschauen, mittlerweile gibt es dort Livestreams von Konzerten über Karaoke bis hin zu Traktorfahrten.
In den geleakten rund 125 GB Daten befinden sich neben dem gesamten Quellcode der Seite auch interne Informationen über Auszahlungen an die Top-Streamer. Demnach haben seit 2019 25 Personen jeweils mehr als zwei Millionen US-Dollar für ihre Live-Streams erhalten, über 50 Personen jeweils eine Million US-Dollar. Außerdem wurden Sicherheitstools geleakt, die für weitere Hackerangriffe ausgenutzt werden könnten.
Ebenso interessant wie die veröffentlichten Informationen ist das, was nicht veröffentlicht wurde: es sollen keine E-Mail-Adressen, Passwörter oder Kreditkartendaten der Twitch-Nutzer enthalten sein. Nutzerinnen und Nutzern wird lediglich empfohlen, das Passwort zu ändern und künftig die Zwei-Faktor-Authentifikation zu verwenden. Dieser Fakt und die Offenlegung des Codes sowie weiterer interner Informationen lässt vermuten, dass es sich um einen politisch motivierten Hack handelt. Bereits im August gab es unter dem Hashtag #DoBetterTwitch einen Boykottaufruf, da Twitch nicht genug gegen Hass gegen die Creator unternehme. Twitch hat daraufhin u.a. die Chatfilter angepasst, dies ging den Kritikern und Kritikerinnen jedoch nicht weit genug.
13. Oktober 2021
Die norwegische Datenschutzbehörde äußerte sich vor kurzem, dass ein Unternehmen, das eine Email mit persönlichen Daten an eine falsche Email Adresse geschickt hatte, keinen Datenschutzverstoß begangen hatte.
Was war passiert?
Der Betroffene hatte sich bei der norwegischen Behörde gemeldet, nachdem seine Kaufbestätigung und Rechnung an eine andere Email-Adresse als die seine versandt wurden. Die Email-Adresse des tatsächlichen Empfängers gehörte einem anderen Kunden des Unternehmens und war bis zum „@“ identisch mit der des Betroffenen. Der Betroffene ging deshalb von einer unternehmensinternen Verwechslung aus und machte diese als Verstoß gegen die DSGVO geltend. Weiterhin kontaktierte er wiederholt das Unternehmen, um die Verwechslung anzuzeigen und seine Daten korrigieren zu lassen.
Wie äußerte sich die Datenschutzbehörde?
Die Datenschutzbehörde geht davon aus, dass in dem ursprünglichen Versand der Email kein Verstoß gegen die DSGVO zu sehen ist. Vielmehr schien der Betroffene selbst seine Email-Adresse falsch eingegeben zu haben. Jedoch kritisierte die Behörde, dass das Unternehmen auf die wiederholten Versuche zur Kontaktaufnahme durch den Betroffenen nicht reagierte. So dauerte es mehr als 6 Monate, bis eine Korrektur der Email-Adresse vorgenommen wurde. Dies kritisierte die Behörde vor allem mit Blick auf die einmonatige Frist, die sich aus Art. 12 Abs. 3 DSGVO ergibt und sah hierin einen Verstoß gegen die DSGVO. Maßnahmen ergreift die Behörde keine, sie weist aber auf ihre Protokollierung solcher Fälle hin.
7. Oktober 2021
Am 27. September 2021 gab der Europäische Datenschutzausschuss (EDSA) bekannt, dass er eine „Cookie-Banner“ Task Force eingerichtet hat. Ziel und Aufgabe dieser Task Force ist, die Beschwerden, die die Organisation None of Your Business (NOYB) im Zusammenhang mit Cookie-Bannern auf Webseiten bei mehreren EU-Datenschutzbehörden eingereicht hat und daraus resultierenden Antworten, zu koordinieren,.
Im Mai 2021 hatte NOYB über 500 Beschwerdeentwürfe und formelle Beschwerden an Unternehmen in der EU bezüglich der Verwendung ihrer Cookie-Banner geschickt. Die Beschwerden scheinen sich bei den meisten Webseiten auf das Fehlen einer Schaltfläche „Alle ablehnen“ zu konzentrieren sowie auf die Art und Weise, wie Cookie-Banner ein trügerisches Design verwenden, um die Betroffenen dazu zu bringen, der Verwendung von nicht notwendigen Cookies zuzustimmen. Ein weiterer häufig genannter Beschwerdegrund ist die Schwierigkeit, Cookies abzulehnen, im Gegensatz zu der einfachen Möglichkeit, ihnen zuzustimmen.
Der EDPB erklärte, dass die Task Force in Übereinstimmung mit Art. 70 (1) (u) DSGVO eingerichtet wurde und das Ziel verfolgt, die Zusammenarbeit, den Informationsaustausch und die besten Praktiken zwischen den Datenschutzbehörden zu fördern. Die Einsatzgruppe soll sich über rechtliche Analysen und mögliche Verstöße austauschen, die Aktivitäten auf nationaler Ebene unterstützen und die Kommunikation vereinfachen.
30. September 2021
Seit Jahren steht Google in puncto Datenschutz in vielfacher Hinsicht unter Kritik. Nun sollen auch bei dem Tech-Riesen für die eigenen Cloud-Dienste die überarbeiteten Standarvertragsklauseln gelten. Im Zuge einer Aktualisierung der Datenschutzbedingungen habe man auch die neuen SCCs aufgenommen, teilte Google mit. Laut Google soll dies eine transparente Unterstützung der Cloud-Kunden bei der Einhaltung der geltenden europäischen Datenschutzgesetze und eine Vereinfachung der Prozesse gewährleisten.
Seitdem das sog. Privacy – Shield – Abkommen durch den Europäischen Gerichtshof mit seinem Urteil vom 16. Juli 2020 in der Rechtssache „Schrems II“ aufgehoben wurde, steht fest, dass bei einer Datenübertragung in die USA aktuell keine ausreichende Sicherung und Rechtewahrung für EU-Bürger vorhanden ist. Das Gericht zeigte wiederholt auf, dass US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act einen massenhaften Zugriff durch Sicherheitsbehörden wie die NSA oder das FBI erlauben. Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) enthält bei Vorliegen gewisser Voraussetzungen eine Verpflichtung zur Übermittlung auch außerhalb der USA gespeicherter Daten an US-Behörden. So können auch Daten europäischer Bürger ohne Weiteres in die Hände der US-Behörden gelangen, wenn diese sie bei einer amerikanischen Muttergesellschaft zB. einem Cloudanbieter herausverlangt. Dies steht allerdings im Widerspruch mit Art. 48 DSGVO und stellt europäische Unternehmen vor die Frage, ob sie Unternehmen mit Muttergesellschaft in den USA zur Auftragsverarbeitung überhaupt rechtskonform einsetzen können oder nicht zu europäischen Anbietern wechseln sollten.
Verbliebenes Instrument zum Schutz des europäischen Datenschutzniveaus sind die Standardvertragsklauseln (SCCs), die die Europäische Kommission am 04.06.2021 in neuer Version und angepasst an die erhöhten Anforderungen des „Schrems II- Urteils“ veröffentlichte. Diese werden die aktuell noch gültigen SCCs, die unter der vorherigen Datenschutzrichtlinie 95/46 verabschiedet wurden, ersetzen. Die neuen SCCs legen sowohl Datenexporteuren als auch Datenimporteuren erweiterte Pflichten auf. Google ist nach Amazon Web Services und Azure von Microsoft der nächste große Cloudanbieter, der die neuen SCCs implementiert.
Bei ihrer Umsetzung könnten allerdings einige Punkte spannend werden. So ist nach Klausel 14 der Datenimporteur verpflichtet, umfangreiche Informationen bereitzustellen, durch die eine Bewertung des Risikos der Datenübermittlung im Einzelfall möglich wird. Insbesondere ist entscheidend, dass nicht nur das allgemeine Datenschutzniveau im Empfängerland bewertet wird, sondern das konkrete Schutzniveau für die konkret übertragenen Daten eingeschätzt werden muss. Das könnte bedeuten, dass – anders als bisher – Google im großen Umfang datenschutzrechtlich tätig werden und interne Prozesse offenlegen müsste.
