Kategorie: Online-Datenschutz
14. November 2019
Nach Information der in London erscheinenden „Financial Times“ leiten mehrere spezialisierte Gesundheitswebsites Gesundheitsdaten über Internet-Klicks zu medizinischen Symptomen und Krankheitsbildern an die riesigen Digitalkonzerne wie Google, Amazon und Facebook weiter.
Der größte Nutzer dieser Übermittlung ist das von Google übernommene Unternehmen DoubleClick. Aber auch drugs.com und die British Heart Foundation sind Empfänger dieser Daten. Die Zeitung stellte fest, dass eine Weiterleitung von Daten etwa zu Stichwörtern wie Abtreibung oder Drogen bei 79 von 100 überprüften Websites stattfand. Diese Weiterleitung erfolgte ohne Einverständnis der Nutzer.
Technisch findet die Weitergabe der Daten hauptsächlich mittels Cookies oder durch IP-Identifizierung statt.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber erklärte in einer Pressemitteilung vom 14.11.19, dass Webtracking nur noch mit expliziter Einwilligung der User möglich ist.
Wenn Website-Betreiber Dritt-Dienste wie z.B. Google Analytics auf ihrer Internet-Seite mit einbinden und diese die personenbezogenen Daten für eigene Zwecke nutzen, benötigen sie eine Einwilligung des Betroffenen. Diese muss datenschutzkonform sein und kann nicht durch Cookie-Banner oder voraktivierte Kästchen ersetzt werden.
Daher rief Ulrich Kelber die Website-Betreiber dazu auf ihre Websites auf Dritt-Dienste zu kontrollieren. Für einen datenschutzkonformen Einsatz dessen sollte der Website-Betreiber die Einwilligung der User einholen. Andernfalls wird zur Löschung der Dritt-Dienste geraten.
29. Oktober 2019
Facebook plant künftig auch Gesundheitsdaten seiner Nutzer zu sammeln.
Die neue Funktion soll Nutzern eine bessere Kontrolle über ihre Gesundheit bieten, heißt es in einem Blogbeitrag von Facebook.
Nutzer geben Facebook ihre sensiblen Daten preis und erhalten im Gegenzug die Möglichkeit, über die Gesundheitsfunktion nach einem Arzt zu suchen oder Erinnerungen für Ihre zukünftigen Untersuchungen zu erstellen und diese als erledigt zu markieren. Facebook erhält dabei keinen Zugriff auf die Ergebisse der Untersuchung.
Zu den Daten, die Facebook für diese Funktion sammlt, gehören Alter und Geschlecht, der aktuelle Wohnort und wahlweise der genaue Standort. Basierend auf den Angaben zu Alter und Geschlecht werden dem Nutzer Untersuchungen vorgeschlagen, die von Gesundheitsorganisationen empfohlen werden.
Es werden keine Daten aus der Funktion an Drittanbieter weitergegeben. Ebensowenig wird Werbung auf Basis der Daten aus der Gesundheitsfunktion angezeigt. Dies gilt allerdings nur, solange der Nutzer nicht auf einen vorgeschlagenen Link zu einem Arzt oder einer anderen Gesundheitsorganisation klickt, denn diese Information wird für Werbezwecke genutzt.
Die Gesundheitsfunktion wird erstmal nur in den USA verfügbar sein. Facebook macht keine Angaben dazu, ob das Angebot für Europa geplant wird.
15. Oktober 2019
Twitter hat in einem Hinweis an seine Nutzer am 8.10.2019 erklärt, dass das Unternehmen Telefonnummern und E-Mail-Adressen nutzte, um personalisierte Werbung zu schalten. Die betroffenen Daten wurden von Usern hinterlegt, um die sicherere Zwei-Faktor-Anmeldung zu nutzen und sollten dementsprechend lediglich für Sicherheitszwecke genutzt werden. Es handelte sich um einen internen Fehler, der ab Mitte September behoben worden sei, erklärte der Dienst.
Twitter bestätigte, dass
Marketinglisten der Werbekunden mit Kontaktdaten von Twitter-Nutzern
abgeglichen wurden. Die Marketinglisten basieren auf Daten, die Werbetreibende
schon aus anderen Quellen zusammengestellt haben. Das Unternehmen bestätigt,
dass das Problem seit dem 17. September behoben ist und keine Telefonnummern
oder E-Mail-Adressen mehr für Werbezwecke verwendet werden. Außerdem teilt Twitter
seinen Nutzern mit, dass keine personenbezogenen Daten an Partner oder Dritte
weitergegeben wurden.
Twitter schreibt zusätzlich: „Wir können nicht mit Sicherheit sagen, wie
viele Menschen betroffen waren, aber im Sinne der Transparenz wollten wir alle
aufklären.“ In seinem Hinweis bittet das Unternehmen abschließend um
Entschuldigung und erklärte, dass die Werbekunden keinen Zugriff auf diese Daten
gehabt hätten.
30. September 2019
Im Rahmen des Insolvenzverfahrens des Reiseveranstaltungsunternehmens Thomas Cook versuchen scheinbar unbekannte Personen sensible (personenbezognene) Daten abzugreifen. Dies geschieht ausweislich der Pressemitteilung des Unternehmens mittels „Phishing Mails“. So würden Verbraucher via Email eine als offizielle Benachrichtigung von Thomas Cook deklarierte Erklärung mit dem Betreff: „Wichtig: Erstattung Ihrer Thomas Cook-Reise.“ erhalten. Dies würde mit dem Zweck geschehen, sensible Daten, wie beispielsweise Pass- und Kreditkartendaten, unberechtigterweise für einen künftigen Missbrauch abzufragen.
Thomas Cook selbst habe zu keiner Zeit Emails dieser Art an Kunden verschickt. Das Unternehmen empfiehlt diese Mails zu ignorieren und zu löschen.
27. September 2019
Am Donnerstag Abend wurde ein Darknet-Rechenzentrum in Rheinland-Pfalz durch das LKA gestürmt. Deutschen Ermittlern gelang dadurch ein erheblicher Schlag gegen die internationale Cyberkriminalität.
Mehrere Hundert Einsatzkräften gelang es sieben Tatverdächtige festzunehmen, darunter auch die vermeintlichen Betreiber des illegalen Rechenzentrums. Ein dort gelagerter Server wurde durch das LKA direkt vom Netz genommen.
Ein Sprecher des LKA erklärte, dass gegen die festgenommenen Personen wegen Waffenhandels, Drogenhandels und allem anderen was im Darknet verbreitet wird, ermittelt würde. Dem Einsatz des LKA gingen mehrere Jahre Ermittlungsarbeit voraus. Von dem genannten Rechenzentrum aus wurde außerdem der weltweit zweitgrößte Darknet-Marktplatz „Wall Street Market“ betrieben, welcher bereits im Frühjahr zerschlagen werden konnte. Über den Darknet-Markplatz wurden ausgespähte Daten, gefälschte Dokumente und Schadsoftware gehandelt sowie ein Angriff auf ca. eine Millionen Telekom-Router im Jahr 2016 ausgeführt.
25. September 2019
Google reagiert auf die Vorwürfe zur unrechtmäßigen Auswertung von Sprachaufnahmen durch Mitarbeiter. In einem Blogbeitrag verspricht Google mehr Datenschutz, erklärt die Datenverarbeitung bei der Nutzung des Sprachassistenten und entschuldigt sich bei seinen Usern.
Google stellt zunächst klar, dass sein Sprachassistent ohne
Speicherung von Sprachaufnahmen verwendet werden kann. Indem die Nutzer in den Einstellungen
die „Sprach- und Audioaktivitäten“ aktivieren, stimmen sie einer Speicherung
ihrer Sprachaufnahmen zu. Da die Sprachauswertung nach den Vorwürfen ausgesetzt
worden ist, müssen auch Nutzer, die den Assistenten bereits verwenden, einer
Speicherung zunächst zustimmen. Mit dem Ziel der Datenminimierung sollen in
Zukunft gespeicherte Sprachaufnahmen, die mit dem Nutzerkonto verknüpft sind,
nach ein paar Monaten gelöscht werden.
Erst nach einer Zustimmung speichert Google Sprachaufnahmen
der User bei der Nutzung seines Assistenten. Ein Teil dieser Audiodateien wird dann
von Mitarbeitern zur Verbesserung des Assistenten ausgewertet. Google betont
aber, dass diese Sprachaufnahmen keinem Nutzerkonto zugeordnet werden.
Als Schwachstelle sieht Google selbst die unbeabsichtigte Aktivierung des Sprachassistenten und verspricht alle so entstandenen Audiodateien zu löschen. In Zukunft sollen Nutzer die Empfindlichkeit des Assistenten – also wie schnell dieser auf „OK Goolge“ regiert, selbst regulieren können.
Mit dem Blogbeitrag schafft Google zumindest mehr Transparenz bezüglich der Verarbeitung von Sprachaufnahmen seiner User. Wie die Änderungen tatsächlich umgesetzt werden bleibt abzuwarten.
Der EuGH hatte sich erneut mit der Thematik der Löschung von Informationen aus Ergebnislisten einer Suchmaschine befasst. Bereits im Jahr 2014 stärkte der EuGH das Recht auf Vergessenwerden. Es blieb jedoch die umstrittene Frage über die geographische Reichweite des vom Gericht eingeräumten Recht auf Vergessenwerden über die EU-Grenzen hinaus offen. Deshalb hatte der französische Staatsrat den EuGH zur genaueren Auslegung dieser Verpflichtung angerufen.
In seinen jetzigen Urteilen (Urteile vom 24.09.2019, Rechtssache C-136/17 und C-507/17) machte der EuGH deutlich, dass die Suchmaschinenbetreiber nicht dazu verpflichtet werden können, Links weltweit zu löschen und sich damit das Recht auf Vergessenwerden lediglich auf die EU-Staaten beziehe. Jedoch stellt er klar, dass die angezeigten Links weltweit aus allen Versionen des Dienstes zu entfernen sind. Die Suchmaschinenbetreiber müssen durch entsprechende Maßnahmen dafür Sorge tragen, dass Internetnutzer nicht auf Links außerhalb der EU zugreifen können.
Darüber hinaus wurde in einem weiteren Urteil festgestellt, dass das Verbot der Verarbeitung von bestimmten personenbezogenen Informationen auch auf die Suchmaschinenbetreiber übertragbar ist. Ein wirksamer Schutz müsse für die betroffenen Bürgerinnen und Bürger eingehalten werden, damit das Privatleben jedes einzelnen geachtet werden kann.
16. September 2019
Die Betreiber von gewerblichen Fanpages auf Facebook sind mitverantwortlich für die Datenverarbeitung. Datenschutzbehörden dürfen Unternehmen verpflichten, ihre Seiten bei Facebook abzuschalten, wenn Facebook den Datenschutz missachtet. Das entschied jetzt das Bundesverwaltungsgericht in einem Grundsatzurteil.
Wie wir bereits berichtet haben, liegt der Entscheidung ein Fall aus Schleswig-Holstein zugrunde. Das Landeszentrum für Datenschutz (ULD) forderte 2011 von der Wirtschaftsakademie Schleswig-Holstein die Deaktivierung der Fanpage. Bei Aufruf der Seite würden Daten der Nutzer erhoben, ohne dass diese darüber informiert würden. Das Oberverwaltungsgericht (OVG) Schleswig-Holstein hat eine datenschutzrechtliche Verantwortlichkeit der Klägerin abgelehnt, weil sie keinen Zugriff auf die erhobenen Daten habe. Das Bundesverwaltungsgericht legte den Fall schließlich dem Europäischen Gerichtshof (EuGH) vor.
Der EuGH hat im Juni 2018 dann entschieden, dass der Betreiber einer Fanpage für die durch Facebook erfolgende Datenverarbeitung mitverantwortlich ist. Er ermöglicht durch den Betrieb der Fanpage Facebook den Zugriff auf die Daten der Fanpage-Besucher. Das Bundesverwaltungsgericht hat auf Grundlage dieser bindenden Vorgabe das Berufungsurteil aufgehoben.
„Erweisen sich die bei Aufruf der Fanpage ablaufenden Datenverarbeitungen als rechtswidrig, so stellt die Deaktivierungsanordnung ein verhältnismäßiges Mittel dar“, weil dem ULD keine anderweitige Möglichkeit zur Herstellung datenschutzkonformer Zustände offensteht. Inwiefern die Datenverarbeitung im konkreten Fall tatsächlich rechtswidrig war, muss aber noch genauer geklärt werden, urteilten die Leipziger Richter. Sie verwiesen den Fall darum zur erneuten Verhandlung und Entscheidung an das OVG zurück.
11. September 2019
Das Bundesverwaltungsgericht muss heute über einen Fall aus Schleswig-Holstein entscheiden und dabei beurteilen, wie weit die Mitverantwortung eines Unternehmens, das eine Seite bei Facebook betreibt, geht. Wie wir bereits berichtet haben hat der Europäische Gerichtshof (EuGH) bereits im vergangenen Jahr entschieden, dass eine datenschutzrechtliche Mitverantwortung anzunehmen ist.
Im Fall, über den das Bundesverwaltungsgericht heute zu entscheiden hat, hatte die Landesdatenschutzbehörde in Schleswig-Holstein geklagt. Die Wirtschaftsakademie des Bundeslandes sollte ihre Facebook-Seite deaktivieren, weil dort personenbezogene Daten erhoben wurden, ohne dass die Nutzer davon wussten.
Allerdings dürften die Richter des Bundesverwaltungsgerichtes kaum anders entscheiden als der EuGH, weshalb das Facebook-Urteil weitreichende Folgen hätte. Zum einen für Unternehmen, die solche Seiten unterhalten, aber möglicherweise auch für Profilseiten anderer sozialer Netzwerke.
