Kategorie: Online-Datenschutz
26. März 2020
Laut IT-Sicherheitsexperten machen sich Kriminelle die momentanen Sorgen und Ängste von Nutzern, hinsichtlich des Coronavirus, zu Nutze.
Demnach würden Kriminelle unter anderem gefälschte E-Mails zu Coronavirus-Themen im Namen der Weltgesundheitsorganisation WHO oder im Namen von Hotelketten, Fluggesellschaften und Fitnessstudios verschicken. Ziel sei es, an die Passwörter der Nutzer zu gelangen. Mit Anklicken der in den E-Mails enthaltenen Links werde der Nutzer auf eine Pishing-Seite weitergeleitet oder es lade sich eine Schadsoftware im Hintergrund.
Aber auch das von vielen Arbeitgebern im Zuge der Corona-Krise angesetzte Homeoffice berge laut den Experten große Risiken. Da viele Arbeitscomputer nun dauerhaft außerhalb der Firmennetzwerke liefen, seien diese auch nicht mehr so gut geschützt. Die Experten empfehlen daher Arbeitgebern, die Ihren Mitarbeitern einen Fernzugriff auf das Firmennetzwerk ermöglichen, den Zugang mit einer Zwei-Faktor-Authentifizierung abzusichern – lesen Sie in diesem Zusammenhang auch gerne unseren Beitrag aus der Themenreihe.
Vor allem aber bestehe für öffentliche Gesundheitseinrichtungen ein hohes Risiko, Opfer von Cyberangriffen zu werden. Insbesondere Krankenhäuser seien ein beliebtes Ziel für Attacken mit sogenannten Erpresserprogrammen, die die IT-Systeme verschlüsseln und anschließend ein Lösegeld fordern. Für einige Kriminelle sei gerade die Corona-Krise ein großer Anreiz um Krankenhäuser anzugreifen.
10. März 2020
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland Pfalz (LfDI RLP) hat am 06. März 2020 seinen aktualisierten Handlungsrahmen für die Nutzung von „Social Media“ durch öffentliche Stellen veröffentlicht.
Wie bereits berichtet stellte der EuGH im Juni 2018 fest, dass der Betreiber einer Fanseite auf Facebook gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten verantwortlich ist. Daraufhin stellte das BVerwG im September 2019 klar, dass die Datenschutzaufsichtsbehörden bei Verstößen gegen die Betreiber von Facebook-Fanpages vorgehen können.
Der LfDI RLP beschäftigt sich zunächst mit der Zulässigkeit der Datenverarbeitung durch öffentliche Stellen. Diese könnten zwar Öffentlichkeitsarbeit als Annexkompetenz zu ihren Aufgaben betreiben. Die Stellen könnten sich dabei aber nicht auf Art. 6 Abs. 1 lit. e DSGVO i.V.m. § 3 LDSG RLP berufen. Danach ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Nach Ansicht des LfDI RLP ist die Weitergabe an Social Media-Dienste für die Öffentlichkeitsarbeit aber nicht erforderlich. Es bedürfe daher einer Einwilligung oder anderen Rechtsgrundlage.
Ob angemeldete Nutzer eine wirksame Einwilligung abgegeben haben lässt der Handlungsrahmen offen. Der LfDI RLP sieht es unter Vorbehalt als akzeptabel an, in einer Einwilligung an den Dienst auch eine solche für die Verarbeitung im Zusammenhang mit bestimmten Angeboten der Plattform zu sehen. Eine Einwilligung fehle aber jedenfalls regelmäßig bei Nutzerinnen und Nutzern, die nicht Mitglied der jeweiligen Social Media-Plattform sind. Jedenfalls sehe Facebook dafür keine technische Lösung vor.
Der Handlungsrahmen führt weiter aus, dass öffentliche Stellen für einen datenschutzkonformen Betrieb von Social Media-Plattformen eine Vereinbarung zur gemeinsamen Verantwortlichkeit schließen müssen. Solche Vereinbarungen müssten Antworten auf die im Fragenkatalog des Beschlusses der Datenschutzkonferenz zu Facebook Fanpages vom 5. September 2018 gestellten Fragen enthalten. Facebook beantworte in seiner Seiten-Insights-Ergänzung aktuell nicht alle diese Fragen. Zudem müssen der Verantwortliche auch weiteren Pflichten nachkommen, wie den Informationspflichten oder der Bereitstellung alternativer Informations- und Kommunikationsmöglichkeiten.
Der LfDI RLP weist darauf hin, dass er bei Verstößen die Außerbetriebnahme des Angebots anordnen könnte und eine Beanstandung oder Verwarnung erfolgen könnte. Daneben könnten betroffene Personen gegenüber Betreibern von Fanpages Schadensersatzansprüche haben.
Nachdem insbsondere der Landesbeauftragter für den Datenschutz des Landes Baden-Württemberg mit seinen Äußerungen zur Nutzung des Kurznachrichtendienstes Twitters für Aufsehen gesorgt hatte, beschäftigt sich jetzt eine weitere Aufsichtsbehörde mit der Nutzung von Social Media durch öffentlich Stellen.
4. März 2020
Das Oberlandesgericht Stuttgart hat mit seinem Urteil vom 27.02.2020 (2 U 257/19) dazu Stellung genommen, ob der Verstoß gegen die Informationspflichten aus Art. 13 DSGVO einen Wettbewerbsverstoß im Sinne des UWG darstellen und somit einen Unterlassungsanspruch nach § § 8 Abs. 1 UWG i.V.m. §§ 3, 3a UWG begründen kann. Dies wurde durch das Gericht bejaht.
Voraussetzung für diesen Unterlassungsanspruch ist eine unzulässige geschäftliche Handlung im Sinne des § 3 UWG. Eine solche begeht, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln und wenn der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen. Erforderlich ist also ein Marktbezug der Vorschrift, gegen welche verstoßen wurde. Dies wurde durch das Gericht mit Blick auf Art. 13 DSGVO, insbesondere deswegen bejaht, weil den Informationen über den Verantwortlichen eine verbraucherschützende Funktion zukomme. Aber auch die Angaben etwa über Zwecke und Dauer der Verarbeitung schützten Informationsinteresse sowie Entscheidungs-und Verhaltensfreiheit der Verbraucher in Bezug auf die Marktteilnahme und begründeten daher einen Marktbezug der Norm.
Des Weiteren befasste sich das Gericht ausführlich mit der Frage, ob den Ansprüchen und Sanktionsmechanismen der DSGVO ein abschließender Charakter zukommt, sodass der Unterlassungsanspruch des UWG von diesen verdrängt wird. Dies verneinte das Gericht und verwies darauf, dass der erforderliche abschließende Charakter insoweit weder aus dem Wortlaut noch aus der Entstehungsgeschichte der Verordnung zu schließen sei. Die Rechtsdurchsetzung bei Verstößen gegen die DSGVO sei demnach auch mittels des wettbewerbsrechtlichen Unterlassungsanspruch möglich.
Mit dieser Entscheidung bewegt sich das OLG Stuttgart im Fahrwasser der bisher überwiegenden Rechtsprechung (etwa OLG Hamburg, Urt. v. 25.10.2018 – 3 U 66/17, LG Würzburg, Beschluss vom 13.9.2018 – 11 O 1741/18 UWG, OLG Naumburg, Urt. v. 7.11.2019 – 9 U 39/18 zur unwirksamen Einwilligung). Wegen der grundsätzlichen Bedeutung der Frage wurde die Revision zugelassen. Insofern ist die weitere Entwicklung aufmerksam zu verfolgen, ist die Streitfrage doch von enormer Relevanz in der unternehmerischen Praxis.
27. Februar 2020
In einer Studie wurden 1065 Menschen in Deutschland zu ihrer Einstellung zum Datenschutz, personalisierten Botschaften und automatisiert generierten Empfehlungen im Netz befragt. Die Wissenschaftlerinnen und Wissenschaftler führten diese Studie im Auftrag des Max-Planck-Instituts für Bildungsforschung und der Universität Bristol durch und veröffentlichten diese Woche die Ergebnisse.
Die Umfrage hat ergeben, dass die Wahrnehmung des Einsatzes von KI-Technologien im Netz unter den Teilnehmern verhältnismäßig hoch sei. So sind die in diesem Zusammenhang verwendeten Begrifflichkeiten bekannt und die meisten Befragten können Nutzoberflächen mit und ohne personalisierte Inhalte unterscheiden.
Darüber hinaus hänge die Einstellung zu Personalisierung im Netz von den Inhalten ab. Die Mehrheit der Studienteilnehmer lehnt personalisierte Inhalte zu politischen Themen ab, während personalisierte Botschaften zu Unterhaltung, Shopping und nutzerorientierte Suchergebnisse als akzeptabel empfunden werden.
Die Wissenschaftlerinnen und Wissenschaftler halten aber fest, dass sich datenschutzrechtliche Bedenken und Sorgen der Teilnehmer nicht in ihrem Verhalten widerspiegeln.
Die Wissenschftlerinnen und Wissenschaftler hoffen mit der Veröffentlichung der Ergebnisse der Studie ein politisches Signal zu senden. „Deutsche finden ihre Daten schützenswert. Das wird an unseren Ergebnissen sehr deutlich und diese Haltung der Bürger:innen sollte in eine öffentlichen Debatte überführt werden. Künftig brauchen wir dann Regulationen, die es jeder Einzelnen ermöglicht, den Umgang mit ihren Daten online selbst einzustellen.“, betonte Philipp Lorenz-Spreen (einer der an der Studie beteiligten Wissenschaftler).
Das US-Unternehmen Clearview machte zuletzt Schlagzeilen, weil es die bisher größte bekannte Gesichtsdatenbank aufgebaut hatte. Die Datenbank verkaufte Clearview insbesondere an Strafverfolgungsbehörden, wie Recherchen der New York Times aufdeckten. Wir berichteten darüber ausführlich in einem früheren Blogbeitrag.
Nun sind Clearview offenbar sensible Kundendaten abhanden gekommen. Das geht aus einem Bericht des US-Magazins The Daily Beast hervor. Das Unternehmen soll seine Kunden gewarnt haben, dass ein Unberechtigter Zugang zur Kundenliste, zur Anzahl der Benutzerkonten einzelner Kunden und der jeweiligen Suchvorgänge verschafft habe. Ein Rechtsanwalt des Unternehmens erklärte, es habe kein Zugriff auf Server Clearviews stattgefunden. Der Unberechtigte habe keinen Zugriff auf die Suchverläufe der Kundenkonten bekommen und die Schwachstelle sei mittlerweile geschlossen. Die genauen Umstände der Datenpanne sind unklar, jedenfalls spricht Clearview in der Meldung nicht von einem Hack.
Clearview geriet in die Öffentlichkeit, weil es mehrere Milliarden Fotos von Nutzern aus sozialen Netzwerken wie Facebook, YouTube und Instagram sammelte. Die Datenbank enthält darüber hinaus Namen von Personen und weitere persönliche Daten über den Wohnort, die Aktivitäten sowie Freunde und Bekannte. Clearview verkaufte die Datenbank in Form einer App an bisher mehr als 600 Behörden. Auch private Sicherheitsunternehmen sollen zu den Kunden von Clearview gehören.
Social-Media-Plafttformen wie Google wehrten sich zuletzt gegen das Vorgehen. So mahnte Google Clearview ab, weil es auf Videomaterial von YouTube zugriff. Twitter forderte Clearview auf, den Abruf von Fotos einzustellen und vorhandenes Material zu löschen.
13. Februar 2020
Eigentlich sollte Facebooks Datingdienst am 13. Februar und damit pünktlich einen Tag vor Valentinstag in Europa verfügbar sein. Daraus wird aber nichts, wie die irische Datenschutzkommission (DPC) am 12. Februar bekanntgab. Erst 10 Tage vor dem geplanten Start, am 3. Februar, wurde die DPC von Facebooks EU-Headquarter in Irland über den geplanten Start von Facebook Dating informiert. Die DPC monierte, dass ihr keine Informationen und Dokumentationen über die Datenschutz-Folgenabschätzung (DPIA) oder den bei Facebook Irland abgelaufenen Entscheidungsfindungsprozessen vorgelegt wurden. Um die Beschaffung der erforderlichen Unterlagen zu beschleunigen hat die DPC am vergangenen Montag eine Inspektion in den Büros von Facebook Irland durchgeführt und Dokumente gesammelt. Am daraufolgenden Tag teilte Facebook der Datensschutzbehörde mit, dass die Einführung des Features verschoben wurde.
In den USA wurde das Dating-Feature bereits im September gelauncht. EU-Bürger müssen bis auf Weiteres auf anderen Plattformen auf Partnersuche gehen. Aber auch die stehen im Fokus von Untersuchunngen: So legten norwegische Verbraucherschützer gegen die Dating-App Grindr Beschwerde ein, auch Lovoo stand bereits in der Kritik und aktuell ermittelt die irische Datenschutzkommission, ob der Umgang mit personenbezogenen Daten der Dating-App Tinder im Einklang mit dem Datenschutzrecht steht.
11. Februar 2020
Der Landesbeauftragter für den Datenschutz des Landes Baden-Württemberg, Stefan Brink, löschte am 31. Januar 2020 seinen Twitter-Account mit rund 5400 Followern. Diesen Schritt begründete er damit, dass die Benutzung des datenschutzrechtlich problematischen Dienstes nicht mit seiner Tätigkeit vereinbar sei. Er wolle nun prüfen, „ob die anderen drinbleiben dürfen.“ Die Landesregierung Baden-Württembergs und die Landespolizei meldeten kurz danach an, nicht auf den Kurznachrichtenndienst verzichten zu wollen. Der „Twexit“ des Landesbeauftragten könnte nun aber Folgen für Behörden und Unternehmen haben. Kürzlich veröffentlichte die Aufsichtsbehörde Anforderungen an die behördliche Nutzung „Sozialer Netzwerke„. Im Wesentlichen werden 5 Anforderungen aufgestellt: Behörden müssten eine datenschutzrechtliche Rechtsgrundlage für die Benutzung vorweisen und Transparenzgebote einhalten. Sie sollen mit dem Sozialen Netzwerk einen Vertrag zur gemeinsamen Verantwortung schließen. Zudem müssten Behörden alternative Informations- und Kommunikationswege anbieten und technisch und organisatorische Sicherungsmaßnahme einhalten. Besonders die Forderung nach einem Vertrag über die gemeinsame Verantwortung hat es in sich: Denn Twitter weigert sich aktuell solche Verträge mit seinen Nutzern zu schließen. Stefan Brink sieht aber Verträge für die gemeinsame Verantwortlichkeit als zwingende Voraussetzung für eine rechtskonforme Benutzung des Dienstes an. Diese Anforderung schließt die Aufsichtsbehörde aus den neuerlichen Urteilen des EuGH und des BVerwG zu Facebook-Fanpages, die auf Twitter übertragbar seien.
In einem Interview mit JUVE Rechtsmarkt erläuterte Stefan Brink nun seine Strategie: Zunächst will er mit Behörden den Dialog suchen. Wenn das nicht funktioniere könnten Anordnungen erlassen werden, um „die Behörden [zu] zwingen, mit dem Twittern aufzuhören.“ Er erkennt zwar die große Rolle die Social-Media-Kanäle spielen, möchte sich aber trotzdem „in der zweiten Jahreshälfte […] Unternehmen ansehen.“ Er ist sich sicher durch „Druck auf die Unternehmen“ zu erreichen, dass „die Unternehmen ihrerseits Druck auf die Plattformbetreiber ausüben“ und so an „den formal nötigen Vertrag“ kommen werden.
6. Februar 2020
Wie bereits berichtet, hatte die Gesichtserkennungsfirma Clearview circa drei Milliarden Bilder in ihrer Datenbank gesammelt. Unter anderem griff Clearview dafür auch auf das Videomaterial von Youtube zurück.
Dieses Verhalten führte nun zu einer Abmahnung von
Google gegenüber der Firma Clearview. Im Abmahnschreiben fordert Google die
Löschung des Bild- und Videomaterials. Dem Startup wird vorgeworfen, dass es
mit der Speicherung der Videos, zum Zwecke der Identifizierung von Personen,
gegen die Youtube Richtlinien verstoßen hat.
Das Unternehmen hatte gestanden die Daten der Videoplattform zum Zwecke der Gesichtserkennung gespeichert zu haben. Laut der Pressesprecherin von Youtube war dieses Geständnis der Auslöser für die Abmahnung.
Neben Google haben bereits weitere Unternehmen wie z.B. Twitter und Facebook von Clearview die Löschung der Bilder gefordert. Es bleibt abzuwarten wie ein mögliches Gerichtsverfahren in diesem Fall ausgehen würde.
23. Januar 2020
Laut Pressemitteilung vom 22.01.2020 könnte die Landeshauptstadt Potsdam Opfer eines Cyberangriffs geworden sein. Infolgedessen wurde der Server der Verwaltung vor etwa 48 Stunden offline gestellt.
Der Oberbürgermeister Mike Schubert erklärte: „Wir haben unsere Systeme aus Sicherheitsgründen offline gestellt, weil wir von einer illegalen Cyberattacke ausgehen müssen“. Weiterhin versicherte er: „Wir arbeiten mit Hochdruck daran, dass die betroffenen Systeme der Verwaltung baldmöglichst wieder eingeschaltet werden und wir wieder sicher arbeiten können. Bis dahin bitten wir um Geduld bei allen Anliegen, die die Bürgerserviceeinrichtungen betreffen“.
Hintergrund für die Vermutung eines Cyberangriffs waren laut Schubert „zahlreiche Ungereimtheiten“, die in den letzten 2 Tagen in den zentralen Netzzugängen festgestellt worden sind. Angeblich wurde, aufgrund einer „Schwachstelle im System eines externen Anbieters“, von außen versucht unberechtigt Daten vom Server der Stadt Potsdam abzurufen. Zusätzlich wurde probiert eine Schadstoffsoftware zu installieren.
Über das Ausmaß der Schäden kann zurzeit noch keine Aussage getroffen werden. Die It-Experten untersuchen momentan die Systeme, versuchen sie wiederherzustellen und die Datensicherheit zu gewährleisten. Die Stadt Potsdam hat Anzeige gegen Unbekannt gestellt und die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht (LDA) Brandenburg informiert. Die Verwaltungsvorgänge sind zurzeit stark eingeschränkt. Die Verwaltung ist nicht mehr per E-Mail, sondern nur noch telefonisch erreichbar.
21. Januar 2020
Nach Recherchen der New York Times hat das US-Unternehmen Clearview mehrere Milliarden Fotos von Nutzern aus sozialen Netzwerken wie Facebook, YouTube und Instagram gesammelt. Damit hat das Unternehmen die bisher größte bekannte Gesichtsdatenbank aufgebaut.
Clearview verkauft die Datenbank in Form einer App an seine Kunde. Mit Hilfe der App sollen Millionen Menschen innerhalb von Sekunden erkannt werden können.
Die App wurde im letzten Jahr bereits von 600 Behörden genutzt. Dabei machen insbesondere Strafverfolgungsbehörden von der privaten Datenbank Gebrauch. Die Behörden seien, auch wenn sie nicht genau wüssten wie Clearview arbeite, von den Ergebnissen überzeugt. Unter den Kunden sollen sich auch private Sicherheitsunternehmen befinden.
Der Bericht zeigt zudem die Gefahren der massenhaften Datensammlung des Unternehmens im Hinblick auf den Schutz der Privatsphäre des Einzelnen auf.
So offenbart die App nicht nur den Namen einer Person, sondern liefert auch weitere persönliche Daten über den Wohnort, die Aktivitäten sowie Freunde und Bekannte.
Darüber hinaus ist die Fehleranfälligkeit der Gesichtserkennungssoftwares allgemein bekannt. Es besteht daher durchaus die Möglichkeit, dass eine falsche Person durch die Clearview Datenbank identifiziert wird und im Zweifel ins Visier der Strafverfolgungsbehörden gerät.
Weiterhin ist auch nicht bekannt, wie Clearview die Fotos, die US-Behörden zwecks Gesichtserkennung auf die Server des Unternehmens laden, im datenschutzrechtlichen Sinne schützt. Die Firma Clearview war vor den Recherchen der New York Times praktisch unbekannt und gibt sich Mühe im Hintergrund zu bleiben.
