Kategorie: Online-Datenschutz
1. Juli 2019
Das Unternehmen Facebook wurde ausgehend von einer Pressemitteilung der italienischen Aufsichtsbehörde zu einer Geldstrafe von 1 Millionen Euro verurteilt. Konkret ging es um die im Jahr 2018 bekannt gewordene unerlaubte Weitergabe personenbezogener Daten an das Unternehmen Camebridge Analytica. Dieses hatte besagte Informationen über eine App erhalten und ausgewertet.
Dies ist nicht das einzige Verfahren in dem sich Facebook verantworten muss. In den Vereinigten Staaten sieht sich das Unternehmen beispielsweise zivilrechtlichen Ansprüchen ausgesetzt.
Trotz dem, im Vergleich zu dem maximalen Strafmaß, noch milden Bußgeld ist eine eindeutige Tendenz hin zur konsequenteren Durchsetzung datenschutzrechtlicher Normen erkennbar. Vor diesem Hintergrund sind Unternehmen gut beraten, die datenschutzrechtliche Konformität ihrer Prozesse zu überprüfen.
25. Juni 2019
Falschparker sind in vielen überfüllten Großstädten ein Ärgernis. Sie blockieren Ein- und Ausfahrten oder behindern Fußgänger und Fahrradfahrer. In Stuttgart wurden Verkehrssünder nun online von Twitter-Usern an den Pranger gestellt. Unter dem Hashtag #StuttgartParktFair wurden Fotos der falsch abgestellten Fahrzeuge gepostet.
Der Landesdatenschutzbeauftragte von Baden-Württemberg sieht hierin einen eindeutigen Verstoß gegen die Datenschutzgrundverordnung. Das Problem: Fotos der Falschparker werden mit klar erkennbaren Nummernschildern ins Internet gestellt. Nummernschilder sind personenbezogene Daten, die einem Fahrzeughalter zugeordnet sind und unterliegen mithin dem Datenschutz. Eine Veröffentlichung im Internet ohne Einwilligung des Betroffenen sei nicht zulässig.
Zwar sollen keine Verfahren gegen die Nutzer angestrebt werden, allerdings verweist der Landesdatenschutzbeauftragte darauf, dass den Betroffenen möglicherweise Schadensersatzansprüche zustehen können.
11. Juni 2019
Mit einem neuen Referentenentwurf zum „Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation“ (kurz: Digitale Versorgung Gesetz) will Bundesgesundheitsminister Spahn die digitale Versorgung verbessern.
Patienten sollen telemedizinische Angebote wie etwa Gesundheits-Apps und Videosprechstunden einfacher nutzen können. Auch Überweisungen, Bescheinigung von Arbeitsunfähigkeit oder Verschreibungen ohne Vor-Ort-Besuch einer Praxis sollen ermöglicht werden. Außerdem sollen sich Daten der Patienten in absehbarer Zeit in einer elektronischen Patientenakte speichern lassen. Dies sind wesentliche Ziele des Referentenentwurfes.
Bei diesen digitalen Anwendungen werden sog. Gesundheitsdaten verarbeitet, welche nach Art. 9 DSGVO besonders schützenswert sind.
Laut Ehrenpräsident der Bundesärztekammer Frank Ulrich Montgomery wird diesem Umstand Rechnung getragen: „ Höchste Priorität haben hier der Datenschutz und eine Einwilligung der Patienten in digitale Prozesse.“ sagte er gegenüber der Deutschen Presse-Agentur in Berlin.
Bundesgesundheitsminister Spahn sieht die Digitalisierung im Gesundheitswesen auf einem guten Weg: „Ich möchte, dass wir mit unserem Datenschutz, unserer Datensicherheit und vor allem auf deutschen Servern digitale Angebote entwickeln.“
Inzwischen haben fast alle Landesärztekammern ihre Berufsordnungen entsprechend angepasst.
5. Juni 2019
Ein Vorbereitungsgremium des Europäischen Rates, die Gruppe „Telekommunikation und Informationsgesellschaft“, befasst sich am 07.06.2019 mit dem Fortschrittsbericht zu einer künftigen Verordnung „über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation“ (ePrivacy-VO-E).
Entstehung
Bereits im Jahr 2009 wurde das datenschutzrechtliche Normengefüge im Kontext elektronischer Kommunikation durch die sog. Cookie-Richtlinie erweitert. Diese normiert unter Anderem Anforderungen an Einwilligung sowie Aufklärung der Nutzer im Kontext von Cookies auf Webseiten. Die Richtlinie wurde vom deutschen Gesetzgeber mittels Vorschriften im Telemediengesetz (TMG) und im Telekommunikationsgesetz (TKG) umgesetzt.
Künftig wird die ePrivacy-VO dieses Normengefüge erweitern und Aspekte elektronischer Kommunikationsdienste normieren sowie die zuvor aufgeführte Richtlinie ersetzen. Die konkrete Ausgestaltung der Verordnung ist nun Gegenstand des politischen (sowie rechtlichen) Diskurses innerhalb Europas und wird im weiteren Gesetzgebungsverfahren finalisiert.
Frühzeitige Implementation sinnvoll
Nichtsdestotrotz sollten Unternehmen dies nicht als Anlass zu übermäßiger Gelassenheit nehmen. So lehrte die (teilweise) verspätete und daraus resultierende hektische sowie mangelhafte Umsetzung der Anforderungen der Datenschutzgrundverordnung (DSGVO) seit Mai des letzten Jahres, dass auch Gelassenheit bisweilen ein Fehler ist. Da die fehlerhafte Umsetzung überdies ein Haftungsrisiko birgt, sollten Unternehmen keinesfalls zu lange warten, bis Sie die kommenden Regelungen der ePrivacy-VO in ihre Datenschutz-Compliance implementieren.
Laut einer Beschlussvorlage für die anstehende Innenministerkonferenz der Länder, die dem Redaktionsnetzwerk Deutschland (RND) vorliegt, sollen Daten von Smart Home Geräten als Beweismittel vor Gericht zugelassen werden. Wenn es nach den Innenministern der Länder geht könnten die digitalen Spuren zukünftig bei der Aufklärung von Verbrechen, vor allem im Bereich von Kapitalverbrechen und terroristischen Bedrohungslagen, helfen.
Wegen dieser, für die Sicherheitsbehörden, wertvollen Daten möchten die Innenminister nun verfassungsrechtliche Bedenken aus dem Weg räumen. Laut der Beschlussvorlage soll in Zukunft eine richterliche Zustimmung ausreichend sein. Allerdings erwarten die Innenpolitiker Kritik und Widerstand von den Datenschutzbeauftragten sowohl der Länder als auch des Bundes.
Smart Home Geräte sind technische Geräte wie zum Beispiel Fernseher, Kühlschränke oder Sprachassistenten, die mit dem Internet verbunden sind. Sie werden auch unter dem Begriff Internet of the Things (IoT) zusammengefasst, können über das Smartphone gesteuert werden und dem Benutzer den Alltag erleichtern. Dabei werden viele Daten gespeichert und verarbeitet.
Wir berichteten bereits mehrfach über die Vor-und Nachteile von Smart Home Geräten, unter anderem auch darüber, dass in den USA Daten von Smart Home Geräten bereits bei der Aufklärung von Verbrechen geholfen haben.
Es ist nicht von der Hand zu weisen, dass Daten von Smart Home Geräten (unter Umständen) dabei helfen können Straftaten aufzuklären, jedoch darf nicht vernachlässigt werden, dass aufgrund der technischen Ausgestaltung eine 100%ig verlässliche Aussage nicht getroffen werden kann. Ein einfaches Beispiel ist folgendes: ob der Hausherr tatsächlich zum fraglichen Zeitpunkt zu Hause war oder noch auf dem Weg nach Hause oder nur den Eindruck erwecken wollte, er sei zu Hause, während er in Wahrheit auf der anderen Seite der Welt verweilte, kann aufgrund der Daten von Smart Home Geräten nicht festgestellt werden. Aufgrund der Möglichkeit der Steuerung mit dem Smartphone kann der Benutzer zum Beispiel das Licht-/Heizungsmanagement jederzeit von überall bedienen.
Darüber hinaus ist zu Bedenken, dass der Mensch durch solche Eingriffe, bzw. die bloße Eingriffsmöglichkeit in seinem Recht auf informationelle Selbstbestimmung verletzt wird/werden kann und gerade dem Schutz dieses grundgesetzlichen geschützten Rechts hat sich der Datenschutz verschrieben.
Außerdem gilt der verfassungsrechtlich gesicherte Grundsatz, dass sich Beschuldigte nicht selbst belasten müssen.
Update: Die 210. Innenministerkonferenz ist zwischenzeitig zu Ende gegangen und eine Zulassung von Smart Home-Daten wurde abgelehnt. Die Beschlüsse der Konferenz finden Sie hier.
31. Mai 2019
Bei der Foto-Sharing-Plattform Theta360.com kam es zu einer Datenpanne, durch welche Dritte über 11 Millionen öffentliche sowie private Fotos der Nutzer abrufen konnten.
Die Plattform bildet einen weiteren Geschäftszweig des japanischen Elektronikkonzerns welcher vorwiegend 360-Grad-Kameras vertreibt. Das Unternehmen bietet seinen Kunden mittels der Plattform die Möglichkeit eigene Fotos hochzuladen, öffentlich zu teilen und zu kommentieren. Um die Privatsphäre der Nutzer zu ermöglichen, können diese darüber entscheiden, ob Ihre Fotos öffentlich oder nur für Freunde sichtbar sind.
Die Datenpanne kam durch eine Gruppierung von White Hat-Hackern ans Licht, welchen die offene Benutzerdatenbank in Theta360 aufgefallen ist. Durch das Einfügen der UUID von Fotos in die betreffende Elasticsearch-Datenbank war es in einigen Fällen sogar möglich die Benutzernamen der Datenbanken mit den entsprechenden Social Media Accounts zu verknüpfen.
Das Datenleck wurde inzwischen behoben, jedoch ist noch nicht bekannt, ob Dritte die Schwachstelle ausgenutzt haben und ob eine entsprechende Meldung der Datenpanne gemäß der DSGVO an die Aufsichtsbehörde abgesetzt wurde.
24. Mai 2019
Nach Informationen des Fachdienstes „Tagesspiegel Background Digitalisierung & KI“ verhängte die Berliner Landesdatenschutzbeauftragte Maja Smoltczyk gegen die N26 Bank eine der bislang höchsten Strafen wegen Verletzungen der DSGVO. Grund für die Strafe ist eine von der N26 Bank geführte schwarze Liste mit ehemaligen Kunden. Zulässig ist dies jedoch nur wenn diese unter Geldwäscheverdacht stehen. Dadurch konnten die Betroffenen kein neues Konto eröffnen.
Auf Nachfrage bestätigte N26, dass diese Praxis inzwischen geändert wurde.
Gegen das verhängte Bußgeld geht die N26 Bank nun rechtlich vor.
Vor kurzem hat auch die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) von dem Unternehmen eingefordert, die Kontrolle von möglicher Geldwäsche zu verbessern.
Unter dem Namen „Privacy Preserving Ad Click Attribution“ hat Apple einen neuen Vorschlag zur Standardisierung eingereicht. Dieser soll Werbetracking im Web ermöglichen, ohne die Privatsphäre der Nutzer zu beeinträchtigen, erklären die für den Safari-Unterbau WebKit zuständigen Entwickler in einem Blog-Beitrag.
Im Kern sollen entscheidende Teile von Werbeabläufen anonymisiert werden. So müsse Seite A, bei der man auf eine Werbung klickt, nicht wissen, dass man auf der dann aufgerufenen Seite B ein Produkt gekauft hat. Zur Messung der Effektivität sei lediglich notwendig, dass Seite A weiß, dass „irgendwer“ danach einen Kauf getätigt hat.
Um dies zu erreichen sollen Cookies, die nur für ein detailliertes Tracking gedacht sind, generell verboten werden. Berichte über die Interaktion mit Werbung sollen um 24 bis 48 Stunden verschoben werden, um die Zuordnung weiter zu erschweren. Im Privatsphärenmodus des Browsers soll eben jenes Tracking komplett unterbunden werden. Zudem soll der Browserhersteller nichts darüber erfahren. Demzufolge sollen alle Auswertungen lokal am Gerät vorgenommen werden.
Im Browser Safari werden solche Tracking-Cookies bereits entweder gleich blockiert oder nach wenigen Tagen automatisch gelöscht. Damit soll ein längerfristiges Werbe-Tracking und eine seitenübergreifende Erstellung von Nutzerprofilen unterbunden werden.
23. Mai 2019
Der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) kritisiert Pläne des Bunderats, die sich gegen Betreiber von Darknet-Angeboten richten. Durch das geplante Gesetz würden Unschuldige ins Visier der Behörden geraten, sagte Kelber der Süddeutschen Zeitung. Alle Anbieter von Anonymisierungssoftware müssten sich künftig Gedanken machen, ob ihre Dienste bald für illegal erklärt würden. Das Tor-Netzwerk sei nicht pauschal mit dem Darknet gleichzusetzen.
Der Bundesrat hatte Mitte März 2019 einen Gesetzesentwurf beschlossen, der das „Anbieten von Leistungen zur Ermöglichung von Straftaten“ unter Strafe stellen soll. Aufgrund des (geplanten) § 126a des Strafgesetzbuchs (StGB) droht Anbietern einer „internetbasierten Leistung“, „deren Zweck oder Tätigkeit darauf ausgerichtet ist, die Begehung von rechtswidrigen Taten“ zu ermöglichen oder zu fördern, eine Freiheitsstrafe von bis zu drei Jahren. Mit dem Darknet sind zumeist Webseiten und Dienste gemeint, die im Tor-Netzwerk als sogenannte Onion-Services (früher Hidden-Services) bereitgestellt werden. Das Programm verschleiert die IP-Adresse seiner Nutzer und lässt sie so anonym im Netz surfen.
Das Tor-Netzwerk sei jedoch nicht pauschal mit dem Darknet gleichzusetzen. Dissidenten und Whistleblower in Unrechtsstaaten nutzten es als geschützten Kommunikationsraum. Auch für normale Bürger gebe es gute und legitime Gründe, den Tor-Browser zu nutzen. Sie können sich damit der Überwachung durch Unternehmen entziehen.
„Wenn man nach einer Kneipenschlägerei nicht beweisen kann, wer sich daran mutwillig beteiligt hat, kommt man doch auch nicht auf die Idee, alle zu bestrafen, die in der Nähe herumstanden“, sagte Kelber. Dass die Polizei schon aufgrund eines derart vagen Anfangsverdachts ermitteln dürfe, sei ein kaum zu rechtfertigender Eingriff in die Bürgerrechte, so Kelber.
Die Pläne des Bundesrats waren von Juristen und der Tor-Community scharf kritisiert worden. „Die Verhaltensweisen, um die es den Verfassern des Gesetzentwurfs offiziell geht, sind typischerweise bereits heute strafbar – als Beihilfehandlungen zu den eigentlichen Straftaten“, sagte der Jurist und Richter am Landgericht Berlin, Ulf Buermeyer. Allerdings könnten mit dem neuen Straftatbestand mehr Überwachungsmaßnahmen durchgeführt werden – für die wiederum ein Verdacht ausreiche.
Der Gesetzentwurf des Bundesrats ist inzwischen mit einer Stellungnahme der Bundesregierung versehen in den Bundestag eingebracht worden (PDF).
20. Mai 2019
So lautet das interessante Ergebnis einer Studie zweier Datenforscher, wohnhaft in Warschau und Stanford.
Kinga Kita-Wojciechowska und Łukasz Kidziński begannen mit einem Datensatz von 20.000 Personen, die zwischen 2013 und 2015 in Polen eine Autoversicherung abgeschlossen hatten. Diese wurden nach dem Zufallsprinzip aus der Datenbank eines nicht offenbarten Versicherungsunternehmens ausgewählt. Jeder Datensatz enthielt die Adresse des Versicherungsnehmers und die Anzahl der Schadensfälle, die er in der Zeit von 2013 bis 2015 geltend gemacht hat.
Anschließend haben die Forscher die Adressen bei Google Street View eingegeben und ein Bild des Hauses heruntergeladen, welches kommentiert und mit Notizen über das Alter des Gebäudes, dessen Art (Einfamilienhaus, Reihenhaus, Mehrfamilienhaus, etc.) und Zustand versehen wurde.
Eine Software verarbeitete die Daten und erstellte ein Modell, das das Risiko von Autounfällen für die Haushalte genauer vorhersagen konnte, als die derzeit von den Versicherungsgesellschaften eingesetzten Modelle. Diese berücksichtigen für ihre Prognose der zukünftig eintretenden Schäden bisher die Postleitzahl des Versicherungsnehmers, dessen Alter und Geschlecht, sowie die Schadenhistorie des Fahrers und weitere Faktoren.
Laut Kidziński und Kita-Wojciechowska konnte festgestellt werden, dass Merkmale, die auf dem Bild eines Hauses sichtbar sind und Aufschlüsse über die Wohnsituation eines Versicherungsnehmers geben, das Risiko eines Autounfalls vorhersagen können.
Werden diese Faktoren in dem Risikomodell des Versicherers berücksichtigt, können sie seine Vorhersage um 2% verbessern.
Die Google Street View-Technik hat demnach das Potenzial, die Vorhersage zu optimieren.
Der Ansatz der Forscher wirft eine Reihe wichtiger Fragen hinsichtlich der Verwendung personenbezogener Daten auf. Kidziński und Kita-Wojciechowska stellten bereits kritisch fest, dass die Zustimmung der Kunden zum Speichern ihrer Adressen durch das Unternehmen nicht unbedingt eine Zustimmung zum Speichern von Informationen über das Aussehen ihrer Häuser bedeutet.
Es drängt sich die Frage auf, welche Unternehmen ebenfalls von diesem Modell profitieren könnten.
Kidziński und Kita-Wojciechowska vermuten, dass der Bankensektor der Versicherungsbranche schnell folgen könnte, da es eine Korrelation zwischen Versicherungsrisikomodellen und Kreditrisikoscoring gäbe.
In Deutschland sind die Dienste von Google Street View aus Datenschutzgründen nur eingeschränkt verfügbar.
