Kategorie: Online-Datenschutz
18. Juni 2021
Apple CEO Tim Cook hat mit einem neuen Video auf dem YouTube-Kanal von Apple UK, Apple’s neue Datenschutzfunktionen für europäische Nutzer vorgestellt. Dieses sechsminütige Video enthält hauptsächlich datenschutzrelevante Clips von der WWDC (Worldwide Developers Conference von Apple).
Es scheint als habe sich Apple dazu entschlossen, vor allem zu den europäischen Nutzern zu sprechen, da die Privatsphäre in diesem Kontinent als besonders wichtig erachtet wird. Die Europäische Union hat 2018 mit der Datenschutzgrundverordnung ein sehr umfangreiches und strenges Datenschutzgesetz eingeführt. Selbst Apple musste seine Sicherheitsvorkehrungen verstärken, um den extrem hohen Standards des Gesetzes gerecht zu werden. Während einige amerikanische Unternehmen bzw. Unternehmen aus Nicht-EU Ländern die DSGVO nur in Europa einhalten, verpflichtete sich Apple, seinen Kunden weltweit die gleichen verbesserten Datenschutzstandards zu bieten. Apple setzt seine Führungsrolle im Bereich Datenschutz fort, erweitert sein Engagement und fördert positive Veränderungen in der gesamten Branche. Auf der WWDC 2021 wurden eine Reihe neuer Datenschutzfunktionen für iOS 15, iPadOS 15, macOS Monterey, watchOS 8 und iCloud angekündigt. Diese neuen Funktionen sollen Nutzern in Europa und auf der ganzen Welt helfen, den Zugriff auf ihre Daten besser zu kontrollieren und zu verwalten.
Apple-Boss Cook betont gleich zu Anfang des Videos, dass für Apple “Privatsphäre ein grundlegendes Menschenrecht” sei. Man arbeite “schonungslos” daran, diese “in alles was wir machen” einzubauen. Es sei ein Grundelement jedes Designs von sowohl Apple Produkten als auch Apple Diensten, “die wir in die Welt tragen”, so Cook pathetisch. “Andere” hätten den Kunden zum Produkt gemacht und sammelten immer mehr personenbezogene Daten. “Unsere Linse bleibt auf Technik fokussiert, die für die Menschen arbeiten kann.”
Der Schutz der Privatsphäre sei “eine Priorität für unsere Nutzer in Europa und der ganzen Welt”. Cook beginnt, indem er zwei bestehende Funktionen hervorhebt, (Datenschutz-Nährwertkennzeichnungen und App-Tracking-Transparenz), und schließt dann mit einer bekannten Zusammenfassung über die Moral des Unternehmens in diesem Bereich ab.
Diese beschriebenen Datenschutzfunktionen gehören zu den neuesten in einer langen Reihe von Innovationen, die Apple-Teams entwickelt haben, um die Transparenz zu verbessern. Ferner sind es Funktionen, die dazu beitragen, dass die Nutzer ihre Daten besser kontrollieren können und sodann die Freiheit haben, Technologien zu nutzen, ohne sich Gedanken darüber zu machen, wer ihnen über die Schulter schaut.
In der Frage, ob auch eine nicht federführende Aufsichtsbehörde gegen Facebook bei DSGVO Verstößen vorgehen kann, hat der EuGH nun ein Urteil gefällt. Damit legt er einen lang anhaltenden Streit zwischen der irischen Datenschutzbehörde und anderen Ländern bei.
Der Sachverhalt
Zu urteilen hatte der EuGH in einem Rechtsstreit zwischen der belgischen Datenschutzbehörde und mehreren Unternehmen des Facebook-Konzerns, konkret Facebook Ireland Ltd., Facebook Inc. und Facebook Belgium BVBA. Begonnen hat das Verfahren bereits im Jahre 2015 und damit vor in Kraft treten der DSGVO im Mai 2018, jedoch zog sich der Sprung durch die einzelnen Instanzen lange hin.
Das Verfahren selbst zielte darauf ab, Facebook mittels Unterlassungsklage zu verpflichten, auf den Einsatz von Cookies ohne Einwilligung der belgischen Benutzer zu verzichten und die Datenerhebung auf Webseiten von Dritten zu unterlassen. Zudem sollte Facebook Abstand von der Praxis nehmen übermäßig Daten durch Social-Plugins zu erheben und die dadurch gewonnen personenbezogenen Daten zu löschen.
Facebook ist jedoch der Ansicht, dass in diesem Fall die belgische Datenschutzbehörde gar nicht zuständig ist. Damit beruft sich der Konzern auf die 2018 in Kraft getretenen Regeln der DSGVO, wonach nur die Datenschutzbehörde gerichtliche Schritte einleiten können soll, in deren Mitgliedsland Facebook seine Hauptniederlassung hat. Im konkreten Fall, müsste demnach die irische Datenschutzbehörde tätig werden.
Die Richterinnen und Richter des EuGH gelangten hier allerdings zu einer anderen Rechtsauffassung und entschieden, dass zwar grundsätzlich tatsächlich die federführende Datenschutzbehörde (Irland) tätig werden müsse, wenn es sich um DSGVO-Verstöße handele. Allerdings verweist der EuGH zusätzlich auf die Artikel 56 Abs 2, und Artikel 66 DSGVO, nach denen unter bestimmten Voraussetzungen auch andere Behörden bei grenzüberschreitenden Datenverarbeitungen zuständig sein könnten.
Fazit
Letzten Endes folgt der EuGH mit seinem Urteil damit den Ausführungen des Generalanwalts Michael Bobek, der in seinen Schlussanträgen eine Zuständigkeit für andere Datenschutzbehörden in Ausnahmefällen annahm. Das Urteil sollte in seiner Tragweite nicht unterschätzt werden, denn wie Bayerns Justizminister Georg Eisenreich zutreffend urteilte könntenes Unternehmen „künftig schwerer haben, sich durch eine geschickte Standortwahl einer effektiven Kontrolle zu entziehen“.
8. Juni 2021
Der Bundestag hat mit den Stimmen der GroKo-Fraktionen den von der Regierung eingebrachten Gesetzentwurf zur Modernisierung des Telekommunikationsrechts (Telekommunikationsmodernisierungsgesetz) beschlossen. Die neuen Regelungen treten am 1. Dezember 2021 in Kraft. Die Datenschutzbestimmungen aus dem Telemedien- und dem Telekommunikationsgesetz (TMG/TKG), die sich neben der klassischen Telefonie etwa auf Online- und Messenger-Dienste beziehen, finden sich zukünftig in einem eigenen Gesetz wieder. Die bisher teils widersprüchlichen Bestimmungen führten zu Rechtsunsicherheiten; sowohl das Telemediengesetz (TMG) als auch das kürzlich novellierte Telekommunikationsgesetz (TKG) haben in gewissen Abschnitten für Verunsicherungen gesorgt.
“Bisher waren Fragen des Datenschutzes und der Privatsphäre auf diese beiden Gesetze aufgeteilt. Diese unterschiedlichen Datenschutzregeln werden nun in einem einzigen Gesetz zusammengeführt, so dass die Rechtslage klarer und einheitlicher wird”, so der SPD-Abgeordnete Falko Mohrs gegenüber EURACTIV.
Ziel der TKG-Novelle ist es unter anderem, den flächendeckenden Glasfasernetzausbau zu beschleunigen und die EU Richtlinie 2018/1972 über den europäischen Kodex für die elektronische Kommunikation umzusetzen. Folglich sollen die Regeln vereinheitlicht und an die EU-Datenschutzgrundverordnung angepasst werden. Durch ein Mobilfunkausbauziel sollen den Netzunternehmen Anreize gesetzt werden, leistungsfähiges Internet zu sichern, so dass Standardanwendungen wie Videocalls oder Social Media Nutzung überall problemlos möglich sind. Es wird beabsichtigt LTE an allen Bundes-, Land- und Kreisstraßen sowie an allen Schienenstrecken „möglichst bis 2026“ anzubringen.
Mit dem neuen Gesetz wird auch die seit 2009 im EU-Recht verankerte “Pflicht zur Zustimmung der Nutzer zu Cookie-Einstellungen” umgesetzt. Die bisherige Regelung galt als defizitär, denn die entsprechende EU-Richtlinie wurde nicht richtig umgesetzt. Nachdem der Bundesgerichtshof davon ausgegangen ist, dass der Einsatz technisch nicht notwendiger Cookies zwingend einer ausdrücklichen Einwilligung der Endnutzer bedarf, soll dieses zwingende Einwilligungserfordernis nunmehr durch das TTDSG gesetzlich normiert werden. Bundeswirtschaftsminister Peter Altmaier erklärt, dass hierdurch ein Kompromiss zwischen dem Schutz der Privatsphäre in der digitalen Welt und den digitalen Geschäftsmodellen, die ja gerade auf der Datennutzung basieren, erzielt werden soll. „Mit Blick auf die viel diskutierten Cookies eröffnet das Gesetz die Möglichkeit, ein nutzerfreundliches und wettbewerbskonformes Einwilligungsmanagement zu entwickeln, das Verbraucherinnen und Verbrauchern, Unternehmen und Startups gleichermaßen nutzt.”
7. Juni 2021
Die EU-Kommission veröffentlichte Anfang Juni Neuigkeiten zum länger geplanten, digitalen Zertifikat: Die Technik für das Zertifikat ist offiziell online. Mit Bulgarien, Dänemark, Griechenland, Kroatien, Tschechien und Polen haben die ersten Länder den digitalen Nachweis bereits offiziell eingeführt und teilen Zertifikate aus. Auch Deutschland hat sich bereits an das sogenannte EU-Gateway angeschlossen, auch wenn das Zertifikat noch in der Testphase ist. Das kommende Zertifikat nennt sich “CovPass” und ist ein Projekt des Robert-Koch-Instituts. Dieses präsentiert die App bereits im Internet. Sie soll spätestens bis Ende Juni für alle Bürger nutzbar sein.
Das digitale EU-COVID-Zertifikat beruht auf einer EU-Verordnung, die ab dem 1. Juli in Kraft tritt. Den Mitgliedsstaaten bleibt es aber freigestellt, das Zertifikat auch vorher schon zu verwenden, vorausgesetzt die nationale Variante besteht die technischen Tests. Es werden drei Zertifikate umfasst: ein Impfzertifikat, ein Testzertifikat und ein Genesungszertifikat. Es soll im Sommer ein unkompliziertes Reisen und einheitliche Sicherheitsstandards innerhalb Europas gewährleisten, es ist jedoch keine notwendige Voraussetzung für eine Reise.
Wem steht das Zertifikat zu?
Alle EU-Bürger können ein solches Zertifikat erhalten. Es gilt für Geimpfte, Genesene oder negativ Getestete. Als geimpft gilt jeder, der die entsprechenden Schutzimpfungen von Moderna, Astrazeneca, BioNTech oder Johnson & Johnson erhalten hat. Die letzte Impfung muss dabei mindestens 14 Tage her sein. Genesen ist der, der einen nachweislich positiven PCR-Test hatte, dieser darf nicht älter als 6 Monate sein. Für diejenigen, die weder geimpft noch genesen sind, gibt es die Möglichkeit, ein Zertifikat als negativ-getestete Person zu bekommen. Dafür muss ein aktueller Antigen-Test vorliegen oder ein PCR-Test, der nicht älter ist als 72 Stunden.
Wo bekomme ich das Zertifikat?
Ausstellen sollen das Zertifikat zunächst Impfzentren, Hausärzte und Krankenhäuser. Ob auch Apotheken bei Vorlage eines Impfausweises ein Zertifikat ausstellen dürfen, wird zur Zeit noch diskutiert. Das Zertifikat wird in digitalem Format ausgestellt, kann aber auf einem Smartphone und auf Papier vorgelegt werden. Es wird unentgeltlich ausgestellt.
Wie funktioniert das Zertifikat und was ist mit meinen Daten?
Das Zertifikat wurde während seiner Planungsphase u.a. aufgrund datenschutzrechtlicher Bedenken kritisiert. Mittlerweile hat sich die EU geeinigt. Das Zertifikat soll einen QR-Code und eine Signatur enthalten. Angezeigt werden Name und Geburtsdatum des Inhabers. Im QR-Code selbst verbergen sich Informationen zur Impfung oder zu Testergebnissen. Gespeichert werden konkret beim Impfzertifikat Impfstoff und Hersteller, Anzahl der verabreichten Dosen und Datum der Impfung; beim Testzertifikat die Art des Tests, Datum und Uhrzeit des Tests, Testzentrum und Ergebnis; und beim Genesungszertifikat Datum des positiven Testergebnisses und Geltungsdauer. Die EU-Kommission betont, dass alle persönlichen Daten allein auf dem mobilen Endgerät gespeichert werden. Entgegen der Befürchtung von Datenschützern gibt es also keine zentrale Stelle, die diese Daten speichert.
Jede ausstellende Stelle (bspw. ein Impfzentrum) hat zusätzlich eine eigene Signatur, welche in dem Zertifikat gespeichert wird. Diese Signatur wird zu Kontrollzwecken in einer EU-weiten Datenbank gespeichert und kann über das Gateway überprüft werden. Dies betrifft den einzelnen Bürger aber nicht in seinen Daten.
Das Zertifikat kann bei Bedarf vorgelegt und gescannt werden, bspw. am Flughafen. Wird das Zertifikat erkannt, soll ein grünes Licht bei dem Scanner leuchten, die Person darf passieren. Dabei soll nicht ersichtlich sein, weswegen das Zertifikat ausgestellt wurde. Umstehende (auch bspw. Mitarbeiter am Flughafen) wissen also nicht, ob die Person geimpft, genesen oder negativ getestet ist. Leuchtet das Licht rot, ist das Zertifikat nicht gültig. Bei diesem Vorgang werden keine personenbezogenen Daten an andere EU-Staaten weitergegeben.
Weitere Antworten zu Detailfragen, sowie eine aktuelle Übersicht aller Länder die bereits Zertifikate ausstellen, sind auf den Seiten der europäischen Kommission zu finden.
1. Juni 2021
Die Nichtregierungs-Organisation Non-OF-Your-Business (NOYB) – vor allem bekannt durch ihren Mitgründer Max Schrems – hat über 500 Beschwerden gegen verschiedene Unternehmen aus der EU und den USA eingereicht. NOYB wirft diesen Unternehmen vor, durch rechtswidrige Cookie-Banner Einwilligungen in das Datentracking eingeholt zu haben, die ohne diese unzulässigen Cookie-Banner nicht erteilt worden wären. Um – nach Ansicht von NOYB – rechtswidrige Cookie-Banner identifizieren zu können, nutze die Organisation eine selbst entwickelte Software. Diese spüre nicht nur die fraglichen Cookie-Banner auf, sondern generiere auch automatisch entsprechende Beschwerden, welche an die Unternehmen versendet werden.
“Beschwerdewelle” erst der Anfang
Eigenen Angaben zufolge hat NOYB die größten Webseiten aus 33 verschiedenen Staaten kontrolliert, aber bereits angekündigt, bis zu 10.000 der meistbesuchten Seiten in Europa überprüfen zu wollen. Ziel der Überprüfug sei – anders als bei deutschen Abmahnanwälten – aber nicht der Bezug von Gebühren, sondern die Einhaltung der gesetzlichen Vorschriften. Unternehmen würden laut NOYB die DS-GVO als Sündenbock für komplizierte Cookie-Banner vorschieben, obwohl diese Regelungen klar seien. Aus diesem Grund werde NOYB zunächst auch auf formelle Beschwerden verzichten und stattdessen die Möglichkeit bieten, die Cookie-Banner anzupassen; nur wennn dies nicht innerhalb eines Monats erfolge, würden behördliche Maßnahmen eingeleitet.
Cookie-Banner oft irreführend
NOYB erachtet verschiedene Gestaltungen des Cookie-Banners als rechtswidrig, kritistiert aber insbesondere fehlende Möglichkeiten, bereits auf der erste Ebene der Website funktionelle Cookies abzulehnen. Auch sei es leider üblich, Nutzer durch eine irreführende Farbgebung zum Klick auf den Button zur Zulassung sämtlicher Cookies zu bewegen. NOYB betont diesbezüglich, dass die Ablehnung von Cookies ebenso leicht sein müsse wie die Zustimmmung in die Nutzung.
Bei der durchgeführten Überprüfung habe NOYB auf dem Großteil der geprüften Webseiten Mängel hinsichtlich der Cookie-Banner festgestellt. Für die Unternehmen wird die Nutzung von Cookie-Bannern jedoch auch dadurch erschwert, dass die entsprechenden Anforderungen in den Mitgliedsstaaten der EU teilweise variieren, außerdem sind diese noch nicht abschließend gerichtlich festgestellt. Gleichwohl drohen diesbezüglich empfindliche Bußgelder: Diese bewegen sich regelmäßig im Bereich zwischen wenigen Tausend und einigen Zehntausend Euro, gegen Google wurden wegen der rechtswidrigen Nutzung von Cookies aber auch schon Bußgelder von 35-60 Millionen Euro verhängt.
28. Mai 2021
Der Oberste Gerichtshof Irlands hat entschieden, dass die irische Datenschutzbehörde Data Protection Commission (DPC) das Untersuchungsverfahren gegen Facebook fortsetzen könne.
Bisherige Entwicklung
Zuvor entschied der Europäische Gerichtshof (EuGH) im letzten Jahr (wir berichteten), dass das europäische Datenschutzabkommen mit den Vereinigten Staaten, das sog. EU-US Privacy Shield, europarechtswidrig sei. Zulässig blieb nach Ansicht des Gerichts jedoch die Übermittlung von Daten in die USA auf Basis der Standardvertragsklauseln (SCC). Dies gelte jedoch nur, sofern die Unternehmen nicht den Überwachungsgesetzen wie FISA 702 unterstehen. Darüber hinaus seien teilweise auch zusätzliche Sicherungsmaßnahmen erforderlich, um einen angemessenen Schutz der personenbezogenen Daten garantieren zu können.
Entscheidung der DPC und des irischen High Courts
Der DPC unterliegt aufgrund des europäischen Hauptsitzes des Unternehmens in Irland die Aufsicht. Dort reagierte man auf das Urteil des EuGHs mit einer Untersuchung und vorläufigen Anordnung zum Stopp der Übermittlung personenbezogener Daten auf Basis von Standardvertragsklauseln. Im ersten Verfahren konnte sich Facebook zunächst erfolgreich gegen die Untersuchung und die damit verbundene Anordnung zur Wehr setzen.
Der irische High Court wies nun alle verfahrensrechtlichen Beschwerden von Facebook gegen eine vorläufige Entscheidung über den Datenverkehr ab, die das Unternehmen im August von der DPC erhalten hatte. Die Behauptungen von Facebook, dass die Datenschutzbehörde dem Unternehmen zu wenig Zeit für eine Reaktion gegeben habe oder einen Beschluss zu früh erlassen habe, wurde zurückgewiesen. Man weise jede Forderung von Facebook zurück, erklärte der Richter David Barniville.
Grundsätzlich zulässig bleibe jedoch nach Ansicht des Gerichts die Übermittlung von Daten in die USA für Unternehmen auf Basis der Standardvertragsklauseln. Vorausgesetzt die Unternehmen unterfallen nicht den oben erwähnten Massenüberwachungsgesetzen oder es werden zusätzliche Sicherungsmaßnahmen, wie bspw. die Verschlüsselung von Daten, gewährleistet.
Kläger Schrems zeigt sich zunächst zufrieden
Der österreichische Jurist Max Schrems, der die Klage gegen Facebook erhob und sich seit Jahren im Rechtsstreit mit Facebook befindet, äußerte sich wie folgt:
„Facebook hat auf allen Ebenen verloren. Das Verfahren hat das irische Verfahren am Ende nur wieder ein paar Monate blockiert. Nach acht Jahren ist die DPC nun verpflichtet, den EU-US-Datentransfer des Unternehmens zu stoppen, wahrscheinlich noch vor dem Sommer.“
Auch die DPC begrüßte die Gerichtsentscheidung. Man könne nun die Übermittlung personenbezogener Daten von Facebook-Nutzern aus der EU in die USA untersagen.
Ausblick
Die Beschlüsse der irischen Datenschutzbehörde müssten nun noch vom Europäischen Datenschutzausschuss (EDSA) genehmigt werden. Die dortige Einspruchsfrist beträgt vier Wochen. Anschließend müsste Facebook wohl die meisten Daten aus Europa lokal speichern. Nur so könnte ein Zugriff durch US-Sicherheitsbehörden kurzfristig verhindert werden.
So bleibt die Rechtsgrundlage für einen Datentransfer personenbezogener Daten in die Vereinigten Staaten weiterhin unklar und der Einsatz von US-Dienstleistern datenschutzrechtlich bedenklich. Es bleibt abzuwarten, welche Folgen die Entscheidung des irischen Gerichts nach sich ziehen wird.
27. Mai 2021
Nachdem WhatsApp jüngst mit seinen neuen Nutzungsbedingungen für Aufmerksamkeit gesorgt hatte und von Datenschützern für diese kritisiert wurde, tritt nun WhatsApp selbst verteidigend für ihren Datenschutz auf.
So hat WhatsApp beim obersten Gericht Delhi Klage gegen eine Vorgabe der neuen IT-Regelungen der indischen Regierung eingereicht. Diese Regelungen wurden bereits im Februar diesen Jahres vom indischen Ministerium für Elektronik und Informationstechnologie (MeitY) veröffentlicht und sind diese Tage in Kraft getreten. Die von WhatsApp konkret kritisierte Regelung sieht vor, dass Anbieter von Messengerdiensten, auf Anfrage einer Behörde oder auf richterlichen Beschluss hin, die Rückverfolgung von Nachrichten gewähren müssen. So soll ermittelt werden, wer der ursprüngliche Verfasser einer Information ist. Die indische Regierung begründet dies damit, dass dies der „Prävention, Aufdeckung, Untersuchung, Verfolgung oder Bestrafung“ von verschiedenen Straftaten diene. Als solche gelten u.a. die Verbreitung von Material über sexuellen Kindesmissbrauch, Angriffe auf die Staatssicherheit, Souveränität und Integrität Indiens oder die Störung der öffentlichen Ordnung. Auch ist eine Regelung gegeben, die besagt, dass Netzwerke bei gerichtlicher Aufforderung dazu, Inhalte innerhalb von 36 Stunden löschen müssen.
WhatsApp wehrt sich nun gegen diese Vorgaben mit der Begründung, sie würden Nachrichten Ende-zu-Ende verschlüsseln und könnten die Identifikation einer Einzelperson nicht leisten. Würde die Verschlüsselung aufgebrochen, wären sowohl Absender als auch Empfänger betroffen. Die Regelung verlange praktisch, einen Fingerabdruck von jeder einzelnen auf WhatsApp gesendeten Nachricht zu speichern. Dadurch würde eine Verletzung von Datenschutzrechten der Betroffenen stattfinden. Auch das Recht auf Privatsphäre sei betroffen, somit sei die Regelung verfassungswidrig.
Immer wieder betont WhatsApp, dass es Nachrichten selbst nicht speichere und keine Einsicht in Nutzerdaten habe. Trotzdem steht der Konzern häufig selbst wegen seines Umgangs mit Daten in der Kritik, sodass die Streitigkeit mit der indischen Regierung auch für das Image von WhatsApp nicht uninteressant sein dürfte.
25. Mai 2021
Am 25.05.2018 trat die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Ihr Ziel ist es, natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu schützen. Doch diese positiven Aspekte haben auch Nachteile, besonders für kleine und mittlere Unternehmen.
Viel Bürokratie, wenig Kontrolle
Für viele, besonders kleinere, Unternehmen bedeutet die Umsetzung der DS-GVO viel Bürokratie. Es kommt auch immer häufiger vor, dass ehemalige Mitarbeiter Auskunft über ihre personenbezogenen Daten vom Unternehmen verlangen. Ein Anspruch, der kleinere Unternehmen vor große Herausforderungen stellt und nicht selten damit endet, dass das Unternehmen eine höhere Abfindung zahlt, um sich, ohne Auskunft, zu vergleichen.
Außerdem ist der Vollzug der DS-GVO schwierig. Jeder EU-Mitgliedstaat hat eigene Aufsichtsbehörden, in Deutschland gibt es 17 Landesbehörden und den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Es ist leicht nachvollziehbar, dass die DS-GVO unterschiedlich interpretiert wird. Der Bundesdatenschutzbeauftragte Kelber spricht sich daher für eine engere Abstimmung der einzelnen Aufsichtsbehörden aus.
Einheitlichkeit in Europa
Dennoch dürfte das Fazit nach drei Jahren DS-GVO positiv ausfallen. Viele Menschen in Europa machen Gebrauch von ihren Betroffenenrechten. Die DS-GVO hat die Vereinheitlichung des Datenschutzes in Europa erreicht. Außerdem ist es ein Kernanliegen der DS-GVO, natürlichen Personen verschiedene Instrumente an die Hand zu geben, um sich auch gegen die großen Unternehmen und sozialen Netzwerke zur Wehr setzen zu können. Sie hat das Bewusstsein der Nutzer für Privatsphäre im Internet gestärkt. Damit hat sich die DS-GVO zu einem weltweiten Vorbild für den Datenschutz entwickelt.
Quo vadis, DS-GVO?
Wie praktisch jedes Gesetz hat auch die DS-GVO noch Luft nach oben. Die EU-Kommission hat im Sommer 2020 eine Prüfung in Aussicht gestellt, ob kleinere und mittlere Unternehmen von manchen Regelungen ausgenommen werden können. In diesem Zusammenhang könnte sich Ulrich Kelber vorstellen, einzelne Pflichten zu entbürokratisieren, zumindest in Fällen, in denen jedem klar sein müsse, dass eine Datenverarbeitung stattfinde. Außerdem möchte er Schwächen beim Scoring und Profiling ausbessern. Die Evaluierung der DS-GVO ist allerdings erst für 2024 angesetzt.
20. Mai 2021
Dass der Wahlkampf der Parteien nicht mehr ausschließlich auf Wahlplakaten stattfindet, ist kein Geheimnis. Auch die Politik geht mit der Zeit und bemüht sich zunehmend um den Einsatz „neuer“ Medien. So setzt die CDU zur Unterstützung des eigenen Wahlkampfs seit der Bundestagswahl im Jahr 2017 auf eine eigene App, die CDU-Connect-App.
Mit Hilfe der Connect-App soll es den Wahlkampfhelfern der CDU möglichst einfach gemacht werden, einen effizienten Haustürwahlkampf zu organisieren. So kann in der App beispielsweise eingetragen werden, in welcher Straße man es bereits versucht, bei welchem Haus man geklingelt, ob und wer geöffnet hat und letztlich natürlich auch, wie die Person zur CDU steht. Über die Jahre sollen sich dabei riesige Datensätze angesammelt haben. Auf die Sicherheitslücke aufmerksam geworden ist die Softwareentwicklerin Lilith Wittmann, die nach eigenen Angaben über Twitter auf die App hingewiesen wurde. Ihre Herangehensweise und Ergebnisse veröffentlichte sie dann in einem eigenen Blogpost.
Das Besondere an ihrem Fund sind dabei allerdings nicht die oben genannten Rohdaten, sondern vielmehr die erfassten Zusatzinformationen, die bei einem Besuch notiert wurden. So wurde etwa der Inhalt einzelner Gespräche paraphrasiert oder politische Meinungen in Kurzform festgehalten. Auf Anfrage des Spiegels hin versicherte die CDU jedoch, die Daten nur anonymisiert gespeichert zu haben, sodass Aussagen nicht auf einzelne Personen rückführbar seien.
Anders sieht es allerdings bezüglich der Daten von eigenen Wahlkampfhelfern und Unterstützern aus. Nach Angaben von Wittmann waren die Informationen von knapp 20.000 Menschen einsehbar. Davon umfasst sein sollen Daten, wie etwa E-Mail-Adressen, Fotos und teilweise auch Facebook-Tokens. Weitreichendere Angaben wurden von etwa 1350 Unterstützern entdeckt. Bei ihnen ließen sich Adressen, Geburtsdaten und Interessen finden.
Ihren Fund hat Wittmann dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der CDU mitgeteilt. Die Partei reagierte schnell und entfernte die App vorsorglich aus dem Play und App Store. Zusätzlich meldete man sich bei Twitter und verspricht die Sicherheitslücke schnellstmöglich zu schließen. Außerdem sollen laut Angaben der CDU alle Betroffenen informiert werden.
12. Mai 2021
In dem seit längerem schwelenden Streit um die neuen Nutzungsbedingungen von WhatsApp, hat sich nun auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Prof. Dr. Johannes Caspar, geäußert.
Hintergrund ist, dass ab dem 15.05.2021 für den Kurznachrichtendienst WhatsApp neue Nutzungsbedingungen gelten sollen. Diese Nutzungsbedingungen sollten ursprünglich schon seit Februar gelten, die Einführung wurde aber nach lautstarker Kritik um drei Monate verschoben. Stein des Anstoßes bei den neuen Nutzungsbedingungen ist ein Passus, der eine veränderte Datenschutzerklärung enthält. Kritiker sehen hier vor allem den unklaren Datenaustausch mit der Konzernmutter Facebook als problematisch an. Auch die Tatsache, dass die weitere Nutzung von WhatsApp von der Einwilligung in die Bedingungen abhängt, ist nicht unumstritten.
Am 11.05.2021 gab HmbBfDI Caspar bekannt, dass eine Anordnung gegen Konzernmutter Facebook erlassen wurde, in der die Weiterverarbeitung von WhatsApp-Daten für eigene Zwecke untersagt wird. Für eine solche Verarbeitung bestünde keine gesetzliche Grundlage. Er kritisiert auch, dass eine Einwilligung in die neuen Nutzerbedingungen nicht aus freien Stücken erfolgt, sondern für die Weiternutzung des Dienstes unumgänglich ist.
Die Anordnung gilt ab sofort für drei Monate. Für eine Entscheidung auf europäischer Ebene will der HmbBfDI Caspar eine Befassung durch den Europäischen Datenschutzausschuss (EDSA) beantragen. Facebook hat zwar eine Niederlassung in Hamburg, die Zuständigkeit liegt aber grundsätzlich bei der irischen Datenschutzbehörde. Handlungsbedarf sieht Caspar vor allem mit Blick auf die anstehende Bundestagswahl, bei der durch Anzeigekunden von Facebook eine gezielte Beeinflussung der Meinungsbildung möglich sei, würden diese über Nutzerdaten verfügen.
WhatsApp selbst versichert weiterhin, datenschutzrechtliche Vorgaben würden eingehalten. Die Behauptungen des HmbBfDI seien falsch, deswegen habe die Anordnung keine Wirkung. Ursprünglich plante WhatsApp, Konten die den Neuerungen nicht zustimmen nur noch eingeschränkt nutzbar zu machen und schließlich zu löschen. Dieses Vorhaben wurde jedoch zurückgenommen. Nutzer, die zunächst keine Einwilligung abgeben, können ihren Account weiter nutzen, bis nach einigen Wochen eine permanente Erinnerung auftaucht. Dann seien die Accounts nur eingeschränkt nutzbar. Ob die Stellungnahme des HmbBfDI daran etwas ändert, bleibt abzuwarten. Zwischenzeitlich macht es sicher Sinn, sich mit Alternativen zu WhatsApp zu beschäftigen.
