Kategorie: Online-Datenschutz
29. Oktober 2020
Google hat drei Kinder-Apps, nämlich Princess Salon, Number Coloring and Cats & Cosplay, wegen Datenschutzverstößen aus dem Play Store entfernt. Der Technik-Gigant war nicht derjenige, der das Problem entdeckt hat. Forscher des International Digital Accountability Council (IDAC) entdeckten drei unerwünschte Kinder-Apps mit mehreren Millionen Downloads.
„Die Praktiken, die wir in unserer Forschung beobachtet haben, haben ernsthafte Bedenken hinsichtlich der Datenpraktiken innerhalb dieser Apps hervorgerufen“, kommentierte IDAC-Präsident Quentin Palfrey. Laut IDAC sammelten die Programme fleißig Daten der jungen Nutzer, was eindeutig gegen die Datenschutzrichtlinien des Unternehmens verstößt.
Google sagte: „Wir bestätigen, dass die Apps, auf die im Bericht verwiesen wird, entfernt wurden. Immer wenn wir eine App finden, die gegen unsere Richtlinien verstößt, ergreifen wir Maßnahmen“. Alle drei Apps können nicht mehr auf Android-Geräten installiert werden.
Unabhängig davon hat Avast, der Anbieter für digitale Sicherheit, bis zu 21 schädliche Adware-Gaming-Apps im Play Store entdeckt und diese an Google gemeldet.
28. Oktober 2020
Die britische Datenschutzbehörde (Information Commissioner’s Office kurz ICO) hat gegen die Fluggesellschaft British Airways ein Bußgeld in Höhe von 22 Millionen Euro verhängt. Der hohe Betrag wurde von der Aufsichtsbehörde damit begründet, dass unzureichende Sicherheitsvorkehrungen im Unternehmen vorherrschten und eine sehr hohe Zahl an Personen von einem dadurch möglichen Hackerangriff betroffen war. Im Jahr 2019 kündigte die britische Datenschutzaufsichtsbehörde an, British Airways mit einem Bußgeld in Höhe von 204 Millionen Euro bestrafen zu wollen. Aufgrund der aktuellen Umsatzeinbußen bei British Airways durch die Corona-Pandemie wurde das Bußgeld deutlich gesenkt.
Die Hacker konnten sich Zugang zum Netzwerk verschaffen und hatten Zugriff auf persönliche Daten von über 400.000 Kunden und Mitarbeitern. Sie erlangten u.a. Zugriff auf Namen, Adressen und Kreditkarteninformationen inklusive der Sicherheitscodes sowie Nutzernamen und Passwörter von Mitarbeitern wie Administratoren und von Inhabern von Premium-Vielflieger-Karten.
ICO ist der Ansicht, dass die dem Angriff zugrunde liegenden Sicherheitslücken früher hätten behoben werden müssen. Gängige Schutzmaßnahmen wie Zwei-Faktor-Authentifizierung, Zugriffsrechte und Tests der Infrastruktur hätten nach Ansicht des ICO einen Angriff verhindern können.
16. September 2020
Der Bundesgerichtshof (BGH) hat in einem Eilverfahren am 23. Juni 2020 über eine Verbotsverfügung entschieden, die das Bundeskartellamt gegen Facebook erlassen hat. Das Bundeskartellamt hat im Februar 2019 einen Wettbewerbsverstoß in Form eines Marktmachtmissbrauchs seitens Facebook festgestellt und eine Änderung der Nutzungsbedingungen verlangt. Konkret wirft das Bundeskartellamt Facebook vor, dass es seine marktbeherrschende Stellung auf dem Markt für soziale Netzwerke missbraucht.
Gegen diese Entscheidung hat Facebook Beschwerde beim Oberlandesgericht (OLG) Düsseldorf eingelegt. Das OLG Düsseldorf hat Facebook Recht gegeben, so dass das Bundeskartellamt vor den BGH gezogen ist. Dieser wiederum hat die Entscheidung des OLG Düsseldorf aufgehoben und dem Bundeskartellamt Recht gegeben.
Der BGH ist nun der Argumentation des Bundeskartellamts gefolgt.
Im Fokus stehen dabei die Nutzungsbedingungen von Facebook. In diese müssen alle Nutzer zuvor einwilligen, um das soziale Netzwerk zu nutzen. Diese Einwilligung erlaubt es Facebook dann Daten aus der Nutzung der eigenen Dienste, wie Instagram und WhatsApp, als auch Daten, die von Webseiten von Dritten stammen, wie Facebook Pixel oder den Like-Button, auszuwerten.
Nach Ansicht des BGH stellt die Verwendung der Nutzungsbedingungen einen Verstoß gegen das Verbot aus § 19 Abs. 1 GWB, eine marktbeherrschende Stellung missbräuchlich auszunutzen, dar. Damit verstößt Facebook gleichzeitig gegen datenschutzrechtliche Bestimmungen aus der DS-GVO, da es die private Nutzung des Netzwerks von der Einwilligung des Nutzers in das Sammeln, Zusammenführen und Auswerten der Nutzerdaten abhängig macht. Da Facebook aufgrund seiner Größe quasi ein Alleinstellungsmerkmal unter den sozialen Netzwerken hat, ist die Einwilligung des Nutzers mangels Alternative eben nicht freiwillig.
Noch ist das letzte Wort aber nicht gesprochen. Die vorliegende Entscheidung bezieht sich nur auf das Eilverfahren. Eine Entscheidung des OLG Düsseldorf im Hauptsacheverfahren steht noch aus. Und auch dieses kann wiederum vor dem BGH landen.
10. September 2020
Wie das Handelsblatt berichtet, hat das Bundesjustizministerium Online-Diensten bzw. Webseitenbetreibern vorgeworfen, die Grundsätze der DSGVO nur unzureichend einzuhalten. Dabei bezog sich die Behörde jedoch nicht auf konkrete Unternehmen.
Kritisch bewertet wird insbesondere die fehlende Transparenz der Datenschutzerklärungen. Diese seien teilweise noch immer schwer aufzufinden und „ohne Jurastudium“ nur schwer verständlich. Justizstaatssekretär Christian Kastrop sieht an dieser Stelle noch erheblichen Verbesserungsbedarf und fordert mehr Transparenz und Entscheidungshoheit für den Verbraucher. Dabei vermutet er, dass die Unternehmen die Webseiten bewusst so intransparent gestalten. Der Endnutzer soll schnell alles wegklicken und die eigenen Rechte nicht garnicht erst wahrnehmen.
Zwar benannte das Ministerium keine konkreten Unternehmen, in einer 2019 veröffentlichten Studie zählte es jedoch Snapchat, Facebook und Twitter als negativ Beispiele auf. Dagegen fielen Otto und Zalando damals mit einem gut implementierten Datenschutz auf.
Eine neue, durch das Justizministeriums geförderte Studie mit dem Titel „innovatives Datenschutz-Einwilligungsmanagement“ klärt auf, wie Webseiten nutzerfreundlich und datenschutzkonform gestaltet werden können. Dies zum Beispiel durch den Verzicht auf sog. globale Einwilligungen. Kastrop erkennt auch die Möglichkeit, dass ein gut installierter Datenschutz das eigene Geschäftsmodell attraktiver machen und so auch der Wirtschaft dienen kann.
Verstöße gegen die DSGVO können zu sehr hohen Geldstrafen führen. Ein DSGVO konformer Umgang mit Daten ist von den betroffenen Unternehmen daher ernst zu nehmen.
Am 16.06.2020 erklärte der EuGH das Privacy Shield für ungültig und adressierte in diesem Zuge auch Datenübermittlung, die auf der Grundlage von Standardvertragsklauseln (SCCs) legitimiert werden sollen. Der Europäische Datenschutzausschuss und die deutsche Datenschutzkonferenz stellten klar, dass in jeden Einzelfall geprüft werden muss, ob ein angemessenes Datenschutzniveau im Drittland sichergestellt ist oder ob dem mit zusätzlichen Schutzmaßnahmen begegnet werden kann. Im Hinblick auf die weitreichenden Zugriffsmöglichkeiten der US-amerikanischen Sicherheitsdienste bezweifelte der EuGH, dass beim Datentransfer in die USA ein angemessenes Schutzniveaus gewährleistet werden kann.
Seitdem reißen die News rund um das Thema nicht ab. Vor kurzem reichte die von Max Schrems ins Leben gerufene Datenschutzorganisation „noyb“ 101 Beschwerden gegen europäische Unternehmen bei den jeweils zuständigen Aufsichtsbehörden ein. Herr Schrems führte das angesprochene Verfahren vor dem EuGH. Die Beschwerden richten sich gegen Unternehmen, die Google Analytics oder Facebook Connect verwenden, und ausweislich der Darstellungen auf den Webseiten für die Drittlandübermittlungen keine ausreichenden Maßnahmen ergriffen haben. Der Europäische Datenschutzausschuss richtete eine Task Force ein, um bei den Beschwerden ein einheitliches Vorgehen zu gewährleisten.
Nun erhält Facebook weiteren Gegenwind aus Irland: Wie Facebooks Kommunikationschef Clegg in einem Blogpost berichtet, hat die irische Datenschutzaufsichtsbehörde eine Untersuchung zu den Datentransfers von Facebook zwischen der EU und den USA eingeleitet und darauf hingewiesen, dass die SCCs nicht verwendet werden könnten. Wie die US-amerikansische Zeitung Politico berichtet, stellte die irische Datenschutzbehörden Facebook bereits Ende August eine vorläufige Anordnung zur Aussetzung der Datentransfers von der EU in die USA auf Grundlage der SCCs zu und bat um Antwort des Unternehmens.
Spannend sind in diesem Zusammenhang die Aussagen von noyb: Sie verweisen auf einen Brief, in dem sich Facebook auf eine andere Rechtsgrundlage für die Übermittlung beruft, die nicht Gegenstand der vorläufigen Anordnung ist (siehe hier auf Seite 3-4). Die Übermittlung soll danach rechtmäßig sein, weil sie zur Erfüllung eines zwischen den Facebook-Nutzern und Facebook geschlossenen Vertrages erforderlich sei. Max Schrems ist hingegen der Ansicht, „die angebliche Anordnung gegen Facebook [sei] ein weiterer Schritt, der das Problem absichtlich nicht lösen“ wird. noyb hat angekündigt, einen Antrag auf eine einstweilige Verfügung einzureichen, um sicherzustellen, dass die DPC hinsichtlich aller rechtlichen Grundlagen für Datenübermittlungen tätig wird.
Eine endgültige Entscheidung der der irischen Behörde steht noch aus. Politico geht davon aus, dass mit einer solchen frühestens im Oktober gerechnet werden kann, nachdem Facebook auf die Anordnung geantwortet hat und die Entscheidung mit anderen EU Aufsichtsbehörden koordiniert wurde.
Bis dahin will sich Facebook nach Aussage des Kommunikationschefs Clegg „weiterhin Daten in Übereinstimmung mit dem jüngsten EuGH-Urteil übermitteln bis weitere Handlungsanweisungen erfolgen“. Er weist auf die Gefahren für die europäische Wirtschaft hin, wenn ein internationaler Datentransfer behindert wird. Clegg betont, dass Facebook die Bemühungen der Europäischen Kommission und dem US-amerikanischen Handelsministerium um ein „Privacy Shield enhanced“ begrüßt.
27. August 2020
Mit iOS 14 möchte Apple einen neuen Tracking Schutz für das iPhone einführen und seinen Datenschutz verbessern. Facebook befürchtet jedoch, dass es seine Nutzer so nur noch eingeschränkt verfolgen kann und rechnet mit einem Werbeeinnahmenverlust um die Hälfte. Facebook gibt an, dass durch die Neuerungen im Betriebssystem Publisher- Inhalte und App-Anbieter einen erheblichen Umsatzrückgang zu erwarten hätten.
Apple wird in Zukunft Drittanbieter von Apps dazu anhalten Einwilligungen bei den Endnutzern der Endgeräte einzuholen, wenn diese getrackt werden sollen. Dies würde dazu führen, dass der von Facebook betriebene Advertising Identifier (IDFA) nur noch eingeschränkt zu nutzen wäre.
Facebook selber nutzt den IDFA um Nutzeraktivitäten zu bewerten und um zu erkennen, ob bestimmte Werbeinhalte zur Installation einer App geführt haben. In einer Mitteilung an die Presse macht Facebook deutlich, dass es versuchen wird Publisher bei den geplanten Änderungen zu unterstützen, jedoch die Gefahr sieht, dass die Nutzung vom IDFA für iOS Geräte in Zukunft wahrscheinlich gar keinen Sinn mehr machen wird.
Zwar konnten die Endnutzer bereits jetzt den IDFA löschen, haben die Möglichkeit aus eigenem Antrieb heraus aber kaum genutzt. Heimliches App-Tracking wird mit den Neuerungen nun jedenfalls schwieriger.
Verbesserter Datenschutz bei Apple
Nicht nur für das geplante Opt-In erhält Apple viel Lob. Auch für sonstige Änderungen und Reglungen, die dem Datenschutz den Endnutzer entgegenkommen, erhält das Unternehmen positive Resonanz. So müssen Drittanbieter in Zukunft als Pflichtangabe aufführen, welche Daten sie erfassen. Der App Store solle die Informationen zudem in leicht verständlicher Form angezeigen.
Gleichzeitig muss sich Apple auch Kritik gefallen lassen. An einem Opt-in für die eigene Werbeplattform fehlt es zum Beispiel noch.
20. August 2020
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Johannes Casper hat einen sogenannten „Auskunftsheranziehungsbescheid“ gegen Clearview AI erlassen.
Weil das Unternehmen die bisher größte bekannte Gesichtsdatenbank mit Milliarden Fotos aus sozialen Netzwerken aufgebaut hat, die unter anderem von Privatpersonen aber auch bis zu 600 Behörden genutzt wurde, ist das US-Unternehmen seit Monaten in der Kritik.
Bereits im Februar wurde beim HmbBfDI eine Beschwerde gegen Clearview eingereicht. Der HmbBfDI hat daraufhin mehrfach Kontakt mit Clearview aufgenommen und versucht Informationen zum Geschäftsmodell sowie zu den Umständen, die der Beschwerde zugrunde liegen, zu erhalten. Diese Fragen wurden ausweislich der Pressemitteilung des HmbBfDI nicht zufriedenstellend beantwortet.
Clearview stellte sich auf den Standpunkt, dass die DSGVO auf die von Clearview betriebene Datenverarbeitung keine Anwendung finde, weshalb auch keine Pflicht zur Beantwortung der Fragen des HmbBfDI bestehe.
Dem widerspricht der HmbBfDI. Der Anwendungsbereich der DSGVO sei sehr wohl eröffnet und Clearview somit zur Auskunft verpflichtet. Aufgrund des nunmehr erlassenen Bescheids ist das US-Unternehmen verpflichtet bis Mitte September Auskunft zu erteilen. Für den Fall der Weigerung wurde ein Zwangsgeld in Höhe von je 10.000€ für jeden Einzelfall der insgesamt siebzehn Fragekomplexe angeordnet.
Casper führt dazu aus:
„Geschäftsmodelle, die darin bestehen, massenhaft und anlasslos Bilder im Netz zu sammeln und die Gesichter von Personen durch biometrische Analyse identifizierbar zu machen, gefährden die Privatsphäre im globalen Maßstab. Zum Schutz Betroffener unter der EU-Grundrechtecharta müssen sie anhand der Datenschutzgrundverordnung kontrolliert, reguliert und nötigenfalls gestoppt werden. In Europa darf es keinen Raum für düstere digitale Dystopien geben, in denen der Einsatz von Gesichtserkennungssoftware und biometrische Datenbanken staatlichen, aber auch privaten Stellen eine neue, kaum mehr kontrollierbare Form der Herrschaft über Menschen verschafft. Die Datenschutzaufsichtsbehörden haben den Auftrag, hierüber zu wachen. Das gilt auch gegenüber Unternehmen, die entsprechende Geschäftszwecke von außerhalb der EU verfolgen und damit die Privatsphäre und die informationelle Selbstbestimmung von Menschen in der EU in Frage stellen. Um eine datenschutzrechtliche Kontrolle zu ermöglichen, gehe ich davon aus, dass Clearview die dem Unternehmen gestellten Fragen beantworten oder zumindest gegen den Heranziehungsbescheid Rechtsmittel einlegen wird, um so eine rechtliche Entscheidung zu ermöglichen.“
17. Juli 2020
Hacker verschafften sich Zugang zu den Prominenten-Accounts mit Millionen Followern. Betroffene sind unter anderem Barack Obama, Warren Buffet, Kanye West, Bill Gates, Elon Musk und Jeff Bezos.
Auf den gehackten Accounts wurde am Mittwoch dazu aufgefordert, Bitcoins zu überweisen. Nach öffentlichen Daten flossen Bitcoins im Wert von mindestens 120.000 Dollar über rund 400 Überweisungen ab.
„Harter Tag für uns bei Twitter.“
Dies erklärte Twitter-Chef Jack Dorsey. Laut Twitter haben die Hacker sich anscheinend zunächst die Zugänge von Twitter-Mitarbeitern gesichert und erst anschließend die Profile der Prominenten gehackt. Es handelt sich nach Meinung vieler Experten um einen der größten Angriffe auf eine reichweitenstarke Social-Media-Plattform.
Twitter sperrte nach mehr als einer Stunde die entsprechenden Konten. Nach Meinung von Experten, ist es sehr wahrscheinlich, dass die Hacker Zugriff auf die Systeme von Twitter gehabt haben. Daher ist das wahre Ausmaß der Attacke noch nicht abzusehen. Da manche Politiker über ihren Twitter-Kanal auch Außenpolitik betreiben, ist das Risiko nicht nur monetärer Natur.
3. Juli 2020
In dem Rechtsstreit Max Schrems gegen die Facebook Ireland Limited ist am 30.06.2020 – Aktenzeichen 3 Cg 52/14k-91 – ein Urteil ergangen. Hier hat das „Landesgericht für ZRS Wien“ entschieden, dass
1. die Beklagte dem Kläger binnen vierzehn Tagen schriftlich und kostenlos vollständig Auskunft über alle von ihr verarbeiteten personenbezogenen Daten des Klägers unter Angabe der genauen Herkunft und gegebenenfalls der genauen Empfänger der Daten zu erteilen.
2. Dem Kläger binnen vierzehn Tagen einen Betrag von 500 € zu zahlen. (Redaktionelle Leitsätze)
Sachverhalt
Der Kläger stellte in den Jahren 2011, 2012, 2013, 2015 und zuletzt 2019 Auskunftsbegehren nach Maßgabe des Art. 15 DSGVO. Diese beantwortete die Beklagte zunächst mit einer 18-Seitigen Pdf-Datei vom 09.06.2011 und einer CD-Rom mit weiteren PDF im Umfang von 1.222 A4-Seiten. Der Kläger sah sich trotz erteilter Auskunft in seinen durch die DSGVO normierten Rechten verletzt. Die bereitgestellten Informationen waren aus seiner Perspektive weder inhaltlich ausreichend, noch genügte ihm die Anzahl der Antworten im Verhältnis zur Anzahl der gestellten Begehren.
Ferner störte sich der Kläger an der Datenverarbeitung durch Drittunternehmen. Hierzu führte aus, er sei „Verantwortlicher“ im Sinne der DSGVO. Die daraus resultierenden Anforderungen habe die Beklagte nicht erfüllt. Abschließend habe die Beklagte gegen Art. 9 DSGVO verstoßen, indem sie eine Einwilligung in Bezug auf seine Interessen nicht eingeholt habe.
Das Urteil reiht sich in eine Vielzahl von Klagen Herrn Schrems gegen Facebook ein. So hatte dieser bereits im August 2014 in Wien eine Sammelklage gegen Facebook eingereicht. Ziel der Klage war unter anderem, von Facebook einen symbolischen Schadenersatz von 500 Euro für jeden Beteiligten der Klage erstreiten. Hierzu beschied der Europäische Gerichtshof (EuGH) im Januar 2018, dass derartige Sammelklagen unzulässig seien.
Entscheidung
Das Wiener Gericht gibt dem Kläger teilweise Recht. So habe die Beklagte die ihre Auskunftspflicht dadurch verletzt, dass sie trotz neuerlich begehrter Auskunft sämtliche personenbezogenen Daten mitgeteilt hätte, die Gegenstand der Verarbeitung seien. Der konkrete Umfang sei sowohl durch das Gesetz auch auch in den Erwägungsgründen (hier: EG 63) niedergelegt.
Auch begründe die Regelmäßigkeit der Anfragen keine Möglichkeit der Verweigerung, da ein Jahresabstand der Anfragen angemessenen im Sinne der DSGVO sei.
Entgegen der Ansicht des Klägers sei er jedoch kein „Verantwortlicher“ im Sinne der DSGVO. Diese sei auf den Kläger in seiner Funktion als privater Nutzer des Dienstes nicht anwendbar. Überdies greife die Haushaltsausnahme aus Art. 2 Abs. 2 lit. c) DSGVO mangels Anwendbarkeit nicht.
Die abschließend gerügte Verletzung aus Art. 9 DSGVO sei jedenfalls im konkreten Fall nicht tatsächlich feststellbar gewesen. So habe der Kläger die für die Informationen selbst veröffentlicht, weshalb eine Einwilligung gemäß Art. 9 DSGVO nicht erforderlich gewesen sei.
Praktische Relevanz
Die praktische Relevanz scheint aus aktueller Perspektive überschaubar. So ist weder abschließend zu beurteilen, wie sich das Verhalten auf die künftige Unternehmensführung auswirkt noch steht fest, ob das Urteil überhaupt rechtskräftig wird. So kündigte der Kläger auf der Homepage des Unternehmens NOYB bereits die Einhegung einer Berufung an.
4. Juni 2020
Der Bundesgerichtshof (BGH) hat am 28.05.2020 entschieden, dass eine Opt-Out Regelung nicht ausreicht, um die Zustimmung von Nutzern zur Speicherung von Daten zu erlangen. Dabei hat der BGH in seiner Entscheidung Cookie-Banner für unrechtmäßig erklärt, wenn diese nur weggeklickt werden können (Urt. v. 28.05.2020, Az. I ZR 7/16). Die Nutzer müssen ihre Einwilligung durch aktives Ankreuzen entsprechender Felder erklären. Laut BGH sei das vorformulierte Einverständnis zum Setzen von Cookies sonst unwirksam.
Cookies sind kleine Dateien, die im Rahmen des Besuchs einer Internetseite an den Browser des Endgeräts gesendet und dort gespeichert werden. Sie dienen dazu, um die Navigation im Internet zu erleichtern oder Informationen über das Nutzerverhalten zu erlangen. Große Tracking-Anbieter, wie Google Analytics, nutzen Cookies um auf diese Weise ein Werbeprofil des Nutzer zu erstellen.
Hintergrund der Entscheidung
Das Urteil markiert den Abschluss eines 2014 begonnen Rechtsstreit zwischen der Verbraucherzentrale Bundesverband (vzbv) und dem Gewinnspielanbieter Plant49. Darüber wurde bereits berichtet.
Nun hat der BGH die Rechtsauffassung des EuGH von 2019 bestätigt. Eine aktive und informierte Einwilligung ist für alle technisch nicht notwendigen Cookies auf Webseiten erforderlich.
Ausnahmen für das Einwilligungserfordernis
Eine Ausnahme bilden „zwingend erforderliche“ Cookies. Wann dies genau der Fall sein soll, hängt von dem konkreten Einzelfall ab. Die zwingende Erforderlichkeit kann z.B. bei Nutzereinstellungen wie etwa der Einstellung der Sprache angenommen werden. Das Tracking zu Werbezwecken und zur Profilbildung ist nach Ansicht des BGH jedoch nicht zwingend erforderlich. Hierfür ist eine Einwilligung mittels Opt-In erforderlich. Abzuwarten bleibt, was sich zu dieser Diskussion aus der Urteilsbegründung der BGH-Entscheidung entnehmen lässt.
