Kategorie: Online-Datenschutz
21. Januar 2021
Nachdem der zu Facebook gehörende Instant-Messenger-Dienst WhatsApp viel Kritik für die Einführung der neuen Datenschutzregeln erhalten hat, sogar Jan Böhmermann zum Boykott aufrief und viele Nutzer zu WhatsApp Rivalen wie Threema, Signal oder Telegram wechselten, verschiebt WhatsApp die Einführung der neuen Datenschutzrichtlinie.
Ursprünglich sollten die Nutzer bis zum 8. Februar den neuen Bedingungen zustimmen, wenn sie den Chatdienst weiter nutzen wollten.
Laut WhatsApp sollte durch die Änderung der aktualisierten Nutzungsbedingungen und Datenschutzrichtlinie vor allem die Kommunikation mit Unternehmen, die WhatsApp als Kommunikationstool mit ihren Kunden verwenden, verbessert werden. Nachdem einige Medien jedoch darüber berichteten, dass die Änderung dazu führe, dass WhatsApp nun auch die Daten deutscher Nutzer mit Facebook austauschen und zu Werbezwecken nutzen dürfte, hagelte es Kritik.
WhatsApp selbst teilte nach der Kritik nun mit, dass die geplante Aktualisierung erst ab dem 15. Mai gelten soll. Kein Account solle demnach am 8. Februar gesperrt oder gelöscht werden. An der Ende-zu-Ende Verschlüsselung, mit der weder WhatsApp noch Facebook die privaten Nachrichten seiner Nutzer lesen könne, solle nichts geändert werden. Ebenso wenig daran, dass WhatsApp keine Protokolle seiner Nutzer aufbewahrt oder Standortdaten speichert.
Eine Verschiebung des Datums soll WhatsApp nun dabei helfen, Fehlinformationen darüber, wie Datenschutz und Sicherheit bei WhatsApp funktionieren, auszuräumen.
Tatsächlich ist es so, dass WhatsApp, wenn auch der erfolgreichste Messenger-Dienst weltweit, in Sachen Datenschutz in Deutschland immer wieder in Kritik gerät. Dies vor allem deshalb, da der Austausch von Nutzerdaten mit anderen Unternehmen des Facebook-Konzerns als problematisch eingestuft wird und Facebook dadurch beispielsweise neben den jeweiligen WhatsApp Nutzerdaten auch Zugriff auf die Telefonnummern und sonstigen Informationen aus dem Adressbuch des jeweiligen WhatsApp Nutzers bekommt.
15. Januar 2021
Nicht selten werden Webseiten heutzutage Opfer von massiven Spamangriffen oder anderweitigen Manipulationsversuchen. Um sich davor zu schützen setzt eine Vielzahl dieser Seiten auf sogenannte “Captchas”.
Was ist ein Captcha und wofür wird es verwendet?
Grundsätzlich handelt es sich bei einem Captcha („completely automated public Turing test to tell computers and humans apart“) um ein Tool, das auf Webseiten eingesetzt wird, um Menschen und maschinelle Programme („Bots“) auseinanderzuhalten. Sinn und Zweck dieser Tools ist es die eigene Webseite vor Bot-Angriffen zu schützen, indem man ihnen von vornherein die Zugriffmöglichkeit auf bestimmte Teile der Webseite, oder aber der gesamten Webseite vorenthält. So sollen etwa Manipulationen von Umfragen, übermäßige Serveranfragen oder aber Fake-User aufgehalten werden.
Die gängigsten Erscheinungsformen eines Captchas sind in Form von verschwommenen Buchstaben, einer einfachen Matheaufgabe oder auch einer Bilderreihenfolge. Zumindest in der Theorie sollen diese Aufgaben nur von Menschen gelöst werden können.
Google, „reCAPTCHA“ und ein Datenschutzproblem
Ganz vorne bei Entwicklung und Einsatz dieser Tools ist der Internetriese Google, dessen eigener Captcha-Dienst „reCAPTCHA“ auf über 6 Millionen Webseiten benutzt wird und mittlerweile bereits in seiner dritten Version vorliegt. Doch was in der Theorie wie eine sorgfältige Schutzvorrichtung wirkt, kann für normale Nutzer ein Datenschutzrisiko darstellen. Denn verborgen im Hintergrund von reCAPTCHA läuft ein JavaScript-Element. Ein solches ist in der Lage Benutzerverhalten auszuwerten. So werden neben IP-Adresse auch Daten wie Mausbewegungen und Tastaturanschläge, Infos über das Betriebssystem und Verweildauer an Google weitergeleitet, ohne dass der Benutzer davon etwas mitbekommt. In den seltensten Fällen wird der Nutzer auf eine solche Analyse hingewiesen. Auch die allgemeine Datenschutzerklärung von Google bietet keine spezifischen Informationen zu reCAPTCHA.
Ein Problem, dass auch das Landesamt für Datenschutzaufsicht Bayern (BayLDA) sieht und in seinen FAQ zutreffend einen Hinweis in Bezug auf reCAPTCHA gibt:
„Website-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.“
Betreiber von Webseiten sollten daher im besten Fall auf die Nutzung von reCAPTCHA und anderen Analysetools verzichten, um sich keinem rechtlichen Risiko auszusetzen.
12. Januar 2021
Datenschutz und IT-Sicherheit stehen für Zoom-Nutzer an oberster Stelle. In den letzten Monaten hat Zoom seine Anwendungen durch zahlreiche Funktionen erweitert, mit denen Kunden die Nutzung der Möglichkeit von Videokonferenzen individuell anpassen können. Besonders sachdienlich ist hierfür die von der Konferenz der Datenschutzaufsichtsbehörden (DSK) im Oktober 2020 veröffentlichte Orientierungshilfe und die zugehörige Checkliste zu Videokonferenzsystemen. Beide Dokumente geben umfassende Empfehlungen zu Datenschutz-Einstellungen ab, die bei der Installation sowie der Nutzung von Videokonferenzsystemen berücksichtigt werden sollten.
Zoom hat nun eine eigene Checkliste veröffentlicht, die auf einer Zusammenfassung der DSK-Checkliste basiert und die wichtigsten Datenschutzeinstellungen enthält. Hiermit will das Unternehmen die existierenden Zoom-Funktionalitäten und -Einstellungsmöglichkeiten näher erläutern.
“Damit erlauben wir es unseren Kunden, einfacher die volle Kontrolle über ihre Daten zu wahren und Zoom an ihre Bedürfnisse anzupassen”, so Ansgar Baums, Government Relations von Zoom. “Die DSK-Orientierungshilfe zu Videokonferenzen ist extrem hilfreich – wir bedanken uns ausdrücklich bei den Datenschutzbehörden für ihre Arbeit”.
Zoom präsentierte jüngst eine Reihe von neuen Sicherheitsfunktionen und Datenschutzmaßnahmen, darunter auch die Ende-zu-Ende-Verschlüsselung (E2EE) sowie eine Möglichkeit zur Datenlokalisierung für den EU-Raum.
“Die Übereinstimmung mit der DSK-Checkliste zeigt, dass wir auf dem richtigen Weg sind”, äußerte sich Ansgar Baums.
Internationalen Nutzern steht die Zoom-Checkliste auch auf Englisch zur Verfügung.
11. Januar 2021
Die Überwachung von Angestellten ist für manche Arbeitgeber nicht nur per Videoüberwachung eine Option (wir berichteten), sondern auch direkt am Arbeitsrechner. Aufgrund der Zunahme der Home-Office-Tätigkeit weltweit, haben sich manche Arbeitgeber, getreu dem Motto „Vertrauen ist gut, Kontrolle ist besser“, auch intensiver mit dem Thema auseinandergesetzt, als zuvor.
Dabei ist aber zu beachten, dass – genau wie bei einer Videoüberwachung – eine anlasslose Überwachung ohne konkrete Verdachtsmomente rechtlich nicht zulässig ist. Der Vorgesetzte darf solche Kontrollen nur einführen, wenn er einen konkreten Verdacht auf ein pflichtwidriges oder strafbares Handeln zu seinen Lasten hegt.
Eine Überwachung am Arbeitsplatz ist technisch unkompliziert über Logfiles möglich, wenn der Angestellte einen Laptop vom Arbeitgeber erhält oder die gesamte Arbeitsumgebung auf einem Terminalserver des Arbeitgebers liegt.
Daneben gibt es die Option, dass auch eine Überwachung der Arbeitsweise und -Intensität der Angestellten direkt durch das genutzte Programm möglich ist. Beispielsweise bieten die Microsoft Office-Programme die Möglichkeit an, eine Produktivitätsbewertung vorzunehmen. Damit ist es möglich Daten darüber zu sammeln, wie viele Dateien der Angestellte aufruft, mit Kollegen teilt oder als Anhang verschickt. Gesammelt werden Kennzahlen wie: Kommunikation, Besprechungen, Zusammenarbeit an Inhalten, Teamarbeit, Mobilität, Endpunktanalyse, Netzwerkverbindungen und Microsoft 365 Apps-Integrität.
Microsoft weist darauf hin, dass die Informationen nur zur Weiterentwicklung der digitalen Transformationen mit Microsoft 365 vorgesehen sind. Allerdings können besonders neugierige Arbeitgeber anhand dieser Daten eine Produktivitätsbewertung auslesen und mit anderen Mitarbeitern vergleichen.
Diese Produktivitätsbewertung ist standardmäßig deaktiviert. Arbeitgeber sollten sich auch gut überlegen, ob sie diese Option aktivieren möchten. Denn wenn Angestellte mitbekommen, dass sie untereinander verglichen werden, führt das zu einer größeren Stressbelastung und kann letztlich die Produktivität verringern.
Eine solche systematische personenbezogene Überwachung darf außerdem rechtlich nicht ohne Einwilligung des Mitarbeiters erfolgen. Eine Ausnahme stellt der oben erwähnte konkrete Verdachtsmoment dar.
Arbeitgeber sollten also entweder ganz auf eine Überwachung verzichten oder die Ergebnisse anonymisiert bzw. in übergeordneten systematisch angelegten Zahlengruppen anzeigen lassen. So sind keine Rückschlüsse auf den einzelnen Mitarbeiter möglich, aber es ist trotzdem ersichtlich, bei welchen Punkten Verbesserungsbedarf besteht.
7. Januar 2021
Die Gerüchte, dass Google die Aktualisierung hauseigener iOS-Apps vermeidet, um Datenzugriffe nicht offenlegen zu müssen, hat Google nun dementiert.
Wie bereits darüber berichtet wurde, hat Apple die Datenschutz-Anforderungen von iOS-Apps im App Store verschärft. Nachdem nun Apple die Entwickler zu mehr Datenschutz-Transparenz verpflichtet hat, wurde es ruhig um die iOS-Apps von Gmail, Google Drive & Co. Dies erweckte den Eindruck, das Unternehmen wolle App-Updates bewusst zurückhalten, um Apples neue Datenschutz-Kennzeichnung nicht erfüllen zu müssen. Nach Apples Deadline erschienen zwar noch zwei Google-App-Updates im App Store, darunter „Google Präsentationen“ – jedoch ohne die zu diesem Zeitpunkt eigentlich vorgeschriebene Kennzeichnung. Möglicherweise hatte Google die Updates schon vor der Deadline eingereicht.
Dem Portal „Techcrunch“ bestätigte nun ein Google-Sprecher, dass noch in dieser oder nächster Woche Updates im App Store erscheinen werden. Google werde die Privacy Labels dem gesamten, eigenen iOS-App-Katalog hinzufügen. Grund für die Verzögerung könnten unter anderem die Weihnachtsfeiertage gewesen sein, im Vorfeld derer nur selten Updates veröffentlich werden.
Die Apps von Google werden dann auch mit den entsprechenden Datenschutz-Hinweisen versehen. Zu den bekanntesten Anwendungen gehören Dienste wie YouTube, Chrome, Gmail, Maps und Google Drive. Auch andere große App-Anbieter wie Pinterest haben bisher noch keine Details für die Datenschutz-Kennzeichnung übermittelt. Von den meisten Entwicklern wird erwartet, dass sie passende Updates im Laufe des Januars veröffentlichen.
22. Dezember 2020
Nach einer Entscheidung der Europäischen Bürgerbeauftragten Emely O’Reilly müssen EU-Institutionen künftig auch interne Direktnachrichten archivieren und zugänglich machen.
Regieren via SMS & Co. ist längst Alltag in der Politik des 21. Jahrhunderts. Dies zeigte nicht zuletzt die Kommunikation über den EU-Rettungsschirm im Jahre 2015. Dennoch fiel diese Form der Verständigung nie unter die europäische Verordnung über den Zugang der Öffentlichkeit zu Dokumenten der Europäischen Institutionen. Dies wird sich nun ändern.
Zunächst lehnte der Rat das Auskunftsbegehren des Antragstellers FragDenStaat, welcher Direktnachrichten des ehemaligen EU-Ratspräsidenten Donald Tusk einsehen wollte, ab. Dementgegen stellte die Bürgerbeauftragte O’Reilly in ihrer Entscheidung jedoch grundlegend fest, dass sich die Verordnung auf alle Inhalte, unabhängig von der Form des Datenträgers bezieht.
Diese Entscheidung steht auch im Einklang mit einem vom VG Berlin verkündeten Urteil, nach welchem private Twitter-Direktnachrichten des Bundesinnenministers durch das Ministerium zugänglich gemacht werden müssen. Dagegen hat das Innenmisisterium jedoch eine Sprungrevision beantragt, deren Entscheidung noch aussteht.
21. Dezember 2020
Neben der DS-GVO sollte ursprünglich gleichzeitig im Mai 2018 die ePrivacy-Verordnung in Kraft treten (wir berichteten). Diese sollte die DS-GVO datenschutzrechtlich in Bezug auf die Verarbeitung von Telekommunikationsdaten ergänzen. Nun hat Deutschland im Rahmen seiner EU-Ratspräsidentschaft am 4. November 2020 einen neuen Entwurf zur ePrivacy-Verordnung (2017/0003/COD) vorgelegt.
Der Vorschlag berücksichtigt unter anderem die EuGH-Urteile C-511/18, C-512-18, C-520/18 des EuGH. Darin hat der EuGH klargestellt, dass eine Vorratsdatenspeicherung aller Kommunikationsdaten der EU-Bürger nicht mit den europäischen Grundrechten vereinbar ist. Dies ist ausnahmsweise nur staatlichen Behörden im Rahmen der Staatssicherheit oder zur Verfolgung von Straftaten gestattet.
Außerdem wurde der Passus gestrichen, der es Anbietern von Kommunikationsdiensten gestattete, die Kommunikation ihrer Nutzer in Hinblick auf illegales Material wie Kinderpornographie zu analysieren. Als Begründung wird auf die Richtlinie zur Neufassung des europäischen Kodex für die elektronische Kommunikation verwiesen, die dahingehend ergänzt werden soll.
Die besonders umstrittenen Art. 22 – 25 ePVO (2017/0003/COD), die im ursprünglichen Vorschlag vorsahen, dass die Nutzung von Cookie-Banners reduziert werden soll, indem Nutzer zukünftig eine für alle Webseiten allgemeingültige Einstellung in ihrem Browser vornehmen können, wurden gestrichen. Zum einen würde das aus datenschutzrechtlicher Sicht der Belehrungsfunktion entgegenwirken. Zum anderen wurde dies zuvor besonders von Verlagsseite kritisch gesehen (wir berichteten), da dies deren Geschäftsmodell untergräbt.
Da die Entwurfsvorlage – wie die Entwürfe zuvor – sich noch in der 1. Lesung des Europäischen Parlaments befindet, hängt das weitere Vorgehen noch von dessen Zustimmung ab.
17. Dezember 2020
Apple hat seinen App Store um eine verbindliche Datenschutz-Kennzeichnung erweitert. Dadurch sollen Nutzer vor einer Installation erkennen, welche Daten eine App erfassen möchte. Die Angaben zum App-Datenschutz sind mit den jüngsten Updates in allen Betriebssystemen des Herstellers zu finden.
Die neue Ansicht „App-Datenschutz“ soll für mehr Transparenz sorgen. Die Angaben sollen vor einem Download zeigen, an welchen Daten eine App interessiert ist. Nach der Installation bleibt jedoch die gewohnte Möglichkeit, die Freigaben anzupassen und etwa den Zugriff auf den Standort zu beschränken.
Die Datenschutzangaben werden in drei Kategorien unterteilt. „Fürs Tracking verwendete Daten“, mit denen Unternehmen über mehrere Apps und Webseiten hinweg das Verhalten nachvollziehen können. „Mit dir verknüpfte Daten“, darunter Kontaktinformationen, Standort und Bankdaten, zudem die Browser-Historie und Einkäufe. „Daten, die nicht mit dir verknüpft sind“ werden ebenfalls aufgelistet. Entwickler können beispielsweise die Kontakte oder den Standort anonymisiert verwenden.
Die App-Entwickler sind seit Kurzem verpflichtet, die Informationen zum Datenschutz anzugeben, wenn sie neue Programme oder Updates einreichen. Kritik zu den Datenschutz-Labels gab es seitens WhatsApp. Der Messenger äußerte sich dazu gegenüber Axios und sieht sich im Vergleich zu Apples vorinstallierten iMessage-Dienst im Nachteil. Zudem seien die von Apple verlangten Angaben unvollständig und irreführend. Nutzer könnten dadurch abgeschreckt werden und sich gegen einen Download entscheiden, fürchtet WhatsApp.
14. Dezember 2020
Das Oberlandesgericht München (OLG) hat am 8. Dezember 2020 (Az. 18 U 2822/19 Pre und 18 U 5493/19 Pre) entschieden, dass Facebook Nutzer aus seinem Netzwerk ausschließen darf, die nicht wie in den Nutzungsbedingungen vorgeschrieben, ihre Klarnamen verwenden.
Zwei Nutzer hatten gegen den Ausschluss geklagt nachdem ihre Profile von Facebook gesperrt worden seien. Zuvor hatten Landgerichte in Traunstein und Ingolstadt voneinander abweichende Entscheidungen getroffen.
Das OLG hat jedoch Facebook Recht gegeben und auf dessen Nutzungsbedingungen verwiesen, die eine Verwendung des Klarnamens verlangen. Als Begründung führte das OLG aus, Facebook habe ein berechtigtes Interesse daran, dass Nutzer ihren echten Namen verwenden, weil das die Hemmschwelle für Beleidigungen, Bedrohungen und hasserfüllte Beiträge erhöhe. Auf diese Weise möchte Facebook auf das mittlerweile weit verbreitete sozialschädliche Verhalten im Internet präventiv auf seine Nutzer einwirken. Dies war auch die Begründung für eine der Sperrungen im zugrundeliegenden Sachverhalt.
Das Urteil ist sicherlich hilfreich, um die Rechtsordnung in den sozialen Medien durchzusetzen. Allerdings besteht immer noch die Möglichkeit real aussehende, aber unechte Klarnamen zu verwenden. Solange Facebook dies nicht kontrolliert, bleibt der Staatsanwaltschaft nur die Option, Auskunft über IP-Adressen von Facebook einzuholen. Vielmehr bräuchte es für die Staatsanwaltschaften Ausstattung und Mittel, um feststellen zu können, wer im Netz unterwegs ist. Dies könnte zum Beispiel über eine Registrierung der Facebook-Nutzer erfolgen, die nur von der Behörde einsehbar ist, wenn Facebook-Nutzer nicht mit ihrem realen Namen im sozialen Netzwerk gegenüber anderen Nutzern auftreten möchten.
10. Dezember 2020
Der BGH hat in seinem Urteil vom 10. Dezember 2020 (I ZR 153/17) über die Herausgabe von IP-Adressen durch YouTube entschieden. Im zugrundeliegenden Sachverhalt hat die Filmverwertungsgesellschaft Constantin Film von YouTube die Kontaktdaten von Nutzern verlangt, die urheberrechtlich geschützte Filme auf die Plattform hochgeladen haben.
Im Verfahren hatte zuvor der BGH die Sache dem Europäischen Gerichtshof (EuGH) vorgelegt. Dieser hatte bereits am 9. Juli 2020 entschieden (C-264/19), dass die Richtlinie 2004/48/EG die Betreiber einer Videoplattform nicht verpflichtet, die E-Mail-Adresse, die IP-Adresse oder die Telefonnummer eines Nutzers bekannt zu geben, der illegal eine Film auf der Online-Videoplattform YouTube hochgeladen hat. Der Auskunftsanspruch ist lediglich auf die Herausgabe der Postadresse seitens YouTubes beschränkt.
Allerdings besteht keine Pflicht für Nutzer ihre Adresse auf YouTube anzugeben. Auch werden der Name und das Geburtsdatum nicht auf Korrektheit überprüft. Da dies eine für Rechteinhaber äußerst missliche Situation ist, hat der EuGH jedoch klargestellt, dass die Mitgliedstaaten die Möglichkeit haben, den Inhabern von Rechten des geistigen Eigentums einen weiter gehenden Auskunftsanspruch einzuräumen. Dabei muss ein angemessenes Gleichgewicht zwischen den verschiedenen betroffenen Grundrechten gewährleistet sein, sowie allgemeine Grundsätze des Unionsrechts, wie etwa der Grundsatz der Verhältnismäßigkeit, eingehalten werden.
Der BGH hat die Antworten des EuGH in seinem Urteil übernommen. Damit bleibt Rechteinhabern nur zu hoffen, dass der Gesetzgeber ihnen in Zukunft die Möglichkeit einräumt, weitergehende Auskunftsansprüche zu erhalten.
