Kategorie: Online-Datenschutz

Hackerangriff beeinflusst Wahlen in Israel

18. März 2019

Immer wieder kommt es dazu, dass demokratische Wahlen durch Hackerangriffe beeinflusst werden. Die Angst vor Manipulationsversuchen durch das Internet oder die Medien steigt damit stetig.

In Israel kam es laut Berichten nun wieder zu einem solchen Hackerangriff der die Wahl des Premierministers, welche Anfang April stattfindet, stark beeinflussen könnte. Laut des Berichts eines israelischen Fernsehsenders handelte es sich um einen Hackerangriff des Smartphones von
Benny Gantz, eines Konkurrenten des amtierenden Premierministers Benjamin Netanjahu, welcher angeblich durch den iranischen Geheimdienst durchgeführt wurde. Auch wenn auf dem gehackten Smartphone kein kompromittierendes Material gefunden wurde, wird die Sorge über einen unzulässigen Wahlkampf weiter geschürt.

Der Israelische Staat wies darauf hin, dass der Hackerangriff schon Jahre zurück liegt, jedoch erst jetzt im Laufe des Wahlkampfes an Brisanz gewinnt, da der Iran zu jederzeit in der Lage wäre das gehackte Material zu veröffentlichen.

Bereits im Vorfeld der Wahlen kam es zu Warnungen über den Versuch einer vermeintlichen ausländische Einflussnahme. Der israelische Geheimdienst versicherte, dass Cyberattacken sowie Hackerangriffe aktuell abgewehrt und somit freie demokratische Wahlen gewährleistet werden können.

(Potentieller) Anstieg des Bewusstseins für Datenschutz

11. März 2019

Das Bundesverfassungsgericht (BVerfG) hat die jährliche Übersicht zu den für das Jahr 2019 erwarteten Entscheidungen veröffentlicht. In dieser finden sich kommende Entscheidungen zu mehreren potentiell datenschutzrelevanten Bereichen. Exemplarisch hierfür sind Klagen gegen die veränderten Möglichkeiten der Bestandsdatenauskunft im Telekommunikationsgesetz (TMG), die Vorratsdatenspeicherung oder das Gesetz über den Bundesnachrichtendienst (BNDG).

Bei einer Anzahl von acht künftigen Entscheidungen des BVerfG mit potentiell datenschutzrechtlichem Bezug entspricht dies im Gesamtkontext aller aufgeführten Entscheidungen beider Senate einer Quote von ca. 11 Prozent.

Ob deshalb tatsächlich, wie teilweise in dieser Art betitelt, von einem „Superjahr richterlicher Entscheidungen“ aufgrund von „Klagen gegen den Präventionsstaat“ ausgegangen werden kann, ist indes, ob der unterschiedlichen Ausgangslage in den jeweiligen Verfahren, fraglich.

Dennoch lässt dies den vorsichtigen Schluss dahingehend zu, dass zumindest dass Bewusstsein für datenschutzrelevante Themen in den letzten Jahren gestiegen und somit an rechtlicher Relevanz gewonnen hat.

Ende-zu-Ende-Verschlüsselung bei Facebook

8. März 2019

In einem Blogbeitrag wendete sich der Facebook-Chef Mark Zuckerberg an die Nutzer seiner Online-Dienste und versprach einen besseren Schutz ihrer Privatsphäre.

In dem am 6. Juni veröffentlichten Beitrag teilte Zuckerberg mit, zu verstehen, was die Nutzer wollen: I believe the future of communication will increasingly shift to private, encrypted services where people can be confident what they say to each other stays secure and their messages and content won’t stick around forever.

Zuckerberg will diese Zukunft mit seinen Online-Diensten mitgestalten. In der Stellungnahme stellte er auf mehrere Prinzipien wie z.B. sichere Speicherung der Daten, Verschlüsselung, private Interaktionen, die die Privatsphäre der User bei der Verwendung von seinen Online-Diensten schützen sollen, ab. Neben den Grundsätzen hat Zuckerberg außerdem eine Ende-zu-Ende-Verschlüsselung für private Nachrichten über Facebook angekündigt.

Der Blog-Post ist eine Reaktion auf die massive (datenschutzrechtliche) Kritik an Facebook in den letzten Monaten, sodass sein zum Schluss anvisiertes Ziel etwas ironisch anmutet: I believe we should be working towards a world where people can speak privately and live freely knowing that their information will only be seen by who they want to see it and won’t all stick around forever.

Adresshandel: kein berechtigtes Interesse

1. März 2019

Der Landesdatenschutzbeauftragte Baden-Württemberg (LfDI BW) hat sich in seinem aktuellen Tätigkeitsbericht kritisch zum Adresshandel geäußert.

Beim Adresshandel werden Daten potenzieller Kunden durch ein Unternehmen aus allgemein zugänglichen Quellen, wie bspw. Telefonbücher, Branchenverzeichnisse, Zeitungen und Messekataloge, Teilnehmerverzeichnisse, öffentliche Register (Handelsregister, Vereinsregister) zu Werbezwecken entnommen und ggf. weiterverkauft. Das die Daten erwerbende Unternehmen nutzt diese dann bspw. für Werbeansprachen per Post. Nach der alten Rechtslage bestand ein sogenanntes “Listenprivileg” (§ 28 BDSG-alt). Hiernach durften Listendaten – z.B. Name und Anschrift – grundsätzlich auch ohne Einwilligung der Betroffenen zu Werbezwecken genutzt werden.

Dieses ausdrücklich geregelte Listenprivileg wurde im Zuge der Einführung von DSGVO und BDSG-neu nicht übernommen. Die Frage der Zulässigkeit des Adresshandels richtet sich somit nach den allgemeinen Vorschriften. Sofern keine Einwilligung im Sinne von Art. 7 DSGVO vorliegt kann der Adresshandel also nur über Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt werden. Hierfür müsste ein berechtigtes Interesse des Verantwortlichen oder eines Dritten gegeben sein, das im konkreten Fall im Zuge einer Abwägung nicht hinter den Interessen der betroffenen Person zurückstehen muss, weil die Interessen der betroffenen Person schutzwürdiger sind.

In seinem 34. Tätigkeitsbericht 2018 hat der LfDI BW nun konkret Stellung zu dieser Frage bezogen und das berechtigte Interesse im Rahmen des Adresshandels grundsätzlich verneint. Als problematisch erachtet der LfDI BW vor allem die entgegenstehenden Interessen der betroffenen Person und führt hierzu auf S. 118 f. des Berichts aus:

 „Die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person dürfen nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen (ErwG 47).“

Der LfDI BW nimmt beim Adresshandel an, dass

„Der Betroffene […] gerade nicht davon aus[geht], dass ein Unternehmen, mit dem er geschäftlichen Kontakt hat, ungefragt seine Kundendaten an andere, ihm völlig fremde Unternehmen verkauft oder vermietet und er von dort plötzlich unerwünschte Werbung bekommt. Zudem hat der Betroffene – […] ein sehr starkes Interesse daran, dass seine Kundendaten nicht zu einer grenzenlos gehandelten Ware verkommen, auf die er keinerlei Einfluss mehr hat. Der Betroffene hat auch aus dem Gesichtspunkt der Transparenz (Art. 5 Abs. 1 Buchstabe a DS-GVO) heraus ein überwiegendes Interesse daran, Herr (oder Frau) seiner Daten zu bleiben. Dies gilt umso mehr bei angereicherten Adressdaten, die regelmäßig ein ziemlich konkretes Persönlichkeitsprofil des Betroffenen abbilden.“

Laut LfDI BW sieht die Rechtslage auch dann nicht anders aus, wenn der Betroffene selbst seine Adressdaten veröffentlicht (bspw. im Telefonbuch), denn auch hier sei nicht davon auszugehen, dass ein Handel mit diesen Daten gewünscht sei.

Zwar ist noch offen, ob sich auch andere Aufsichtsbehörden dieser Meinung des LfDI BW anschließen werden. Um sich abzusichern, sollten Verantwortliche jedoch vorsichtshalber vor der Durchführung des Handels und Verkaufs von Adressdaten Einwilligungen der Betroffenen nach Art. 6 I lit. a), 7 DSGVO einholen.

Ausspioniert durch Tablets und Smartphones: Vor diesen Modellen warnt die Sicherheitsbehörde

27. Februar 2019

Das Bundesamtes für Sicherheit in der Informationstechnik (BSI) warnt vor Schadsoftware auf neu gekauften Geräten.

Fachleute des BSI hatten über den Internethändler Amazon drei Billiggeräte bestellt. Getestet wurden das Tablet Eagle 804 von Krüger&Matz, das Smartphone S8 Pro von Ulefone und das Smartphone A10 von Blackview.

Dabei konnte nachgewiesen werden, dass das Tablet Eagle 804 im Auslieferungszustand über eine vorinstallierte Schadsoftware mit einem bekannten Command&Control-Server Kontakt aufnimmt.

Das Bundesamt spricht von der Möglichkeit, dass aufgrund der Schadsoftware Banking-Trojaner auf den jeweiligen Geräten Kontodaten ausspionieren können.

Eine manuelle Entfernung der Schadsoftware sei aufgrund der Verankerung im internen Bereich der Firmware nicht möglich.

Nicht nachgewiesen wurde die Schadsoftware bei den Smartphones Ulefone S8 Pro und Blackview A10 in ihrem aktuellen Auslieferungszustand. Allerdings ist die Schadsoftware in früheren Firmware-Versionen enthalten, also im Softwaregerüst des Geräts.

Die Hersteller boten diese auf ihren Webseiten als einzige Variante zum Download an. Es ist daher davon auszugehen, dass mit diesen Firmwareversionen ausgelieferte Geräte ebenfalls betroffen sind. Nach Angaben des BSI liegen Daten vor, die zeigen, dass über 20.000 Verbindungen unterschiedlicher deutscher IP-Adressen am Tag mit dem Server kommunizieren würden.

Die Hersteller der Geräte wurden über die Erkenntnisse vom BSI informiert.

Reagiert hat darauf der Hersteller Blackview , der am 27.02.2019 ein Firmware-Update für das Smartphone A10 bereitstellte. Das BSI hat das angebotene Update überprüft und seine Unbedenklichkeit bezüglich der Schadsoftware bestätigen können.

Amazon hat gegenüber dem BSI angegeben, die drei genannten Geräte nach der Kontaktaufnahme durch das BSI gegenwärtig aus dem Sortiment genommen zu haben.

BfDI sieht datenschutzrechtliche Risiken bei Urheberrechtsreform

Aus Sicht des Bundesdatenschutzbeauftragten für Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kleber bringt die aktuelle Urheberrechtsreform auf europäischer Ebene datenschutzrechtliche Probleme mit sich.

Um die Rechte von Urhebern zu schützen, will die EU die Anbieter von gewerblichen Internet-Plattformen in die Haftung nehmen, wenn sie keine Maßnahmen ergreifen, um der Verbreitung geschützter Werke entgegenzuwirken. Eine naheliegende Möglichkeit ist es hochgeladene Dateien zu filtern.

Da kleine Plattform-Anbieter nicht die Kapazitäten hätten, um eine hohe Anzahl an Lizenzverträgen zu schließen oder sich einen eigenen sog. Uploadfilter zu programmieren, werden sie auf große IT-Unternehmen zurückgreifen. So würde heute beispielsweise bei Analysetools bereits auf Bausteine von Facebook, Google und Amazon zurückgegriffen.  

Laut BfDI „entstünde so ein Oligopol weniger Anbieter von Filtertechniken, über die dann mehr oder weniger der gesamte Internetverkehr relevanter Plattformen und Dienste läuft. Welche weitreichenden Informationen diese dann dabei über alle Nutzerinnen und Nutzer erhalten, verdeutlicht unter anderem die aktuelle Berichterstattung zur Datenübermittlung von Gesundheitsapps an Facebook.

Kelber sieht Handlungsbedarf auf Seiten der EU: „Wenn die EU der Auffassung ist, dass Plattformbetreiber auch ohne Uploadfilter ihrer neuen Verantwortung sinnvoll nachkommen können, muss sie dies klar darlegen. Ich bin insofern auf die angekündigte Handlungsempfehlung der Kommission sehr gespannt. Andernfalls müssen die Pläne aus datenschutzrechtlicher Sicht noch einmal grundlegend überarbeitet werden.“

Apps übermitteln Gesundheitsdaten an Facebook

26. Februar 2019

Das Wall Street Journal hat herausgefunden, dass Apps wie Menstruationskalender und Herzfrequenzmesser sensible Daten an Facebook weitergeben. Davon wissen die meisten Nutzer jedoch nichts. Facebook sieht sich nicht in der Verantwortung, da die App-Entwickler selbst entscheiden, welche Angaben über bereitgestellte Tools übermittelt werden. Zweck dieser Datenübermittlung ist es, personalisierte Facebook-Werbung zu ermöglichen.

Mithilfe einer Software haben die Journalisten untersucht, welche Daten 70 populäre Apps aus dem Apple Store weitergeben. Elf davon übermitteln sensible Daten, ohne dass der Nutzer darüber gemäß Art. 13 DSGVO informiert wurde. Laut Experten verstößt diese Praxis gegen die DSGVO.

Die App Flo, mit der Frauen ihre Menstruationszyklen festhalten können, sendet die gesammelten Daten, wie etwa zum Eisprung, welche die Nutzerin eingibt.

Facebook reagiert auf die Recherchen und teilt mit, dass diese Apps gegen die Vorgaben von Facebook verstoßen und fordert die Betreiber auf, die Daten nicht mehr an Facebook zu übermitteln.

Datenschutz beim Newsletter-Versand

20. Februar 2019

Fast 95 Prozent der Unternehmen betreiben E-Mail- und Newsletter-Marketing. Die aktuelle Benchmark-Studie der Unternehmensberatung absolit hat über 5000 Top-Unternehmen im deutschsprachigen Raum untersucht und kommt zu dem Ergebnis, dass jedem 5. Unternehmen ein Bußgeld droht, weil das E-Mail- und Newsletter-Marketing nicht rechtskonform ausgestaltet ist. Besonders nachholbedürftig in Sachen Datenschutz sei der Newsletter-Versand im B2B-Bereich. Als größte Schwachstelle stellt sich dabei ein nicht DSGVO-konformer Eintragungsprozess in den Newsletter-Verteiler heraus.

Folgende Fakten lassen sich der Studie entnehmen:

  • 38 Prozent der Unternehmen fragen zu viele Daten ab und ignorieren den Grundsatz der Datensparsamkeit
  • mehr als 75 Prozent informieren unzureichend oder gar nicht über die Datenverarbeitung
  • 20 Prozent der Unternehmen verzichten auf die Bestätigung einer Formulareintragung mittels Double-Opt-In
  • knapp die Hälfte der B2B-Unternehmen (57 Prozent) haben eine rechtskonforme Anmeldung zum Newsletter

Wegen einer nicht rechtskonformen Umsetzung können gegen die Unternehmen hohe Bußgelder verhängt werden (Art. 83 DSGVO). Im schlimmsten Fall von bis zu 20 Millionen oder von bis zu vier Prozent seines gesamten weltweiten erzielten Jahresumsatzes verhängt werden.

Aus diesem Grund sollten Unternehmen folgende Punkte beim Thema Newsletter-Versand beachten:

  • ausdrückliche und nachweisliche Einwilligung des Empfängers erforderlich
  • idealerweise Nutzung eines Double-Opt-In-Verfahrens
  • vorherige Aufklärung des Empfängers über alle Datenverarbeitungsvorgänge – Implementierung einer Checkbox mit Einwilligungserklärung im direkten Umfeld des Anmeldeformulars
  • Grundsatz der Datensparsamkeit beachten – nur so viele Daten wie notwendig erheben
  • umfangreiche Datenschutzhinweise mit Hinweis zum Widerrufsrecht – müssen durch einen jederzeit abrufbaren und von allen Seiten zugänglicher Link erreichbar sein
  • Impressum aktuell halten
  • Verzeichnis für Verarbeitungstätigkeiten anlegen
  • Abschluss eines Auftragsverarbeitungsvertrages, wenn ein externer Dienstleister eingesetzt wird

In einer Handelsblatt-Umfrage, in der sich die Datenschutzbeauftragten der Länder zu diesem Thema äußerten, heißt es, dass bereits zahlreiche Bußgeldverfahren eingeleitet worden sind und zudem etliche Verwarnungen ausgesprochen wurden. Aus diesem Grund gilt nach wie vor, dass die Vorgaben der DSGVO schnellsmöglichst umgesetzt werden müssen, um Bußgelder zu vermeiden.

Zustimmung der Eltern gemäß Art. 8 Abs. 1 DSGVO

19. Februar 2019

Kinder werden, aufgrund der geringeren Einsichts- und Urteilsfähigkeit für die Tragweite eigenen Handelns, vom Datenschutzrecht besonders geschützt.

Nach Art. 8 Abs. 1 DSGVO bedarf es der Zustimmung des Trägers der elterlichen Verantwortung, wenn ein Kind seine Einwilligung zu einem Dienst einer Informationsgesellschaft erteilt. Damit gilt diese Vorschrift ausschließlich, wenn Rechtsgrundlage für die Verarbeitung eine Einwilligung des Kindes ist. Ein Kind im Sinne der Vorschrift ist eine Person, die das 16. Lebensjahr noch nicht vollendet hat.

Die Definition des Begriffs „Dienst der Informationsgesellschaft“ in Art. 4 Nr. 25 DSGVO verweist auf die Richtlinie (EU) 2015/1535. Danach ist ein Dienst der Informationsgesellschaft jede

  • in der Regel gegen Entgelt
  • elektronisch
  • im Fernabsatz und
  • auf individuellen Abruf eines Empfängers
  • erbrachte Dienstleistung.

Liegen diese 5 Voraussetzungen kumulativ vor, bedarf die Einwilligung in das Angebot der Zustimmung der Eltern. Typische Beispiele für einen solchen Dienst sind Soziale Medien und Online-Spiele. Anhang 1 der Richtlinie (EU) 2015/1535 beinhaltet hierzu einen Negativ-Katalog.

Nach Art. 8 Abs. 2 DSGVO sind angemessene Anstrengungen zu unternehmen, um sich der Zustimmung der elterlichen Verantwortung zu versichern. Als sicheres Verfahren käme eine Videoaufzeichnung oder andere Identifizierungsverfahren in Betracht. Allerdings könnten diese Verfahren mit dem Grundsatz der Datensparsamkeit in Konflikt geraten. Diese beiden Forderungen der DSGVO sind in Einklang zu bringen. Es ist daher zu prüfen, wie sensibel die Daten sind, die von dem Kind erhoben werden. Je sensibler die Daten desto höhere Anforderungen sind an die Anstrengung zur Sicherstellung der Zustimmung der Eltern zu stellen.

Es ist zu empfehlen, bei der Erhebung von personenbezogenen Daten eines Kindes immer den Datenschutzbeauftragten mit einzubeziehen, um zu prüfen, ob die Voraussetzungen des Art. 8 Abs. 1 DSGVO vorliegen und ob die Anforderungen des Art. 8 Abs. 2 DSGVO erfüllt werden.

Schulkommunikation via WhatsApp – Kultusministerkonferenz sieht Probleme bei Datenschutz

In den modernen Zeiten kommt es immer öfter dazu, dass Lehrer mit den Eltern ihrer Schüler via WhatsApp kommunizieren. Der Präsident der
Kultusministerkonferenz sieht dies datenschutzrechtlich jedoch als bedenklich an. Seiner Ansicht nach dürften keine personenbezogene Daten durch WhatsApp ausgetauscht werden. In besonderem Maße gälte dies für sensible personenbezogene Daten wie beispielsweise Krankmeldungen aber auch für unterrichtsbezogene sowie notenrelevante Daten, die mittels des Messenger-Dienstes ausgetauscht werden können.

In Deutschland fällt eine solche Kommunikation zwischen Lehrern und Eltern oftmals in eine Grauzone. Eine Umfrage der Deutschen Presse-Agentur ergab, dass manche Bundesländer ihren Lehrkräften untersagen, arbeitsbezogene Nachrichten mittels des Messenger-Dienstes auszutauschen. Eine genaue Regelung gibt es diesbezüglich jedoch nicht. Das Bundesland Niedersachsen eruiert zu dieser Zeit einen datenschutzrechtlich unbedenklicheren, alternativen Messenger-Dienst.

Um die Kommunikation zwischen den Lehrkräften und den Eltern auf datenschutzrechtlich konforme Art und Weise gewährleisten zu können, fordert der Lehrerverband die Einrichtung von Elternportalen. Diese sollen so konzipiert sein, dass eine Kommunikation unter Aufsicht der Schule in einem passwortgeschützten Bereich stattfindet.

Kategorien: Allgemein · Social Media · WhatsApp
Schlagwörter: , ,
1 2 3 62