Kategorie: Online-Datenschutz
19. November 2018
Bei der Abfrage der bei Instagram gespeicherten Daten haben Nutzer auch ihr Passwort unverschlüsselt sehen können.
Im Zuge der DSGVO-Umsetzung hat Instagram die „Download your data“-Option eingeführt. So konnten Nutzer eine Übersicht der über sie bei Instagram gespeicherten Daten bekommen. Bei der Abfrage war allerdings auch das Passwort ausgeschrieben in der URL im Browser sichtbar. Dies beutet, dass die Passwörter unverschlüsselt auf dem Server gespeichert waren, was die Sicherheitsstandards von Instagram in Frage stellt.
Nach dem Instagram das Problem aufgefallen ist wurde es direkt behoben. Nach eigenen Angaben seien nur wenige Nutzer betroffen. Die Betroffenen wurden informiert und gebeten ihre Passwörter zu ändern.
Ungeklärt bleibt, wie lange dieses „Datenleck“ bereits bestand und warum nur einige Nutzer betroffen sein sollten und nicht alle.
15. November 2018
Die internationale Mediaplattform „Teads“ hat in einem neuen Report ermittelt, dass nur fünf Prozent der europäischen Internetnutzer Werbe-Cookies aktiv vermeiden. Trotz zahlreicher Diskussionen über die neue DSGVO bleibt mithin die Datenbasis für personalisierte Werbung zunächst erhalten.
Jeder kennt Sie: Die Cookie-Banner, die von Europas Publisher auf den Websiten eingesetzt werden, um die Besucher der Website zu fragen, ob Sie den Einsatz von Cookies akzeptieren möchten. 62 % dieser Banner sind derart ausgestaltet, dass Nutzer die Werbe-Cookies akzeptieren oder ablehnen können. Im Durchschnitt entscheiden sich derzeit 95 % der Nutzer, die aktiv auf die Frage antworten, für Cookies, lediglich 5 % entscheiden sich aktiv gegen den Cookie-Einsatz.
Da sich etwa zwei Drittel der laut Comscore 300 weltweit führenden Online-Publisher im Vermarktungsnetzwerk von Teads befinden, ist diese Auswertung durchaus aussagekräftig.
Für Deutschland kann eine derartige Auswertung nicht vorgenommen werden. Es gibt keine Daten zur Cookie-Zustimmung, da die meisten deutschen Publisher keine explizite Zustimmung zur Cookie-Verwendung einholen. Diese stützen sich auf ihr berechtigtes Interesse, welches nach der DSGVO eine Datennutzung für Werbezwecke in gewissem Umfang erlaubt. Wenn der Nutzer Cookies nicht wünscht, muss er selbst im Browser den Einsatz deaktivieren.
Im Rahmen der personalisierten Werbung stellt der Einsatz von Cookies einen wesentlichen Faktor dar. Nach Inkrafttreten der DSGVO sollen individuelle Daten grundsätzlich nur noch mit ausdrücklicher Zustimmung des Nutzers erhoben werden. Lediglich das „berechtigte Interesse“ lässt gewissen Spielraum zu, der in Deutschland von den Publishern genutzt wird. Allerdings kann sich in der Hinsicht noch einiges verschärfen, wenn die geplante E-Privacy-Verordnung kommt. Dann könnte es auch in Deutschland Pflicht werden, ein Opt-In für jegliches Tracking einzuführen.
12. November 2018
Die Bundesdatenschutzbeauftragte, Andrea Voßhoff, bezog vor dem Bundesverfassungsgericht Stellung zu einer Verfassungsbeschwerde gegen Bestandsdatenauskünfte. Voßhoff äußert Ihre Kritik darin, dass das Auskunftsrecht des Bundesamtes für Verfassungsschutz dazu führe, dass Behörden Auskünfte zur Identifizierung von Internetnutzern sowie zum Erhalt von Passwörtern nutzen könne, da das Gesetz weder Anlass, Umfang noch betroffenen Personenkreis beschränke.
Insbesondere kritisiert die Bundesdatenschutzbeauftragte, dass sich dem Bundeskriminalamt bereits im Vorfeld von Gefahren die Möglichkeit eröffne, Daten zu sammeln. Gemäß einer von Voßhoff dargelegten Kontrolle, stelle sich heraus, dass die Schwelle zu einer Erhebung von Daten sehr „niedrig“ sei, wodurch der Verfassungsschutz beliebige Daten zu Personen anreichern könne. Um Ihre Kritik zu untermauern, erläuterte Sie, dass in der Praxis Informationen von unschuldigen Personen oftmals in Akten zu verdächtigen Personen aufgeführt werden.
Abschließend erläuterte Voßhoff, dass eine Nutzeridentifizierung künftig nur noch nach richterlicher Anordnung möglich sein solle. Die Entscheidung des Bundesverfassungsgerichts über die eingereichte Beschwerde ist noch abzuwarten.
8. November 2018
Die Digitalisierung im Gesundheitswesen bringt einige Vorteile mit sich, so werden beispielsweise Möglichkeiten geschaffen, die Versorgung zu verbessern und die Arbeit effizienter zu gestalten. Dies stellte die Personalberatung Rochus Mummert Healthcare Consulting in einem neuen Gutachten heraus, in dem 360 Führungskräfte in deutschen Krankenhäusern und Pflegeeinrichtungen befragt wurden. Unter den Studienteilnehmern sind rund die Hälfte in öffentlich-rechtlichen Krankenhäusern beschäftigt, 20 Prozent in privatwirtschaftlichen und konfessionellen Krankenhäusern sowie circa 10 Prozent in freigemeinnützigen oder sonstigen Einrichtungen.
Rund 71 Prozent der Studienteilnehmer sind der Ansicht, dass die Digitalisierung in Kliniken und anderen Pflegeeinrichtungen die Versorgung der Patienten verbessern kann. Darüber hinaus sehen 64 Prozent die Möglichkeit zur Kosteneinsparung, insbesondere deshalb, weil die Digitalisierung dazu beitragen kann, unnötige Untersuchungen und Behandlungen zu vermeiden.
Jedoch stehen diesen positiven Auswirkungen der Digitalisierung auch erhöhte Risiken entgegen. So berichten 43 Prozent der Befragten, dass sie bereits Ziel eines Hackerangriffs geworden sind. Fast ein Drittel (31 Prozent) kann nicht ausschließen, schon einmal unbemerkt Opfer eines Cyber-Kriminellen geworden zu sein.
Bei den Daten in Klinken und Pflegeeinrichtungen handelt es sich überwiegend um sensible personenbezogene Daten, die besonders schutzbedürftig sind. Bei der zunehmenden Digitalisierung, die zwar erhebliche Vorteile mit sich bringt, dürfen Risiken, insbesondere die datenschutzrechtlichen Risiken, nicht außer Acht bleiben.
Um diesen Risiken entgegenzuwirken, muss mehr in die IT-Sicherheit und den Datenschutz investiert werden, beispielsweise durch umfassende IT-Sicherheitsprüfungen, Schulungen und weitere Schutzmaßnahmen, die einen Zugriff von außen durch unberechtigte Dritte verhindern.
6. November 2018
Immer noch umstritten ist die Frage, ob Verstöße gegen das Datenschutzrecht von Wettbewerbern abgemahnt werden können. Mittlerweile haben sich zwei Gerichte mit unterschiedlichen Ergebnissen damit auseinandergesetzt. Im Gegensatz zu den Richtern des Landgerichts Bochum bejahen die Richter am Landgericht Würzburg die Abmahnfähigkeit von Datenschutzrechtsverstößen.
Das Landgericht Würzburg entschied dies im Falle einer Rechtsanwältin, die mit ihrer Datenschutzerklärung auf ihrer Homepage nicht den gesetzlichen Anforderungen der DSGVO gerecht wurde. Eben dieser Verstoß führe weiterhin zu einem Wettbewerbsverstoß, der abmahnfähig sei.
Im Falle eines Online-Händlers, der seinen Informationspflichten auf seiner Website nicht nachgekommen war, hat das Landgericht Bochum entschieden, dass der Wettbewerber trotz des Verstoßes gegen Artikel 13 DSGVO keinen Anspruch auf Unterlassung habe. Begründet wurde dies damit, dass die DSGVO in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthalte. Ein Argument dafür sei, dass die DSGVO eine detaillierte Regelung des anspruchsberechtigten Personenkreises enthalte. Danach stehe nicht jedem Verband ein Recht zur Wahrnehmung der Rechte einer betroffenen Person zu, sondern nur bestimmten Einrichtungen, Organisationen und Vereinigungen ohne Gewinnerzielungsabsicht unter weiteren Voraussetzungen. Daraus sei zu schließen, dass der Unionsgesetzgeber wohl eine Erstreckung auf Mitbewerber des den Bestimmungen nicht eingehaltenen Wettbewerbers nicht zulassen wolle.
26. Oktober 2018
Apple-Chef Tim Cook lobt im Rahmen seiner Teilnahme an der 40. Internationalen Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre (ICDPPC), welche vom 21.10.-26.10. 2018 in Brüssel stattfindet, im EU-Parlament die europäische Datenschutzgrundverordnung. An der Konferenz nehmen neben den unabhängigen Datenschutzbehörden als akkreditierte Mitglieder auch Vertreter von Staaten ohne unabhängige Datenschutzkontrollorgane, internationalen Organisationen, Nichtregierungsorganisationen sowie Vertreter aus Wissenschaft und Industrie teil.
Wie unter anderem die Süddeutsche Zeitung und das Handelsblatt am Mittwoch berichteten, forderte der Apple-Chef in seiner Rede im EU-Parlament weltweit ähnliche Datenschutzstandards. Cook warnt vor der Gefahr eines „Daten-industriellen Komplexes“. Gemeint ist die Sammelwut einiger großer Konzerne im Hinblick auf die persönlichen Daten ihrer Nutzer. Solche Daten würden als „Waffe mit militärischer Effizienz“ eingesetzt. Mit den Daten der Nutzer werde ein milliardenstarkes Geschäft geführt. Die Daten würden „sorgfältig gesammelt, zusammengefasst, gehandelt und verkauft“.
Der Apple-Chef greift hier vor allem die Branchenriesen Google und Facebook an indem er die Verantwortung der Konzerne für Schaffung ausreichender Datenschutzstandards betont. Diese waren in der Vergangenheit im Zusammenhang mit der Frage nach einem ausreichenden Schutz der Daten ihrer Nutzer häufig Mittelpunkt einer globalen Diskussion rund um das Thema Datenschutz.
24. Oktober 2018
Die Verbraucherzentrale Sachsen wirft Facebook fehlende Rechtsklarheit vor und hat deshalb Klage gegen das Unternehmen erhoben.
„Jeder Nutzer hat das Recht zu wissen, was mit seinen Daten passiert und wer dafür verantwortlich ist. Es kann nicht sein, dass sich Facebook seiner Verantwortung entzieht“, teilte der Rechtsexperte Michael Hummel von der Verbraucherzentrale Sachsen mit.
Im Mittelpunkt steht die gemeinsame Verantwortlichkeit für Fanpages, die nach dem Europäischen Gerichtshof Facebook zusammen mit den Betreibern der Seite trägt. Dazu müsste Facebook entsprechende Vereinbarungen mit den Nutzern abschließen. Trotz Mahnungen von Verbraucherschützern die DSGVO-Vorgaben in dieser Hinsicht einzuhalten, hat Facebook seit dem Urteil im Juni nichts geändert.
„Mittlerweile hat uns Facebook durch seine Anwälte mitteilen lassen, dass man keine Verletzung von Verbraucherrechten erkennen könne. Mit der Klage soll Facebook nun seine Pflichten erfüllen und Verbraucher weitestgehend aus der Verantwortung nehmen“, erklärte Michael Hummel.
Ob eine DSGVO-Verletzung vorliegt oder nicht muss nun das Gericht entscheiden. Die Verbraucherzentrale rechnet damit, dass schon in einem Jahr ein Urteil ergehen könnte.
12. Oktober 2018
Das LG Frankfurt a. M. hat in seinem Urteil vom 13.09.2018 (Az.: 2-03 O 283/18) das Veröffentlichen eines Videos von einer Kundin aus einem Frisör-Salon auf seiner Facebook-Seite für rechtswidrig erklärt.
Der Entscheidung lag ein Fall zugrunde, in dem ein Frisör ein Video und Fotos von einer Kundin in seinem Salon auf seiner Facebook-Seite veröffentlicht hatte. Die Kundin beschwerte sich, worauf der Frisör nur die Fotos entfernte aber nicht das Video. Darauf hin klagte die Kundin auf Unterlassung.
Das Gericht prüfte, ob der Frisör die Datenverarbeitung auf eine Rechtsgrundlage stützen kann. In Betracht kamen §§ 22, 23 KUG, Art. 6 Abs. 1 lit a und lit. f. DSGVO in Betracht. Laut Gericht konnte der Frisör nicht glaubhaft darlegen, dass die Kundin eingewilligt hatte. Da auch keine Ausnahmen vom Einwilligungserfordernis nach § 23 KUG einschlägig sind, ist die Veröffentlichung des Videos nicht von §§ 22, 23 KUG gedeckt ist. Mangels Einwilligung scheidet auch Art. 6 Abs. 1 lit. a DSGVO als taugliche Rechtsgrundlage aus. In der weiteren Prüfung verneinte das Gericht ein berechtigtes Interesse des Frisörs an der Veröffentlichung des Videos. Das LG zog hierfür die Grundsätze der §§ 22, 23 KUG und der dazugehörigen Rechtsprechung für die Abwägung heran. Demnach überwiegt bei einem Frisörbesuch das Interesse der Kundin an der Unterlassung gegenüber dem Werbeinteresse des Frisör-Salonbetreibers.
Da sich die Veröffentlichung des Videos auf keine Rechtsgrundlage stützen ließ, muss der Frisör nun das Video von seiner Facebook-Seite entfernen. Diese Entscheidung bestätigt nochmals die Bedeutung der Dokumentationspflichten im Zusammenhang mit der Einwilligung nach Art. 7 Abs. 1 DSGVO.
10. Oktober 2018
Ein Team von Elite-Hackern (Googles Project Zero) hat eine Sicherheitslücke in WhatsApp entdeckt, welche es ermöglicht, ein Smartphone mit einem einzigen Video-Call zu kapern.
Der Fehler findet sich in der Speicherverwaltung des Video-Conferencings. Durch ein speziell präpariertes RTP-Paket kann die Speicherung derart durcheinander gebracht werden, dass der Absender einen eigenen Code einschleusen und damit das Smartphone kapern kann.
Das fällige Update, welches diese Sicherheitslücke aufheben soll, gibt es für die iOS-Version erst seit einer Woche. Das Android-Update gibt es bereits seit dem 28.September 2018. Damit böswillige Hacker keine Spionage-Software auf dem Gerät installieren können, sollten alle WhatsApp-Nutzer jetzt überprüfen, ob sie die jeweils aktuelle Version installiert haben und die aus den offiziellen Quellen verfügbaren Updates installieren. Für das iPhone ist dies aktuell WhatsApp 2.18.93 und bei der Android-Version 2.18.302 (beziehungsweise 2.18.306 im Google PlayStore).
9. Oktober 2018
Nach Facebook räumt auch Google eine Datenpanne ein. Der Hamburger Datenschutzbeauftragte Johannes Caspar hat die Ermittlung gegen das Online-Netzwerk Google Plus aufgenommen.
Durch eine Software-Panne bei Google Plus sollen Basis-Profilinformationen wie Name, E-Mail-Adresse, Geschlecht oder das Alter der Nutzer jahrelang für die App-Entwickler ohne Erlaubnis abrufbar gewesen sein. Diese Datenpanne sei im März 2018 bei Google entdeckt worden, welche sie für ein halbes Jahr für sich behielt. Dies räumte Google am Montag ein. Andere Daten seien jedoch nicht betroffen. Der Fehler sei unmittelbar durch Google behoben worden.
Als Reaktion wird die 2011 als Konkurrenz zu Facebook gestartete Plattform für die Verbraucher dichtgemacht. Darüber hinaus sollen auch die Möglichkeiten für App-Entwickler, auf Nutzerdaten auf Smartphones mit dem Google-System Android zuzugreifen, zukünftig eingeschränkt werden,
Das „Wall Street Journal“ berichtete unter Berufung auf interne Unterlagen Googles, dass dieses Datenleck bereits seit 2015 bestand. Google habe zwar keine Hinweise auf einen Datenmissbrauch, jedoch auch nicht genug Informationen, um einen solchen vollständig auszuschließen. Aus Sorge vor Vergleichen mit Facebook habe sich der Konzern im März dazu entschieden, die Öffentlichkeit nicht über die Entdeckung zu informieren.
Google selbst hat bisher keine Angaben dazu gemacht, wie lange diese Lücke tatsächlich bestand. Es könnten potentiell Profile von bis zu 500 000 Konten bei Google Plus betroffen sein. Genauere Angaben könne der Konzern nicht machen, weil Nutzungslogs nur zwei Wochen lang gespeichert würden.
