Kategorie: Online-Datenschutz

Apps übermitteln Gesundheitsdaten an Facebook

26. Februar 2019

Das Wall Street Journal hat herausgefunden, dass Apps wie Menstruationskalender und Herzfrequenzmesser sensible Daten an Facebook weitergeben. Davon wissen die meisten Nutzer jedoch nichts. Facebook sieht sich nicht in der Verantwortung, da die App-Entwickler selbst entscheiden, welche Angaben über bereitgestellte Tools übermittelt werden. Zweck dieser Datenübermittlung ist es, personalisierte Facebook-Werbung zu ermöglichen.

Mithilfe einer Software haben die Journalisten untersucht, welche Daten 70 populäre Apps aus dem Apple Store weitergeben. Elf davon übermitteln sensible Daten, ohne dass der Nutzer darüber gemäß Art. 13 DSGVO informiert wurde. Laut Experten verstößt diese Praxis gegen die DSGVO.

Die App Flo, mit der Frauen ihre Menstruationszyklen festhalten können, sendet die gesammelten Daten, wie etwa zum Eisprung, welche die Nutzerin eingibt.

Facebook reagiert auf die Recherchen und teilt mit, dass diese Apps gegen die Vorgaben von Facebook verstoßen und fordert die Betreiber auf, die Daten nicht mehr an Facebook zu übermitteln.

Datenschutz beim Newsletter-Versand

20. Februar 2019

Fast 95 Prozent der Unternehmen betreiben E-Mail- und Newsletter-Marketing. Die aktuelle Benchmark-Studie der Unternehmensberatung absolit hat über 5000 Top-Unternehmen im deutschsprachigen Raum untersucht und kommt zu dem Ergebnis, dass jedem 5. Unternehmen ein Bußgeld droht, weil das E-Mail- und Newsletter-Marketing nicht rechtskonform ausgestaltet ist. Besonders nachholbedürftig in Sachen Datenschutz sei der Newsletter-Versand im B2B-Bereich. Als größte Schwachstelle stellt sich dabei ein nicht DSGVO-konformer Eintragungsprozess in den Newsletter-Verteiler heraus.

Folgende Fakten lassen sich der Studie entnehmen:

  • 38 Prozent der Unternehmen fragen zu viele Daten ab und ignorieren den Grundsatz der Datensparsamkeit
  • mehr als 75 Prozent informieren unzureichend oder gar nicht über die Datenverarbeitung
  • 20 Prozent der Unternehmen verzichten auf die Bestätigung einer Formulareintragung mittels Double-Opt-In
  • knapp die Hälfte der B2B-Unternehmen (57 Prozent) haben eine rechtskonforme Anmeldung zum Newsletter

Wegen einer nicht rechtskonformen Umsetzung können gegen die Unternehmen hohe Bußgelder verhängt werden (Art. 83 DSGVO). Im schlimmsten Fall von bis zu 20 Millionen oder von bis zu vier Prozent seines gesamten weltweiten erzielten Jahresumsatzes verhängt werden.

Aus diesem Grund sollten Unternehmen folgende Punkte beim Thema Newsletter-Versand beachten:

  • ausdrückliche und nachweisliche Einwilligung des Empfängers erforderlich
  • idealerweise Nutzung eines Double-Opt-In-Verfahrens
  • vorherige Aufklärung des Empfängers über alle Datenverarbeitungsvorgänge – Implementierung einer Checkbox mit Einwilligungserklärung im direkten Umfeld des Anmeldeformulars
  • Grundsatz der Datensparsamkeit beachten – nur so viele Daten wie notwendig erheben
  • umfangreiche Datenschutzhinweise mit Hinweis zum Widerrufsrecht – müssen durch einen jederzeit abrufbaren und von allen Seiten zugänglicher Link erreichbar sein
  • Impressum aktuell halten
  • Verzeichnis für Verarbeitungstätigkeiten anlegen
  • Abschluss eines Auftragsverarbeitungsvertrages, wenn ein externer Dienstleister eingesetzt wird

In einer Handelsblatt-Umfrage, in der sich die Datenschutzbeauftragten der Länder zu diesem Thema äußerten, heißt es, dass bereits zahlreiche Bußgeldverfahren eingeleitet worden sind und zudem etliche Verwarnungen ausgesprochen wurden. Aus diesem Grund gilt nach wie vor, dass die Vorgaben der DSGVO schnellsmöglichst umgesetzt werden müssen, um Bußgelder zu vermeiden.

Zustimmung der Eltern gemäß Art. 8 Abs. 1 DSGVO

19. Februar 2019

Kinder werden, aufgrund der geringeren Einsichts- und Urteilsfähigkeit für die Tragweite eigenen Handelns, vom Datenschutzrecht besonders geschützt.

Nach Art. 8 Abs. 1 DSGVO bedarf es der Zustimmung des Trägers der elterlichen Verantwortung, wenn ein Kind seine Einwilligung zu einem Dienst einer Informationsgesellschaft erteilt. Damit gilt diese Vorschrift ausschließlich, wenn Rechtsgrundlage für die Verarbeitung eine Einwilligung des Kindes ist. Ein Kind im Sinne der Vorschrift ist eine Person, die das 16. Lebensjahr noch nicht vollendet hat.

Die Definition des Begriffs „Dienst der Informationsgesellschaft“ in Art. 4 Nr. 25 DSGVO verweist auf die Richtlinie (EU) 2015/1535. Danach ist ein Dienst der Informationsgesellschaft jede

  • in der Regel gegen Entgelt
  • elektronisch
  • im Fernabsatz und
  • auf individuellen Abruf eines Empfängers
  • erbrachte Dienstleistung.

Liegen diese 5 Voraussetzungen kumulativ vor, bedarf die Einwilligung in das Angebot der Zustimmung der Eltern. Typische Beispiele für einen solchen Dienst sind Soziale Medien und Online-Spiele. Anhang 1 der Richtlinie (EU) 2015/1535 beinhaltet hierzu einen Negativ-Katalog.

Nach Art. 8 Abs. 2 DSGVO sind angemessene Anstrengungen zu unternehmen, um sich der Zustimmung der elterlichen Verantwortung zu versichern. Als sicheres Verfahren käme eine Videoaufzeichnung oder andere Identifizierungsverfahren in Betracht. Allerdings könnten diese Verfahren mit dem Grundsatz der Datensparsamkeit in Konflikt geraten. Diese beiden Forderungen der DSGVO sind in Einklang zu bringen. Es ist daher zu prüfen, wie sensibel die Daten sind, die von dem Kind erhoben werden. Je sensibler die Daten desto höhere Anforderungen sind an die Anstrengung zur Sicherstellung der Zustimmung der Eltern zu stellen.

Es ist zu empfehlen, bei der Erhebung von personenbezogenen Daten eines Kindes immer den Datenschutzbeauftragten mit einzubeziehen, um zu prüfen, ob die Voraussetzungen des Art. 8 Abs. 1 DSGVO vorliegen und ob die Anforderungen des Art. 8 Abs. 2 DSGVO erfüllt werden.

Schulkommunikation via WhatsApp – Kultusministerkonferenz sieht Probleme bei Datenschutz

In den modernen Zeiten kommt es immer öfter dazu, dass Lehrer mit den Eltern ihrer Schüler via WhatsApp kommunizieren. Der Präsident der
Kultusministerkonferenz sieht dies datenschutzrechtlich jedoch als bedenklich an. Seiner Ansicht nach dürften keine personenbezogene Daten durch WhatsApp ausgetauscht werden. In besonderem Maße gälte dies für sensible personenbezogene Daten wie beispielsweise Krankmeldungen aber auch für unterrichtsbezogene sowie notenrelevante Daten, die mittels des Messenger-Dienstes ausgetauscht werden können.

In Deutschland fällt eine solche Kommunikation zwischen Lehrern und Eltern oftmals in eine Grauzone. Eine Umfrage der Deutschen Presse-Agentur ergab, dass manche Bundesländer ihren Lehrkräften untersagen, arbeitsbezogene Nachrichten mittels des Messenger-Dienstes auszutauschen. Eine genaue Regelung gibt es diesbezüglich jedoch nicht. Das Bundesland Niedersachsen eruiert zu dieser Zeit einen datenschutzrechtlich unbedenklicheren, alternativen Messenger-Dienst.

Um die Kommunikation zwischen den Lehrkräften und den Eltern auf datenschutzrechtlich konforme Art und Weise gewährleisten zu können, fordert der Lehrerverband die Einrichtung von Elternportalen. Diese sollen so konzipiert sein, dass eine Kommunikation unter Aufsicht der Schule in einem passwortgeschützten Bereich stattfindet.

Kategorien: Allgemein · Social Media · WhatsApp
Schlagwörter: , ,

Hackerangriff auf Parlament und Parteien in Australien

18. Februar 2019

Wie die australische Rundfunkgesellschaft ABC berichtet, sind neben dem Parlament in Australien drei große Parteien – namentlich die regierenden Parteien Liberal Party of Australia und die National Party of Australia sowie die stärkste Oppositionspartei Labor – Ziel eines Hackerangriffes geworden. Dies sei bei der Untersuchung eines Angriffes auf IT-Netzwerke des Parlaments am 08. Februar entdeckt worden. Den Berichten zufolge vermutet das, die Hackerangriffe untersuchende, Australian Cyber Securtiy Centre, dass lediglich ein fähiger staatlicher Akteur hinter dem Angriffsversuch stecken könne. Damit erinnert der Fall an den Hackerangriff auf den Bundestag 2015, bei dem in der Folge der Ermittlung staatliche, russische Hacker als verantwortlich ausgemacht wurden.

Unklar scheint bisher noch, ob es im Rahmen der Angriffe zum Verlust von Daten gekommen sei. Mit Blick auf die dieses Jahr stattfindenden bundesweiten Wahlen gebe es bislang allerdings keine Hinweise auf den Versuch einer Wahlbeeinflussung.

Viele Android-Apps spionieren Nutzer unzulässig aus

Trotz eindeutiger Werberichtlinien von Google senden offenbar zehntausende Android-Apps Werbe-Daten nicht nur mit der dafür vorgesehenen Werbe-ID eines Handys, sondern auch mit permanenten Geräte-IDs an Werbekunden. Werbedienstleister können so auch dann personalisierte Anzeigen darstellen, wenn der Nutzer seine Werbe-ID kürzlich zurückgesetzt hat. Das geht aus einer Untersuchung der unabhängigen Forschungseinrichtung Appcensus aus dem kalifornischen Berkeley hervor. Aus einer Datenbank von 24.000 Android-Apps, die die sogenannte Werbe-ID für Smartphones abfragen, griffen der Studie zufolge rund 70 Prozent weitere Identifizierungsmerkmale ab. Mehr als 18.000 unterschiedliche Apps seien betroffen.

Die sogenannte Werbe-ID soll es eigentlich ermöglichen, dass Smartphone-Nutzer personalisierte Werbung erhalten, ohne gleichzeitig kaum oder gar nicht veränderbare Gerätedaten wie die Seriennummer IMEI, Mac-Adressen von Routern oder die Android-ID (SSAID) übertragen zu müssen. Wie bei Browser-Cookies können Nutzer auf Wunsch die Werbe-ID jederzeit zurücksetzen oder deren Übertragung generell deaktivieren. Im Anschluss sollten Dienstleister nicht mehr in der Lage sein, personalisierte Werbung anhand der vorherigen Nutzung auszuspielen.

Die Forscher vom International Computer Science Institute haben Google bereits im vergangenen September über die Funde informiert, allerdings keine Antwort bekommen. Dem US-Computermagazin Cnet sagte ein Google-Sprecher hingegen: „Die Kombination der Werbe-ID mit Gerätekennungen zum Zwecke der Personalisierung von Anzeigen ist strengstens verboten. Wir überprüfen ständig Apps – einschließlich der im Bericht des Forschers genannten – und werden Maßnahmen ergreifen, wenn sie unseren Richtlinien nicht entsprechen.“

Kategorien: Allgemein · Mobile Business · Tracking
Schlagwörter: , , ,

Offener E-Mailverteiler: Bußgelder auch für Privatpersonen

15. Februar 2019

Ein Mann aus Merseburg hat wiederholt hunderte von Mails mit personenbezogenen E-Mailadressen im offenen Verteiler geschickt. Aus diesem Grund hat der Landesdatenschutzbeauftragte von Sachsen-Anhalt, Harald von Bose, hohe Bußgelder gegen diesen Mann verhängt. Die Mails beinhalten Verunglimpfungen, Stellungnahmen, Beschwerden aber auch Strafanzeigen gegen Vertreter aus Wirtschaft, Presse, Kommunal- und Landespolitik.

Die verschiedenen Bußgelder summieren sich auf 2.628,50 Euro.  Jedoch könnte es weitere Verfahren geben, da der Mann nach den Bußgelbescheiden weitere Datenschutzverstöße begangen haben könnte.

Die DSGVO findet gemäß Artikel 2 Abs. 2 lit. c nicht auf die Verarbeitung von Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Das heißt im privaten Bereich ist ein offener Emailverteiler durchaus erlaubt. In diesem Fall kann man jedoch nicht mehr von einem privaten Bereich sprechen, da Mails an zum Teil bis zu 1600 Personen verschickt wurden. Aus diesem Grund gilt der Artikel 2 Abs. 2 lit. c unter diesen Umständen nicht.

Bundeskartellamt kritisiert Facebook

7. Februar 2019

Das Bundeskartellamt kritisiert Facebook und ist der Meinung, dass Facebook seine marktherrschende Stellung missbrauche.

Deshalb soll Facebook im Sammeln von Nutzerdaten beschränkt werden. Erhält Facebook Daten aus verschiedenen Quellen, etwa WhatsApp und Instagram, dürfen diese Daten nur mit Zustimmung der Nutzer zusammengeführt werden, teilte die Behörde mit. Auch die Verwendung des „Like“-Buttons auf Internetseiten anderer Anbieter soll eingeschränkt werden.

Facebook möchte diese Einschränkungen nicht hinnehmen und kündigte an, gegen den Beschluss Beschwerde einzulegen. Facebook ist der Meinung, dass sie zwar ein populäres Netzwerk seien, allerdings keine marktherrschende Stellung einnehmen. Zudem läge kein Verstoß gegen die DSGVO vor und könne auch nicht vom Kartellamt beurteilt werden. Für die Aufsicht über die Einhaltung der DSGVO seien Datenschutzbehörden zuständig.

Zwölf Monate hat Facebook Zeit, um sein Verhalten zu ändern und muss innerhalb der nächsten vier Monate Lösungsvorschläge machen. Gegen diese Entscheidung des Kartellamts kann Facebook innerhalb eines Monats beim Oberlandesgericht Düsseldorf Beschwerde einlegen.

Hackerangriff bei Airbus: Unbekannte verschaffen sich Zugriff auf Mitarbeiter-Daten

31. Januar 2019

Der größte europäische Flugzeughersteller Airbus ist offenbar einem Cyberangriff zum Opfer gefallen.
Wie Airbus am Mittwoch in einer kurzen Stellungnahme bekannt gab, verschafften sich Angreifer Zugang zu einem zentralen Server und gelangten so an personenbezogene Daten. Betroffen seien einige Airbus-Mitarbeiter in Europa.

Laut dem Unternehmen sei der Geschäftsbetrieb der Zivilflugzeugsparte Airbus Commercial nicht beeinträchtigt. Ebenso wenig betroffen seien die Bereiche Rüstung und Raumfahrt sowie der Geschäftsbereich Helikopter.
Ein Zugriff auf Bordsysteme von Airbus-Flugzeugen sei auszuschließen.

Der Hackerangriff wurde am 11. Januar der französischen Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) nach Maßgabe der Datenschutz-Grundverordnung (DSGVO) gemeldet. Erste Hinweise auf den Zugriff gab es bereits am 6. Januar.

Das genaue Ausmaß des Angriffs ist noch nicht bekannt, ebenso wenig die Anzahl der Betroffenen.

Ungeklärt ist derzeit, ob es sich um einen gezielten Angriff auf spezielle Daten gehandelt hat und wer hinter dem Angriff steckt.

Airbus gibt an, anlässlich des Vorfalls die bestehenden Sicherheitsmaßnahmen zu verstärken.

Kategorien: Allgemein · Hackerangriffe
Schlagwörter:

Zusammenführung der Messenger von Facebook, WhatsApp und Instagram

Auf dem Markt befinden sich derzeit mehrere unterschiedliche Messenger. Die bekanntesten davon sind Facebook, Instagram und WhatsApp. Um mit dem gesamten Bekanntenkreis in Kontakt zu bleiben, ist oft erforderlich, gleich zahlreiche Accounts zu verwenden, da die Kommunikation zwischen den Diensten nicht möglich ist. Dies soll sich jedoch in absehbarer Zeit ändern. Mark Zuckerberg hat nun angeordnet, die Chat-Technik der drei Dienste zu verschmelzen, wie die New York Times zuerst berichtete.

Die geplante Zusammenführung der Messenger würde ein Kommunikationsmonopol errichten und gleichzeitig große Sicherheitsfragen aufwerfen. Insgesamt würden die drei Dienste auf gut 2,6 Milliarden Nutzer kommen. Die Zusammenführung steht zunächst vor der Hürde, eine Ende-zu-Ende-Verschlüsselung für alle Dienste zu implementieren. Dies ist technologisch einfacher gesagt als getan. Selbst wenn die Verschlüsselung zum Standard wird, dürften die User sich der Frage stellen, welche Daten sie nun eigentlich mit welcher Plattform teilen.

Es gibt zwar noch keine Einzelheiten dazu, ob die Nutzerdaten über alle Dienste hinweg geteilt werden. Aus Marketingsicht wäre dieser Schritt jedoch nur logisch. Für Nutzer, die ihre Daten auf einen Dienst beschränken wollen, wäre dies jedoch ein Problem. Bundesjustizministerin Katarina Barley kritisiert das Vorhaben des Internetkonzerns Facebook, seine sozialen Netzwerke und Sofortnachrichten zu verknüpfen. „Die EU hat ein scharfes Wettbewerbsrecht und seit einem halben Jahr auch ein starkes Datenschutzrecht.“ Beide sähen Sanktionen vor. „Dieses Recht werden wir gegenüber Datenmonopolisten konsequent durchsetzen“, sagte Barley gegenüber der WirtschaftsWoche.

1 2 3 4 62