Kategorie: Online-Datenschutz

Überblick zur umstrittenen Palantir-Software

29. Juni 2022

Seit einiger Zeit ist immer wieder die Rede von dem US-Konzern Palantir. Spätestens seitdem das Bayerische Landeskriminalamt (BLKA) im März entschieden hatte, zukünftig eine Analyse-Software des Konzerns zu nutzen, ist der Name wieder vermehrt zu hören gewesen. Dies liegt u.a. daran, dass der Konzern nicht ganz unumstritten ist. Alle wichtigen Informationen rund um den Palantir-Konzern und die fragliche Software präsentieren wir Ihnen hier im Überblick: 

Um was für eine Software handelt es sich und wozu wird sie eingesetzt? 

Das Analyse-Tool von Palantir beruht auf der Software Gotham. Damit sollen neben polizeilichen, auch andere behördliche Datenbanken abgefragt werden können, z. B. das Waffenregister, Einwohnermeldedaten oder das Ausländerzentralregister. Informationen aus verschiedenen Datenbanken sollen so schneller und effizienter miteinander verknüpft werden. 

Wie weit ist die Software verbreitet? 

In Hessen („Hessendata“) und Nordrhein-Westfalen („DAR“) ist die Palantir-Software bereits im Einsatz. In Bayern soll sie unter dem Begriff „VeRA“ (Verfahrensübergreifende Recherche und Analyse) starten. Da Bayern einen sogenannten „Rahmenvertrag“ abgeschlossen hat, können weitere Polizeien von Bund und Ländern ohne zusätzliche Vergabeverfahren in den Vertrag miteinsteigen. 

Baden-Württemberg, Bremen und Hamburg haben bereits Interesse bekundet. Auch der Bund will sich einen Einsatz überlegen. Dies hätte zur Folge, dass die Bundespolizei und der Zoll mit der Software arbeiten könnten. 

Palantir selbst ist international gut aufgestellt und bewirbt sich in Großbritannien gerade für einen fünf-Jahres-Vertrag mit der NHS, dem staatlichen Gesundheitssystem. Für diese soll dann eine Datenbank angelegt werden, in der Gesundheitsdaten gespeichert werden. Teilweise arbeitet Palantir jetzt schon für die NHS. Auch hier äußern sich Kritiker besorgt. 

Was ist die Kritik an der Software? 

Kritisiert wird zum einen, dass Palantir durch die Software eine bedeutende Stellung im deutschen Markt einnehmen könnte mit der Folge, dass dadurch ein Abhängigkeitsverhältnis des Staates entstehen könnte. 

Die meiste Kritik kommt jedoch von der Seite der Datenschützer. Dort wird vor allem kritisiert, dass über die Software enorme Mengen an Datensätzen miteinander verbunden werden, was einen Grundrechtseingriff darstelle. Auch besteht die Befürchtung, dass die durch Palantir erhobenen, sensiblen Daten, in die USA gelangen und dort von den Geheimdiensten abgegriffen werden könnten. 

Das Unternehmen Palantir hat in seinem Heimatland, den USA, bereits für Geheimdienste und das Pentagon gearbeitet. Auch dort ist das Unternehmen umstritten. Mitgründer Peter Thiel ist Trump-Supporter, unterstützt rechte Politiker und hat in der Vergangenheit seinen Unmut über Demokratien geäußert. Palantir hat bereits Verträge mit der United States Immigration and Customs Enforcement (ICE), einer Polizei- und Zollbehörde des Ministeriums für Innere Sicherheit, abgeschlossen. In diesem Zusammenhang wurde Palantir vorgeworfen, die ICE habe mithilfe der Software Daten über illegale Einwanderer gesammelt und diese später festgenommen und abgeschoben. 

Die jüngste Kritik an der Palantir-Software kommt von der NRW-Datenschutzbeauftragten Bettina Gayk im neuen Jahresbericht. Darin kritisiert sie, dass es für den Einsatz der Software bisher keine gesetzliche Grundlage gebe. Der Gesetzgeber müsse entscheiden, welche Straftaten schwer genug seien, um die Zweckbindung der einzelnen Datenbanken aufzuheben. Denn durch die Software würden auch Daten nicht straffällig gewordener Personen verarbeitet, z.B. die Daten von Anrufern bei der Notrufnummer 110 und von Zeugen. 

Bundesgerichtshof: Unerwünschte Inbox-Werbung ist rechtswidrig

10. Juni 2022

E-Mail-Dienste wie T-Online dürfen Nutzern kostenfreier Basisversionen nicht mehr ohne Einwilligung Werbung in der Inbox anzeigen. Dies hat der Bundesgerichtshof (BGH) in seinem nun veröffentlichten Urteil vom 13. Januar diesen Jahres entschieden (Az.: I ZR 25/19). 

In dem Streit ging es um eine Werbemaßnahme des Stromlieferanten Eprimo aus der Eon-Gruppe. Dieser hatte in Zusammenarbeit mit einer Agentur Werbenachrichten in E-Mail-Postfächer von Nutzern des E-Mail-Dienstes T-Online geschaltet. 

Vergleichbar mit Spam-E-Mails 

Kennzeichnend für Inbox-Werbung sei, dass sie in der Inbox – also im für private Nachrichten gedachten Bereich – angezeigt wird. Der Zugang zu den eigentlichen E-Mails sei so ähnlich versperrt wie durch Spam-E-Mails. Inbox-Werbung sei bei vielen webbasierten E-Mail-Diensten gängige Praxis. 

Der Bundesgerichtshof entschied über den Streit, nachdem er dem Europäischen Gerichtshof (EuGH) einige Fragen zur Interpretation vorgelegt hatte. Der EuGH entschied auf die Vorlage hin im November, dass Zweck der E-Privacy-Richtlinie sei, Nutzer gegen die Verletzung ihrer Privatsphäre durch unerbetene Nachrichten für Zwecke der Direktwerbung zu schützen. Inbox-Werbung behindere den Zugang zu den eigentlichen E-Mails, ähnlich wie Spam. Das Versenden von Werbenachrichten in dieser Form stelle zwar keine E-Mail dar, aus Sicht des Empfängers sei die Werbenachricht von Spam-E-Mails aber kaum zu unterscheiden. Daher solle ein Opt-in zwingend erforderlich sein. 

Allgemeine Einwilligung nicht wirksam 

Inbox-Werbung ist deshalb künftig nur dann rechtmäßig, wenn der Nutzer zuvor informiert wurde und ausdrücklich in sie eingewilligt hat. Dafür stellen die Karlsruher Richter hohe Anforderungen auf. Es reiche nicht aus, dass der Nutzer eine allgemeine Einwilligung in Werbung erteilt hat, um den Dienst kostenlos nutzen zu können. Der Nutzer müsse vor der Einwilligung vielmehr über die Umstände derartiger Werbung aufgeklärt werden. Insbesondere müsse der Dienst darauf hinweisen, dass Werbenachrichten in der Liste der empfangenen privaten E-Mails angezeigt werden. 

Einige E-Mail-Anbieter wie GMX und web.de reagierten unmittelbar auf das Urteil und passten ihre Einwilligungserklärungen an. Hier kann der Nutzer nun auch in Inbox-Werbung einwilligen – oder dies verweigern.

Die EU-Kommission setzt WhatsApp ein Ultimatum

9. Juni 2022

Im Januar dieses Jahres hatte die EU-Komission zusammen mit dem Netzwerk für Verbraucherschutz (CPC) gegen WhatsApp eine Forderung erhoben.

In dieser war nach Aufklärung hinsichtlich der Nutzungsbedingungen sowie der Datenschutzregeln von 2021 verlangt worden. Denn WhatsApp hatte Anfang des vergangenen Jahres von seinen Nutzern gefordert, dass diese den neuen Datenschutzerklärung zustimmen sollen, um den Dienst auch weiterhin nutzen zu können. Unter den Nutzern waren diese Regelungen stark umstritten und führten zu einem großen Nutzerzuwachs bei alternativen Messengern wie beispielsweise Signal.

Kritisch bei der neuen Datenschutzerklärung wurde vor allem die mögliche Datenweitergabe von WhatsApp an Facebook beäugt. WhatsApp verneinte zwar die Weitergabe und sprach von einem Missverständnis, jedoch wurde in der überarbeiteten Datenschutzerklärung explizit die Weitergabe von Daten an Facebook genannt.

Die bisherigen Erläuterungen von WhatsApp, der Tochterfirma des US-Konzerns Meta (früher Facebook), reichen der EU-Kommission nun nicht mehr aus.

Die EU-Kommission hat WhatsApp eine Frist von einem Monat gesetzt, in welcher das Unternehmen den Verbraucherschutzbehörden nachweisen soll, dass seine Praktiken den Vorgaben des EU-Verbraucherschutzrechts entsprechen. Justizkommissar Didier Reynders erklärte: „WhatsApp muss sicherstellen, dass die Nutzer verstehen, was sie akzeptieren und wie ihre personenbezogenen Daten für kommerzielle Zwecke verwendet werden, vornehmlich um Geschäftspartnern Dienstleistungen anzubieten. Ich wiederhole, dass ich von WhatsApp erwarte, dass es die EU-Vorschriften, die die Verbraucher und ihre Grundrechte schützen, vollständig einhält.

WhatsApp solle unter anderem darlegen, auf welche Weise das Unternehmen mit den Daten seiner Nutzer Geld verdiene. Ebenfalls will die Kommission wissen, wie WhatsApp bei künftigen Updates seiner Nutzungsbedingungen, den Nutzern vermitteln wird, welche Auswirkungen die Updates für die Verbraucher haben. Nur auf dieser Basis könne eine freie Entscheidung über die weitere Nutzung des Dienstes möglich sein. Des Weiteren wird die unverständliche Formulierung der aktuellen Nutzungsbedingungen von der EU-Kommission moniert. Die Verbraucher sind so nicht in der Lage, nachvollziehen zu können, was mit den gespeicherten Daten passiert. Zudem soll der Dienst explizit darauf hinweisen, wenn mit den erhobenen Daten durch kommerzielle Nutzung Einnahmen erzielt werden.

Es bleibt abzuwarten, ob WhatsApp der Forderung der EU-Kommission innerhalb der einmonatigen Frist nachkommen wird.

Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor ‚Spoofing‘

3. Juni 2022

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt mit einer Meldung vom 02.06.2022 vor ‚Spoofing‘-Angriffen, die mit der Rufnummer des BSI erfolgen sollen. Verwendet werden dabei zum Beispiel die Nummern +49 228 9582 44 oder 0228 9582. Das BSI warnt eindringlich davor, Anrufenden persönliche Daten mitzuteilen oder Aufforderungen nachzukommen.

Das ‚Spoofing‘ ist, ähnlich wie das ‚Smishing‘ ein bekanntes Betrugskonzept. Der Begriff (auf deutsch übersetzt etwa: Manipulation, Verschleierung, Vortäuschung) umfasst Handlungen, bei denen sich Kriminelle am Telefon oder per E-Mail als jemand anders ausgeben, um so direkt oder indirekt an Daten der Angerufenen zu gelangen. Meist treten die Anrufer dabei als Vertreter oder Mitarbeiter einer Behörde, eines Unternehmens oder anderer seriöser Institutionen (z.B. Banken oder Vereine) auf. Die Angerufenen werden dann entweder im Gespräch selbst gebeten, gewisse Daten herauszugeben oder werden auf eine entsprechende Website verwiesen. Bei Mails sind häufig Trojaner und Viren im Anhang in Dokumenten versteckt. Meist sind die Angreifer auf die Herausgabe von Kontodaten oder Bargeld aus.

Perfide an der Betrugsmasche ist, dass bei solchen Anrufen meist eine falsche Rufnummer übermittelt und angezeigt wird (sog. Call-ID-Spoofing). So kann dann z.B. die Nummer einer Behörde den Angerufenen angezeigt werden, obwohl diese mit dem Anruf nichts zu tun hat. Dadurch soll zum einen der Eindruck von Seriösität und Vertrauen erweckt werden, zum anderen soll so die Identität der Anrufer verschleiert werden. Vorgekommen ist in der Vergangenheit z.B. schon, dass die 110 als Anrufer angezeigt wurde, obwohl dies eine reine Einwahlnummer ist und die Polizei von dieser Nummer aus niemanden anrufen kann. Bei Mails wird der Absender manipuliert, sodass es dem Empfänger scheint, als habe eine offizielle Stelle oder ein Bekannter ihn kontaktiert. Weitere Informationen zur Manipulation von Rufnummern sind auf der Website der Bundesnetzagentur zu finden.

Verhaltenstipps: Sollten Sie einen Anruf oder eine Mail bekommen, bei denen Sie sich nicht sicher sind, ob ein ‚Spoofing‘-Angriff vorliegt, sollten sie zunächst die Kommunikation einstellen, d.h. auflegen oder nicht mehr antworten, den Kontakt ggf. blockieren. Unbekannte Links oder Anhänge sollten sie niemals öffnen. Danach sollten Sie die Behörde, das Unternehmen oder die Institution, von der der Anruf/ die Mail angeblich ausging über einen offiziellen Weg kontaktieren und sich nach der Authentizität der Anfrage erkundigen. Geben Sie niemals persönliche Daten raus, bevor Sie bestätigt haben, dass es sich nicht um eine kriminelle Anfrage handelt!
Falls Sie in diesem konkreten Fall einen Anruf des angeblichen BSI bereits engegengenommen haben, sollten Sie das Service-Center des BSI mit der Rufnummer 0800 274 1000 kontaktieren.

Twitter: Strafe in Millionenhöhe, wegen Nutzertäuschung

2. Juni 2022

Twitter hatte jahrelang verschwiegen, dass aus Sicherheitsgründen hinterlegte Handynummern und E-Mail-Adressen auch zu Werbezwecken verwendet worden waren. Das Unternehmen sprach von einem „Versehen“.

In der veröffentlichten Klageschrift von letzter Woche verwiesen die Handelsbehörde FTC und das Justizministerium darauf, dass Twitter die Nutzer um ihre Telefonnummern und E-Mail-Adressen mit der Begründung gebeten hatte, man könne damit ihre Accounts besser absichern. Online-Dienste greifen auf E-Mails oder Nachrichten an Handy-Nummern zum Beispiel zum Zwecke der Anmeldung auf neuen Geräten zurück sowie bei vergessenen Passwörtern oder um gesperrte Profile wieder freizuschalten.

Twitter habe die Daten aber auch verwendet, um den Nutzern personalisierte Werbung anzuzeigen, hieß es in der Klage. Damit seien die für andere Zwecke erhobenen Kontaktinformationen missbraucht worden. Twitter habe verschwiegen, dass es für eine Zwei-Faktor-Authentifizierung hinterlegte Handynummern und E-Mail-Adressen dazu verwendet habe, Unternehmen dabei zu helfen, personalisierte Werbung zu schalten. Zwischen Mai 2013 und September 2019 hätten mehr als 140 Millionen Nutzer ihre Telefonnummern oder E-Mail-Adressen mit Twitter geteilt, betonte die US-Regierung. Sie sah in der Vorgehensweise des Dienstes einen Verstoß gegen eine Einigung aus dem Jahr 2011, in welcher sich Twitter auch zu Transparenz beim Datenschutz verpflichtet hatte.

Twitter räumte die Vorwürfe in einer Stellungnahme ein. „Einige der zu Sicherheitszwecken bereitgestellten E-Mail-Adressen und Telefonnummern konnten versehentlich für Werbezwecke verwendet werden“, erklärte der Leiter der Datenschutzabteilung, Damien Kieran.

Mit 150 Millionen Dollar (140 Millionen Euro) kommt Twitter allerdings deutlich günstiger davon als Facebook im Jahr 2019. Damals warfen US-Behörden dem weltgrößten Online-Netzwerk ebenfalls vor, frühere Datenschutz-Verpflichtungen verletzt zu haben. Facebook zahlte fünf Milliarden Dollar und stimmte einer strikteren Datenschutz-Aufsicht zu. Auch Twitter muss nun unter anderem den Datenschutz von durch die FTC benannten Experten prüfen lassen und der Behörde Zwischenfälle binnen 30 Tagen melden. Außerdem soll Twitter ein Verfahren zur sicheren Anmeldung anbieten, das ohne eine Telefonnummer funktioniert.

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) äußert sich zu Online-Fragebogen des Zensus 2022

27. Mai 2022

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, hat sich vergangene Woche zum Zensus 2022 geäußert. Grund dafür war, dass der BfDI Mitte Mai Kenntnis von der Möglichkeit einer Verletzung des Schutzes personenbezogener Daten durch den Online-Fragebogen zum Zensus 2022 erhalten hatte. Konkret geht es dabei um den Online-Fragebogen zur Gebäude- und Wohnungszählung des Zensus 2022. Für die Erhebung dieser Daten wird teilweise Technik des US-amerikanischen IT-Dienstleisters Cloudflare verwendet. Es wurde befürchtet, dass die in die Fragebögen eingetragenen Daten an Cloudflare übermittelt würden. Hierzu gab der BfDI jetzt Entwarnung und bestätigte, dass „zu keinem Zeitpunkt eine Gefahr für die in dem Fragebogen eingegebenen personenbezogenen Daten bestanden hat“. An Cloudflare übertragen wurden allerdings Metadaten (z. B. Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Herkunftsverweise und IP-Adresse). Ob dies rechtmäßig war, wird momentan noch überprüft. Vorsichtshalber wird Cloudflare für die Fragebögen erstmal nicht mehr eingesetzt, sodass auch keine Metadaten übertragen werden.

Im Zusammenhang mit dem derzeit stattfinden Zensus ergeben sich einige weitere Fragen:

Was genau ist der Zensus 2022?

Beim Zensus handelt es sich um eine Volkszählung. Dabei wird nicht nur die Menge der Bevölkerung erfasst, sondern auch stichprobenartig weitere Daten von den Befragten gesammelt. Der Zensus 2022 findet von Mitte Mai bis Mitte August statt und bildet dann für die nächsten zehn Jahre die Grundlage für amtliche Statistiken und darauf aufbauende Planungen, wie u.a. Bauprojekte. Auch z.B. Wahlkreise werden so eingeteilt. Die Befragten werden per Zufall ausgesucht. Wird man als Befragter ausgewählt, ist die Teilnahme am Zensus verpflichtend. Rechtliche Grundlage ist das Zensusgesetzes 2022 (ZensG 2022).

Welche Daten werden wie beim Zensus erhoben?

Befragt werden ca. 10 % der Bevölkerung in Deutschland zu Fragen wie u.a. Alter, Geschlecht, Staatsangehörigkeit, Wohnsituation, Beruf und Einkommen. Die Befragten werden persönlich durch InterviewerInnen bei ihnen zu Hause befragt und sollen zusätzlich für die Gebäude- und Wohnungszählung Online-Fragebögen nutzen.

Wie wird der Datenschutz gewährleistet?

Verwendet werden nur die Daten, die für den Zensus relevant sind. Diese werden anonym ausgewertet. Alle anderen personenbezogenen Daten (z.B. der Name des Befragten) werden gelöscht. Es werden keine Daten an andere staatliche Stellen wie Meldeämter, Finanzämter oder die Polizei weitergegeben. Die InterviewerInnen werden außerdem zur Geheimhaltung verpflichtet. Bei der Übermittlung von Daten über die Online-Fragebögen werden diese Daten verschlüsselt.

Weitere Fragen rund um den Datenschutz und die Informationsfreiheit werden umfangreich auf einer extra eingerichteten Website des Zensus beantwortet.

Falls Sie als Befragter ausgewählt wurden: Bitte achten Sie darauf, dass InterviewerInnen ihre Befragung immer ankündigen und nicht ohne eine Vorankündigung bei Ihnen zu Hause erscheinen werden. Sie können ihr Amt außerdem mit einem speziellen Ausweis nachweisen. Achten Sie darauf, dass Sie Ihre Daten nicht falschen InterviewerInnen mitteilen.

EU-Kommission sorgt mit neuer Verordnung gegen Kindesmissbrauch für Kritik bei Datenschützern

13. Mai 2022

Die EU-Kommission hat am vergangenen Mittwoch einen Entwurf für eine neue Verordnung veröffentlicht. Die Verordnung soll die Verbreitung von Kindesmissbrauchsdarstellungen im Netz bekämpfen. Der Entwurf trifft jedoch vor allem bei Datenschützern auf große Kritik.

Um was für eine Verordnung handelt es sich?

Die Verordnung soll den steigenden Zahlen an Kindesmissbrauchsdarstellungen und „Grooming“- Attacken (bei dem Kinder im Internet zu Missbrauchszwecken kontaktiert werden) im Internet entgegen wirken. Vor allem im Zuge der COVID-19-Pandemie haben diese deutlich zugenommen. Zwar gibt es einige Dienstanbieter, wie z.B. Google, die auf ihren Plattformen gezielt nach solchen Inhalten suchen und diese bei den Behörden melden. Dies erfolgt aber auf freiwilliger Basis und zu größten Teilen von US-Anbietern. Die EU-Kommission sieht dies als nicht ausreichend an und will EU-weit einen gesetzlichen Rahmen und somit Pflichten zum Aufspüren und Melden von solchen Inhalten schaffen. Warum neue Regelungen notwendig sind, hat sie zudem in einem Q&A begründet.

Was genau sieht die Verordnung vor?

Die Verordnung sieht vor, dass Internetdienstanbieter zunächst analysieren, wie groß das Risiko ist, dass ihr Dienst für solche Missbrauchs-Zwecke genutzt wird. Dann soll der Anbieter dementsprechend notwendige Maßnahmen ergreifen. Sollte dies den zuständigen Behörden nicht ausreichen, können diese die Anbieter dazu verpflichten, ihre Dienste mit Hilfe von Softwares zu durchsuchen. Dabei soll entsprechendes Missbrauchs-Bildmaterial entdeckt und gemeldet werden.

Auch das „Grooming“ soll dadurch aufgespürt werden. Dazu sollen die Internetdienstanbieter auch Textnachrichten scannen dürfen. Durch welche Technik genau dies geschehen soll, ist noch unklar.

Sollten sich die Anbieter nicht daran halten, sieht der Verordnungs-Entwurf empfindliche Geldstrafen von bis zu 6 Prozent ihres weltweiten Jahresumsatzes vor. Für die Meldungen zuständig soll eine neu einzurichtende EU-Zentralstelle sein, die bei der EU-Polizeibehörde in Den Haag angesiedelt werden soll.

Was genau wird an der Verordnung kritisiert?

Kritiker richten sich selbstverständlich nicht gegen die Zielsetzung der Verordnung, verstärkt gegen Kindesmissbrauchsdarstellungen im Internet vorzugehen. Die Verordnung wird jedoch als unverhältnismäßig kritisiert und bereits jetzt als „Chatkontrolle“ betitelt. Kritiker befürchten, dass es durch diese Verordnung zur anlasslosen Massenüberwachung kommt und die Sicherheit der Nutzer nicht mehr gewährleistet werden kann. Privatsphäre und vertrauliche Kommunikation würden unmöglich gemacht. Von der Verordnung betroffen wären auch Dienste wie WhatsApp und Signal, die ihren Nutzern eine verschlüsselte Kommunikation anbieten.

Problematisch sei vor allem, dass durch das grundsätzliche Ermöglichen von Durchsuchungen der Dienste leicht Missbrauch stattfinden könne. Sollten solche Systeme gehackt oder anderweitig missbraucht werden, könne theoretisch jeglicher Inhalt gefunden werden. Auch Inhalte wie z.B. die Kommunikation von Journalisten, Whistleblowern, Ärztinnen und anwaltliche Kommunikation wären davon betroffen.

Weiterhin wird kritisiert, dass die Verbreitung von Kindesmissbrauchsdarstellungen häufig auf einschlägigen Foren stattfinde und die Verordnung dementsprechend nicht zielführend sei.

Wie geht es weiter?

Die EU-Kommission wies die Kritik zurück und verwies darauf, dass die Internetdienstanbieter in der Verordnung angehalten werden, Methoden anzuwenden, die einen möglichst geringen Eingriff in die Privatsphäre der Nutzer darstellen. Als nächstes müssen das EU-Parlament und der Ministerrat über den Verordnungs-Entwurf beraten und die Verordnung dann gemeinsam erlassen. Hierbei kann es durchaus noch zu inhaltlichen Änderungen kommen, ob die Verordnung in ihrer jetzigen Form verabschiedet wird, dürfte also abzuwarten sein. Wenn sie verabschiedet wird, gilt sie als EU-Verordnung in jedem Mitgliedsstaat unmittelbar.

Datenschutzkonferenz (DSK) fordert ein Beschäftigtendatenschutzgesetz

6. Mai 2022

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 04.05.2022 ihre Forderung nach einem Beschäftigtendatenschutzgesetz veröffentlicht. In ihrer Ende April gefassten Entschließung begründen sie ihre Forderung nach einem Beschäftigtendatenschutzgesetz damit, dass die sich „dynamisch entwickelnde Digitalisierung zu tiefgreifenden Veränderungen der Arbeitswelt führt, die neue Möglichkeiten von Verhaltens- und Leistungskontrollen“ ermögliche. Geregelt werden müsse u.a. der Einsatz von algorithmischen Systemen einschließlich Künstlicher Intelligenz (KI).

Der Vorsitzende der DSK, Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) äußerte sich dazu: „Die gegenwärtigen Regelungen zum Beschäftigtendatenschutz reichen bei Weitem nicht aus. Der Gesetzgeber muss ein eigenständiges Beschäftigtendatenschutzgesetz schaffen.“

Ein Beispiel für Sachverhalte, die Regelungsgegenstand eines Beschäftigtendatenschutzgesetz werden können, ist die GPS-Überwachung von Firmenfahrzeugen. Dies ist bisher gesetzlich nicht reguliert und führt daher regelmäßig zu Gerichtsverfahren. Aber auch Regelungen über die Datenverarbeitung auf Grundlage von Kollektivvereinbarungen oder die Grenzen der Verhaltens- und Leistungskontrolle bedürfen gesetzlicher Klarstellungen.

Corona-Nachverfolgungsapp Luca löscht Nutzerdaten

4. Mai 2022

Die Entwickler der Luca-App haben nach eigenen Angaben sämtliche Daten, die seit dem Start der App erhoben und gespeichert wurden, von Ihren Servern gelöscht. Die Luca-App war zur Kontaktnachverfolgung in der Covid-Pandemie entwickelt worden. Sie speicherte Daten zwar verschlüsselt, wurde aber von Datenschützern immer wieder kritisiert.

Nach der Löschaktion der Entwickler seien die Daten jetzt nur noch lokal auf den jeweiligen Smartphones vorhanden, Luca selbst habe darauf keinen Zugriff mehr. Der Hamburger Datenschutzbeauftragte Thomas Fuchs hatte bereits empfohlen, bei der Deinstallation der Luca-App zuerst den eigenen Account zu löschen und dann die App selbst. Dadurch soll sichergestellt werden, dass auch alle Daten vollumfänglich gelöscht werden.

Die Luca-App selbst soll neu ausgerichtet und in Zukunft als Digitalisierungsservice und Bezahlanwendung für die Gastronomie verwendet werden können. Zukünftig soll sie ‚LucaPay‘ heißen.

Verbraucherschützer dürfen gegen Meta klagen

29. April 2022

Verbraucherschutzverbände können gegen Verletzungen des Schutzes personenbezogener Daten stellvertretend für einzelne Nutzer klagen.  Demnach müssen sich Facebook und perspektivisch auch andere Digitalkonzerne nun in der Zukunft Verbandsklagen stellen. Nach Ansicht der Richter ist eine solche Klageunabhängig von einer Verletzung eines subjektiven Rechts einer bestimmten Person und ohne entsprechenden Auftrag zulässig. Dies hat der Europäische Gerichtshof (EuGH) am 28.04.2022 entschieden.

Der EuGH entscheidet auf Vorlage des deutschen Bundesgerichtshofes (BGH) hin. In dem Verfahren zwischen dem Bundesverband der Verbraucherzentralen (vzbv) und dem Konzern Meta geht es darum, ob ein potenzieller Datenschutzverstoß des Betreibers eines sozialen Netzwerks auch wettbewerbsrechtliche Unterlassungsansprüche begründet und dementsprechend von Verbraucherschutzverbänden durch eine Klage vor den Zivilgerichten verfolgt werden kann.

Der Rechtsstreit dreht sich um das von Facebook betriebene App-Zentrum, über das kostenlos Online-Spiele von Drittanbietern von Facebook bereitgestellt werden. Der Nutzer erteilt hier mit dem Button „Sofort spielen“ den Anbietern der Spiele seine Einwilligung, viele persönliche Daten zu verarbeiten und auszuwerten. Nach Ansicht des Verbraucherverbands werde diese Einwilligung nicht auf Grundlage einer verständlichen und präzisen Information über die Datenverarbeitungen eingeholt. Der Verbraucherverband sieht deshalb keine wirksame Einwilligung in die Datenverarbeitung. Er sieht in diesem Vorgehen zudem einen wettbewerblichen Verstoß.

Der BGH hatte grundsätzlich keine Zweifel daran, dass ein Vorgehen mittels wettbewerbsrechtlicher Unterlassungsansprüche begründet sein könnte. Zweifel meldete der BGH an der Zulässigkeit der Geltendmachung durch den Verband an. Schließlich seien die Aufsichtsbehörden dafür zuständig, die Einhaltung der Europäischen Datenschutz-Grundverordnung (DGSVO) zu überprüfen.

Inhalt der Entscheidung

Der EuGH stellt nun fest, dass die DSGVO einer nationalen Regelung nicht entgegensteht, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Datenschutzverletzer eine Art Sammelklage erheben kann. Er urteilte, dass ein Verband zur Wahrung von Verbraucher:inneninteressen wie der vzbv unter den Begriff einer im Sinne der DSGVO klagebefugten Einrichtung falle, da er ein im öffentlichen Interesse liegendes Ziel verfolge. Ein Auftrag betroffener Nutzerinnen oder Nutzer sei hierfür nicht erforderlich. Es reiche aus, wenn die Rechte „identifizierbarer natürlicher Personen“ betroffen und nach Überzeugung des Verbands verletzt sind. Nach dem Urteil des EuGH kann nun der BGH entscheiden und wird der Klage sehr wahrscheinlich in gewissem Umfang stattgeben.

Jedenfalls öffnet das Urteil des EuGH nun weiteren Verbandsklagen Tür und Tor, denen sich die Digitalkonzerne werden stellen müssen. Das bietet eine Chance für eine effektivere Durchsetzung der DSGVO.

1 2 3 4 81