Kategorie: Online-Datenschutz

Digitalcourage e.V.: Vorbereitung für Klage gegen „DB-Navigator“-App

21. Juli 2022

Der gemeinnützige Verein Digitalcourage hat diese Woche bekannt gegeben, dass er beabsichtigt eine Klage gegen die Deutschen Bahn einzureichen. Konkret will Digitalcourage gegen die „DB Navigator“-App vorgehen. Begründet hat der Verein sein Vorhaben damit, dass durch die App ein umfangreiches und nicht datenschutzkonformes Tracking stattfinde.

Funktionsweise der App

Die „DB Navigator“-App bietet Reisenden der Deutschen Bahn eine Vielzahl von Anwendungen. Der Nutzer kann über die App beispielsweise Zugverbindung suchen, sich Echtzeit-Verspätungen anzeigen lassen, Zugtickets kaufen und diese im Anschluss in der App hinterlegen.

Die Kritik

Digitalcourage e.V. kritisiert an der „DB Navigator“-App die Cookie-Einstellungen. Der Nutzer der App könne zunächst zwischen den Einstellungen „Alle Cookies zulassen“, „Cookie-Einstellung öffnen“ und „Nur erforderliche Cookies zulassen“ wählen. Hierbei ist die vermeintlich datenschutzfreundlichste Wahlmöglichkeit die Letzte. Wenn der Nutzer nur technisch notwendige Cookies auswählt, soll die App nur diejenigen Cookies anwenden, die für ihr ordnungsgemäßes Funktionieren erforderlich sind.

Wählt der Nutzer die letzte Option („Nur erforderliche Cookies zulassen“), so sei diese Wahl laut Digitalcourage aus datenschutzrechtlicher Sicht problematisch, da ein umfangreiches Tracking stattfinde. Wenn der Nutzer nur technisch notwendige Cookies auswähle, wende die App verschiedene Funktionen von rund zehn Unternehmen an. Bei Anwendung der durch die Unternehmen zur Verfügung gestellten Dienstleistungen, können beispielsweise Nutzungsstatistiken erstellt oder dem Nutzer personalisierte Angebote anzeigt werden. Die Folge sei, dass die App personenbezogene Daten ihrer Nutzer an diese Unternehmen übermittle. Zu den übermittelten personenbezogenen Daten zählen beispielsweise die Anzahl der Reisenden, der Beginn der Reise, der Start- und Zielbahnhof.

Indem die Deutsche Bahn die eingesetzten Cookies zu solchen Cookies erkläre, die technisch notwendig seien, könne der Nutzer dieser Übermittlung nicht widersprechen. Außerdem sei für den Nutzer nicht ersichtlich, wann und in welchem Umfang die App seine personenbezogenen Daten übermittle. Hinzukäme, dass der Reisende gezwungen sei die App zu nutzen, da einige Dienstleistungen nur über die App erbracht werden. Beispielsweise könne ein Reisender nach Fahrtantritt Tickets nicht mehr beim Schaffner, sondern nur noch über die App kaufen.

Die Debatte um Perioden-Tracker-Apps und einen möglichen Datenhandel – Teil 1 

14. Juli 2022

Nach dem historischen Urteil des US Surpreme Courts vom 24.06.2022, in dem das in den USA ca. 50 Jahre lang bestehende Recht auf Abtreibung gekippt wurde, sind Debatten über sogenannte „Perioden-Tracker-Apps“ in aller Munde. Befürchtet wird, dass die in diesen Apps gespeicherten Gesundheitsdaten direkt an staatliche Institutionen in den USA oder an Datenhändler gelangen könnten. Woraus diese Befürchtungen resultieren, werden wir im Folgenden in zwei Teilen beantworten. 

Im ersten Teil beschäftigen wir uns mit Perioden-Tracker-Apps und der Rechtslage in den USA und in Europa.

Welche Daten erheben solche Apps? 

Die Perioden-Tracker-Apps sind dazu gedacht, dass Menstruierende dort Informationen zu ihrem Zyklus speichern können. So kann u.a. angegeben werden, wann eine Blutung und der Eisprung stattfinden. Auch Daten wie Körpergröße, Gewicht, Temperatur und Sexualkontakte können dort gespeichert werden. Dies soll den Nutzerinnen einen besseren Überblick über ihren Zyklus verschaffen. Solche Apps können auch die fruchtbaren Tage anzeigen, sodass sie bei der Familienplanung hilfreich sein können. 

Welche datenschutzrechtlichen Bedenken gibt es? 

Aus den gespeicherten Daten kann sich u.a. ergeben, dass eine Schwangerschaft nicht länger besteht. Es wird befürchtet, dass diese Daten von Perioden-Tracker-Apps unzureichend vor der Weitergabe an Dritte oder sonstigen Zugriffen geschützt sind. In der Vergangenheit standen solche Apps schon häufiger in der Kritik, ihre Daten nicht ausreichend zu schützen. So hatte eine Perioden-Tracker-App in der Vergangenheit bereits intime Daten an Facebook und Google weitergegeben

Künftig könnten Frauen, die eine Abtreibung vornehmen lassen über die, in solchen Apps verarbeiteten Daten, identifiziert werden. Da Abtreibungen zukünftig in einigen Staaten der USA strafbar sein werden, könnte dies zu Repressalien gegenüber der betroffenen Frau führen. Aber auch Fehlgeburten oder schlicht falsche Daten könnten Frauen zukünftig in Erklärungsnot bringen. Konkret wird befürchtet, dass die Polizei oder behördliche Einrichtungen diese Daten anfordern.  

Wie ist die Rechtslage im Datenschutz? 

In Europa sichert die europäische Datenschutzgrundverordnung (DSGVO) ein bestimmtes Datenschutzniveau. So gibt es beispielsweise Betroffenenrechte, die u.a. ein Recht auf Löschung von Daten gewähren. Die USA haben bisher kein bundeseinheitliches Datenschutzgesetz, ein Entwurf liegt aber mittlerweile vor. Momentan gibt es nur einzelne Regeln für bestimmte Bereiche, z.B. für Verbraucher. Spezielle Datenschutzgesetze gibt es z.B. in den Staaten Kalifornien und Virginia. In Kalifornien gibt es den Privacy Act (CCPA), der Betroffenenrechte gewährt, die der DSGVO ähnlich sind. Die meisten Bundesstaaten aber haben keinen speziellen Datenschutz. Dementsprechend haben die meisten US-Amerikaner vergleichsweise wenig Rechte über ihre Daten. 

Der zweite Teil dieses Beitrags erscheint nächste Woche und thematisiert das Problem des Datenhandels sowie die Frage, welche Konsequenzen sich für europäische Nutzerinnen von Perioden-Tracking-Apps ergeben.

Italienische Datenschutzbehörde zum Einsatz von Google Analytics

7. Juli 2022

Die italienische Datenschutzbehörde Garante stellte in einer Entscheidung fest, dass die Verwendung des Analysetools Google Analytics nur möglich sei, wenn weitere Maßnahmen zur Einhaltung des Schutzniveaus bei einer Datenübermittlung ergriffen werden.

Bereits zuvor hatten andere europäische Datenschutzbehörden, so die französische Datenschutzbehörde (CNIL) – wir berichteten – und die österreichische Datenschutzbehörde (DSB) den Einsatz von Google Analytics auf Webseiten untersagt.

Der Sachverhalt

Hintergrund der Entscheidung durch Garante war eine Beschwerde gegen ein italienisches Unternehmen, dass auf seiner Webseite Google Analytics zur Erstellung von Nutzerstatistiken einsetzte. Konkret wehrte die betroffene Person sich dagegen, dass mit Verwendung von Google Analytics ihre personenbezogenen Daten in die USA übermittelt werden, ohne dass, aus Sicht des Betroffenen der Webseitenbetreiber geeignete Garantien im Sinne des Kapitel V DSGVO vorsah.

IP-Adresse: personenbezogenes Datum

Garante wies zunächst darauf hin, dass die IP-Adresse des benutzten Gerätes ein personenbezogenes Datum sei. Insbesondere sei zu beachten, dass Google beim Besuch der Webseite das Google-Konto des Nutzers mit der IP-Adresse verknüpfe. Dies führe dazu, dass weitere personenbezogenen Daten, wie beispielsweise der Name oder die E-Mail-Adresse mit der IP-Adresse in Verbindung gebracht werden. Demnach ist die betroffene Person als Nutzer identifizierbar.

Allerdings stelle Google Analytics den Webseiten-Betreibern eine „IP-Anonymisierung“ zur Verfügung. Vor Übermittlung in die USA verkürze der Service von Google Analytics die IP-Adresse der Nutzer. Problematisch daran sei, so Garante, dass lediglich eine Pseudonymisierung stattfinde. Trotz Verkürzung der IP-Adresse sei der Nutzer aufgrund der weiteren Daten identifizierbar.

Weitere Maßnahmen erforderlich

Es stellte sich die Frage, ob Google als Datenimporteur bei Übermittlung personenbezogener Daten seinen Verpflichtungen nach den Standardvertragsklauseln nachkommen könne. Aus Sicht von Garante hindern die US-amerikanischen Rechtsvorschriften Google bei Erfüllung dieser Verpflichtungen. Google Analytics müsse grundsätzlich weitere technische und organisatorische Maßnahmen ergreifen. Bereits vorgesehene Verschlüsselungsmechanismen reichten nicht aus. Die Verwendung Google Analytics sei nur bei Ergreifen weiterer Maßnahmen rechtmäßig. Eine Stellungnahme der deutschen Datenschutzbehörde zur Verwendung von Google Analytics bleibt abzuwarten.

Überblick zur umstrittenen Palantir-Software

29. Juni 2022

Seit einiger Zeit ist immer wieder die Rede von dem US-Konzern Palantir. Spätestens seitdem das Bayerische Landeskriminalamt (BLKA) im März entschieden hatte, zukünftig eine Analyse-Software des Konzerns zu nutzen, ist der Name wieder vermehrt zu hören gewesen. Dies liegt u.a. daran, dass der Konzern nicht ganz unumstritten ist. Alle wichtigen Informationen rund um den Palantir-Konzern und die fragliche Software präsentieren wir Ihnen hier im Überblick: 

Um was für eine Software handelt es sich und wozu wird sie eingesetzt? 

Das Analyse-Tool von Palantir beruht auf der Software Gotham. Damit sollen neben polizeilichen, auch andere behördliche Datenbanken abgefragt werden können, z. B. das Waffenregister, Einwohnermeldedaten oder das Ausländerzentralregister. Informationen aus verschiedenen Datenbanken sollen so schneller und effizienter miteinander verknüpft werden. 

Wie weit ist die Software verbreitet? 

In Hessen („Hessendata“) und Nordrhein-Westfalen („DAR“) ist die Palantir-Software bereits im Einsatz. In Bayern soll sie unter dem Begriff „VeRA“ (Verfahrensübergreifende Recherche und Analyse) starten. Da Bayern einen sogenannten „Rahmenvertrag“ abgeschlossen hat, können weitere Polizeien von Bund und Ländern ohne zusätzliche Vergabeverfahren in den Vertrag miteinsteigen. 

Baden-Württemberg, Bremen und Hamburg haben bereits Interesse bekundet. Auch der Bund will sich einen Einsatz überlegen. Dies hätte zur Folge, dass die Bundespolizei und der Zoll mit der Software arbeiten könnten. 

Palantir selbst ist international gut aufgestellt und bewirbt sich in Großbritannien gerade für einen fünf-Jahres-Vertrag mit der NHS, dem staatlichen Gesundheitssystem. Für diese soll dann eine Datenbank angelegt werden, in der Gesundheitsdaten gespeichert werden. Teilweise arbeitet Palantir jetzt schon für die NHS. Auch hier äußern sich Kritiker besorgt. 

Was ist die Kritik an der Software? 

Kritisiert wird zum einen, dass Palantir durch die Software eine bedeutende Stellung im deutschen Markt einnehmen könnte mit der Folge, dass dadurch ein Abhängigkeitsverhältnis des Staates entstehen könnte. 

Die meiste Kritik kommt jedoch von der Seite der Datenschützer. Dort wird vor allem kritisiert, dass über die Software enorme Mengen an Datensätzen miteinander verbunden werden, was einen Grundrechtseingriff darstelle. Auch besteht die Befürchtung, dass die durch Palantir erhobenen, sensiblen Daten, in die USA gelangen und dort von den Geheimdiensten abgegriffen werden könnten. 

Das Unternehmen Palantir hat in seinem Heimatland, den USA, bereits für Geheimdienste und das Pentagon gearbeitet. Auch dort ist das Unternehmen umstritten. Mitgründer Peter Thiel ist Trump-Supporter, unterstützt rechte Politiker und hat in der Vergangenheit seinen Unmut über Demokratien geäußert. Palantir hat bereits Verträge mit der United States Immigration and Customs Enforcement (ICE), einer Polizei- und Zollbehörde des Ministeriums für Innere Sicherheit, abgeschlossen. In diesem Zusammenhang wurde Palantir vorgeworfen, die ICE habe mithilfe der Software Daten über illegale Einwanderer gesammelt und diese später festgenommen und abgeschoben. 

Die jüngste Kritik an der Palantir-Software kommt von der NRW-Datenschutzbeauftragten Bettina Gayk im neuen Jahresbericht. Darin kritisiert sie, dass es für den Einsatz der Software bisher keine gesetzliche Grundlage gebe. Der Gesetzgeber müsse entscheiden, welche Straftaten schwer genug seien, um die Zweckbindung der einzelnen Datenbanken aufzuheben. Denn durch die Software würden auch Daten nicht straffällig gewordener Personen verarbeitet, z.B. die Daten von Anrufern bei der Notrufnummer 110 und von Zeugen. 

Bundesgerichtshof: Unerwünschte Inbox-Werbung ist rechtswidrig

10. Juni 2022

E-Mail-Dienste wie T-Online dürfen Nutzern kostenfreier Basisversionen nicht mehr ohne Einwilligung Werbung in der Inbox anzeigen. Dies hat der Bundesgerichtshof (BGH) in seinem nun veröffentlichten Urteil vom 13. Januar diesen Jahres entschieden (Az.: I ZR 25/19). 

In dem Streit ging es um eine Werbemaßnahme des Stromlieferanten Eprimo aus der Eon-Gruppe. Dieser hatte in Zusammenarbeit mit einer Agentur Werbenachrichten in E-Mail-Postfächer von Nutzern des E-Mail-Dienstes T-Online geschaltet. 

Vergleichbar mit Spam-E-Mails 

Kennzeichnend für Inbox-Werbung sei, dass sie in der Inbox – also im für private Nachrichten gedachten Bereich – angezeigt wird. Der Zugang zu den eigentlichen E-Mails sei so ähnlich versperrt wie durch Spam-E-Mails. Inbox-Werbung sei bei vielen webbasierten E-Mail-Diensten gängige Praxis. 

Der Bundesgerichtshof entschied über den Streit, nachdem er dem Europäischen Gerichtshof (EuGH) einige Fragen zur Interpretation vorgelegt hatte. Der EuGH entschied auf die Vorlage hin im November, dass Zweck der E-Privacy-Richtlinie sei, Nutzer gegen die Verletzung ihrer Privatsphäre durch unerbetene Nachrichten für Zwecke der Direktwerbung zu schützen. Inbox-Werbung behindere den Zugang zu den eigentlichen E-Mails, ähnlich wie Spam. Das Versenden von Werbenachrichten in dieser Form stelle zwar keine E-Mail dar, aus Sicht des Empfängers sei die Werbenachricht von Spam-E-Mails aber kaum zu unterscheiden. Daher solle ein Opt-in zwingend erforderlich sein. 

Allgemeine Einwilligung nicht wirksam 

Inbox-Werbung ist deshalb künftig nur dann rechtmäßig, wenn der Nutzer zuvor informiert wurde und ausdrücklich in sie eingewilligt hat. Dafür stellen die Karlsruher Richter hohe Anforderungen auf. Es reiche nicht aus, dass der Nutzer eine allgemeine Einwilligung in Werbung erteilt hat, um den Dienst kostenlos nutzen zu können. Der Nutzer müsse vor der Einwilligung vielmehr über die Umstände derartiger Werbung aufgeklärt werden. Insbesondere müsse der Dienst darauf hinweisen, dass Werbenachrichten in der Liste der empfangenen privaten E-Mails angezeigt werden. 

Einige E-Mail-Anbieter wie GMX und web.de reagierten unmittelbar auf das Urteil und passten ihre Einwilligungserklärungen an. Hier kann der Nutzer nun auch in Inbox-Werbung einwilligen – oder dies verweigern.

Die EU-Kommission setzt WhatsApp ein Ultimatum

9. Juni 2022

Im Januar dieses Jahres hatte die EU-Komission zusammen mit dem Netzwerk für Verbraucherschutz (CPC) gegen WhatsApp eine Forderung erhoben.

In dieser war nach Aufklärung hinsichtlich der Nutzungsbedingungen sowie der Datenschutzregeln von 2021 verlangt worden. Denn WhatsApp hatte Anfang des vergangenen Jahres von seinen Nutzern gefordert, dass diese den neuen Datenschutzerklärung zustimmen sollen, um den Dienst auch weiterhin nutzen zu können. Unter den Nutzern waren diese Regelungen stark umstritten und führten zu einem großen Nutzerzuwachs bei alternativen Messengern wie beispielsweise Signal.

Kritisch bei der neuen Datenschutzerklärung wurde vor allem die mögliche Datenweitergabe von WhatsApp an Facebook beäugt. WhatsApp verneinte zwar die Weitergabe und sprach von einem Missverständnis, jedoch wurde in der überarbeiteten Datenschutzerklärung explizit die Weitergabe von Daten an Facebook genannt.

Die bisherigen Erläuterungen von WhatsApp, der Tochterfirma des US-Konzerns Meta (früher Facebook), reichen der EU-Kommission nun nicht mehr aus.

Die EU-Kommission hat WhatsApp eine Frist von einem Monat gesetzt, in welcher das Unternehmen den Verbraucherschutzbehörden nachweisen soll, dass seine Praktiken den Vorgaben des EU-Verbraucherschutzrechts entsprechen. Justizkommissar Didier Reynders erklärte: „WhatsApp muss sicherstellen, dass die Nutzer verstehen, was sie akzeptieren und wie ihre personenbezogenen Daten für kommerzielle Zwecke verwendet werden, vornehmlich um Geschäftspartnern Dienstleistungen anzubieten. Ich wiederhole, dass ich von WhatsApp erwarte, dass es die EU-Vorschriften, die die Verbraucher und ihre Grundrechte schützen, vollständig einhält.

WhatsApp solle unter anderem darlegen, auf welche Weise das Unternehmen mit den Daten seiner Nutzer Geld verdiene. Ebenfalls will die Kommission wissen, wie WhatsApp bei künftigen Updates seiner Nutzungsbedingungen, den Nutzern vermitteln wird, welche Auswirkungen die Updates für die Verbraucher haben. Nur auf dieser Basis könne eine freie Entscheidung über die weitere Nutzung des Dienstes möglich sein. Des Weiteren wird die unverständliche Formulierung der aktuellen Nutzungsbedingungen von der EU-Kommission moniert. Die Verbraucher sind so nicht in der Lage, nachvollziehen zu können, was mit den gespeicherten Daten passiert. Zudem soll der Dienst explizit darauf hinweisen, wenn mit den erhobenen Daten durch kommerzielle Nutzung Einnahmen erzielt werden.

Es bleibt abzuwarten, ob WhatsApp der Forderung der EU-Kommission innerhalb der einmonatigen Frist nachkommen wird.

Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor ‚Spoofing‘

3. Juni 2022

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt mit einer Meldung vom 02.06.2022 vor ‚Spoofing‘-Angriffen, die mit der Rufnummer des BSI erfolgen sollen. Verwendet werden dabei zum Beispiel die Nummern +49 228 9582 44 oder 0228 9582. Das BSI warnt eindringlich davor, Anrufenden persönliche Daten mitzuteilen oder Aufforderungen nachzukommen.

Das ‚Spoofing‘ ist, ähnlich wie das ‚Smishing‘ ein bekanntes Betrugskonzept. Der Begriff (auf deutsch übersetzt etwa: Manipulation, Verschleierung, Vortäuschung) umfasst Handlungen, bei denen sich Kriminelle am Telefon oder per E-Mail als jemand anders ausgeben, um so direkt oder indirekt an Daten der Angerufenen zu gelangen. Meist treten die Anrufer dabei als Vertreter oder Mitarbeiter einer Behörde, eines Unternehmens oder anderer seriöser Institutionen (z.B. Banken oder Vereine) auf. Die Angerufenen werden dann entweder im Gespräch selbst gebeten, gewisse Daten herauszugeben oder werden auf eine entsprechende Website verwiesen. Bei Mails sind häufig Trojaner und Viren im Anhang in Dokumenten versteckt. Meist sind die Angreifer auf die Herausgabe von Kontodaten oder Bargeld aus.

Perfide an der Betrugsmasche ist, dass bei solchen Anrufen meist eine falsche Rufnummer übermittelt und angezeigt wird (sog. Call-ID-Spoofing). So kann dann z.B. die Nummer einer Behörde den Angerufenen angezeigt werden, obwohl diese mit dem Anruf nichts zu tun hat. Dadurch soll zum einen der Eindruck von Seriösität und Vertrauen erweckt werden, zum anderen soll so die Identität der Anrufer verschleiert werden. Vorgekommen ist in der Vergangenheit z.B. schon, dass die 110 als Anrufer angezeigt wurde, obwohl dies eine reine Einwahlnummer ist und die Polizei von dieser Nummer aus niemanden anrufen kann. Bei Mails wird der Absender manipuliert, sodass es dem Empfänger scheint, als habe eine offizielle Stelle oder ein Bekannter ihn kontaktiert. Weitere Informationen zur Manipulation von Rufnummern sind auf der Website der Bundesnetzagentur zu finden.

Verhaltenstipps: Sollten Sie einen Anruf oder eine Mail bekommen, bei denen Sie sich nicht sicher sind, ob ein ‚Spoofing‘-Angriff vorliegt, sollten sie zunächst die Kommunikation einstellen, d.h. auflegen oder nicht mehr antworten, den Kontakt ggf. blockieren. Unbekannte Links oder Anhänge sollten sie niemals öffnen. Danach sollten Sie die Behörde, das Unternehmen oder die Institution, von der der Anruf/ die Mail angeblich ausging über einen offiziellen Weg kontaktieren und sich nach der Authentizität der Anfrage erkundigen. Geben Sie niemals persönliche Daten raus, bevor Sie bestätigt haben, dass es sich nicht um eine kriminelle Anfrage handelt!
Falls Sie in diesem konkreten Fall einen Anruf des angeblichen BSI bereits engegengenommen haben, sollten Sie das Service-Center des BSI mit der Rufnummer 0800 274 1000 kontaktieren.

Twitter: Strafe in Millionenhöhe, wegen Nutzertäuschung

2. Juni 2022

Twitter hatte jahrelang verschwiegen, dass aus Sicherheitsgründen hinterlegte Handynummern und E-Mail-Adressen auch zu Werbezwecken verwendet worden waren. Das Unternehmen sprach von einem „Versehen“.

In der veröffentlichten Klageschrift von letzter Woche verwiesen die Handelsbehörde FTC und das Justizministerium darauf, dass Twitter die Nutzer um ihre Telefonnummern und E-Mail-Adressen mit der Begründung gebeten hatte, man könne damit ihre Accounts besser absichern. Online-Dienste greifen auf E-Mails oder Nachrichten an Handy-Nummern zum Beispiel zum Zwecke der Anmeldung auf neuen Geräten zurück sowie bei vergessenen Passwörtern oder um gesperrte Profile wieder freizuschalten.

Twitter habe die Daten aber auch verwendet, um den Nutzern personalisierte Werbung anzuzeigen, hieß es in der Klage. Damit seien die für andere Zwecke erhobenen Kontaktinformationen missbraucht worden. Twitter habe verschwiegen, dass es für eine Zwei-Faktor-Authentifizierung hinterlegte Handynummern und E-Mail-Adressen dazu verwendet habe, Unternehmen dabei zu helfen, personalisierte Werbung zu schalten. Zwischen Mai 2013 und September 2019 hätten mehr als 140 Millionen Nutzer ihre Telefonnummern oder E-Mail-Adressen mit Twitter geteilt, betonte die US-Regierung. Sie sah in der Vorgehensweise des Dienstes einen Verstoß gegen eine Einigung aus dem Jahr 2011, in welcher sich Twitter auch zu Transparenz beim Datenschutz verpflichtet hatte.

Twitter räumte die Vorwürfe in einer Stellungnahme ein. „Einige der zu Sicherheitszwecken bereitgestellten E-Mail-Adressen und Telefonnummern konnten versehentlich für Werbezwecke verwendet werden“, erklärte der Leiter der Datenschutzabteilung, Damien Kieran.

Mit 150 Millionen Dollar (140 Millionen Euro) kommt Twitter allerdings deutlich günstiger davon als Facebook im Jahr 2019. Damals warfen US-Behörden dem weltgrößten Online-Netzwerk ebenfalls vor, frühere Datenschutz-Verpflichtungen verletzt zu haben. Facebook zahlte fünf Milliarden Dollar und stimmte einer strikteren Datenschutz-Aufsicht zu. Auch Twitter muss nun unter anderem den Datenschutz von durch die FTC benannten Experten prüfen lassen und der Behörde Zwischenfälle binnen 30 Tagen melden. Außerdem soll Twitter ein Verfahren zur sicheren Anmeldung anbieten, das ohne eine Telefonnummer funktioniert.

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) äußert sich zu Online-Fragebogen des Zensus 2022

27. Mai 2022

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, hat sich vergangene Woche zum Zensus 2022 geäußert. Grund dafür war, dass der BfDI Mitte Mai Kenntnis von der Möglichkeit einer Verletzung des Schutzes personenbezogener Daten durch den Online-Fragebogen zum Zensus 2022 erhalten hatte. Konkret geht es dabei um den Online-Fragebogen zur Gebäude- und Wohnungszählung des Zensus 2022. Für die Erhebung dieser Daten wird teilweise Technik des US-amerikanischen IT-Dienstleisters Cloudflare verwendet. Es wurde befürchtet, dass die in die Fragebögen eingetragenen Daten an Cloudflare übermittelt würden. Hierzu gab der BfDI jetzt Entwarnung und bestätigte, dass „zu keinem Zeitpunkt eine Gefahr für die in dem Fragebogen eingegebenen personenbezogenen Daten bestanden hat“. An Cloudflare übertragen wurden allerdings Metadaten (z. B. Datum und Uhrzeit des Abrufs, übertragene Datenmenge, Herkunftsverweise und IP-Adresse). Ob dies rechtmäßig war, wird momentan noch überprüft. Vorsichtshalber wird Cloudflare für die Fragebögen erstmal nicht mehr eingesetzt, sodass auch keine Metadaten übertragen werden.

Im Zusammenhang mit dem derzeit stattfinden Zensus ergeben sich einige weitere Fragen:

Was genau ist der Zensus 2022?

Beim Zensus handelt es sich um eine Volkszählung. Dabei wird nicht nur die Menge der Bevölkerung erfasst, sondern auch stichprobenartig weitere Daten von den Befragten gesammelt. Der Zensus 2022 findet von Mitte Mai bis Mitte August statt und bildet dann für die nächsten zehn Jahre die Grundlage für amtliche Statistiken und darauf aufbauende Planungen, wie u.a. Bauprojekte. Auch z.B. Wahlkreise werden so eingeteilt. Die Befragten werden per Zufall ausgesucht. Wird man als Befragter ausgewählt, ist die Teilnahme am Zensus verpflichtend. Rechtliche Grundlage ist das Zensusgesetzes 2022 (ZensG 2022).

Welche Daten werden wie beim Zensus erhoben?

Befragt werden ca. 10 % der Bevölkerung in Deutschland zu Fragen wie u.a. Alter, Geschlecht, Staatsangehörigkeit, Wohnsituation, Beruf und Einkommen. Die Befragten werden persönlich durch InterviewerInnen bei ihnen zu Hause befragt und sollen zusätzlich für die Gebäude- und Wohnungszählung Online-Fragebögen nutzen.

Wie wird der Datenschutz gewährleistet?

Verwendet werden nur die Daten, die für den Zensus relevant sind. Diese werden anonym ausgewertet. Alle anderen personenbezogenen Daten (z.B. der Name des Befragten) werden gelöscht. Es werden keine Daten an andere staatliche Stellen wie Meldeämter, Finanzämter oder die Polizei weitergegeben. Die InterviewerInnen werden außerdem zur Geheimhaltung verpflichtet. Bei der Übermittlung von Daten über die Online-Fragebögen werden diese Daten verschlüsselt.

Weitere Fragen rund um den Datenschutz und die Informationsfreiheit werden umfangreich auf einer extra eingerichteten Website des Zensus beantwortet.

Falls Sie als Befragter ausgewählt wurden: Bitte achten Sie darauf, dass InterviewerInnen ihre Befragung immer ankündigen und nicht ohne eine Vorankündigung bei Ihnen zu Hause erscheinen werden. Sie können ihr Amt außerdem mit einem speziellen Ausweis nachweisen. Achten Sie darauf, dass Sie Ihre Daten nicht falschen InterviewerInnen mitteilen.

EU-Kommission sorgt mit neuer Verordnung gegen Kindesmissbrauch für Kritik bei Datenschützern

13. Mai 2022

Die EU-Kommission hat am vergangenen Mittwoch einen Entwurf für eine neue Verordnung veröffentlicht. Die Verordnung soll die Verbreitung von Kindesmissbrauchsdarstellungen im Netz bekämpfen. Der Entwurf trifft jedoch vor allem bei Datenschützern auf große Kritik.

Um was für eine Verordnung handelt es sich?

Die Verordnung soll den steigenden Zahlen an Kindesmissbrauchsdarstellungen und „Grooming“- Attacken (bei dem Kinder im Internet zu Missbrauchszwecken kontaktiert werden) im Internet entgegen wirken. Vor allem im Zuge der COVID-19-Pandemie haben diese deutlich zugenommen. Zwar gibt es einige Dienstanbieter, wie z.B. Google, die auf ihren Plattformen gezielt nach solchen Inhalten suchen und diese bei den Behörden melden. Dies erfolgt aber auf freiwilliger Basis und zu größten Teilen von US-Anbietern. Die EU-Kommission sieht dies als nicht ausreichend an und will EU-weit einen gesetzlichen Rahmen und somit Pflichten zum Aufspüren und Melden von solchen Inhalten schaffen. Warum neue Regelungen notwendig sind, hat sie zudem in einem Q&A begründet.

Was genau sieht die Verordnung vor?

Die Verordnung sieht vor, dass Internetdienstanbieter zunächst analysieren, wie groß das Risiko ist, dass ihr Dienst für solche Missbrauchs-Zwecke genutzt wird. Dann soll der Anbieter dementsprechend notwendige Maßnahmen ergreifen. Sollte dies den zuständigen Behörden nicht ausreichen, können diese die Anbieter dazu verpflichten, ihre Dienste mit Hilfe von Softwares zu durchsuchen. Dabei soll entsprechendes Missbrauchs-Bildmaterial entdeckt und gemeldet werden.

Auch das „Grooming“ soll dadurch aufgespürt werden. Dazu sollen die Internetdienstanbieter auch Textnachrichten scannen dürfen. Durch welche Technik genau dies geschehen soll, ist noch unklar.

Sollten sich die Anbieter nicht daran halten, sieht der Verordnungs-Entwurf empfindliche Geldstrafen von bis zu 6 Prozent ihres weltweiten Jahresumsatzes vor. Für die Meldungen zuständig soll eine neu einzurichtende EU-Zentralstelle sein, die bei der EU-Polizeibehörde in Den Haag angesiedelt werden soll.

Was genau wird an der Verordnung kritisiert?

Kritiker richten sich selbstverständlich nicht gegen die Zielsetzung der Verordnung, verstärkt gegen Kindesmissbrauchsdarstellungen im Internet vorzugehen. Die Verordnung wird jedoch als unverhältnismäßig kritisiert und bereits jetzt als „Chatkontrolle“ betitelt. Kritiker befürchten, dass es durch diese Verordnung zur anlasslosen Massenüberwachung kommt und die Sicherheit der Nutzer nicht mehr gewährleistet werden kann. Privatsphäre und vertrauliche Kommunikation würden unmöglich gemacht. Von der Verordnung betroffen wären auch Dienste wie WhatsApp und Signal, die ihren Nutzern eine verschlüsselte Kommunikation anbieten.

Problematisch sei vor allem, dass durch das grundsätzliche Ermöglichen von Durchsuchungen der Dienste leicht Missbrauch stattfinden könne. Sollten solche Systeme gehackt oder anderweitig missbraucht werden, könne theoretisch jeglicher Inhalt gefunden werden. Auch Inhalte wie z.B. die Kommunikation von Journalisten, Whistleblowern, Ärztinnen und anwaltliche Kommunikation wären davon betroffen.

Weiterhin wird kritisiert, dass die Verbreitung von Kindesmissbrauchsdarstellungen häufig auf einschlägigen Foren stattfinde und die Verordnung dementsprechend nicht zielführend sei.

Wie geht es weiter?

Die EU-Kommission wies die Kritik zurück und verwies darauf, dass die Internetdienstanbieter in der Verordnung angehalten werden, Methoden anzuwenden, die einen möglichst geringen Eingriff in die Privatsphäre der Nutzer darstellen. Als nächstes müssen das EU-Parlament und der Ministerrat über den Verordnungs-Entwurf beraten und die Verordnung dann gemeinsam erlassen. Hierbei kann es durchaus noch zu inhaltlichen Änderungen kommen, ob die Verordnung in ihrer jetzigen Form verabschiedet wird, dürfte also abzuwarten sein. Wenn sie verabschiedet wird, gilt sie als EU-Verordnung in jedem Mitgliedsstaat unmittelbar.

1 2 3 4 5 6 83