Kategorie: Online-Datenschutz
19. Oktober 2015
Am Freitag wurde im Bundestag die Wiedereinführung der Vorratsdatenspeicherung beschlossen. Mit 404 Ja-Stimmen, 148-Nein-Stimmen und 7 Enthaltungen stimmten die Abgeordneten für den Gesetzesentwurf der Bundesregierung (BT-DS 18/5088).
Damit versucht die Bundesregierung erneut die Vorratsdatenspeicherung in Deutschland einzuführen. Bereits im Jahre 2007 hatte die Große Koalition ein Gesetz verabschiedet, welches Telekommunikationsanbieter verpflichtete, sogenannte Verkehrsdaten für einen Zeitraum von sechs Monaten zu speichern. Die Vorschriften zur Vorratsdatenspeicherung waren schon damals auf scharfe Kritik gestoßen und vom Bundesverfassungsgericht für verfassungswidrig erklärt (BVerfG, 1BvR 256/08 vom 02.03.2010, Rn. 1-345). Im Jahr 2014 urteilte der EuGH (EuGH, 08.04.2014 C-293/12 und C-594/12), dass die Richtlinie 2006/24/EG, welche als europarechtliche Grundlage der Vorratsdatenspeicherung diente, gegen die Charta der Grundrechte der Europäischen Union verstößt.
Aus den Urteilen des EuGH und Bundesverfassungsgerichts ergibt sich, dass eine anlasslose verdachtsunabhängige Speicherung von Verkehrsdaten nicht per se unzulässig ist. Nach den Vorgaben von EuGH und Bundesverfassungsgericht kann eine Vorratsdatenspeicherung zulässig sein, wenn rechtliche Vorgaben zur Datensicherheit, Form und Zeit der Speicherdauer sowie Verpflichtungen zur Löschung und Ausnahmen für Berufsgeheimnisträger geregelt sind. Trotz des Umstands, dass der Gesetzgeber die höchstrichterlichen Vorgaben bei der Neufassung der §§ 113a ff. des Telekommunikationsgesetzes (TKG) und §§ 100g f. der Strafprozessordnung (StPO) bedacht hat, erscheint der aktuelle Gesetzesentwurf aus verfassungsrechtlicher Sicht bedenklich.
Die jüngst verabschiedeten Regelungen verpflichten TK-Anbieter, Verkehrsdaten ihrer Nutzer für einen Zeitraum von zehn Wochen und Standortdaten für einen Zeitraum von vier Wochen zu speichern. Verkehrsdaten sind unter anderem die Nummern der beteiligten Anschlüsse sowie Beginn und Ende der Verbindung nach Datum und Uhrzeit. Bei Nutzung des Mobilfunks gehören ebenfalls die Standortdaten sowie die IP-Adresse zu den zu speichernden Daten. Nach Ablauf der genannten Speicherfristen müssen die TK-Unternehmen die Daten innerhalb von einer Woche löschen. Die Speicherung der Daten darf nur in Deutschland erfolgen und die Unternehmen sind verpflichtet, durch modernste Technik den höchstmöglichen Sicherheitsstandart der Daten zu gewährleisten. Strafverfolgungsbehörden können grundsätzlich unter Beachtung des Richtervorbehalts und zum Zwecke der Strafverfolgung bestimmter Straftaten auf die Daten zugreifen. Ein Zugriff auf Verkehrsdaten von Personen, die nach § 53 StPO zeugnisverweigerungsberechtigt sind – wie beispielsweise Ärzten, Rechtsanwälten, Steuerberatern oder Seelsorgern – ist unzulässig. Im Einzelfall ist ein weitergehender Zugriff der Strafverfolgungsbehörden als in den genannten Fällen zulässig. Für die durch die einzelnen Anfragen entstandenen Unkosten sind die TK-Anbieter berechtigt eine Entschädigung zu verlangen.
Auch die der höchstrichterlichen Rechtsprechung angepassten Regelungen zur Vorratsdatenspeicherung stoßen aus verfassungsrechtlicher Sicht auf Bedenken. Auch bei einer Verminderung der Speicherfrist von sechs Monaten auf zehn bzw. vier Wochen, stellt eine anlasslose und verdachtsunabhängige Speicherung von Verkehrs- und Standortdaten einen Eingriff in das Fernmeldegeheimnis nach Art. 10 Abs. 1 Grundgesetz (GG) sowie einen Eingriff in das Recht auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG dar. Ob diese Grundrechtseingriffe nach Durchführung einer Interessenabwägung unter Berücksichtigung der Erforderlichkeit, Geeignetheit und Angemessenheit der Vorratsdatenspeicherung verfassungsrechtlich gerechtfertigt sind, ist fraglich.
Aus technischen Gründen müssen bei der Speicherung von SMS auch deren Inhalte gespeichert werden. Damit liegt ein besonders intensiver Grundrechtseingriff vor. Auch der Umfang der zu speichernden Daten ist immens. Wie der Verband der deutschen Internetwirtschaft feststellt, ist es wegen der herrschenden Knappheit von IPv4-Adressen zur Individualisierung eines Anschlusses erforderlich, weitere Daten als allein die Verkehrsdaten zu speichern. Damit besteht die Gefahr, dass immer präzisere Profile der Nutzer erstellt werden können. Der im Datenschutzrecht geltende Grundsatz der Datensparsamkeit, hat an dieser Stelle keine Bedeutung mehr. Eine weitere Folge der umfassenden TK-Überwachung sind sogenannte chilling-effects. Diese beschreiben das Phänomen, dass in Folge der Überwachung die Nutzer ihr ursprüngliches freies Kommunikationsverhalten in ein gehemmtes Verhalten verändern. Unter diesem Kritikpunkt ist auch die Regelung zu betrachten, nach der zwar auf die Verkehrsdaten von Berufsgeheimnisträgern nicht zugergriffen werden darf, diese gleichwohl erst einmal gespeichert werden.
Neben einer Einschränkung von Freiheitsgrundrechten der Nutzer ist die Umsetzung der Speicherpflichten für die TK-Unternehmen mit wesentlichen Nachteilen verbunden. TK-Anbieter müssen nun neue Datenbanken anlegen und pflegen und dabei den gesetzlichen Sicherheitsvorgaben entsprechen. Wie hoch die Kosten für TK-Anbieter sein werden, kann die Bundesregierung bislang nicht abschätzen. Eine Entschädigung der TK-Anbieter für die Investitionen ist jedenfalls nicht vorgesehen. Erst sobald die Investitionen eine erdrosselnde Wirkung entfalten, können TK-Anbieter Hilfen beantragen. Die Kostenpflicht der TK-Anbieter ist insbesondere auch vor dem Hintergrund kritisch zu betrachten, als dass die Strafverfolgung eine originäre Aufgabe des Staates ist und nicht eine von Unternehmen.
Schließlich ist auch der erhoffte Nutzen von besseren Erfolgen bei der Strafverfolgung fraglich. Beweise, dass tatsächlich Ermittlungserfolge auf die Vorratsdatenspeicherung zurückzuführen sind, konnte bislang nicht erbracht werden. Nach Berichten der Süddeutschen Zeitung habe sich die Aufklärungsquote durch die Vorratsdatenspeicherung laut Bundeskriminalamt lediglich um 0,006 Prozent verbessert.
Der nur minimale Nutzen der Vorratsdatenspeicherung zum Zwecke der Strafverfolgung vermag die oben dargestellten Grundrechtseingriffe nicht verfassungsrechtlich rechtfertigen. Wenig überraschend ist es daher, dass bereits jetzt Politiker der Opposition und Bürgerrechtsaktivisten diesen Gesetzesentwurf durch das Bundesverfassungsgericht überprüfen lassen wollen.
16. Oktober 2015
Nach dem Safe-Harbor-Urteil des EuGH vom 06. Oktober 2015 tönt es im transatlischen Verhältnis wie in einem schlechten Western. Die USA reagieren verschnupft, die deutschen Behörden übertreffen sich untereinander gegenseitig mit immer neuen Forderungen und Einschätzungen. So stellt die Landesdatenschutzbeauftragte aus Schleswig-Holsteins, Marit Hansen in einem Interview mit dem Deutschlandfunk schon einmal in Frage, ob künftig Übermittlungen von Daten in die USA überhaupt noch zulässig sein sollen. Zwar vergisst sie zu erwähnen, dass es nicht in Ihre Zuständigkeit fällt, etwa die EU-Standardvertragsklauseln für hinfällig zu erklären, immerhin fordert sie aber Übergangsfristen.
Fraglich bleibt aber, was man erreichen will, wenn man solche Datentransfers wirklich untersagen möchte. Würde man das kurzfristig tun, könnte wohl die Mehrzahl der Unternehmen in Deutschland ihre Marketingabteilungen entlassen und wieder zur Kommunikation mit Rohrpost zurückkehren. Sicher – große Unternehmen wie Microsoft werden es wohl schaffen, ihre Datenbanken relativ kurzfristig nach Europa zu verlagern. Gerade dieses Unternehmen streitet sich aber momentan mit der US-Regierung, ob es nicht auch Daten aus Rechenzentren in Irland an US-Geheimdienste übergeben muss. Aber selbst wenn Europa hier einer harten Linie folgen sollte und US-Unternehmen sich offen gegen ihre Regierung stellen, erscheint es doch zumindest naiv zu glauben, Daten seien vor US-Behörden sicher, nur weil sie physisch in Europa lagern.
Bleibt aber die Frage, was denn passieren soll, wenn Microsoft, Google, Facebook und Co. nicht ihr komplettes Geschäftsmodell an die Vorstellungen der Europäer anpassen wollen. Man wird wohl mit Bußgeldern drohen – diese sollen ja nach der neuen EU-Grundverordnung durchaus schmerzhaft ausfallen (im Gespräch sind bis zu 5 % des weltweiten Jahresumsatzes). Vielleicht wird man es sogar schaffen, das ein oder andere Unternehmen komplett aus Europa zu vertreiben. Nur werden ihre Dienste und Produkte – sofern man nicht nach chinesischem Vorbild eine große Datenmauer um Europa errichten möchte – ja für europäische Nutzer über das Internet weiter verfügbar sein. Der Datenschutz und die Datensicherheit von EU-Bürgern würden sich also sicher nicht verbessern.
Hinzuweisen bleibt in diesem Zusammenhang auch auf das Beispiel “Recht auf Vergessen” bei Google. Zwar entfernt Google Ergebnisse nun tatsächlich aus seinen europäischen Angeboten, auf den internationalen Seiten sind sie aber weiter zu finden. Jeder der sich auch nur etwas Mühe gibt, kann sie also weiter finden. An diesem Beispiel erkennt man sehr gut, dass es faktisch nicht zielführend ist, zu erwarten, dass die Welt am europäischen Wesen genesen möge.
Letztlich werden nur multinationale Lösungen auf politischer Ebene zu Erfolgen führen. Die EU hat durchaus, etwa im Hinblick auf Verhandlungen wie zu TTIP, Trümpfe in der Hand um die Amerikaner zu Zugeständnissen zu bewegen. Strafandrohungen und dergleichen werden wohl kaum zu einem Einlenken führen. Eine rethorische Abrüstung würde der Diskussion sicherlich gut tun, es ist nicht High Noon und wir werden unsere unterschiedlichen Anschauungen zum Datenschutz nicht durch Konfrontation lösen können.
15. Oktober 2015
Nach der Safe-Harbor-Entscheidung des EuGH vom 06. Oktober 2015 sind Datenübermittlungen auf Grundlage des Abkommens nicht mehr zulässig. Hintergrund der Entscheidung ist der Zugriff der amerikanischen Behörden auf der Basis des Patriot Act, der unabhängig von der gewählten rechtlichen Grundlage zur Anwendung kommen kann und europäische Daten nicht ausnimmt.
Nach wie vor in Betracht kommt indes ein Transfer auf der Basis der Standardvertragsklauseln bzw. Binding Corporate Rules, deren Zulässigkeit nicht Gegenstand des Verfahrens war. Datenschutzrechtliche Bedenken hiergegen bestanden jedoch bereits vor der Entscheidung des EuGH und werden erneut vor dem erläuterten Hintergrund der Entscheidung diskutiert.
Deutsche Datenschutzbehörden haben bereits im Jahr 2013 in einer gemeinsamen Presseerklärung erklärt, dass ihnen diese Standard-Vertragsklauseln nicht (mehr) ausreichten, solange die genauen Zugriffsmöglichkeiten der amerikanischen Geheimdienste nicht geklärt seien:
“Deshalb fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird.
Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind.”
In dem Positionspapier zu dem Safe-Harbor-Urteil hält die schleswig-holsteinische Datenschutzbauftragte bei konsequenter Anwendung der Vorgaben des EuGH in seinem Urteil eine Datenübermittlung auf Basis von Standardvertragsklauseln für nicht mehr zulässig. Nichtöffentliche Stellen, die für ihren Datentransfer in die USA Standardvertragsklauseln verwenden, müssten nun in Erwägung ziehen, den zugrunde liegenden Standardvertrag mit dem Datenimporteur in den USA zu kündigen oder die Datenübermittlungen auszusetzen. Eine dauerhafte Lösung könne nur in einer Änderung des amerikanischen Rechts liegen.
Es werde nun geprüft, ob Anordnungen gegenüber nichtöffentlichen Stellen getroffen werden müssen, auf deren Basis Datenübermittlungen in die USA ausgesetzt oder verboten werden müssen.
7. Oktober 2015
Nach der Entscheidung des EuGH vom 06. Oktober 2015 über die Gültigkeit des Safe-Harbor-Abkommens haben sich einzelne nationale Datenschutzbehörden zu möglichen Konsequenzen geäußert, die teilweise unterschiedlich bewertet werden. In Rede steht die Aussetzung des Datentranfers in die Vereinigten Staaten, aber auch die fortbestehende Rechtmäßigkeit einer Datenübermittlung im Rahmen von Standardvertragsklauseln oder verbindlichen Unternehmensvereinbarungen.
Die Artikel 29-Datenschutzgruppe hat in der Pressemitteilung vom 06. Oktober 2015 die Safe-Harbor-Entscheidung des EuGH ausdrücklich begrüßt. Sie teilte zudem mit, bereits in der folgenden Woche das Urteil in einer Expertenrunde zu analysieren und die Folgen für den Datentransfer in die Vereinigten Staaten zu diskutieren. Ein Termin für eine außerordentliche Plenarsitzung folge in Kürze.
Der Hamburgische Beauftragte für Datenschutz geht davon aus, dass die Aufsichtsbehörden bei der Umsetzung des Urteils eine Schlüsselrolle einnehmen werden. Dabei sei zu prüfen, ob Datentransfers in die Vereinigten Staaten auszusetzen seien. Dies gelte auch, wenn sie auf andere Rechtsgrundlagen wie Standardvertragsklauseln, Einwilligung oder Binding Corporate Rules gestützt würden. Die Aufsichtsbehörden würden dafür noch in dieser Woche ihr Vorgehen auf nationaler und europäischer Ebene koordinieren. Die EU-Kommission ihrerseits müsse die USA drängen, ein angemessenes Datenschutzniveau herzustellen.
Zustimmend äußerte sich zudem die britische Datenschutzbehörde ICO. Sie werde die Folgen des Urteils analysieren und in den kommenden Wochen bekanntgeben. Bereits jetzt erkennbare Folgen für die Praxis:
- Personenbezogene Daten seien nun nicht verstärkt gefährdet, jedoch seien Unternehmen jetzt verpflichtet sicherzustellen, dass Daten mit dem europäischen Datenschutzrecht konform übermittelt werden.
- Der Datenschutzbehörde sei dabei bewusst, dass den Unternehmen ein gewisser Zeitraum für Erfüllung dieser Pflichten eingeräumt werden müsse.
- Es bestünden bereits jetzt Möglichkeiten für eine rechtskonforme Übertragung.
- Verhandlungen über den Abschluss eines neuen Abkommens zwischen der EU und den Vereinigten Staaten seinen bereits fortgeschritten.
- Die Folgen des Urteils werden durch die ICO analysiert und Ergebnisse in den kommenden Wochen bekanntgegeben.
Die spanische Agencia Española de Protección de Datos – AEPD führt in ihrer Pressemitteilung zu der Entscheidung aus:
Bisher hat die AEPD internationale Datenübermittlungen an Safe Harbor zertifizierte amerikanische Unternehmen rechtlich anerkannt. Diese Unternehmen hatten demnach das Privileg, dass bei einer Meldung eines Systems an die zuständige Behörde keine weitere Genehmigung durch die Datenschutzbehörde erfoderlich war um die Übermittlung datenschutzkonform durchzuführen.
Jetzt hat die Datenschutzbehörde im Einzelfall zu prüfen, ob die Datenübermittlungen an Safe Harbor zertifizierte amerikanische Unternehmen rechtmäßig sind.
Die Europäischen Datenschutzbehörden hätten bereits in der Vergangenheit auf Mängel des Safe Harbor Abkommens aufmerksam gemacht. Nun arbeiteten sie zusammen, um koordinierte Maßnahmen bezüglich des EuGH-Urteils herbeizuführen, damit es gleichmäßig in allen EU Mitgliedstaaten interpretiert und umgesetzt werde.
6. Oktober 2015
Mit dem Urteil C-362/14 vom 06. Oktober 2015 hat der EuGH die Entscheidung der Kommission vom 26. Juli 2000, dass die s.g. „Safe-Harbor-Regelung“ der Vereinigten Staaten ein angemessenes Schutzniveau der übermittelten personenbezogenen Daten gewährleistet, für ungültig erklärt.
Zusammenfassung und Folgen für die Praxis:
• Die Entscheidung des EuGH zu Safe Harbor macht den Datentransfer von Europa in die Vereinigten Staaten für die Safe Harbor registrierten Unternehmen nicht per se rechtswidrig.
• Die Datenschutzbehörden der Mitgliedsstaaten sind nun jedoch befugt, Unternehmen, die Daten auf der Basis von Safe Harbor in die Vereinigten Staaten übermitteln oder dort verarbeiten lassen, auf die Einhaltung der datenschutzrechtlichen Vorschriften hin zu überprüfen und im Falle des Verstoßes Sanktionen zu erlassen, etwa Untersagungsverfügungen. Dies dürfte auch für den Transfer auf der Basis der Standardvertragsklauseln bzw. Corporate Binding Corporate Rules gelten, da der Hintergrund der Zugriff der amerikanischen Behörden auf der Basis des Patriot Act ist, der unabhängig von der gewählten rechtlichen Grundlage zur Anwendung kommen kann und europäische Daten nicht ausnimmt.
• Bei Verstößen können die Datenschutzbehörden als utima ratio durch Untersagungsverfügungen die Übermittlung der personenbezogenen Daten in die Vereinigten Staaten untersagen.
• Doch die EU und die Vereinigten Staaten verhandeln bereits seit 2013 über ein neues Safe-Harbor-Abkommen. Es erscheint also nicht ausgeschlossen, dass die nationalen bzw. regionalen europäischen Aufsichtsbehörden eine Übergangsfrist abstimmen, bis zu der keine konkreten Prüfungen durch die Landes-Aufsichtsbehörden erfolgen und mithin keine Untersagungsverfügungen gegenüber Unternehmen erfolgen.
• Entschieden ist dies jedoch aktuell nicht. Entsprechende Abstimmungen auf behördlicher Ebene werden jedoch schon für die kommende Woche erwartet.
• Voraussetzung könnte sein, dass sich die Regierungen bis zu einem gewissen Zeitpunkt auf ein neues Safe-Harbor-Abkommen einigen. Die Aufsichtsbehörden würden so den durch die Rechtsprechung aufgebauten Druck weg von den Unternehmen zumindest temporär auf die handelnden politischen Entscheidungsträger verlagern.
• Inhaltlich dürfte es bei den kommenden Verhandlungen zwischen den transatlantischen Partnern neben den bisher häufig zu oberflächlich erfolgten Umsetzungen der Safe Harbor Regeln und den damit unzutreffend erfolgten Selbstzertifizierungen in den betroffenen Unternehmen insbesondere um die Zugriffe auf europäische Daten auf der Basis des Patriot Act gehen.
Die Entscheidung
Zum Hintergrund: Der Beschwerdeführer nutzt seit 2008 das soziale Netzwerk facebook. Die in Irland ansässige Tochtergesellschaft übermittelte die Daten des Beschwerdeführers an Server, die sich in den Vereinigten Staaten befinden und ließ sie dort verarbeiten. Der Beschwerdeführer befürchtete aufgrund der bekanntgewordenen Tätigkeiten der Nachrichtendienste, dass die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der übermittelten Daten vor den Behörden bot. Eine hiergegen eingelegte Beschwerde bei der irischen Datenschutzbehörde lehnte diese mit der Begründung ab, dass die Kommission in ihrer Entscheidung vom 26. Juli 2000 festgestellt habe, dass ein angemessenes Schutzniveau gewährleistet sei.
Stärkung der Rechte nationaler Datenschutzbehörden
In der heutigen Entscheidung führt der EuGH aus, dass die Feststellung des Schutzniveaus durch die Kommission die Befugnisse der nationalen Datenschutzbehörden weder beschränken, noch beseitigen kann. Die Datenschutzbehörden müssen, wenn sie mit einer Beschwerde befasst werden, in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung der Daten einer Person in ein Drittland die datenschutzrechtlichen Anforderungen der EU gewahrt sind.
Verletzung des Grundrechts auf Achtung des Privatlebens
Nach Feststellung der bestehenden Prüfungskompetenz der nationalen Datenschutzbehörden nimmt der EuGH auch zu der inhaltlichen Gültigkeit der Kommissionsentscheidung Stellung. Er stellt fest, dass die Kommission nicht die Gewährleistung des Schutzniveaus der Grundrechte durch die innerstaatlichen Vorschriften und internationalen Verpflichtungen der Vereinigten Staaten geprüft hat. Vielmehr hat sie sich darauf beschränkt, die Safe-Harbor-Regelung zu prüfen.
Aber auch die Regelung allein gewährleistet keinen Schutz, der dem in der Union garantierten Niveau gleichwertig ist. Denn die diese gilt nur für Unternehmen, die sich der Safe-Harbor Regelung unterwerfen, nicht aber für Behörden der Vereinigten Staaten. Darüber hinaus haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzten der Vereinigten Staaten Vorrang vor den Safe-Harbor-Regelungen, so dass Unternehmen bei einem Widerstreit der genannten Interessen, die Safe-Harbor-Regelung unangewandt lassen müssen. Die Safe-Harbor Regelung ermögliche insoweit Eingriffe durch amerikanische Behörden, ohne dass Reglungen bestünden, die die Eingriffskompetenzen begrenzten.
In diesem Zusammenhang stellt der EuGH in aller Deutlichkeit fest, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt der elektronischen Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt. Da dem Bürger kein Zugang zu den ihn betreffenden Daten zur Verfügung steht, sei darüber hinaus das Grundrecht auf einen wirksamen gerichtlichen Schutz verwehrt.
23. September 2015
Nach dem heutigen Schlussantrag des Rechtsgutachters vor dem Europäischen Gerichtshof in Luxemburg (EuGH) bietet die sog. Safe-Harbor-Entscheidung der Europäischen Kommission keine sichere Rechtsgundlage für die Übermittlung von personenbezogenen Daten von EU-Bürgern in die USA.
Der Antrag erging in dem Verfahren des Österreichers Max Schrems gegen die irische Datenschutzbehörde über den Datenschutz bei Facebook.
Die die Safe-Harbor-Prinzipien festlegende Kommissionsentscheidung aus dem Jahr 2000 sei seiner Meinung nach ungültig. Zu gering sei der Rechtsschutz für Bürger aus der EU, wenn ihre Daten in großer Zahl von US-amerikanischen Firmen wie beispielsweise Facebook gesammelt würden. Insbesondere durch den potenziellen Datenaustausch von amerikanischen Firmen mit der NSA liege ein Eingriff in das Recht auf informationelle Selbstbestimung vor, der vor allem deshalb unverhältnismäßig sei, weil die Überwachung in den USA massiv und nicht zielgerichtet sei.
Die zuständige Datenschutzbehörde sei folglich nicht an die oben genannte Kommissionsentscheidung gebunden und könne die Übermittlung der Daten von der europäischen Facebook-Zentrale in Irland an Facebook Inc. in die USA verbieten.
Zwar ist der EuGH in seiner Entscheidung nicht an dieses Rechtsgutachten gebunden, in den meisten Fällen wird ihm aber weitestgehend gefolgt.
3. August 2015
Neben herkömmlichen Passwörtern, biometrischen Verfahren und Multifaktor-Logins wird zurzeit an einer weiteren Alternative geforscht, um Menschen im Internet zu authentifizieren: Durch Verhaltensanalyse, Behavioral Analysis, also der Art und Weise, wie der Nutzer auf eine Tastatur tippt, ob auf seinem PC, Tablet oder Smartphone. Konkret werden Erkenntnisse vor allem aus der Geschwindigkeit des Tippens, aus dem Tastendruck und aus der Art und Weise der beim Tippen eingelegten Pausen gewonnen, die den IT-Sicherheitsexperten genügend Daten liefern, um individuelle Profile erstellen zu können.
Skandinavische Banken testen dieses Verfahren bereits seit dem vergangenen Jahr, die dänische Danske Bank verwendet es bereits für ihr Online-Banking. Das schwedische Unternehmen BehavioSec biete Websitebetreibern an, mit dieser Technik die Logins ihrer Kunden zu sichern.
Die Kehrseite der Medaille einer neuen Authentifizierungsmethode ist jedoch die Gefahr des Missbrauchs der durch die Verhaltensanalyse gewonnen Daten für eine ungewollte Identifizierung des Nutzers. Das Skript von BehavioSec funktioniert beispielsweise auch bei Usern des (eigentlich) anonymisierten Tor-Browsers. Vor allem aber wird der Nutzer völlig im Unklaren darüber gelassen, ob und in wie weit sein Verhalten aufgenommen und analysiert wird. Auch dafür haben findige Entwickler aber schon eine Lösung parat: Jedenfalls bei Google Chrome kann die Eingaben in Textfeldern durch ein Browser-Add-On zufällig um ein paar Milisekunden verzögert werden, so dass eine versteckte Verhaltensanalyse nicht mehr möglich sein soll.
30. Juli 2015
Erneut gerät das Soziale Netzwerk Facebook in das Visier von Datenschützern. In Kritik gerät Facebook diesmal wegen der Sperrung eines Nutzerkontos. Eine Nutzerin von Facebook hatte ihr Nutzerprofil unter einem Pseudonym eingerichtet, um unter ihrem bürgerlichen Namen nicht gefunden zu werden, wie der Der Hamburgische Datenschutzbeauftragte: Profilnamen bei Facebook frei wählbar mitteilt.
Facebook veranlasste die Sperrung des Nutzerkontos und forderte die Nutzerin auf, ihren richtigen Namen in ihrem Profil anzugeben. Ihre wahre Identität sollte die Nutzerin mit einem amtlichen Lichtbild nachweisen. Darüber hinaus änderte Facebook den Profilnamen der Nutzerin in deren richtigen Namen und forderte die Nutzerin auf dieser Änderung zuzustimmen, um das Konto wieder freizuschalten. Dieses Vorgehen von Facebook veranlasste die Nutzerin dazu die Aufsichtsbehörde einzuschalten.
Der zuständige hamburgische Beauftragte für den Datenschutz und Informationsfreiheit, Prof. Caspar, hat inzwischen eine Anordnung gegen Facebook erlassen, in der Facebook dazu verpflichtet wird, die anonyme Nutzung seines Dienstes zuzulassen. Sowohl die Verwehrung der Möglichkeit ein Profil unter einem Pseudonym zu führen als auch die Aufforderung, sich digital mit einem amtlichen Lichtbildausweis zu identifizieren, verstoße gegen geltendes Recht.
Gemäß § 13 Abs. 6 Telemediengesetz sind Diensteanbieter wie Facebook dazu verpflichtet, ihren Nutzern die Nutzung ihrer Dienste entweder anonym oder unter einem Pseudonym zu ermöglichen. Dieser Verpflichtung kommt Facebook im vorliegenden Falle jedoch nicht nach.
Ein weiterer Gesetzesverstoß stellt die Aufforderung der Identifizierung mit einem amtlichen Lichtbildausweis dar. Die Erhebung und Nutzung der Daten des Personalausweises darf gemäß § 14 Personalausweisgesetz nur unter bestimmten Voraussetzungen verlangt werden. Die elektronische Identifizierungsfunktion des Personalausweises darf aus Gründen der Datensicherheit nur unter Verwendung eines gültigen Berechtigungszertifikats von dem Diensteanbieter eingesetzt werden.
Auch die Änderung des Namens der Nutzerin von dem Pseudonym in ihren richtigen Namen stellt einen Gesetzesverstoß. Das Grundgesetz garantiert – abgeleitet aus der Würde des Menschen und dem allgemeinen Persönlichkeitsrecht – das Recht auf informationelle Selbstbestimmung. Dieses Grundrecht wird im Bundesdatenschutzgesetz konkretisiert. Danach hat jeder Einzelne das Recht frei zu entscheiden, ob, wann, in welchem Umfang und wem gegenüber er seine personenbezogenen Daten veröffentlicht.
Wie Facebook auf die Anordnung des Hamburgischen Datenschutzbeauftragten reagiert, bleibt abzuwarten.
24. Juli 2015
Im Rahmen eines deutschlandweiten Forschungsprojekts der Universität Bielefeld zur Techniknutzung im Gesundheitssektor, für welches 675 Studierende befragt wurden, bestätigt sich nicht nur, dass das Angebot an Gesundheits-und Fitness-Apps für Smartphone und Smartwatch immer umfangreicher wird, sondern auch, dass die Nutzung in Kreisen der Entscheider von morgen schon längst im Alltag angekommen ist.
Was aus Perspektive der Datenschützer erst mal positiv klingt: Wie die Universität bestätigt, ist die Sensibilität für das Thema Datenschutz unter den Studierenden durchaus vorhanden. Ernüchternd aber: In Zeiten der Selbst- und Leistungsoptimierung fällt die Abwägung der Studierenden zwischen dem Nutzwert dieser Anwendungen und den (berechtigten) Datenschutzbedenken regelmäßig pro Nutzung der Apps aus – und damit pro Preisgabe zahlreicher sensibler Gesundheitsdaten, von denen Versicherer und andere potentielle Interessenten sonst nur hätten träumen können.
„Gerade mit Blick auf Risiken wie den Datenmissbrauch zeigt sich hier ein bemerkenswerter Verdrängungsprozess, der allerdings auch damit einhergeht, dass das bisherige Wissen der Nutzerinnen und Nutzer zu gering ist, zitiert die Universität den Gesundheitswissenschaftler Christoph Dockweiler. „Gerade mal jeder Dritte fühlt sich ausreichend informiert über die potenziellen Risiken der Nutzung“.
Unter 675 Befragten gab mehr als ein Drittel der befragten Studentinnen und Studenten an, täglich Gesundheits- oder Medizin-Apps zu nutzen. Mehr als zwei Drittel dieser Gruppe nutzt dabei Apps zur Gesundheitsüberwachung, beispielsweise hinsichtlich Bewegungspensum oder Schlafverhalten. Immerhin die Hälfte der Befragten nutzt Sport-Apps, welche zurückgelegte Lauf- oder Radstrecken speichern, und dabei auch die Herzfrequenz und den Kalorienverbrauch messen. Ziel dieser Nutzungen ist demnach neben der eigenen Gesundheitskontrolle gerade die Steigerung der individuellen Leistungsfähigkeit – nicht nur ein Nebenaspekt in einer Zeit, in der sich junge Akademiker immer komplexeren Anforderungen ausgesetzt sehen und schon in frühen Semestern um ihre Credits bemüht sein müssen. Der allgemeine Fitnesstrend trägt den Rest dazu bei, einen digitalen Geschäftszweig zu nähren, der nur eines zum Ziel hat: den massenhaften Ertrag von aussagekräftigen personenbezogenen Daten.
Es braucht nicht viel Fantasie um zu erahnen, welche Möglichkeiten und welches Missbrauchspotential diese Datensätze den Interessenten aus der Wirtschaft offerieren – nicht zuletzt im Zeitalter der Big-Data-Technologie, dessen Beginn wir gerade erst erleben.
23. Juli 2015
Ausweis zeigen oder Profil wird gesperrt. Klingt hart, aber in etwa so kann man Facebooks radikales Vorgehen auf den Punkt bringen. Wie chip online mitteilt, sollen Profile in dem sozialen Netzwerk nur noch echte Namen beinhalten. Stimmt der im Profil angegebene Name nicht mit dem echten Namen des Profilinhabers überein, wird der Account gesperrt.
In den AGB von Facebook ist bereits seit längerer Zeit ein Passus enthalten, der die Nutzer dazu auffordert, ihre wahren Daten anzugeben. Neu ist nun, dass die Betreiber des Netzwerks verstärkt nach falschen Profilen fahnden und diese bei Verdacht sperrt. Der Nutzer kann die Sperre aufheben, indem er eine Kopie seines Personalausweises vorlegt, um die Echtheit seiner Daten zu bestätigen, schreibt chip online weiter. Hat der Nutzer tatsächlich unrichtige Daten angegeben, kann er diese nach Aufhebung der Sperrung in seinem Account berichtigen. Da in den AGB vorgeschrieben ist, dass nur echte Daten verwendet werden dürfen, ist das Vorgehen von Facebook, Profile zu sperren, durchaus legal.
Was viele Nutzer, die eine Sperrung aufheben wollen jedoch nicht wissen: Das Kopieren und Weitergeben des Personalausweises ist nach dem Personalausweisgesetz nicht erlaubt. Nicht nur was die Authentisierung bei Facebook betrifft, auch das oft praktizierte Kopieren oder Einscannen des Ausweises zum Beispiel in oder für Personalakten oder das Hinterlegen des Ausweises als Pfand ist nach dem Gesetz nicht erlaubt. Dies ist natürlich ganz im Sinne des Schutzes persönlicher Daten.
Facebook gibt sich allerdings auch mit alternativen Authentifizierungen zufrieden. So kann, um eine Sperrung des Accounts aufzuheben, auch ein anderes nicht amtliches Dokument wie beispielsweise ein Bibliotheksausweis oder eine Stromrechnung eingereicht werden, heißt es bei chip online weiter. Dringend davon abzuraten ist, solche Dokumente zu fälschen, um das eigene Profil wieder freigeschaltet zu bekommen. Denn in diesem Fall kann unter Umständen der Tatbestand der Urkundenfälschung erfüllt sein.
Auch wenn das Vorgehen von Facebook – konkret das Sperren von Accounts wegen falscher Identität – nicht gegen geltendes Recht verstößt, so ist dies doch tief in einem deutlich größeren Kontext verwurzelt, nämlich in dem Thema Schutz der persönlichen Daten und Anonymität im Internet. Ohne Frage ist es sinnvoll zum Schutz des Geschäfts- und Rechtsverkehrs im Internet echte Daten anzugeben, zum Beispiel bei rechtsverbindlichen Online-Käufen und ähnlichem. So schreiben es auch diverse Gesetze vor. Wie aber verhält es sich in Fällen, in denen niemand zu Schaden kommt? Soziale Netzwerke wie Facebook sind frei verfügbar und werden jedermann kostenlos zugänglich angeboten. Auf der anderen Seite ist unlängst bekannt, dass Internetgiganten – besonders jene, aus den datenschutzschwachen USA – über erschreckende Möglichkeiten verfügen, allgemeine und personenbezogene Daten ihrer Nutzer zu sammeln, zu speichern, zu verarbeiten und – dies darf zumindest vermutet werden – weiterzugeben. Umfängliche Profile können auf diese Weise erstellt werden, um zum Beispiel individuelle Werbung zu generieren oder digitale Verbindungen zum Privatleben zu erstellen.
Nicknames erlauben jedenfalls eine gewisse Pseudonymität. Man kann unterstellen, dass die allermeisten Verwender von Nicknames diese nicht für schädigende Handlungen im Netz verwenden. Den meisten ist wohl eher daran gelegen, sich ein klein wenig Anonymität zu verschaffen und während eines Bewerbungsverfahrens vom potentiellen neuen Arbeitgeber nicht auf Anhieb durch wenige Klicks „gefunden“ zu werden. Die Diskussion zur Anonymität im Internet ist alt. 2011 äußerte sich die Internetforscherin Danah Boyd im Spiegel ablehnend zu einem Klarnamenzwang im Internet, weil sie dadurch einen „Schaden für die Kultur im Netz“ befürchte. Nicht nur von datenschutzrechtlicher Seite stellt sich daher die Frage: Warum drängt das weltweit größte soziale Netzwerk darauf, dass seine Mitglieder ausschließlich wahre personenbezogene Daten angeben? Erlaubt seien diverse Vermutungen auf diese Frage, angesichts der anhaltenden Berichterstattung zu den oft eigentümlichen Vorgehensweisen von Facebook. Was bleibt, ist die alte Erkenntnis: Jeder muss für sich selber abwägen, Mitglied in einer der beliebtesten Community der Welt zu sein, oder seine persönlichen Daten nicht preiszugeben.
Pages: 1 2 ... 53 54 55 56 57 ... 90 91 
