Kategorie: Online-Datenschutz
16. März 2023
Im Rahmen eines Beschwerdeverfahrens gegen den US-Konzern „Meta“ stellte die österreichische Datenschutzbehörde (DSB) die Rechtswidrigkeit der durch Meta zur Verfügung gestellten Tools „Facebook Logins“ und „Meta Pixel“ fest. Grund für diese Entscheidung sei der rechtswidrige Drittlandstransfer personenbezogener Daten in die USA.
Hintergründe
Zu der Entscheidung der DSB kam es aufgrund einer durch die Datenschutzorganisation „none of your business“ (noyb) angestrengten Beschwerde. Diese strengte noyb zusammen mit weiteren 100 Beschwerden gegen verschiedene Webseitenbetreiber an, die auf ihren Seiten Anwendungen von Meta und Google implementiert hatten (wir berichteten).
Im konkreten Fall ging noyb gegen den Betreiber eines Online-Nachrichtenportals vor. Dieser hatte u.a. die von Meta zur Verfügung gestellten Tools Facebook Logins und Meta Pixel auf seiner Webseite implementiert. Insoweit sei es fraglich gewesen, ob die aufgrund der Implementierung erfolgte Datenübermittlung in die USA durch eine geeignete Garantie nach Art. 45 DSGVO oder eine Ausnahme nach Art. 49 DSGVO erlaubt sei.
Facebook Logins und Meta Pixel
Facebook Login sei, laut Meta eine Anwendung, die die Nutzererfahrung verbessere. Der Nutzer einer Webseite müsse sich kein neues Benutzerkonto anlegen, sondern könne sein Facebook-Profil zur Anmeldung verwenden. Die DSB stellte allerdings fest, dass aufgrund der Implementierung von Facebook Logins eine Vielzahl personenbezogener Daten der Nutzer in die USA übermittelt werden. Dazu zählen u.a. die IP-Adresse, Ort und Datum des Webseitenbesuches und die Nutzer-ID.
Meta Pixel sei, wie der Konzern erklärt, eine Anwendung, die es Webseitenbetreibern ermögliche, das Verhalten ihrer Nutzer nachzuvollziehen. Alle Handlungen, die ein Nutzer auf der Webseite vornehme, wie beispielweise das Hinzufügen eines Artikels in den Warenkorb, könne die Anwendung dokumentieren. Wie auch bei Facebook-Logins, komme es bei Meta Pixel zu einer Datenübermittlung in die USA. Zu diesen personenbezogenen Daten zählen u.a. die IP-Adresse und die Klickdaten für Buttons des Endgerätes.
Feststellung der DSB
Hinsichtlich der Datenübermittlung in die USA stellt die DSB einen Verstoß gegen die allgemeinen Grundsätze der Datenübermittlung nach Art. 44 ff. DSGVO fest. Obwohl zu dem fraglichen Zeitpunkt der EuGH den „Privacy Shield“, also den Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten in die USA, bereits für unwirksam erklärt habe, sollte auf seiner Grundlage eine Datenübermittlung erfolgen. Demnach reichten später eingeführte Standardvertragsklauseln aus Sicht der DSB nicht zur rechtwirksamen Datenübermittlung. Die untersuchte Datenübermittlung sei vor Einführung der Vertragsklauseln erfolgt. Eine Ausnahme iSd Art. 49 DSGVO habe die Webseite nicht für die Datenübermittlung vorgesehen.
Fazit
Vorsitzender der Organisation noyb, Max Schrems, betonte, dass erstmalig eine Aufsichtsbehörde einem Webseitenbetreiber die Illegalität der Facebook-Tracking-Technologie aufgezeigt habe.
Abschließend bleibt fraglich, wann und ob mehr Rechtssicherheit in Bezug auf die Datenübermittlung in die USA einkehren wird.
15. März 2023
TikTok: eine harmlose Plattform für Jugendliche zum Teilen unterhaltsamer Videos mit dem Wunsch viral zu gehen oder eher eine Gefährdung für Regierungen und Gesellschaften? Zwei Standpunkte, die nicht weiter entfernt voneinander sein könnten. Eine Plattform mit mehr als einer Milliarden Nutzer*innen weltweit sorgt bei mehreren Anlaufstellen für Bauchschmerzen. Darunter ist die EU-Kommission sowie das Federal Bureau of Investigation (FBI). Selbst der ehemalige Präsident der Vereinigten Staaten, Donald Trump, wollte den Dienst vollends verbieten.
Über TikTok
Mit mehr als einer Milliarde Nutzer*innen ist die Plattform im Weltweiten Ranking lediglich auf Platz vier. Zur Veranschaulichung der Nutzerzahlen ist Meta (ehemalig Facebook) mit 2,9 Milliarden Nutzer*innen auf dem ersten Platz. Hinter dem Dienst steht das chinesische Unternehmen ByteDance. Zu den Problemfeldern zählt insbesondere der nach westlichen Standards mangelnde Daten- und Jugendschutz, eine umfangreiche politische Zensur, die Verbreitung von Fake News, Werbung für Fake-Markenartikel, betrügerische Inhalte bis hin zu möglicher Spionage des chinesischen Staates durch die Auswertung von Nutzerprofilen. Verantwortliche Sprecher*innen des Dienstes streiten nach autokratischem Muster alle Anschuldigungen immer wieder konstant ab.
Datenschutzrechtliche Bedenken
Mit einer Social-Media-App wie TikTok wird europaweit ein kaum vorstellbares Maß an personenbezogenen Daten generiert. Fraglich ist an dieser Stelle natürlich, wie mit diesen Daten verfahren wird und wer am Ende wirklich Zugriff auf diese haben könnte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) formuliert Bedenken gegenüber TikTok eher zurückhaltend. So erklärt das BSI, dass sich mit dem Aufstieg des Dienstes auch immer wieder warnende Stimmen zu Wort melden, die einen Abfluss der Benutzerdaten nach China befürchteten. China, ein Land ohne Angemessenheitsbeschluss.
Bringt der Digital Services Act die Lösung?
Das neue EU-Gesetz ermöglicht ggf. ein Verbot. EU-Kommissar Thierry Breton äußerte sich folgendermaßen dazu: „Wir werden nicht zögern, alle möglichen Sanktionen zu beschließen, wenn Prüfungen nicht die volle Einhaltung erkennen lassen“. Der Digital Services Act (DSA) wird ab dem 1. September dieses Jahres für große Plattformen anwendbar sein. Es bleibt abzuwarten, wie scharf das Schwert des DSA sein wird. Eine drastische Anpassung der internationalen Tech-Giganten an europäische Standards würde wohl von mehreren Stellen begrüßt werden.
13. März 2023
In der Entscheidung C-460/20 vom 8.12.2022 hat der Europäische Gerichtshof (EuGH) darüber entschieden, wer die Beweislast trägt, wenn eine Person die Entfernung von Links zu Webseite-Beiträgen aus der Liste der Suchergebnisse im Internet beantragt. Mit anderen Worten, die Entscheidung klärt, wer beweisen muss, ob ein solcher Antrag gerechtfertigt ist oder nicht.
Die Entscheidung des EuGH
Die Argumente des EuGH zur Beweislast in Bezug auf Artikel 17 der Datenschutz-Grundverordnung (DSGVO) sind von großer Bedeutung für die Praxis. Insbesondere ging es darum, wer die Beweislast im Rahmen der Ausnahmevorschrift des Artikels 17 Absatz 3 Buchstabe a DSGVO trägt, wenn eine betroffene Person die Löschung von bestimmten Daten beantragt und behauptet, dass diese unrichtig seien.
Der EuGH stellte fest, dass die betroffene Person den Nachweis erbringen muss, dass die Informationen offensichtlich unrichtig sind oder zumindest ein nicht unbedeutender Teil davon offensichtlich unrichtig ist, um den Löschungsantrag zu rechtfertigen. Jedoch darf die Beweislast nicht zu einer übermäßigen Belastung führen, die das Recht auf Löschung beeinträchtigt. Die betroffene Person kann daher nicht gezwungen werden, eine gerichtliche Entscheidung gegen den Betreiber der Website zu erlangen.
Auf der anderen Seite kann der Verantwortliche für die Datenverarbeitung nicht dazu verpflichtet werden, den Sachverhalt zu ermitteln und eine kontradiktorische Debatte mit dem Anbieter der Inhalte zu führen. Der EuGH ist der Meinung, dass der Verantwortliche nicht aktiv an der Suche nach Tatsachen mitwirken muss, die den Löschungsantrag nicht unterstützen, um zu prüfen, ob der Antrag gerechtfertigt ist.
Auf Art. 16 DSGVO übertragbar?
Die Entscheidung des Bundesverwaltungsgerichts (BVerwG) im März 2022 betraf einen Fall, in dem eine betroffene Person die Berichtigung von Daten nach Artikel 16 DSGVO beantragt hatte. Das Gericht betonte, dass die objektive Wirklichkeit der Maßstab für die Qualifizierung eines Datums als “richtig” oder “unrichtig” im Sinne von Artikel 16 Satz 1 DSGVO ist. Es wurde auch festgestellt, dass Artikel 5 Absatz 2 DSGVO eine spezifische Bestimmung enthält, wer die Beweislast für die Richtigkeit des neu einzutragenden Datums trägt, wenn die Einhaltung der Grundsätze des Artikels 5 Absatz 1 DSGVO in einem Rechtsstreit zwischen dem Verantwortlichen und der betroffenen Person im Streit steht.
Das Gericht entschied, dass im Falle eines Berichtigungsanspruchs, bei dem die Richtigkeit des Datums umstritten ist, die Nichterweislichkeit der Richtigkeit des Datums zu Lasten der betroffenen Person geht. Wenn die Beweislast für die Richtigkeit des Datums beim Verantwortlichen liegt, muss er zukünftig nachweisen, dass ein von ihm verarbeitetes Datum richtig ist. Wenn jedoch die betroffene Person nicht nachweisen kann, dass das Datum unrichtig ist, kann der Verantwortliche nicht verpflichtet werden, das von der betroffenen Person genannte Datum einzutragen und weiterzuverarbeiten.
Fazit
Beide Entscheidungen enthalten relevante Klarstellungen zur Beweislast in der Praxis, wenn es um die Bearbeitung von Betroffenenansprüchen geht. Unternehmen, die häufig mit solchen Anfragen konfrontiert sind, können sich bei der Beurteilung der Frage, ob sie die Daten berichtigen oder löschen müssen, an den Gründen dieser Entscheidungen orientieren.
7. März 2023
Der Schutz von IP-Adressen gewinnt in der datenschutzrechtlichen Praxis zunehmend an Bedeutung, insbesondere bei der Einbindung von Drittdiensten in Webseiten und der Nutzung von IP-Adressen im Zensus 2022. Es wird jedoch oft pauschal angenommen, dass dynamische IP-Adressen personenbeziehbar sind, was nicht zwingend der Fall ist. Es wird unterstellt, dass dynamische IP-Adressen personenbeziehbar nach Art. 4 Nr. 1 DS-GVO seien. Findet sich eine Begründung, wird auf das Urteil des EuGH in der Rs. Breyer verwiesen.
Da IP-Adressen bei jeder Internet-Kommunikation unvermeidlich sind und ihre Bedeutung mit dem Auslaufen von cookiebasiertem Tracking weiter zunehmen wird, ist es wichtig, den angeblichen Personenbezug von dynamischen IP-Adressen kritisch zu hinterfragen.
Was steht in der DS-GVO?
Im Gesetzestext der DS-GVO wird nicht explizit auf IP-Adressen eingegangen, jedoch werden sie im Erwägungsgrund 30 erwähnt, wo deutlich wird, dass sie nur in Kombination mit anderen Informationen einen Personenbezug ermöglichen können. Nach Erwägungsgrund 26 sollen dabei nur Zusatzinformationen berücksichtigt werden, die “nach allgemeinem Ermessen wahrscheinlich genutzt werden”, wobei objektive Faktoren wie Kosten und Zeitaufwand zu berücksichtigen sind. Der europäische Verordnungsgeber betrachtet den möglichen Personenbezug von IP-Adressen also differenziert.
Rechtsprechung und Aufsichtsbehörden undifferenziert
In einigen Fällen gehen Gerichte und Datenschutzaufsichtsbehörden reflexartig davon aus, dass eine IP-Adresse einen Personenbezug hat. Zum Beispiel hat das LG München I in einem Fall, der die Google-Fonts-Abmahnwelle ausgelöst hat, entschieden, dass die dynamische IP-Adresse für einen Webseitenbetreiber ein personenbezogenes Datum darstelle, unabhängig davon, ob auch Google die konkrete Möglichkeit hat, die IP-Adresse mit dem Kläger zu verknüpfen. Ähnlich haben auch andere Gerichte im Zusammenhang mit dem Zensus 2022 entschieden. Deutsche Datenschutzaufsichtsbehörden haben seit vielen Jahren die Ansicht vertreten, dass IP-Adressen stets personenbezogene Daten darstellen, und geben in der Regel keine Begründung dafür an. Dies ist auch in der finalen Fassung der DSK-Orientierungshilfe Telemedien der Fall.
Das Breyer-Urteil des EuGH
Das Urteil des EuGH in der Rs. Breyer aus dem Jahr 2016 wurde von vielen als bahnbrechend angesehen, da es den Personenbezug von IP-Adressen anerkannte. Dieses Urteil wurde jedoch oft missverstanden und es ist weniger klar und differenzierter, als es oft angenommen wurde. Der EuGH wurde von der Vorlagefrage des BGH geleitet, die sich auf die Verarbeitung von IP-Adressen durch Webseitenbetreiber bezieht. Der BGH wollte wissen, ob eine IP-Adresse, die von einem Webseitenbetreiber im Zusammenhang mit einem Zugriff auf seine Webseite gespeichert wird, als personenbezogenes Datum anzusehen ist, wenn der Internetzugangsanbieter über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt.
Die Vorlagefrage des BGH war relativ eng und bezog sich nur auf die Verarbeitung von IP-Adressen durch Webseitenbetreiber, die diese selbst erhoben haben. Es wurde unterstellt, dass der Internetzugangsanbieter über das erforderliche Zusatzwissen verfügt, um die betroffene Person zu identifizieren. Allerdings blieb die Vorlagefrage unklar, da es unklar war, ob mit der “betroffenen Person” der Inhaber des Internetanschlusses oder der konkrete Nutzer gemeint war, der die betreffende Webseite aufgerufen hatte. In der Praxis fallen diese Gruppen oft auseinander, zum Beispiel bei offenen WLAN-Netzwerken oder wenn sich mehrere Familienmitglieder oder WG-Bewohner einen Internetanschluss teilen.
Es war unklar, ob der BGH den Anschlussinhaber oder den konkreten Nutzer im Sinn hatte, was zu einer Uneinigkeit zwischen dem BGH und dem EuGH führte. Der EuGH interpretierte die Vorlagefrage offenbar dahingehend, dass die “betroffene Person” der Nutzer sei, der die Webseite abgerufen hat. Es scheint, als hätten der BGH in seinem Vorlagebeschluss und der EuGH in seinem Urteil in dieser entscheidenden Frage aneinander “vorbeigeredet”.
Die Frage der Zugänglichkeit der Zusatzinformationen war ebenfalls ein strittiger Punkt zwischen dem BGH und dem EuGH. Der BGH erwähnte in seinem Vorlagebeschluss, dass dem Webseitenbetreiber kein direkter Auskunftsanspruch gegenüber dem Internetzugangsbetreiber zustehe und dass die Zusatzinformationen des Internetzugangsanbieters für den Webseitenbetreiber als nicht zugänglich anzusehen seien. Der EuGH war jedoch der Ansicht, dass es für den Anbieter von Online-Mediendiensten rechtliche Möglichkeiten gebe, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten. Das Urteil des EuGH betont, dass die Identifizierung “praktisch durchführbar” sein müsse.
Insgesamt war das Urteil des EuGH in der Rs. Breyer weniger klar und differenzierter als oft angenommen. Es gibt immer noch offene Fragen bezüglich des Personenbezugs von IP-Adressen und der Zugänglichkeit von Zusatzinformationen.
Fazit
Das Breyer-Urteil des Europäischen Gerichtshofs (EuGH) hat zu einer umfangreichen Diskussion darüber geführt, ob dynamische IP-Adressen als personenbezogene Daten zu betrachten sind. In diesem Zusammenhang ist es wichtig zu betonen, dass das Urteil des EuGH auf den Kontext des Vorlagebeschlusses beschränkt ist und lediglich eines von vielen praktischen Szenarien betrifft, in denen IP-Adressen eine Rolle spielen. Die Entscheidung ist somit mit Vorsicht zu genießen. Eine Übertragung auf die Identifizierbarkeit des konkreten Nutzers erscheint zweifelhaft, wenn dieser nicht zugleich der Anschlussinhaber ist.
Das Urteil ist nicht ohne Einzelfallprüfung auf Situationen übertragbar, in denen IP-Adressen von anderen Verantwortlichen als dem Webseitenbetreiber verarbeitet werden. Ob auch Drittanbietern nach deutschem Recht die rechtlichen Auskunftsansprüche zustehen, haben weder der Bundesgerichtshof noch der EuGH entschieden. Auch die Frage, ob derartige Ansprüche nach anderen anwendbaren Rechtsordnungen bestehen, wenn die Drittanbieter außerhalb Deutschlands sitzen, ist offen. Die Möglichkeit für Drittanbieter, den Personenbezug auf Grundlage eigener Zusatzinformationen herzustellen, kann nicht einfach unterstellt werden, sondern muss im Einzelfall begründet werden. Erhebliche Zweifel am Personenbezug von IP-Adressen bestehen daher auch beim sog. „Server Side Tracking“.
In Konstellationen, in denen IP-Adressen in anderem Kontext als einem http-Request verarbeitet werden, liegt ein Personenbezug noch ferner. Eine Identifizierbarkeit ist kaum mehr denkbar, wenn die Stelle, die IP-Adressen verarbeitet, nicht über die bei einem http-Request übermittelten weiteren Informationen verfügt. Somit ist eine fundierte Begründung notwendig ist, um festzustellen, ob dynamische IP-Adressen personenbezogene Daten darstellen. Ohne eine solche erscheint die Wertung in vielen Fällen rechtlich angreifbar.
Klar ist, dass die Frage, ob dynamische IP-Adressen personenbezogene Daten darstellen, stets einer fundierten Begründung bedarf. Ohne eine solche erscheint die Wertung in vielen Fällen rechtlich angreifbar.
23. Februar 2023
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber veröffentlichte eine Pressemitteilung, der zufolge er der Bundesregierung den Betrieb ihrer Facebookseite untersagt habe. Für die Abschaltung der Facebookseite habe das zuständige Bundespresseamt (BPA) vier Wochen Zeit.
Fehlende Rechtsgrundlage und Cookies
Der Auslöser für die Untersagung sei, neben verschiedener datenschutzrechtlicher Bedenken, ein Gutachten einer Taskforce, die die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) eingesetzt habe. In ihrem Gutachten habe sich die Taskforce mit dem Betrieb von sog. Facebook-Fanpages auseinandergesetzt (wir berichteten). Im Ergebnis habe die Taskforce festgestellt, dass keine wirksame Rechtsgrundlage zum Betrieb einer Facebook-Fanpage bestehe und dass der Betreiber der Seite seinen Informationspflichten nach Art. 12 ff. DSGVO nicht nachkommen könne.
Dementsprechend betonte der BfDI zunächst, dass bei der Erstellung einer Facebookseite eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO bestehe. Der Betreiber einer Fanpage und das Facebook-Mutterunternehmen Meta haben im Hinblick auf die Facebook-Fanpage sich ergänzende Interessen.
Aus der gemeinsamen Verantwortlichkeit folge für das BPA die Pflicht, den datenschutzkonformen Betrieb nachzuweisen. In einem zuvor erfolgten Verfahren sei es dem BPA allerdings nicht gelungen, den BfDI von der Datenschutzkonformität der Facebook-Fanpage zu überzeugen.
Konkret kritisierte der BfDI, dass es an einer für die Datenverarbeitung erforderlichen Rechtsgrundlage fehle. Auch die von der DSK eingesetzte Taskforce habe diesen Umstand in ihrem Gutachten vergangen Jahres bemängelt.
Zusätzliche monierte der BfDI den Einsatz von Cookies auf der Facebookseite. Den Einsatz von Cookies regele das TTDSG. Nach § 25 Abs. 1 TTDSG sei für die Speicherung von Informationen in der Einrichtung des Nutzer oder das Auslesen dieser Informationen, d.h. für den Einsatz von Cookies eine Einwilligung erforderlich. Einer solchen Einwilligung bedürfe es unter anderem nicht, wenn die Speicherung oder das Auslesen von Informationen nach § 25 Abs. 2 Nr. 2 TTDSG „unbedingt erforderlich“ sei. Aus Sicht des BfDI sei im Falle der Facebookseite allerdings problematisch, dass Meta nicht unbedingt erforderlich Cookies einsetzte. Für diese Verwendung werde indes keine, mangels Ausnahme erforderliche Einwilligung eingeholt.
Fazit
Die im Ergebnis bestehenden Bedenken der Datenschutzkonformität führen folglich zur Pflicht des BPA, die Facebookseite der Bundesregierung abzuschalten. Gegen die Entscheidung des BfDI könne das BPA Klage erheben.
Bereits vor einem Jahr hatte die DSK, im Zusammenhang mit dem veröffentlichten Gutachten öffentliche Stellen zur Überprüfung und zur eventuell erforderlichen Abschaltung ihrer Facebookseiten aufgerufen. Ob mit der Entscheidung des BfDI die Datenschutzkonformität von Facebookseiten privater Unternehmen vermehrt Aufmerksam erhalten wird, bleibt abzuwarten.
7. Februar 2023
Nachdem die italienische Cyber-Sicherheitsbehörde ACN am Wochenende vor einer weltweisen Ransomware-Attacke gewarnt hatte, bestätigte das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun, dass auch in Deutschland zahlreiche Systeme betroffen sind.
Bei dem Angriff, der insbesondere Frankreich, die USA, Deutschland und Kanada betraf, wurden tausende sogenannte ESXi-Server verschlüsselt. Allein in Deutschland soll die Zahl der Betroffenen in einem mittleren dreistelligen Bereich liegen.
Ransomware-Angriffe zur Lösegelderpressung
Bei einem Ransomware-Angriff wird nach der Verschlüsselung der Daten eine Entschlüsselung erst gegen Zahlung eines Lösegelds (engl. „Ransom“) in Aussicht gestellt. Laut BSI zeichnen sich solche Angriffe dadurch aus, dass „die Auswirkungen auf einen Betroffenen mit dem Einsatz der Ransomware unmittelbar eintreten“.
Veraltete Software als Einfallstor
Der Hersteller VMware gab selbst an, dass nichts darauf hinweise, dass eine unbekannte Schwachstelle zur Verbreitung der Ransomware genutzt worden sei. Stattdessen würden Produkte angegriffen, die nicht mehr vom Support erfasst sind, sowie deutlich veraltete Produkte mit bekannten Schwachstellen. Der Sicherheitspatch für die bekannte Lücke habe der Hersteller bereits im Februar 2021 veröffentlicht.
Handlungsempfehlung des BSI und des Herstellers
Das BSI hat einen Fragenkatalog veröffentlicht, mithilfe dessen IT-Verantwortliche überprüfen können, wie gefährdet ihre Systeme sind. Zudem stellt es zahlreiche Informationen sowohl zur Prävention als auch zum Umgang mit konkreten Bedrohungen bereit. VMware selbst rät dazu, die aktuellsten unterstützten Versionen der vSphere-Komponenten zu nutzen und den OpenSLP-Dienst in ESXi zu deaktivieren. Zudem stellt der Hersteller allgemeine Ransomware-Ressourcen zur Verfügung.
Der Vorfall hat gezeigt, dass regelmäßige Sicherheitsupdates unerlässlich sind, um die IT-Umgebung vor Angriffen zu schützen.
2. Februar 2023
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte einen kurzen Videoclip, in dem es die Sicherheit von Kindern und Jugendlichen im Netz thematisierte. Konkret beantworteten Michaela Hansert (BSI-Expertin) und Martin Bregenzer (EU-Initatiove klicksafe) Fragen zum Umgang mit Apps und zur Prävention von Cybermobbing.
Hilfreiche Tipps
In dem Kurzclip betonten die Experten, dass Kinder mittlerweile schon früh Kontakt zu Online-Anwendungen und Apps haben. Häufig verfügten Kindern schon von einem jungen Alter an über ein Handy oder anderes mobiles Gerät. Daher sollten Erziehungsberechtigte Sorge dafür tragen, die Geräte der Kinder und vor allem Apps sicher einzurichten.
Beispielsweise ließen sich In-App-Käufe durch die Einrichtung eines Passworts verhindern. Soweit der Pin dem Kind unbekannt bliebe, könne es für die Freischaltung einer Funktion in der App kein Geld ausgeben. Zusätzlich sei daran zu denken, dass für Streaming-Dienste und andere Anwendungen die Möglichkeit bestehe, Kinderprofile anzulegen. Über diese ließe sich beispielsweise die Bildschirmzeit kontrollieren und beschränken. Weitere Hinweise zu technischen Voreinstellungen und Beschränkungen von Geräten können Interessierte über Medien Kindersicher erfahren.
Anschließend sprachen die Experten über die Probleme und Fragestellungen, die mit dem Thema Cybermobbing einhergehen. Dazu bekräftigten sie die Bedeutung von präventiven Maßnahmen. Die Accounts der Kinder in sozialen Medien sollten so eingestellt sein, dass Mobbing erschwert werde. Insbesondere der Zugriff auf Bilder der Kinder und Jugendlichen solle eingeschränkt werden. Andernfalls sei es möglich, dass Dritte die Bilder zweckentfremden und unberechtigterweise verwenden. Außerdem sollten Erziehungsberechtigte sicherstellen, dass ihre Kinder sichere Passwörter gebrauchen. Ansonsten sei es möglich, dass für Dritte das Passwort zu leicht zu erraten sei. In der Folge könnten sich beispielsweise Klassenkameraden leicht in Accounts einhacken.
Darüber hinaus sei eine gute Kommunikation zwischen Kindern und den Erziehungsberechtigten für einen sicheren Umgang mit mobilen Geräten förderlich. Konkret warnten die Experten davor, mobile Geräte dem Kind zu Strafzwecken zu entziehen. Im Falle vom Cybermobbing sei es insoweit möglich, dass sich Kinder ihren Eltern nicht mehr anvertrauten. Grund sei die Befürchtung, das Handy nicht mehr nutzen zu dürfen. Andererseits sollten Erziehungsberechtigte ihre Kinder auch über die Rechte anderer Personen im Internet aufklären. Insbesondere darüber, dass keine Bilder fremder Personen im Internet veröffentlicht werden dürfen.
30. Januar 2023
Ein Arbeitskomitee des Europäischen Datenschutzausschusses (EDSA) hat einen Bericht über Cookie-Banner vorgelegt. Wenn die Datenschutzbehörden diesen Bericht umsetzen, könnten irreführende Cookie-Banner bald Geschichte sein.
Der Bericht regelt auch die Anwendung der ePrivacy Richtlinie und dessen nationalen Umsetzungen, wie dem TTDSG in Deutschland, da es im Anwendungsbereich der Richtlinie keinen einheitlichen Mechanismus gibt. Das bedeutet, dass die Aufsichtsbehörden nicht verpflichtet sind, bei grenzüberschreitenden oder EU-weiten Verarbeitungen eine europaweite Absprache vorzunehmen. Der Bericht bietet jedoch eine abgestimmte Positionierung zu einigen Aspekten, was aus Sicht der Praxis von Vorteil ist.
Abgrenzung ePrivacy Richtlinie und DSGVO
Die Aufsichtsbehörden klären im Bericht das Verhältnis zwischen der ePrivacy Richtlinie und der DSGVO. Sie stellen fest, dass für die Verarbeitungen, die nach der Speicherung von oder dem Zugang zu Informationen auf dem Gerät eines Nutzers stattfinden, wie das Setzen oder Lesen von Cookies, die DSGVO als relevante Rahmengestaltung gilt.
Ablehnung von Cookies auf erster Ebene
Der Berichtsentwurf ist das Ergebnis einer Zusammenarbeit der Datenschutzbehörden im Rahmen des EDSA-Ausschusses für Cookie-Banner. Dieser Entwurf bestätigt bestehende Gesetze und legt eine Mindeststandards für die Bewertung von Cookie-Bannern fest. Viele nationale Richtlinien gehen jedoch weiter.
Laut dem Bericht des EDSA sollen folgenden Praktiken als rechtswidrig angesehen werden:
- Fehlende Ablehn-Option auf derselben Ebene wie die Zustimmung
- Bereits angekreuzte Kästchen anstelle einer aktiven Zustimmung
- Eingebettete Textlinks zur Ablehnung
- Links außerhalb des Cookie-Banner zur Verweigerung der Zustimmung
- der Vorwand des berechtigten Interesses an der Installation nicht notwendiger Cookies
- Keine permanente Möglichkeit, die Zustimmung zu widerrufen
Der EDSA verlangt – präzise formuliert – eine Möglichkeit, die Einwilligung bereits “auf der ersten Ebene” nicht zu erteilen. Dabei müssen Schaltflächen nicht eins zu eins gleich gestaltet sein. Die Ablehnungsmöglichkeit ist, wenn sie in einem Fließtext eingebettet besonders hervorgehoben und sich vom restlichen Text abhebt, wohl zulässig. Dafür genügt etwa Fettdruck, Unterstreichung oder eine andere Farbe.
Dagegen werden einige Fragen im Berichtsentwurf des EDSA nicht vollständig beantwortet. So hat die Taskforce beispielsweise keine Entscheidungen über irreführende Farben und Kontraste von Schaltflächen getroffen und auch nicht geklärt, wo ein gut sichtbarer und standardisierter Ort für die Widerrufserklärung liegen sollte. Die endgültige Version des EDSA-Berichts ist noch nicht veröffentlicht worden.
25. Januar 2023
Bereits 2021 hatte die Europäische Kommission eine Zielvorstellung für digitale Veränderungen in Europa präsentiert, die bis 2030 umgesetzt werden soll. Kurz gefasst sollen dadurch Kompetenzen, digitale Infrastruktur, Digitalisierung in Unternehmen und öffentlichen Diensten gestärkt werden.
Warum ist uns das besonders wichtig? Digitale Veränderungen beinhalten Chancen und Risiken – auch für den Datenschutz.
Die Ziele
Die Europäische Kommission hat ihre Ziele und Strategien im digitalen Kompass zusammengefasst. Ein zentrales Ziel sei unter anderem die digitale Souveränität Europas, die anhand folgender Kernpunkte erreicht werden sollen.
Eine digital befähigte Bevölkerung und hoch qualifizierte digitale Fachkräfte
Bis 2030 sollen etwa 20 Millionen Informations- und Kommunikationstechnologische Fachkräfte weitergebildet werden.
Sichere, leistungsfähige und tragfähige digitale Infrastrukturen
Alle europäischen Haushalte sollen Zugang zu einer Gigabit-Leitung und alle besiedelten Gebiete 5G erhalten. Der weltweit europäische Anteil am Halbleitermarkt soll verdoppelt und 10.000 klimaneutrale, hochsichere Randknoten in der EU errichtet werden.
Digitalisierung von Unternehmen
Die Digitaltechnik soll auf 75% der Unternehmen erhöht werden, indem sie Cloud-Computing, Big Data und künstliche Intelligenz in ihr Unternehmen integrieren
Digitalisierung öffentlicher Dienste
Ziel sei zum Beispiel, dass jeder europäischen Bürger Online-Zugang zu wesentlichen öffentlichen Diensten und ihren elektronischen Patientenakten bekommt
Folgen für den Datenschutz
Die Umsetzung der geplanten Ziele hat weitreichende Folge auf dem Gebiet des Datenschutzes. Es stellen sich diverse Herausforderungen für Verantwortliche.
Förderung von Datenschutzbeauftragten
Die Weiterentwicklung und Erhöhung digitaler Fachkräfte betrifft zum einen die Förderung von Datenschützern und deren Ausbildung. Zum anderen steigt der Bedarf an Sensibilisierung anderer Fachkräfte durch Datenschutzbeauftragte. Nimmt die Verbreitung digitaler Infrastruktur zu und erhöht sich der Stand der Digitaltechnik auf 75%, müssen sämtliche Bereiche ihre Kenntnisse im Datenschutz stärken, um der DSGVO gerecht werden zu können.
Der internationale Datentransfer
Digitale Infrastrukturen sind im Rahmen der digitalen Ziele und damit nicht zuletzt auch beim Datenschutz von Bedeutung. Insbesondere bei der Auftragsverarbeitung (Art. 28 DSGVO) wird auf Dienstleister zurückgegriffen, die Daten in der Cloud von Drittländern verarbeiten. Hier müssen die Bestimmungen des Art. 44 DSGVO beachtet werden, was häufig zu Herausforderungen in Verbindung mit Drittlandtransferprüfungen und Subdienstleistern führt. Im Zuge einer erweiterten digitalen Infrastruktur in der EU könnte eine Alternative zu Drittlandtransfers ausgebaut werden. Anfänge dafür sieht man z.B. an Projekten wie der EU Data Boundary von Microsoft.
Öffentliche und nicht-öffentliche Dienste
Die EU möchte auch die Digitalisierung der öffentlichen Dienste sowie den einfachen Zugang zu Patienten-/Bürgerakten, die sensible Daten nach Art. 9 Abs. 1 DSGVO enthalten können, vorantreiben. An den Schnittstellen dieser Dienste wird eine große Menge von Daten zwischen öffentlichen Stellen und Privatpersonen aber auch nicht öffentlichen Stellen ausgetauscht werden. Vor allem an diesen Stellen herrscht ein hohes Risiko, welches mehr Aufwand wie unter Umständen eine Datenschutz-Folgenabschätzungen und damit das Einführen zusätzlicher Schutzmaßnahmen zur Folge haben kann.
Fazit
Im Ergebnis müssen, trotz der positiven Auswirkungen der Digitalisierung, dennoch die vielseitigen Risiken für den Datenschutz beachtet werden, damit die Digitalisierung Europas ein tatsächlicher Erfolg wird. Leider besteht bislang auf europäischer Ebene Uneinigkeit darüber, wie mit der Lösung dieser Probleme umgegangen werden soll und welche Schwerpunkte gesetzt werden müssen. Es bleibt abzuwarten, welche Gesetzgebungsvorhaben in Zukunft durchgesetzt werden, um das komplexe Zusammenspiel von Datenschutz und Bereichsregulierung zu ordnen.
24. Januar 2023
Es gibt Neuigkeiten! Vierzehn Jahre nach der Einführung durch den kanadischen Datenschutzbeauftragten ist „Privacy by Design“ (PbD) im Begriff, ein internationaler Datenschutzstandard für den Schutz von Verbraucherprodukten und -dienstleistungen zu werden.
Doch was versteht man unter PbD? Hinter dem Begriff „Privacy by design“ verbirgt sich nichts Anderes als „Datenschutz durch Technikgestaltung“. Dahinter steckt der Gedanke, dass der Datenschutz bei Datenverarbeitungsvorgängen am besten eingehalten wird, wenn er bei deren Erarbeitung bereits technisch integriert ist. Das Konzept wurde 2009 vorgestellt und besteht aus einer Reihe von Grundsätzen, die die Berücksichtigung des Datenschutzes im gesamten Datenmanagementprozess einer Organisation fordern. Seitdem wurden sie von der Internationalen Versammlung der Datenschutzbeauftragten und -behörden angenommen und in die europäische Datenschutzgrundverordnung (DSGVO) aufgenommen.
Wer ist die ISO?
Die ISO ist ein Netzwerk von 167 nationalen Normungsgremien. Sie legt über 24.000 Normen fest, darunter die ISO 27001 für Informationssicherheits-Managementsysteme, deren Einhaltung Organisationen nach einer Prüfung durch Wirtschaftsprüfungsunternehmen wie Deloitte, KPMG und PwC zertifiziert werden kann.
Die Verabschiedung durch die ISO gibt der Operationalisierung des Konzepts „Privacy by Design Leben“, so Ann Cavoukian, die PbD-Erfinderin, „und hilft Organisationen, herauszufinden, wie sie es umsetzen können. Der Standard ist so konzipiert, dass er von einer ganzen Reihe von Unternehmen genutzt werden kann – von Start-ups über multinationale Unternehmen bis hin zu Organisationen jeder Größe. Bei jedem Produkt kann dieser Standard eingesetzt werden, weil er einfach zu übernehmen ist. Wir hoffen, dass der Datenschutz proaktiv in die Gestaltung der Abläufe [einer Organisation] eingebettet wird und die Datenschutzgesetze ergänzt.“
Was kommt auf uns zu?
In seiner ursprünglichen Fassung umfasst PbD sieben Grundsätze, darunter die, dass der Datenschutz die Standardeinstellung einer Organisation sein sollte, dass er in die Gestaltung von IT-Systemen und Geschäftspraktiken eingebettet ist und dass er Teil des gesamten Datenlebenszyklus ist.
Die endgültige ISO-Norm 31700 ist detaillierter und enthält 30 Anforderungen verteilt auf 32 Seiten. Sie enthält allgemeine Anleitungen zur Entwicklung von Funktionen, die es den Verbrauchern ermöglichen, ihre Datenschutzrechte durchzusetzen, zur Zuweisung relevanter Rollen und Befugnisse, zur Bereitstellung von Datenschutzinformationen für Verbraucher, zur Durchführung von Datenschutzrisikobewertungen, zur Festlegung und Dokumentation von Anforderungen an Datenschutzkontrollen, zur Gestaltung von Datenschutzkontrollen, zum Datenmanagement über den gesamten Lebenszyklus und zur Vorbereitung auf und zum Umgang mit Datenschutzverletzungen.
In der vorgeschlagenen Einleitung wird darauf hingewiesen, dass sich PbD auf verschiedene Methoden für die Entwicklung von Produkten, Prozessen, Systemen, Software und Dienstleistungen bezieht. Die vorgeschlagene Bibliographie, die dem Dokument beiliegt, verweist auf andere Normen mit detaillierteren Anforderungen an die Identifizierung personenbezogener Daten, Zugangskontrollen, die Zustimmung der Verbraucher, Corporate Governance und andere Themen.
Zusammen mit der Norm wird ein separates Dokument mögliche Anwendungsfälle skizzieren.
Ausblick
Cavoukian wiederholte das Argument, das sie schon seit Jahren vorbringt: Datenschutz kann ein Wettbewerbsvorteil für Unternehmen sein, die ihn annehmen. „Wir müssen uns von dem veralteten Entweder-Oder-Modell von Datenschutz und Geschäft verabschieden“, so ihr Standpunkt. „Das kann eine Win-Win-Situation sein. Es geht um Datenschutz und Geschäftsinteressen. You can do both.“
ISO 31700 wird allerdings zunächst kein Konformitätsstandard sein.
Pages: 1 2 3 4 5 6 7 ... 90 91 
