Kategorie: Online-Datenschutz

Hacking-Angriff bei Neckermann

31. Mai 2011

Heute wurde bekannt, dass das Versandkaufhaus Neckermann Ziel eines Hacking-Angriffs geworden ist. Von rund 1.2 Millionen Gewinnspielteilnehmern sind  personenbezogene Daten in Form von Name und E-Mail-Adresse gestohlen worden. Die auf einem anderen Server vorgehaltenen Kundendaten des Onlineshops blieben dabei verschont.
Die Betroffenen wurden mittels elektronischer Post über den Vorfall informiert und u.a. davor gewarnt, keine E-Mails und insbesondere keine Anhänge von E-Mails unbekannter Absender zu öffnen und damit die unbemerkte Installation von Malware zu vermeiden. Es wurde außerdem eine Service-Hotline für besorgte Kunden eingerichtet, die zuständige Datenschutzbehörde wurde über den Vorfall in Kenntnis gesetzt und die Staatsanwaltschaft eingeschaltet.

Online-Zahlungsanbieter „Sofortüberweisung.de“ in der Kritik

Neben der Zahlung mit Kreditkarte oder PayPal bieten viele Online-Unternehmen inzwischen auch die Zahlung per Sofortüberweisung an. Der Online-Zahldienst Sofortüberweisung.de steht dabei nun in der Kritik: Bei einer Sofortüberweisung erfolgt eine „Kontodeckungsabfrage“, in der zahlreiche Kontodaten erfasst und überprüft werden, worüber der Nutzer jedoch nur unzureichend informiert wird.

Der Anbieter interessiert sich neben Kontostand, den Umsätzen der letzten 30 Tage und Auslandsüberweisungen auch dafür, ob der Nutzer Dispokredite und andere Konten bei derselben Bank besitzt. Der Betreiber Payment Network, rechtfertigt sich damit, dass man diese Informationen benötige, um die notwendige Deckung des Kontos zu überprüfen. Es sei möglich, dass der aktuelle Kontostand durch andere Überweisungsaufträge nicht dem tatsächlich verfügbaren Einkommen entspräche.

Kritisiert wird dabei aus datenschutzrechtlicher Sicht, dass dem Kunden der Umfang der Datenabfrage nicht bewusst ist, da er eine „Kontodeckungsabfrage“ primär mit dem Kontostand assoziiere. Zudem sei eine so weit gehende Kontrolle nicht erforderlich.

Payment Network selbst hält sein Vorgehen für rechtlich zulässig, bietet jedoch eine rechtliche Überprüfung seiner AGB an.

Selbst wenn das Unternehmen sein Vorgehen künftig so weiterführen darf, ist es nicht unwahrscheinlich, dass zahlreiche Nutzer nach Aufklärung über die Vorgehensweise bei Sofortüberweisung.de künftig lieber zu anderen Zahlungsmethoden greifen. Denn das datenschutzrechtliche Bewusstsein nimmt bei Konsumenten zu und freiwillige Datenschutzbemühungen von Unternehmen über das gesetzliche Maß hinaus werden verstärkt honoriert.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter:

Ablauf der Frist zur Umsetzung der „E-Privacy-Richtlinie“ (Richtlinie 2009/136/EG) in nationales Recht der EU-Länder, die Europäische Kommission droht mit Sanktionen

27. Mai 2011

Bis 25. Mai 2011 hatten die Mitgliedstaaten der Europäischen Union die neue Richtlinie 2009/136/EG für elektronische Kommunikation in das jeweilige nationale Recht umzusetzen.

Diese Datenschutzrichtlinie dient dem Schutz der Verbraucher durch mehr Transparenz und Sicherheit. Besonders betroffen ist die Verwendung von Cookies, die die letzten Jahre eine starke Rolle in der Werbewelt spielt. Cookies speichern Daten (wie z.B. Passwörter) und sammeln Informationen über das Verhalten von Nutzern verschiedener Webseiten. Dadurch kann das Kaufverhalten der Nutzer analysiert und zu Werbezwecken verwendet werden. Die Richtlinie sieht vor, dass Cookies nur nach der Einwilligung des Nutzers auf seinem Computer installiert und aktiv werden.

Die EU-Richtlinie hat allgemein starke Kritik wegen der Umsetzungsschwierigkeiten und die Belästigung bei Internetsurfen erhalten.

Nach dem inzwischen eingetretenen Ablauf der Frist zur Umsetzung ist festzustellen, dass die Mehrheit der Regierungen der Mitgliedstaaten die Richtlinie 2009/136/EG in nationale Gesetze nicht übernommen hat. Estland und Dänemark haben der Kommission mitgeteilt, dass sie ihre nationale Gesetzte an die EU-Richtlinie angepasst haben. England, Frankreich, Slowenien und Litauen haben teilweise Anwendung bekannt gemacht. Deutschland spricht sich gegen eine jetzige Umsetzung der Richtlinie in deutsches Recht aus und will die Diskussion auf europäischer Ebene führen. Die Bundesregierung will mögliche Selbstverpflichtungserklärungen der Werbewirtschaft abwarten.

Die EU-Kommissarin für die Digitale Agenda, Neelie Kroes, hat vor dringenden Maßnahmen gegen die umsetzungsunwilligen Länder gewarnt. Der Pressesprecher der Europäische Kommission, Jonathan Todd, hat von möglichen Verfahren wegen Rechtsverletzung gegen diese Länder gesprochen.

SONY: Neue Sicherheitslücken bei PSN und Qriocity

19. Mai 2011

Nachdem Sony erst vor einem Monat durch einen Hacking-Angriff auf mehr als 100 Millionen Kundendaten im Zentrum des öffentlichen Interesses gestanden hat, wurde nun nach dem Neustart des PlayStation Network und des Qriocity-Dienstes eine neue Sicherheitslücke publik. Diese betrifft die Internetseite, die für die Zurücksetzung der Passwörter für die Sony-Dienste genutzt wird. Es ist möglich gewesen, Passwörter allein mit der Kenntnis von E-Mail-Adresse und Geburtsdatum des berechtigten Account-Inhabers zu ändern. Die Möglichkeit der Änderung des Passworts eröffnet wiederum potentiellen Angreifern die Möglichkeit, alle weiteren Daten zu ändern und sich sonst zu eigen zu machen. Sony hat die Internetseite zur Passwortänderung umgehend offline gestellt.

Mindestens 25 Schadenersatzklagen gegen SONY

15. Mai 2011

Nach dem im vergangenen Monat bei dem Hack des von dem Elektronikkonzern Sony weltweit betriebenen Playstation-Netzwerks bis zu 100 Mio. Daten von Nutzers des Netzwerks von unbekannten Tätern kopiert worden sind, sind nach Angaben des von Thomson Reuters betriebenen internationalen Legal-Services-Anbieters Westlaw vor US-Gerichten bereits mindestens 25 Sammelklagen gegen das Unternehmen eingereicht worden. Zudem ist auch das FBI sowie die New Yorker Staatsanwaltschaft an Ermittlungen gegen den Konzern beteiligt.

Ziel der Kläger ist es, gemeinsam eine Schadensersatzzahlung von dem Elektronik-Reisen zu erhalten. Die von Sony getroffenen Sicherheitsmaßnahmen zur Zugriffskontrolle seien ungenügend gewesen, heißt es in den eingereichten Klageschriften. Schwerpunkt der erhobenen Vorwürfe ist aber die Tatsache, dass Sony – nachdem die Täter nach eigenen Angaben des Unternehmens Zugriff auf bis zu 12,3 Mio. Kreditkarten Zugriff genommen haben – noch etwa eine Woche zugewartet habe, bevor der Vorfall öffentlich gemacht wurde. Bei einem schnelleren Handeln hätte der Schaden deutlich reduziert werden können.

Die Herausforderung für die Kläger in den bisher angestrengten (und noch zu erwartenden) Verfahren dürfte aber nach wie vor der Nachweis eines konkreten Schadens für die Betroffenen sein, nachdem erst im letzten Monat eine vergleichbare Sammelklage gegen RockYou, einen Entwickler von Applikationen für Facebook und andere soziale Netzwerke von den zuständigen Bundesrichtern in Oakland, Kalifornien, zurückgewiesen würde.

Einstellung von Google Street View in der Schweiz?

12. Mai 2011
Das Bundesverwaltungsgericht Zürich hat im März dieses Jahres entschieden, dass Google für seinen Online-Dienst Street View alle gezeigten Personen automatisch unkenntlich zu machen habe. Darüber hinaus sollen im Umkreis besonders sensibler Einrichtungen – z.B. Kranken- und Frauenhäusern, Gerichten, Schulen und Gefängnissen –nicht nur die Gesichter der abgebildeten Personen, sondern auch weitere individuelle Merkmale der Personen – beispielsweise die Hautfarbe oder Kleidung – verpixelt werden. Die Bevölkerung solle zudem über die Lokalpresse auf Kamerafahrten und das Freischalten von Bildern informiert werden. Google teilte nun mit, dass gegen dieses Urteil Beschwerde bei dem Bundesgericht in Lausanne eingelegt werde. Eine gänzliche Unkenntlichmachung sei schlichtweg technisch nicht realisierbar, die Forderungen zudem unverhältnismäßig. Sollte die Beschwerde keinen Erfolg haben, droht Google, den Online-Dienst für die Schweiz einzustellen.

Ermittlungen via Social Network

10. Mai 2011

Auch die staatlichen Ermittlungsbehörden entdecken die Möglichkeiten von Social Networks, wie Facebook und XING und machen im Rahmen ihrer Ermittlungen zunehmend von dort verfügbaren Informationen Gebrauch.

Zur datenschutzrechtlichen Zulässigkeit eines derartigen Vorgehens und den sich hier für die Strafverfolgungsbehörden bietenden Möglichkeiten und Grenzen nimmt Rechtsanwalt Stephan Krämer von Kinast & Partner Rechtsanwälte innerhalb des Artikels „Polizei jagt Raser via Facebook“ auf RTL.de Stellung.

Beschluss des Kammergericht zum Facebook-„Gefällt-mir“-Button

9. Mai 2011

Ebenso wie die Vorinstanz Landgericht Berlin (dortiges Aktenzeichen 91 O 25/11) hat nun auch das Kammergericht in seinem Beschluss vom 29.04.2011, Az. 5 W 88/11 eine Verletzung wettbewerbsrechtlicher Vorschriften durch einen“Vorsprung durch Rechtsbruch“ nach § 4 Nr. 11 des Gesetzes gegen den unlauteren Wettbewerb (UWG) nicht angenommen.

In seiner Begründung führt das Gericht aus, dass zwar einiges dafür spreche, dass die Verwendung des „Gefällt-mir“-Buttons ohne entsprechenden Hinweis in der Datenschutzerklärung gegen Unterrichtungspflichten nach § 13 des Telemediengesetzes (TMG) verstoße. So sei davon auszugehen, dass Facebook als Empfänger der Daten infolge der Verwendung des Buttons seine Mitglieder bei Nutzung der Seite unschwer über eine Kennnummer identifizieren könne. Ferner würden die Daten der Seitennutzer auch erfasst, wenn sie zum Zeitpunkt ihres Besuches nicht bei Facebook eingeloggt seien, sodass auch dann eine Identifizierbarkeit durch Facebook anhand der übermittelten IP-Adresse denkbar sei. Über diese Vorgänge müsse der Nutzer daher informiert werden. Ein Wettbewerbsverstoß folge aus dem naheliegenden Datenschutzverstoß gleichwohl nicht, da es insoweit an der erforderlichen Beeinträchtigung von Mitbewerber-Interessen fehle. Die Datenschutzvorschriften des TMG und insbesondere die Verpflichtung, eine den Anforderungen des § 13 Abs. 1 TMG genügende, umfassende und verständliche Datenschutzerklärung vorzuhalten, dienen vielmehr alleine dem Ziel, dass der Nutzer „sich einen umfassenden Überblick über die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten verschaffen kann“ und somit ausschließlich dem Schutz der Persönlichkeitsrechte der Nutzer, nicht aber Interessen einzelner Wettbewerber.

Auch wenn das Kammergericht eine erfolgreiche Geltendmachung der Rechtsverstöße durch Verbraucher und/oder Verbraucherzentralen mit seinem Beschluss ausdrücklich nicht ausschließt, weist es mit der gegebenen Begründung den Unterlassungsanspruch eines Wettbewerbers zurück. Letztere sind damit – zumindest nach Ansicht der Berliner Justiz – nicht berechtigt, den Verstoß gegen die Informationsvorschriften des TMG gerichtlich oder per Abmahnung geltend zu machen.

Es fragt sich jedoch, ob der vorliegende Beschluss als „Grundsatzurteil“ gewertet werden darf, mit der Folge, dass der Verletzung der Informationspflichten des TMG grundsätzlich jede wettbewerbsrechtliche Relevanz zu versagen wäre. Zu seinem Verdikt kam das Kammergericht hier wohl auch deshalb, weil der „Wettbewerbsvorteil“, den der Verwender des „Gefällt-mir“-Buttons durch seinen Rechtsbruch zog, nicht unbedingt auf der Hand liegt. So fragt sich, ob die Erhebung und Weitergabe der Daten an Facebook Besucher der Website von der Nutzung anderer Angebote von Mitbewerbern abhalten könnte. Gerade in Bezug auf Facebook-Nutzer erörtert dies auch das Kammergericht und meint offenbar, dass diese durch ihre Bestätigung der (insoweit zitierten) Facebook-Datenschutzerklärung einer entsprechenden Datennutzung zustimmen. Interessen von nicht bei Facebook registrierten Nutzern prüft das Gericht jedoch nicht.

Ganz grundsätzlich erscheint es jedoch durchaus naheliegend, Verbraucher durch Fehlinformationen hinsichtlich der Nutzung ihrer personenbezogener Daten zumindest nicht vom Vertragsschluss oder von der Nutzung einer Website abzuhalten. In Zeiten eines zunehmenden öffentlichen Bewusstseins für den Datenschutz handelt es sich hierbei durchaus um für jeden Verbraucher relevante Informationen, die ohne weiteres zum Zuspruch zu anderen Anbietern führen kann, wenn mit einem Vertragsschluss oder der Nutzung einer Website übergebührliche Nutzungen der Nutzerdaten einhergehen. Auch die vorliegend nicht festgestellte Wettbewerbsrelevanz dürfte daher in Fällen, in denen Anbieter die Nutzung von personenbezogener Daten ihrer Nutzer durch unrichtige und/oder unklare Datenschutzerklärungen verschleiern, kaum zu verneinen sein. So geht mit dem Verbraucherinteresse an wahrheitsgemäßer und vollständiger Information zur Nutzung personenbezogener Daten durch einen Anbieter zweifelsohne auch ein wettbewerbsrechtlichen Interesse der Konkurrenz einher. Wie dessen jüngste Auszeichnung mit dem BigBrotherAward zeigt, muss sich gerade auch Facebook selbst den Vorwurf, seine Nutzer nicht ausreichend über die Nutzung seiner personenbezogenen Daten zu informieren und davon zu profitieren, immer wieder gefallen lassen. Gerade deshalb dürfte mit dem nun vorliegenden Beschluss das letzte Wort zur wettbewerbsrechtlichen Relevanz der TMG-Vorschriften noch nicht gesprochen sein.

Apple und Facebook mit dem BigBrotherAward 2011 „ausgezeichnet“

6. Mai 2011

Bei der Verleihung der deutschen BigBrotherAwards 2011 am 1. April 2011 in Bielefeld wurden von dem Organisator FoeBuD e.V. die Apple GmbH sowie die Facebook Deutschland GmbH mit dem „Oscar für Datenkraken“ in der Kategorie „Kommunikation“ ausgezeichnet.

Apple „verdiente“ sich den Preis zwar nicht vordergründig aufgrund der in den letzten Tagen in Öffentlichkeit und Medien breit diskutierten Erhebung und Nutzung von Standortdaten seiner iPhone- und iPad-Kunden. Grund für die Preisverleihung ist nach der Begründung der Organisatoren vielmehr „die Geiselnahme ihrer Kunden mittels teurer Hardware und die darauf folgende Erpressung, den firmeneigenen zweifelhaften Datenschutzbedingungen zuzustimmen“. Hiernach sei es dem Nutzer im Falle einer Nichtzustimmung mit den 117-iPhone-Display-Seiten langen Regelwerken maximal möglich, dass teure und technisch potente Gerät gerade einmal zum Telefonieren zu nutzen.

Facebook wurde mit der Auszeichnung einmal mehr für seinen immensen Datenhunger und für die „gezielte Ausforschung von Menschen und ihrer persönlichen Beziehungen hinter der netten Fassade eines vorgeblichen Gratisangebots“ kritisiert. Das Unternehmen schaffe mit seinen vielfältigen zahlreichen Features und Applikationen wie „Freundefinder“, „Handy-App“ oder dem „Gefällt-mir“-Button eine „„Gated Community“ im Netz, in der Menschen auf Schritt und Tritt beobachtet werden“ und verdiene auf diese Weise mit systematischen Datenschutzverstößen Milliarden, heißt es hier weiter in der Begründung.

Google Analytics und die datenschutzkonforme Ausgestaltung von Websiteanalysen

14. März 2011

Immer wieder taucht die Frage auf, ob Dienste wie Google Analytics datenschutzkonform sind. Dies richtet sich entscheidend nach den Regelungen des TMG (Telemediengesetz).

Die dabei maßgeblichen Kriterien hat der Düsseldorfer Kreis (eine informelle Vereinigung der obersten Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich) bereits im November 2009 herausgearbeitet. Festzuhalten ist dabei vor allem, dass Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden dürfen. Eine IP-Adresse ist dabei kein Pseudonym im Sinne des Telemediengesetzes.

Der Düsseldorfer Kreis hält im Einzelnen folgende Vorgaben aus dem TMG für beachtlich:

  • Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.
  • Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.
  • Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.
  • Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
  • Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.

Was bedeutet dies nun für Google Analytics? Google selber gibt in den Bedingungen für Google Analytics unter Punkt 8.1 an, die IP-Adresse in die USA zu übertragen und dort zu speichern.  Die Schlussfolgerung liegt damit auf der Hand: Ohne Einwilligung des Websitenutzers zu dieser Übertragung und Speicherung ist der Einsatz von Google Analytics nicht datenschutzkonform.

Diese Einschätzung teilt auch das ULD (Unabhängiges Landeszentrum für Datenschuzt Schleswig-Holstein) und hat prägnant festgestellt, „dass „Google Analytics“ nach deutschem Recht nicht datenschutzkonform eingesetzt werden kann.“

Auf Grund dieser Kritik hat Google mittlerweile die Funktion „_anonymizeIp()“ hinzugefügt. Mit Hilfe dieser Funktion wird das letzte Oktett der IP-Adresse vor der Speicherung durch Google abgeschnitten. Wird diese Funktion verwendet, erfolgt die Analyse des Nutzungsverhaltens somit nicht mehr unter Verwendung der vollständigen IP-Adresse des Nutzers. Formell scheint damit auf den ersten Blick den Anforderungen des Düsseldorfer Kreises insofern Genüge getan sein. Das ULD fordert jedoch an anderer Stelle die Löschung der letzten beiden Oktette und begründet diese Ansicht mit den Ausführungen der Artikel29-Datenschutzgruppe in deren Arbeitspapier WP 148:

„Bei der Anonymisierung von Daten sollte jegliche Möglichkeit der Identifizierung von Personen ausgeschlossen werden. Auszuschließen ist selbst das Kombinieren der anonymisierten Informationen eines Suchmaschinenbetreibers mit Informationen, die ein anderer Beteiligter gespeichert hat (beispielsweise ein Internet-Diensteanbieter). Derzeit schneiden einige Suchmaschinenbetreiber IPv4-Adressen ab, indem sie die letzte Achtergruppe entfernen, womit sie effektiv Informationen über den Internet-Diensteanbieter oder das Teilnetz des Benutzers speichern, ohne die Person direkt zu identifizieren. Die Aktivität könnte dann von einer beliebigen der 254 IP-Adressen ausgehen. Dies ist für eine Anonymisierungsgarantie möglicherweise aber nicht immer ausreichend.“

Weiterhin ist zu beachten, dass die Nutzer auch eine wirksame Möglichkeit haben müssen, der Erstellung von Nutzungsprofilen zu widersprechen. Dazu bietet Google für Microsoft Internet Explorer, Google Chrome, Mozilla Firefox, Apple Safari und Opera ein Browser-AddOn an, welches Google Analytics für alle mit dem Browser aufgerufenen Seiten blockiert.

Sowohl zur Frage, ob die „_anonymizeIp()“ Funktion ausreichend ist, als auch bezüglich der Frage, ob die Installation eines Browser-AddOns eine wirksame Widerspruchsmöglichkeit gegen die Erstellung von Nutzerprofilen darstellt, steht eine Stellungnahme der Datenschuztbehörden noch aus.

Unternehmen, die dem Online-Datenschutz Rechnung tragen und dennoch das Nutzungsverhalten der Besucher ihres Webangebotes mit Google-Analytics auswerten möchten, muss daher geraten werden, zumindest die Funktion „_anonymizeIp()“ zu verwenden.

Wer nicht unbedingt auf Google-Analytics angewiesen ist, kann auch auf Websiteanalysetools wie das Open-Source Tool Piwik auszuweichen. Für Piwik existiert sogar eine Anleitung des ULD, die explizit beschreibt, wie dieses datenschutzkonform verwendet werden kann. (se)

1 61 62 63