Kategorie: Social Media

„Lovoo“ steht wegen fehlenden Datenschutzes in der Kritik

12. August 2019

Journalisten des Bayerischen Rundfunks (BR) haben festgestellt, dass der Partnervermittlungsdienst „Lovoo“ lediglich über unzureichende Maßnahmen zum Schutz personenbezogener Daten verfügt.

So hätten die Journalisten des BR die Standorte von Nutzern des Dienstes mittels einer „Radarfunktion“ für einen Zeitraum von mehreren Tagen aufgezeichnet. Mit diesen Daten hätte man Bewegungsprofile erstellen und Rückschlüsse auf Wohn- und Arbeitsorte ziehen können. Darüber hinaus ließen sich diese Informationen mit weiteren Profilinformationen wie der sexuellen Orientierung oder hinterlegten Bildern kombinieren.

Die Kritik des BR resultiert daraus, dass der Nutzerstandort mittels eines geometrischen Messverfahrens wohl wesentlich genauer bestimmen lässt als von „Lovoo“ angegeben. Durch die konkrete Lokalisierbarkeit etwaiger Nutzer steigt die Gefahr des Missbrauchs dieser Daten. Das Risiko ist umso größer, da es sich bei den potentiell abgefragten Daten um besonders sensible, mithin schutzwürdige Daten handelt.

„Lovoo“ selbst nahm in einer Pressemitteilung zum potentiell unzureichenden Datenschutz Stellung. Das Unternehmen erläuterte, dass bereits vor Veröffentlichung der Ergebnisse durch den BR Maßnahmen zur Behebung des Problems ergriffen worden wären. So könnten Nutzer nun lediglich in einem Umkreis von maximal 1000 Meter lokalisiert werden. Darüber hinaus sei die mehrfache Abfrage des Standorts von Nutzern in der Umgebung eingeschränkt worden.

Kategorien: Allgemein · DSGVO · Social Media · Tracking

EuGH entscheidet über „Gefällt mir“-Button

30. Juli 2019

Der EuGH hat vergangenen Montag in einem Urteil verkündet, dass Webseiten mit integrierten Facebook „Gefällt mir“-Button eine Mitverantwortung für die Erhebung und Übermittlung von personenbezogenen Daten an Facebook tragen (C-40/17).

Die Betreiber der Webseiten müssen in diesem Falle über die Erhebung der Daten informieren und eine entsprechende Einwilligung einholen. Für die weitere Verarbeitung nach Übermittlung der Daten ist Facebook alleinverantwortlich.

In dem konkreten Fall ging es darum, dass der Webseitenbetreiber Fashion ID den „Gefällt mir“-Button eingesetzt hat um sein Onlinesortiment zu bewerten. Die personenbezogenen Daten wurden jedoch bereits bei Aufsuchen der Webseite an Facebook übermittelt, vollkommen unabhängig, ob der Webseiten-Nutzer einen „Gefällt mir“-Button genutzt hat oder überhaupt ein Facebook-Account betreibt. Die Klage ging von der Verbraucherzentrale NRW aus, die eine Datenübermittlung ohne Einwilligung stark kritisierte.

Das Verfahren begann beim Landgericht Düsseldorf und führte über das Oberlandesgericht Düsseldorf zum Europäischen Gerichtshof.

Die Entscheidung des EuGH wurde mit dem Prinzip der „Gemeinsamen Verantwortung“ gemäß Art. 26 DSGVO untermauert, wodurch Fashion ID selbst auf seiner Webseite über die Erhebung, Nutzung und Übermittlung der personenbezogenen Daten informieren und die Einwilligung der Nutzer einholen muss.

Der Digitalverband Bitkom kritisierte die Entscheidung des EuGH, da sich diese auf alle Social-Media-Plugins auswirken wird und Cookie-Banner sowie Datenschutzerklärungen bereits viel Platz auf den Webseiten einnehmen ohne vom Nutzer genügend Beachtung zu erhalten.

Kategorien: Allgemein · DSGVO · Social Media
Schlagwörter: , , ,

Face App: Kritik wird lauter

18. Juli 2019

Ist man derzeit im Internet und dort insbesondere auf den unterschiedlichsten Social-Media-Netzwerken unterwegs, stolpert man seit einigen Tagen vermehrt auf Portraitbilder, die die Abgebildeten älter erscheinen lassen als sie tatsächlich sind. Möglich macht dies ein Filter der App „Face App“, die sowohl auf iOS als auch auf Android erhältlich ist und sich momentan großer Beliebtheit erfreut – auch weil oben erwähnter Gesichtsfilter kostenlos und beliebig oft auf bereits vorhandene Fotos sowie auf Liveaufnahmen angewendet werden kann.

Wie so oft bei der Nutzung von neuen Apps bleibt dabei jedoch die datenschutzrechtliche Komponente von der großen Maße der Nutzer unbeachtet. Auch gerade deshalb werden die öffentlichen Stimmen und Kritiken gegen die App des russischen Unternehmens Wireless Lab lauter, um vor datenschutzrechtlichen Risiken zu warnen.
So warnt nun auch der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) bei SWR aktuell wegen „Befürchtungen, dass wichtige persönliche Daten in die falschen Hände geraten könnte“ vor der Nutzung der App. Die Nutzungsbedingungen und die Datenschutzerklärung seien schwammig, insbesondere im Hinblick auf die Informationen wie die im Rahmen der App verarbeiteten und erhobenen personenbezogenen Daten genutzt und weitergegeben werden.
Die Entwickler betonen dagegen, dass keine Daten an Dritte weitergegeben oder verkauft würden.

Facebook in Italien zu Geldstrafe verurteilt

1. Juli 2019

Das Unternehmen Facebook wurde ausgehend von einer Pressemitteilung der italienischen Aufsichtsbehörde zu einer Geldstrafe von 1 Millionen Euro verurteilt. Konkret ging es um die im Jahr 2018 bekannt gewordene unerlaubte Weitergabe personenbezogener Daten an das Unternehmen Camebridge Analytica. Dieses hatte besagte Informationen über eine App erhalten und ausgewertet.

Dies ist nicht das einzige Verfahren in dem sich Facebook verantworten muss. In den Vereinigten Staaten sieht sich das Unternehmen beispielsweise zivilrechtlichen Ansprüchen ausgesetzt.

Trotz dem, im Vergleich zu dem maximalen Strafmaß, noch milden Bußgeld ist eine eindeutige Tendenz hin zur konsequenteren Durchsetzung datenschutzrechtlicher Normen erkennbar. Vor diesem Hintergrund sind Unternehmen gut beraten, die datenschutzrechtliche Konformität ihrer Prozesse zu überprüfen.

Falschparker im Internet bloßgestellt – Datenschutzverstoß

25. Juni 2019

Falschparker sind in vielen überfüllten Großstädten ein Ärgernis. Sie blockieren Ein- und Ausfahrten oder behindern Fußgänger und Fahrradfahrer. In Stuttgart wurden Verkehrssünder nun online von Twitter-Usern an den Pranger gestellt. Unter dem Hashtag #StuttgartParktFair wurden Fotos der falsch abgestellten Fahrzeuge gepostet.

Der Landesdatenschutzbeauftragte von Baden-Württemberg sieht hierin einen eindeutigen Verstoß gegen die Datenschutzgrundverordnung. Das Problem: Fotos der Falschparker werden mit klar erkennbaren Nummernschildern ins Internet gestellt. Nummernschilder sind personenbezogene Daten, die einem Fahrzeughalter zugeordnet sind und unterliegen mithin dem Datenschutz. Eine Veröffentlichung im Internet ohne Einwilligung des Betroffenen sei nicht zulässig.

Zwar sollen keine Verfahren gegen die Nutzer angestrebt werden, allerdings verweist der Landesdatenschutzbeauftragte darauf, dass den Betroffenen möglicherweise Schadensersatzansprüche zustehen können.

Kategorien: Allgemein · DSGVO · Online-Datenschutz · Social Media
Schlagwörter: ,

Bundesjustizministerin Barley sieht Zuckerberg Initiative kritisch

2. April 2019

Facebook-Chef Mark Zuckerberg hatte am vergangenen Wochenende eine Debatte über eine einheitliche, weltweit geltende Regulierung im Internet angestoßen. Als Vorbild hierfür hob er die Datenschutzgrundverordnung hervor und betonte „Ich bin überzeugt, dass anstelle nationaler Regulierungen ein gemeinsamer globaler Rahmen notwendig ist, um eine Fragmentierung des Internets zu verhindern, damit Unternehmer nützliche Produkte entwickeln können und alle Menschen den gleichen Schutz erhalten“

Bundesjustizministerin Barley zeigte sich nach einem Treffen in Berlin allerdings nicht überzeugt von dem Modell des Facebook-Chefs und sieht die Vorschläge kritisch: „Mark Zuckerberg spricht seit einem Jahr über die Verantwortung von Facebook für Gesellschaft, Demokratie und die Privatsphäre von mehr als zwei Milliarden Menschen. Doch zu spüren ist davon wenig.“ Facebook habe durch sein Verhalten und kontinuierlich bekannt werdende „Sicherheitsskandale“ viel Vertrauen verspielt.

Zudem kritisierte Barley auch, dass Facebook plane, die Infrastruktur hinter den Chatdiensten WhatsApp und Messenger sowie der Messengerfunktion von Instagram zusammenzulegen. Dies widerspreche den ursprünglichen Ankündigungen. Sie warnte: „Bei der Zusammenführung dieser Dienste bestehen ganz erhebliche kartellrechtliche und datenschutzrechtliche Fragen.“

Neuer Datenskandal bei Facebook und Instagram – Passwörter im Klartext gespeichert

26. März 2019

Der Journalist und IT-Sicherheitsexperte Brian Krebs berichtete auf seinem Blog über den neusten Datenskandal bei Facebook.

Das soziale Netzwerk soll Passwörter jahrelang nur im Klartext abgespeichert haben. Die Daten der Nutzer seien für mehr als 20.000 Facebook-Mitarbeiter sichtbar gewesen. Betroffen seien geschätzt 200 bis 600 Millionen Nutzer von Facebook, Instagram und Facebook Lite.

Facebook hat in einer Stellungnahme vom 21. März den Vorfall nicht geleugnet, sieht aber kein Missbrauchsrisiko. Laut Facebook gibt es keine Hinweise darauf, dass jemand intern missbräuchlich auf die Passwörter zugegriffen habe. Die Betroffenen werden dennoch vorsichtshalber benachrichtigt.

Die DSGVO schreibt in einem solchen Fall eigentlich eine förmliche Meldung der Datenpanne an die Aufsichtsbehörde nach Art. 33 DSGVO und eine Benachrichtigung aller Betroffenen nach Art. 34 DSGVO vor. Hierzu nimmt Facebook nicht Stellung.

In einer aktuellen Pressemeldung äußert sich der Bundesdatenschutzbeauftragte Ulrich Kelber zu dem Skandal:

„Es ist zwar traurig, aber ein Datenschutzvorfall bei Facebook ist mittlerweile leider keine große Überraschung mehr. Skandalös ist allerdings, dass einer der weltweit größten IT-Konzerne offensichtlich nicht weiß, wie Kundenpasswörter gespeichert werden müssen. Damit setzt Facebook seine Kunden einem unnötigen Risiko aus. Das ist in etwa so, wie wenn sich Fahrgäste in einem Taxi nicht anschnallen können, weil der Fahrer nicht weiß, wie ein Sicherheitsgurt funktioniert.“

Empfohlen wird jedem Nutzer von Facebook und Instagram, sein Passwort zu ändern. Wie man ein sicheres Passwort generiert, können Sie hier in unserem Blog nachlesen.

Eine Anleitung zur kompletten Löschung des Facebook Accounts finden Sie hier.

Es bleibt abzuwarten, wie die für Facebook zuständige Irische Datenschutzbehörde auf den Vorfall reagieren wird. Die Einleitung eines Bußgeldverfahrens erscheint möglich.

Der BfDI ist sich allerdings sicher, dass eine Prüfung durch die Datenschutzaufsichtsbehörden erfolgen wird. In der Pressemitteilung heißt es:

„Zum einen muss geklärt werden, ob Facebook vorliegend gegen Meldevorschriften nach der Datenschutz-Grundverordnung verstoßen hat. Das Problem scheint ja bereits seit Januar bekannt gewesen zu sein. Unabhängig davon wird die in Europa zuständige Irische Datenschutzbeauftragte sicherlich die Einleitung eines Bußgeldverfahrens prüfen. Und schließlich werden wir auch im Europäischen Datenschutzausschuss über den Fall diskutieren.“

Ende-zu-Ende-Verschlüsselung bei Facebook

8. März 2019

In einem Blogbeitrag wendete sich der Facebook-Chef Mark Zuckerberg an die Nutzer seiner Online-Dienste und versprach einen besseren Schutz ihrer Privatsphäre.

In dem am 6. Juni veröffentlichten Beitrag teilte Zuckerberg mit, zu verstehen, was die Nutzer wollen: I believe the future of communication will increasingly shift to private, encrypted services where people can be confident what they say to each other stays secure and their messages and content won’t stick around forever.

Zuckerberg will diese Zukunft mit seinen Online-Diensten mitgestalten. In der Stellungnahme stellte er auf mehrere Prinzipien wie z.B. sichere Speicherung der Daten, Verschlüsselung, private Interaktionen, die die Privatsphäre der User bei der Verwendung von seinen Online-Diensten schützen sollen, ab. Neben den Grundsätzen hat Zuckerberg außerdem eine Ende-zu-Ende-Verschlüsselung für private Nachrichten über Facebook angekündigt.

Der Blog-Post ist eine Reaktion auf die massive (datenschutzrechtliche) Kritik an Facebook in den letzten Monaten, sodass sein zum Schluss anvisiertes Ziel etwas ironisch anmutet: I believe we should be working towards a world where people can speak privately and live freely knowing that their information will only be seen by who they want to see it and won’t all stick around forever.

Apps übermitteln Gesundheitsdaten an Facebook

26. Februar 2019

Das Wall Street Journal hat herausgefunden, dass Apps wie Menstruationskalender und Herzfrequenzmesser sensible Daten an Facebook weitergeben. Davon wissen die meisten Nutzer jedoch nichts. Facebook sieht sich nicht in der Verantwortung, da die App-Entwickler selbst entscheiden, welche Angaben über bereitgestellte Tools übermittelt werden. Zweck dieser Datenübermittlung ist es, personalisierte Facebook-Werbung zu ermöglichen.

Mithilfe einer Software haben die Journalisten untersucht, welche Daten 70 populäre Apps aus dem Apple Store weitergeben. Elf davon übermitteln sensible Daten, ohne dass der Nutzer darüber gemäß Art. 13 DSGVO informiert wurde. Laut Experten verstößt diese Praxis gegen die DSGVO.

Die App Flo, mit der Frauen ihre Menstruationszyklen festhalten können, sendet die gesammelten Daten, wie etwa zum Eisprung, welche die Nutzerin eingibt.

Facebook reagiert auf die Recherchen und teilt mit, dass diese Apps gegen die Vorgaben von Facebook verstoßen und fordert die Betreiber auf, die Daten nicht mehr an Facebook zu übermitteln.

Zustimmung der Eltern gemäß Art. 8 Abs. 1 DSGVO

19. Februar 2019

Kinder werden, aufgrund der geringeren Einsichts- und Urteilsfähigkeit für die Tragweite eigenen Handelns, vom Datenschutzrecht besonders geschützt.

Nach Art. 8 Abs. 1 DSGVO bedarf es der Zustimmung des Trägers der elterlichen Verantwortung, wenn ein Kind seine Einwilligung zu einem Dienst einer Informationsgesellschaft erteilt. Damit gilt diese Vorschrift ausschließlich, wenn Rechtsgrundlage für die Verarbeitung eine Einwilligung des Kindes ist. Ein Kind im Sinne der Vorschrift ist eine Person, die das 16. Lebensjahr noch nicht vollendet hat.

Die Definition des Begriffs „Dienst der Informationsgesellschaft“ in Art. 4 Nr. 25 DSGVO verweist auf die Richtlinie (EU) 2015/1535. Danach ist ein Dienst der Informationsgesellschaft jede

  • in der Regel gegen Entgelt
  • elektronisch
  • im Fernabsatz und
  • auf individuellen Abruf eines Empfängers
  • erbrachte Dienstleistung.

Liegen diese 5 Voraussetzungen kumulativ vor, bedarf die Einwilligung in das Angebot der Zustimmung der Eltern. Typische Beispiele für einen solchen Dienst sind Soziale Medien und Online-Spiele. Anhang 1 der Richtlinie (EU) 2015/1535 beinhaltet hierzu einen Negativ-Katalog.

Nach Art. 8 Abs. 2 DSGVO sind angemessene Anstrengungen zu unternehmen, um sich der Zustimmung der elterlichen Verantwortung zu versichern. Als sicheres Verfahren käme eine Videoaufzeichnung oder andere Identifizierungsverfahren in Betracht. Allerdings könnten diese Verfahren mit dem Grundsatz der Datensparsamkeit in Konflikt geraten. Diese beiden Forderungen der DSGVO sind in Einklang zu bringen. Es ist daher zu prüfen, wie sensibel die Daten sind, die von dem Kind erhoben werden. Je sensibler die Daten desto höhere Anforderungen sind an die Anstrengung zur Sicherstellung der Zustimmung der Eltern zu stellen.

Es ist zu empfehlen, bei der Erhebung von personenbezogenen Daten eines Kindes immer den Datenschutzbeauftragten mit einzubeziehen, um zu prüfen, ob die Voraussetzungen des Art. 8 Abs. 1 DSGVO vorliegen und ob die Anforderungen des Art. 8 Abs. 2 DSGVO erfüllt werden.

1 2 3 4 21