30. Januar 2018
Am 24.01.2018 erging vor dem OLG Frankfurt am Main ein Urteil, das deutlich macht, wie weitreichend die Folgen einer Missachtung datenschutzrechtlicher Vorgaben auch für die vertraglichen Ansprüche zwischen zwei Vertragsparteien vermeintlich fernab des Datenschutzes sein können.
Im vorliegenden Fall hatte ein Unternehmen eine Vielzahl von Adressdaten für einen Kaufpreis i.H.v. 15.000 Euro erworben. Dieselben Adressen wurden von der Verkäuferin jedoch ebenfalls an eine weitere Firma verkauft. Diese nutzte die Daten wiederum, um Werbe-E-Mails für die Internetseite sexpage.de zu versenden.
Die erstgenannte Käuferin (Klägerin) nahm daraufhin die Verkäuferin der Adressen (Beklagte) auf teilweise Rückzahlung des Kaufpreises in Anspruch, weil die erworbenen Adresse durch die erfolgte Nutzung für die Internetseite sexpage.de 2/3 ihres Wertes verloren hätten.
Anstatt sich mit der juristischen Bewertung der kaufrechtlichen Fragestellungen zu beschäftigen, prüfte das OLG Frankfurt zunächst die Einhaltung datenschutzrechtlicher Vorgaben und kam zu einem Ergebnis, welches Klägerin und Beklagte gleichermaßen überrascht haben dürfte. Das Gericht stellte fest, dass die der Weitergabe der Adressdaten zugrundeliegende(n) Einwilligung(en) der Adressinhaber unwirksam war(en) – mit weitreichenden Folgen.
Da es sich im vorliegenden Fall nicht um zusammengefasste Daten von Angehörigen einer bestimmten Personengruppe handelte und damit das sog. Listenprivileg (§ 28 Abs. 3 S. 2 BDSG) die Zulässigkeit der Verarbeitung nicht rechtfertigen konnte, war die Verarbeitung bzw. Nutzung der personenbezogenen Daten für Zwecke des Adresshandels oder der Werbung nur zulässig, soweit die Betroffenen eingewilligt hatten (§ 28 Abs. 3 S. 1 BDSG).
Eine wirksame Einwilligung nach dem BDSG muss zunächst auf der freien Entscheidung des Betroffenen beruhen. Gleichzeitig muss der Betroffene u.a. auf den vorgesehenen Zweck der Verarbeitung und die etwaigen Folgen der Verweigerung der Einwilligung hingewiesen werden. Soll die Einwilligung zusammen mit anderen Erklärungen abgegeben werden, so ist diese besonders hervorzuheben.
Im vorliegenden Fall genügten die ursprünglich eingeholten Einwilligungen diesen Anforderungen nicht. Insbesondere wurden weder die betroffenen Daten noch die Kategorien etwaiger Datenempfänger oder der Nutzungszweck “Adresshandel” konkret genug bezeichnet.
Als Ergebnis dieses Verstoßes gegen das BDSG stellte das Gericht die Nichtigkeit des zwischen der Klägerin und der Beklagten geschlossenen Kaufvertrages über die Adressdaten fest. In der Regel begründet im Falle eines nichtigen Kaufvertrages ein bereits gezahlter Kaufpreis eine ungerechtfertigte Bereicherung des Verkäufers, die nach § 812 Abs. 1 S. 1 BGB grundsätzlich durch Rückzahlung des Kaufpreises auszugleichen ist. Da im vorliegenden Fall jedoch Verkäufer und Käufer vorsätzlich gegen die Vorschriften des BDSG verstoßen haben, ist eine Rückabwicklung gemäß § 817 S. 2 BGB ausgeschlossen. Dementsprechend hat das OLG Frankfurt am Main die Klage als unbegründet abgewiesen.
Fazit: Neben der möglichen Verhängung empfindlicher Bußgelder bei der rechtswidrigen Verarbeitung personenbezogener Daten, können Verstöße gegen das BDSG auch weitreichende Folgen für zivilrechtliche Ansprüche im Rahmen der kommerziellen Verwendung dieser Daten haben.
Vor diesem Hintergrund sind Unternehmen gut beraten, die von ihnen genutzten Einwilligungserklärungen eingehend zu überprüfen. Dies gilt umso mehr mit Blick auf das Inkrafttreten der EU-Datenschutzgrundverordnung (EU-DSGVO) und das neue Bundesdatenschutzgesetz (BDSG-neu).
29. Januar 2018
Seit Mai 2017 ist gesetzlich geregelt, dass die Bundespolizei kleine, am Körper getragene Kameras zum präventiven Schutz vor gewalttätigen Übergriffen einsetzen kann.
Hessen gilt als Vorreiter für den Einsatz von Bodycams. Dort werden die Bodycams vor allem in den sozialen Brennpunktgebieten eingesetzt. Die Gefilmten werden dabei ausdrücklich darauf hingewiesen, dass das Geschehen mitaufgezeichnet wird.
Kritisch beurteilt wird der Mitarbeiterdatenschutz hinsichtlich des Einsatzes der Bodycams.
Insbesondere betrifft es die Frage über die Zugriffsmöglichkeiten von Beurteilern und Disziplinarvorgesetzten auf die mitgeschnittenen Filme und die Frage der Anonymisierung bei Herausgabe an Dritte.
Die nordrhein-westfälische Polizei hat das Pilotprojekt aufgrund von Impraktikabilität und datenschutzrechtlichen Bedenken abgebrochen. Es müsse schon vorher geklärt werden, dass die Aufzeichnungen nicht zur Kontrolle der Polizeibeamten verwendet werden.
Es bleibt abzuwarten, wie die datenschutzrechtlichen Bedenken aufgelöst werden und dementsprechend der Einsatz von Bodycams verstärkt werden kann.
In seinem Urteil vom 16.05.2017 (AZ. 7 Sa 38/17) entschied das Landesarbeitsgericht Berlin-Brandenburg zu Gunsten des Arbeitgebers: Eine außerordentliche Kündigung des Arbeitsnehmers ist gerechtfertigt, wenn der Mitarbeiter nach durchgeführten Vertragsverhandlungen unmittelbar vor Abschluss eines Arbeitsvertrages mit einem Konkurrenten E-Mails mit betrieblichen Informationen in ungewöhnlichen Umfang an seinen privaten E-Mail-Account weiterleitet.
Das LAG sah in der Weiterleitung der E-Mails eine Verletzung der vertraglichen Rücksichtnahmepflicht aus § 241 Abs. 2 BGB. Der Mitarbeiter kann nicht ohne Einverständnis des Arbeitgebers sich betriebliche Unterlagen oder Daten anzueignen oder diese für betriebsfremde Zwecke zu nutzen. Die schuldhafte Nebenpflichtverletzung stellt einen wichtigen Grund im Sinne von § 626 Abs. 1 BGB dar, sodass eine fristlose Kündigung gerechtfertigt sei.
Es stellt sich die Frage, ob eine Weiterleitung von dienstlichen E-Mails überhaupt an den privaten E-Mail-Account erlaubt ist. Eine Weiterleitung könnte grundsätzlich strafbewehrt sein, soweit es sich um Unterlagen, die dem Geschäfts- oder Betriebsgeheimnis unterliegen, handelt. Es handelt sich unter Umständen um die Herstellung einer Kopie gem. § 17 Abs. 2 Nr. 1b Gesetz gegen den unlauteren Wettbewerb (UWG). Mit der EU-Datenschutzgrunverordnung werden umfangreiche Dokumentations- und Nachweispflichten eingeführt, sodass jeder Zeit nachgewiesen werden muss, dass die Datenverarbeitung zulässig ist. Auch eine Weiterleitung stellt eine Verarbeitung dar und muss datenschutzrechtliche Vorgaben einhalten.
Entscheidend ist vor allem die dienstliche Notwendigkeit der Weiterleitung. Im vorliegenden Fall konnte der Mitarbeiter einen unternehmenseigenen Laptop für die Arbeit von zu Hause aus nutzen, dort hätte er auch die notwendigen Daten abspeichern können. Da viele Unternehmen eine private Nutzung von E-Mails oder Diensthandys ausschließen, spielen außerdem die Vorgaben im Arbeitsvertrag oder Betriebsvertrag eine entscheidende Rolle bei der Bewertung, ob eine Weiterleitung der E-Mails an notwendig ist.
26. Januar 2018
Ein von Google angestrengtes Verfahren vor dem VG Hamburg bleibt ohne Erfolg. Die beanstandete Anordnung des Hamburger Datenschutzbeauftragten Johannes Caspar hat Bestand.
Der Konzern hatte sich gegen eine Anordnung des Hamburger Datenschutzbeauftragten gewendet, die Googles Verhalten bei der Sammlung von Nutzerdaten betraf. Sie sollte gewährleisten, dass der Datenschutz, bei der Verarbeitung personenbezogener Daten von Nutzern, beachtet wird. Kritisiert wurde insbesondere, dass Google seine Nutzer nicht über die Zwecke der Verwendung informierte. Zusätzlich wurde kritisiert, dass umfassende Profile der Nutzer erstellt wurden, ohne eine ausreichende Rechtsgrundlage für die Zusammenführung der Daten aufzuweisen. Schließlich bemängelte er, dass eine Speicherdauer der Daten nicht geregelt sei. Insgesamt sah der Hamburger Datenschutzbeauftragte in diesen Maßnahmen von Google tiefgreifende Eingriffe in die schutzwürdigen Interessen betroffener Nutzer.
Der Datenschutzbeauftrage Caspar kam dabei zum selben Ergebnis wie die Artikel-29-Gruppe der europäischen Datenschutzbeauftragten. Anlass der Untersuchung durch die Artikel-29-Gruppe war die Änderung der Datenschutzerklärung von Google im Jahr 2012.
Zwar nutzte Google die möglichen Rechtsmittel gegen die Anordnung, jedoch suchte der Konzern gleichzeitig mit den beteiligten Aufsichtsbehörden einen Konsens, um die bemängelten Punkte zu beheben. Mittlerweile erfolgte laut Johannes Caspar eine Abstimmung mit den Aufsichtsbehörden, sodass das Verfahren vor dem VG Hamburg nun eingestellt werden konnte. Damit hat die Anordnung nun rechtskräftig Bestand.
Laut Caspar wurde ein Zeichen gesetzt, für die Stärkung von Transparenz und informationeller Selbstbestimmung. Zudem merkte er an, dass zukünftig durch die DSGVO ein strikteres Koppelungsverbot gelten werde und so die Marktmacht globaler Anbieter noch stärker begrenzt werde.
Sicherheitsforscher entdeckten ein neues Botnetz, das sich zurzeit stark ausbreitet und bereits mehr als 24.000 IoT-Geräte übernommen hat, Zahl steigend.
Das sogenannte “Hide’n Seek” Botnetz fiel den Forschern von Bitdefender am 10.Januar auf, kurz darauf war es wieder verschwunden um 10 Tage später stark verbessert weiter sein Unwesen zu treiben.
Auch IoT-Geräte in Deutschland sollen Teil des Botnetzes sein. Über das Ausmaß der betroffenen deutschen Geräte kann allerdings keine Angabe gemacht werden.
Hide’n Seek soll im Gegensatz zu seinen zahlreichen Vorgänger nicht auf die Durchführung von Distributed-Denial-of-Service (DDoS)-Angriffen ausgerichtet zu sein, sondern auf Spionage mit möglicherweise anschließenden Erpressungsversuchen. Zumindest lässt sich darauf aus dem analysierten Quellcode schließen. Ob es bereits zu Angriffen gekommen ist, sagten die Forscher nicht.
Dem Botnetz liegt eine komplizierte Kommunikation zugrunde, die auf einer dezentralen Peer-to-Peer-Struktur beruht.
Die gute Nachricht ist, dass es dem Schadcode nicht gelingt die Geräte dauerhaft zu kompromitieren. Geräte können mit Hilfe eines Reboots von ihm befreit werden.
Bei der Abkürzung IoT handelt es sich um das Internet of Things, das Internet der Dinge. Dabei bekommen Geräte eine eindeutige Identität und können miteinander kommunizieren oder auch Befehle entgegen nehmen. Es steht für vernetzte Geräte. Zum Beispiel smarte Haushaltsgeräte, wie der vernetzte Kühlschrank, der beim Einkaufen unterstützen kann oder das smarte Licht- und Heizungsmanagement, steuerbar über das Smartphone, aber auch Amazons Echo, das über eine Sprachsteuerung funktioniert.
25. Januar 2018
Der Europäische Gerichtshof (EuGH) sprach sich am 25.01.2018 gegen eine Sammelklage gegen Facebook vor einem österreichischen Gericht aus (Urt. v. 25.01.2018, Az. C-498/16).
Max Schrems ist Datenschutzaktivist und kippte im Jahr 2015 vor dem EuGH das sog. Safe-Harbor-Abkommen zwischen der EU und den USA. Nun hat er vor einem österreichischen Gericht, im Namen von 25.000 Facebook-Nutzern aus aller Welt, gegen Facebook Klage erhoben. Seine Sammelklage wurde jedoch vom EuGH abgelehnt.
Facebook steuert sein europäisches Geschäft von Irland aus. Max Schrems ist der Ansicht, dass Facebook bei der Sammlung von Informationen über seine Nutzer und beim Umgang mit diesen, gegen europäisches Datenschutzrecht verstößt. Facebook bestritt die internationale Zuständigkeit des österreichischen Gerichts für Nutzer aus aller Welt, sowie Max Schrems’ Verbrauchereigenschaft, die ihn selbst erst zu einer Klage an seinem Wohnort berechtigte. Hintergrund sei, das professionelle Vorgehen Schrems im Kampf für den Datenschutz. Facebook argumentierte damit, dass Max Schrems eine Facebook-Seite unterhält, wo er über seine Arbeit gegen den Konzern informiert. Dies sei als berufliche Aktivität einzustufen. Dieser Ansicht schloss sich zunächst auch das Landgericht Wien an. Der Oberste Gerichtshof in Österreich bat den EuGH diese Fragen zu klären. Dieser entschied, dass Max Schrems als Verbraucher einzustufen ist. Nur weil ein Nutzer etwa Bücher publiziere, Vorträge halte, Websites betreibe und Spenden sammle, verliere er nicht seine Verbrauchereigenschaft, so der EuGH.
Der EuGH gestattete Schrems eine Klage im eigenen Namen zu führen. Die Möglichkeit einer Sammelklage wurde jedoch verneint. Max Schrems will nun in Österreich eine Musterklage anstrengen.
Facebook zeigte sich mit der Entscheidung dass eine Sammelklage nach wie vor nicht möglich ist, zufrieden. Man freue sich darauf, die Angelegenheit beizulegen, erklärte eine Sprecherin von Facebook.
22. Januar 2018
Das Apptracker-Projekt “Schutzranzen” soll Grundschuldkinder überwachen, Autofahrer warnen und so für mehr Verkehrssicherheit sorgen. Sie wird konzipiert und umgesetzt von VW, einem Münchener Volvo-Händler, dem Schulranzen-Hersteller Scout, dem Sportausrüster Uvex, dem deutschen Automobilclub sowie der Firma Coodriver, die den Vertrieb verantwortet. Das Warnsystem der App benachrichtigt Autofahrer, wenn sich Kinder in der Nähe des Autos befinden. Als weiteres Feature der App können die Eltern zu jederzeit nachverfolgen, wo sich ihr Kind gerade befindet. Geplant ist, ab Februar in Wolfsburg erste Tracker zu Testzwecken kostenlos an Grundschulkinder zu verteilen. Ein solcher Feldversuch ist ebenfalls in Ludwigsburg geplant.
Die Downloadzahlen des Google Play Store sprechen bislang für “Schutzranzen”. So wurde die App bereits mehr als 5000-mal installiert. Der Bürgerrechtsverein Digitalcourage sieht dem Projekt hingegen kritisch entgegen und fordert, dass das Projekt sofort eingestellt werden soll. Nach Angaben der Bürgerrechtler werden die GPS-Daten der Kunder über eine “schlecht geschützte” Cloud an Eltern, Navigationssysteme sowie Apps für Autofahrer übermittelt. So werden die erhobenen Daten der App an einen Amazon-Server in den USA gesendet. Einen Hinweis auf diese Übermittlung enthalten die aktuellen Datenschutzbestimmungen allerdings nicht. Darüber hinaus sieht der Verein die Gefahr, dass mit der App die Autofahrer weniger auf die Straße achten und sich die Kinder ständig beobachtet fühlen. Anders als Schülerlotsen, verkehrsberuhigte Bereiche sowie Geländer und beleuchtete Gehwege, schütze die App zudem nur die Kinder, die den Tracker verwenden. Eine Erhöhung der Verkehrssicherheit im Gesamten sei damit nicht zu erreichen.
Die Projektverantwortlichen betonen demgegenüber, dass die GPS-Funktion nur auf Basis einer Einwilligung genutzt werde. Zudem werden keine personenbezogenen Daten übermittelt werden.
Auch die Datenschutzbeauftragten der Länder Niedersachsen und Baden-Württemberg hinterfragen das Projekt, vor allem auf gesellschaftspolitischer Ebene, kritisch. Durch den Tracker würden Kinder schon im frühen Alter damit konfrontiert werden, jederzeit überwacht und kontrolliert zu werden, obwohl auch sie ein Recht darauf haben müssten, sich je nach Alter, unbeobachtet in ihrer Umwelt bewegen zu können. Auch die Verbesserung der Verkehrssicherheit sei nicht so evident, wie sie die Verantwortlichen darstellen. So bestehe die Gefahr, dass die Kinder sich unter Umständen nur noch auf die App konzentrieren und darauf vertrauen, von den Autofahrern wahrgenommen zu werden, dabei aber weder Gefühl noch eine Selbsteinschätzung für die Risiken des Verkehrs entwickeln.
Barbara Thiel, die niedersächsische Datenschutzbeauftragte bezweifelt auch die Rechtmäßigkeit der Datenverarbeitung. Da bei der Nutzung der App auch immer die IP-Adresse übermittelt wird, kann die Datenübermittlung der GPS-Daten kaum anonym erfolgen. Zudem weist sie daraufhin, dass sich die App Berechtigungen für Fotos, Medien und Dateien sowie die Kamera abfragt, es sich allesamt allerdings um Berechtigungen handle, die eher nicht für die Hauptfunktionen der App erforderlich sind. Auch mit Blick auf die Ende Mai 2018 zu beachtende DSGVO, sei das Projekt “Schutzranzen” aus datenschutzrechtlicher Sicht zu überprüfen. Insbesondere eine Datenschutzfolgenabschätzung sei durchzuführen, da die Daten von Kindern besonders schutzwürdig seien.
Update: Einem Bericht des NDR zufolge hat die Stadt Wolfsburg, aufgrund der massiven Kririk, vorerst Abstand von dem Start eines Testlaufs genommen.
Die Polizei Niedersachsen warnt davor, dass momentan vermehrt Phishing-Mails im Namen von eBay und Telekom im Umlauf sind.
Bei den gefälschten Nachrichten handelt es sich um typische Phishing-Mails. Die Betrüger versenden unter dem Deckmantel von eBay eine E-Mail mit dem Betreff „Ebay-Bestellung – Zahlungsfehler“ und behaupten, dass beim Kauf und Bezahlen eines Artikels eine Fehlermeldung seitens Paypal aufgetaucht ist. Wenn das Opfer dieses Problem klären möchte, soll es auf den Link in der versendeten E-Mail klicken. Dieser Link führt dann auf eine optisch gut wirkende Phishing-Website, welche mit einem Zertifikat und einer Transportverschlüsselung ausgestattet ist. Auch die URL lässt zunächst keine Bedenken aufkommen. Nur bei genauerem Hinsehen fällt die .bid-Domain auf und lässt die gefälschte Website auffliegen. Geben Opfer ihre Daten ein, verlieren sie mit hoher Wahrscheinlichkeit die Kontrolle über ihre Accounts.
Ein Tipp für Nutzer der Verkaufsplattform, um nicht auf eine Phishing-Mail hereinzufallen: Überprüfen sie den Posteingang innerhalb des eBay-Kontos. In der Regel findet die Kommunikation zwischen Verkäufer und Käufer über dieses Konto statt.
Bei den Phishing-Mails von Telekom behaupten die Betrüger, dass der Telefonanschluss aufgrund einer fehlenden Zahlung vor der Sperrung steht. Im Anhang der Mail befindet sich eine vermeintliche Rechnung in einem Zip-Archiv, in der sich in Wirklichkeit ein Windows-Trojaner befindet.
Da derzeit nur ein Bruchteil der Online-Scanner anspringen, rät die Polizei Niedersachen, die Fake-Mails unmittelbar zu löschen, ohne den Anhang zu öffnen.
16. Januar 2018
Drei Forscher der Universität Bochum beschreiben in ihrer Abhandlung, dass trotz einer Ende-zu-Ende-Verschlüsselung, Gruppenchats der Messenger WhatsApp, Signal und Threema unter gewissen Umständen von Angreifern entschlüsselt werden können. Bei den Angriffen, die in der Abhandlung behandelt werden, handelt es sich um reine Theorie.
Jedoch ist es alles andere als einfach eine Ende-zu-Ende-Verschlüsselung sicher umzusetzen, da es bereits ausreicht, wenn zwei Benutzer Opfer eines solchen Angriffs würden. Selbst bei einer extrem sicheren Verschlüsselung, kann es dazu kommen, dass Angreifer es schaffen mittels der Serverstruktur Teil des Gruppenchats zu werden. Als Folge ist es ihnen möglich alle Nachrichten einer Gruppe zu lesen. Diese Problematik wird dadurch begünstigt, dass einige Messenger alle Gruppenmitglieder als Administratoren behandelt. Um so einen Angriff ausführen zu können, braucht derjenige den Forschern zu folge lediglich die interne Gruppen-ID und eine Telefonnummer.
WhatsApp übernimmt zwar die Serverstruktur wie andere Messenger, jedoch eine andere Gruppenchat-Infrastruktur durch die ein Angriff erschwert wird. Der Angreifer braucht dadurch Zugang zu dem Kontrollserver des Messengers, der durch die Ende-zu-Ende-Verschlüsselung geschützt wird.
Für die Benutzer der Messenger liegt das Problem darin, dass sie in jedem Fall dem Anbieter vertrauen müssen, da sie nicht die Möglichkeit haben eigene Server zu verwenden, sondern die Nutzung von Servern der Dienste Voraussetzung sind. Falls die Nutzer des Messengers jedoch prophylaktisch agieren wollen, ist es anzuraten besonders sensible Themen außerhalb eines Gruppenchats zu bereden.
15. Januar 2018
In einer Resolution hat sich der UN-Sicherheitsrat dafür ausgesprochen weltweit Fluggastdaten mit biometrischen Daten von Passagieren abzugleichen, um gegen terroristische Kämpfer vorzugehen.
Die Mitgliedstaaten sollen Systeme entwickeln, die Passenger Name Records (PNR), Advance Passenger Information (API) und biometrischen Daten, wie Fingerabdruck oder Gesichtserkennungsdaten analysieren. Diese Daten sollen dann mit „schwarzen Listen“ für bekannte Terroristen oder verdächtige Personen abgeglichen werden.
Ziel ist es auf diese Weise Terroristen und ausländische Kämpfer zu identifizieren.
Die gewonnenen Daten sollen die Mitgliedstaaten untereinander austauschen und nationalen Behörden wie zum Beispiel dem Zoll, Geheimdiensten oder Strafverfolgern zugänglich machen. In der Resolution wird betont, dass die weitreichende Überwachung von Flugreisenden “verantwortungsvoll und ordnungsgemäß entsprechend nationaler Gesetze und internationaler Menschenrechtsvorgaben” durchgeführt werden soll.
Pages: 1 2 ... 119 120 121 122 123 ... 275 276 
