16. Februar 2017
Mit dem vom Bundeskabinett befürworteten Gesetzesentwurf sollen die teils umstrittenen EU-Vorgaben zur fünfjährigen Flugpassagierdatenspeicherung ins nationale Recht implementiert werden. Ab dem, spätestens für Mai 2018, geplanten Zeitpunkt des Inkrafttretens des Gesetzes sollen Flugpassagierdaten gesammelt werden und diese in einem automatisierten Prozess mit Fahndungs- und Anti-Terror-Dateien sowie anderweitig ausgewertet werden. Erfasst werden müssen insgesamt 60 Datenkategorien, die u.a. von E-Mail- und anderen Kontaktadressen, über etwaige Vielfliegernummern, bis hin zu Essenswünschen reichen.
Diese gesammelten Daten, die sogenannten Passenger Name Records (PNR) müssen nach den Vorgaben der EU-Richtlinie für einen Zeitraum von sechs Monaten „unmaskiert“ und danach viereinhalb Jahre ohne direkten Personenbezug gespeichert werden. Eine „Re-Identifizierbarkeit“ der Daten soll aber über den gesamten Zeitraum der Speicherung möglich sein. Auch ein Datenaustausch mit anderen Mitgliedsländern, Europol und Drittstaaten soll durch weitgehende Regelungen ermöglicht werden.
Die Bundesregierung plant, neben den Daten von Fluggästen, die aus der EU reisen, auch die Daten der Fluggäste auf innereuropäischen Flügen zu speichern und auszuwerten. Auch zu den Kosten der Implementierung des Fluggastendaten-Systems und den jährlichen Betriebskosten äußerte sie sich die Regierung: Die Einrichtung soll einmal 78 Millionen Euro kosten. Hinzukommen sollen jährliche Betriebskosten in Höhe von 65 Millionen Euro. Als nationale PNR-Zentralstelle soll das Bundeskriminalamt fungieren.
Während der Europäische Gerichtshof noch prüft, ob eine derartige Form der Vorratsdatenspeicherung mit den Grundrechten vereinbar ist, begründete Bundesinnenminister Thomas de Maizière die Notwendigkeit des geplanten Gesetzes: „Terroristen und Schwerkriminelle machen nicht vor Grenzen halt. Um Straftaten zu verhindern oder jedenfalls aufzuklären, müssen wir daher wissen, wer wann die Grenzen des Schengenraums überschreitet.“
14. Februar 2017
Heute startet in Berlin die dreitägige “Nationale Konferenz zur IT-Sicherheitsforschung”, die vom Bundesministerium für Bildung und Forschung organisiert wird. Das Programm sieht einerseits eine öffentliche Ausstellung von Projekten und Forschungsexponaten durch IT-Sicherheitsexperten vor, andererseits werden, zum Teil auch interaktiv, auch Fragen der Besucherinnen und Besucher beantwortet.
Eines der Kernthemen wird sicher das aktuelle Positionspapier zur Cyber-Sicherheit in Deutschland sein, das die drei Kompetenzzentren für IT-Sicherheitsforschung – CISPA in Saarbrücken, CRISP in Darmstadt und KASTEL in Karlsruhe – erarbeitet haben und welches am ersten Tag vorgestellt wird.
Darüber hinaus wird der russische Sicherheitsexperte Eugene Kaspersky zu den Keynote-Speakern der Konferenz gehören. In einem Interview mit der Zeitschrift “c’t – Magazin für Computer Technik” äußerte er sich bereits recht provizierend. Datenschutz, so meint er, sei “wahrscheinlich nur noch in einem entlegenen sibirischen Dorf oder auf einer weit entfernten pazifischen Insel möglich”, ohne Internet und Sicherheitskameras. Die Diskussion darf mit Spannung erwartet werden.
13. Februar 2017
Der Bundesrat hat die Gesetzesentwürfe zur Ausweitung der Videoüberwachung und zum Einsatz von Body-Cams durchgewunken. Laut dem Bundesrat bestehen grundsätzlich keine Bedenken.
Hintergrund der Entwürfe ist, dass die Bundesregierung durch die Überwachung öffentliche Anlage wie beispielsweise Einkaufszentren, Fußballstadien und den Nahverkehr sicherer machen will, indem sie die Videoüberwachung erleichtert. Dafür sollen auch private Betreiber eingebunden werden. Die Länderkammer fordert, dass diese verstärkt durch die Aufsichtsbehörden kontrolliert werden sollen.
Bereits bei Vorstellung des Sicherheitspakets durch Thomas de Maizière (CDU) und Heiko Maas (SPD) wurde Kritik geübt (wir berichteten).
Ebenso wie die Videoüberwachung wurde auch der Einsatz von Body-Cams bei der Bundespolizei vom Bundesrat genehmigt. Die Body-Cams sind kleine Kameras, die Polizisten während des Einsatzes am Körper tragen. Sie sollen dazu dienen Angriffe auf Polizisten zu dokumentieren.
10. Februar 2017
Das Safe-Harbor-Abkommen wurde im Oktober 2015 durch den Europäischen Gerichtshof (EuGH) für ungültig erklärt, da es im Wesentlichen die Daten und somit mittelbar die Persönlichkeitsrechte von EU-Bürgern nicht ausreichend vor dem Zugriff von US-Behörden schützte.
Der Nachfolger des Abkommens, der sogenannte Privacy Shield, trat Mitte 2016 in Kraft und soll den EU-Bürgern einen höheren Schutz ihrer Daten vor dem Zugriff der US-Behörde bieten. Ob dies tatsächlich erreicht wird, wird von Datenschützern bezweifelt.
Ob der Privacy Shield den in dem Urteil zum Safe-Harbor-Abkommen vom EuGH dargelegten Grundsätzen in Zukunft gerecht wird, muss unter Trumps Präsidentschaft bezweifelt werden.
In der Executive Order vom 25. Januar 2017 zur Verbesserung der öffentlichen Sicherheit heißt es unter Section 14:
„Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“
Das Dekret hat zunächst keine unmittelbaren Auswirkungen auf die Regelungen des Privacy Shield, da die Behörden ausschließlich unter Beachtung des geltenden Rechts dazu aufgefordert werden, US-Ausländer von der Anwendung der Datenschutzvorschriften des Privacy Acts auszuschließen.
Zu dem geltenden Recht gehört der Privacy Shield zwar nach wie vor, ob das Abkommen unter der Präsidentschaft Trumps Bestand haben wird, bleibt jedoch abzuwarten.
Mit seiner Freischaltung der 2-Faktor-Authentifizierung für alle WhatsApp Nutzer unter iOS und Android, möchte WhatsApp den Konten seiner Nutzer einen besseren Schutz vor dem Zugriff Unbefugter gewährleisten.
Grundsätzlich wird der unbefugte Zugang zu einem Online-Konto zunächst mit einem Passwort und einem sogenannten Token, z.B. einem Smartphone, über das Sicherheitscodes empfangen werden, geschützt.
Dies war bisher bei WhatsApp jedoch nicht der Fall: Die WhatsApp Nutzerkonten konnten nicht anhand eines Passwortes geschützt werden. Vielmehr legitimierte sich der Nutzer lediglich über seine Mobilfunknummer und sein Smartphone. Mit der 2-Faktor-Authentifizierung kommt jetzt als zweiter Faktor ein PIN-Code hinzu.
Durchaus ist die Freischaltung der 2-Faktor-Authentifizierung für alle WhatsApp Nutzer aus datenschutzrechtlicher Sicht begrüßenswert. So kann ein unbefugter Dritter die SIM Karte nicht einfach in ein anderes Smartphone stecken und sich Zugriff auf ein fremdes WhatsApp-Konto zu verschaffen.
Eine Pflicht stellt die 2-Faktor-Authentifizierung für die WhatsApp Nutzer jedoch nicht dar.
Der Nutzer legt unter der Rubrik “Einstellungen > Account > Verifizierung in zwei Schritten” einen sechsstelligen Zahlencode fest, welchen WhatsApp abfragt, sobald ein Konto auf einem neuen Smartphone eingerichtet wird. Sollte der WhatsApp Nutzer seinen Zahlencode vergessen haben, kann er zusätzlich eine E-Mail-Adresse hinterlegen, über die er die 2-Faktor-Authentifizierung wieder ausschalten kann.
9. Februar 2017
Mit Urteil vom 30.09.2016 (Az. 20 U 83/16) hat das Oberlandesgericht Köln (OLG Köln) einen Anspruch auf Schmerzensgeld aufgrund eines datenschutzrechtlichen Verstoßes bejaht. Die Beklagte hatte ein Urteil mit Gesundheitsdaten des Klägers rechtswidrig an dessen Arbeitgeber weitergegeben. Zu dem Urteil kam es, weil der Kläger mit der beklagten Versicherung über Ansprüche aus einer Berufsunfähigkeitsversicherung stritt. Die Versicherung behauptete, dass sich die Klägerin vertragswidrig Verhalten habe und verweigerte daher die Zahlung. Nachdem die Klage erstinstanzlich noch abgewiesen worden war, verglichen sich die Parteien im Berufungsverfahren auf Zahlung in Höhe von 90.000 Euro an den Kläger.
In der Zwischenzeit hatte die Beklagte das Urteil der ersten Instanz allerdings an den Arbeitgeber des Klägers, ein Unternehmen des gleichen Konzerns, weitergegeben. Der Arbeitgeber des Klägers kündigte ihm daraufhin fristlos.
In dem zu entscheidenden Fall begehrte der Kläger von der Beklagten Schadensersatz und Schmerzensgeld, da sie nach Ansicht des Klägers nicht dazu berechtigt gewesen sei, das Urteil an den Arbeitgeber weiterzugeben. Der Kläger hatte insbesondere keine Einwilligung hinsichtlich der Weitergabe erteilt.
Während das Landgericht Köln die Klage in der ersten Instanz noch abgewiesen hatte, entschied das OLG Köln im Berufungsverfahren zu Gunsten des Klägers. Als Begründung führte es aus, dass die Beklagte die Gesundheitsdaten des Klägers aus keinem rechtlichen Grund an Dritte weitergeben durfte. Vor allem sei die konzernrechtliche Bindung zwischen der Beklagten und dem Arbeitgeber des Klägers im Datenschutzrecht ohne Bedeutung. Da weder eine Einwilligung des Klägers vorgelegen habe, noch ein denkbarer Erlaubnistatbestand einschlägig sei, sei die Weitergabe des Urteils und der Gesundheitsdaten daher rechtswidrig erfolgt.
Damit verletzte die Beklagte das Recht auf informationelle Selbstbestimmung des Klägers und der Kläger könne aufgrund des dadurch erlittenen materiellen und immateriellen Schadens Schadensersatz- und Schmerzensgeldansprüche geltend machen. Da der Kläger zunächst auf die reine Feststellung des Verstoßes geklagt hatte, kann er nun noch die konkrete Höhe beziffern und die entsprechenden Beträge einfordern.
Am 07.02.2017 fand in 120 Ländern der Safer Internet Day statt. Dieser findet seit 2008 jährlich auch in Deutschland am zweiten Tag der zweiten Woche des zweiten Monats statt und verfolgt das Ziel, die Internetnutzer, insbesondere Schüler, Eltern und Lehrer für die Chancen und Risiken des Internets zu sensibilisieren.
Kinder und Jugendliche nutzen das Internet im erheblichen Umfang. Bildungspolitiker fordern daher, digitale Medien in den Schulalltag zu integrieren. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff, begrüßt diese Initiativen und fordert, dass das Wissen um Datenschutz und Datensicherheit als Bestandteile von Medienkompetenz in den Schulalltag integriert werden.
Bereits jetzt stehen Lehrern online und kostenlos Informationsmaterialien zur Verfügung, mit deren Hilfe den Schülern nahegebracht werden kann, dass sie beim Surfen eine digitale Spur hinterlassen. Gemäß der Pressemitteilung der BfDI, haben laut einer Bitkom-Studie aus dem Jahr 2014 bereits 60 Prozent der Befragten 10 bis 18-jährigen die Privatsphären-Einstellungen ihrer Profile in digitalen Netzwerken so eingestellt, dass ihre Daten besser geschützt werden.
Je eher Kinder und Jugendliche lernen, dass sie den Umfang der Nutzung ihrer eigenen personenbezogenen Daten mitbeeinflussen können, desto sicherer und verantwortungsbewusster können sie sich in der digitalen Welt bewegen.
8. Februar 2017
Wie bereits in den vorherigen Beiträgen ausgeführt müssen die fotografierten Personen sowohl in das fotografiert werden als auch in die Veröffentlichung der Fotos einwilligen. Was passiert jedoch, wenn die Einwilligung im widerrufen wird, bzw. ist ein solcher Widerruf überhaupt möglich?
Grundsätzlich ist ein Widerruf möglich. Es stellt sich aber zunächst die Frage, wann eine zuvor erteilte Einwilligung widerrufen werden kann. Dafür muss ein wichtiger Grund vorliegen. Die Umstände müssen sich seit Erteilung der Einwilligung also geändert haben. Der Betroffenen muss durch die Einwilligung in seiner Persönlichkeit empfindlich beeinträchtigt werden. Dafür kann eine Änderung der persönlichen Einstellung des Fotografierten ausreichen.
Die Einwilligung kann jedoch nur für die Zukunft widerrufen werden. Das bedeutet, dass die Fotos ab dem Zeitpunkt des Widerrufs nicht mehr benutzt werden dürfen.
Bei Arbeitnehmern ist zu differenzieren. Sofern der Arbeitnehmer als solcher zum Beispiel auf einer Internetpräsenz des Unternehmens als Mitarbeiter dargestellt wird, ist das Foto mit Beendigung des Arbeitsverhältnisses von der Seite zu entfernen, weil ansonsten der Eindruck vermittelt wird, dass der Betroffene noch bei dem Unternehmen arbeitet. Ist der Arbeitnehmer lediglich als schmückendes Beiwerk auf dem Foto, zum Beispiel wenn eine alltägliche Situation, wie ein Telefongespräch, abgebildet wird und der Betroffene auf dem Foto telefonierend zu sehen ist, dann muss er einen wichtigen Grund anführen, warum er seine Einwilligung zu dem Bild widerruft.
Zusammenfassend lässt sich sagen, dass ein Widerruf der Einwilligung grundsätzlich möglich ist, aber eines wichtigen Grundes bedarf.
Der nächste Beitrag befasst sich mit dem Thema: Welche Rechtsfolgen hat ein Verstoß?
7. Februar 2017
Smart-TVs sind aus unserem Alltag heutzutage kaum noch wegzudenken. Sie können schon längst nicht mehr nur das Fernsehprogramm senden, sondern haben sich mittlerweile zu einer Internet-Schaltzentrale entwickelt. Mit der Erweiterung der Funktionalität und vor allem der ständigen Verbindung zum Internet geht allerdings auch die gestiegene Gefahr einher, dass das Nutzerverhalten rund um die Uhr beobachtet werden kann und die gewonnenen Informationen anderweitig verwendet werden.
Der Smart-TV-Hersteller Vizio muss nun ein Bußgeld in Höhe von 2,2 Millionen US-Dollar zahlen, nachdem ihm die US-amerikanische Behörde FTC (Federal Trade Commission) vorwarf, das Verhalten seiner Nutzer ohne vorherige Einwilligung ausgeforscht zu haben.
Mit Hilfe von automatischer Inhaltserkennung (Automatic Content Recognition) wurden so die Vorlieben von rund elf Millionen Nutzern analysiert und gespeichert, um die gewonnenen Informationen dann in einem weiteren Schritt mit demografischen Inhalten wie Alter, Geschlecht, Familien- und Bildungsstand sowie Einkommen zu verknüpfen. Die verknüpften Daten soll Vizio dann zu Werbezwecken an Dritte weitergegeben haben.
Die FTC hatte bereits seit Februar 2014 ermittelt und klagte vor dem U.S. District Court for the District of New Jersey. Obwohl sich der Smart-TV-Hersteller in der Sache verteidigte und angab, dass das Nutzerverhalten nie mit persönlichen Daten verknüpft worden sei, muss Vizio die Praxis zukünftig unterlassen und alle Daten löschen, die das Unternehmen bis zum 1. März 2016 gesammelt hat. Darüber hinaus muss das US-amerikanische Unternehmen seine Datenschutzrichtlinien überarbeiten.
6. Februar 2017
Google hat vor einem Gericht im US-amerikanischen Philadelphia verloren und muss laut Urteil nun E-Mail-Daten, die auf ausländischen Servern gespeichert sind an die US-amerikanische Bundespolizei FBI herausgeben. Damit weicht das Gericht von der bisherigen Rechtsprechung ab. Erst kürzlich wurde in einem anderen Verfahren, Microsoft die Herausgabe von Daten, die auf Servern in der Europäischen Union gespeichert sind, erfolgreich verweigerte und auf den Rechtsweg in der EU verwiesen.
Als Begründung für die Herausgabepflicht von Google führte der Richter aus, dass Google ohnehin ständig Daten zwischen seinen Rechenzentren hin- und herkopiere, sodass es nur nötig sei, die vom FBI angefragten Daten in die USA zu transferieren, damit das FBI darauf zugreifen kann. Zwar kann dies eine Verletzung der Rechte des Nutzers darstellen, aber diese Verletzung würde in den USA stattfinden und damit wieder von dem Gesetz gedeckt sein. Der Datentransfer stelle damit ohnehin keinen Zugriff auf ausländische Daten dar.
Nach der Verkündigung des Urteils hat sich Google bereits zum Verfahren geäußert und angekündigt, gegen das Urteil nun Berufung einzulegen und auch weiterhin gegen zu weitgehende Herausgabebeschlüsse vorzugehen. Google erklärte zudem, dass man Daten aus technischen Gründen weltweit auf den Servern verteilt und es in einigen Fällen gar nicht ganz klar sei, wo die Daten gerade gespeichert sind. Aus dem Urteil geht hervor, dass allein Google jährlich rund 25.000 Auskunftsersuchen von US-amerikanischen Ermittlungsbehörden erhält.
Pages: 1 2 ... 141 142 143 144 145 ... 274 275 
