2. September 2015
Wer einen externen Dienstleister als so genannten Auftragsdatenverarbeiter mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt, muss mit diesem einen schriftlichen Vertrag abschließen. Das Gesetz – so auf Bundesebene § 11 Bundesdatenschutzgesetz (BDSG) – schreibt eine Reihe von Einzelheiten vor, die zum Schutz der personenbezogenen Daten darin ausdrücklich festgelegt werden müssen. Von besonderer Bedeutung sind dabei die technischen und organisatorischen Maßnahmen (Datensicherheitsmaßnahmen), die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss. Diese Maßnahmen müssen im schriftlichen Auftrag konkret und spezifisch festgelegt werden. Fehlen konkrete Festlegungen hierzu, stellt dies eine Ordnungswidrigkeit dar, die mit Geldbuße von bis zu 50.000,- € geahndet werden kann. So viel die Theorie.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nun nach eigenen Angaben gegen ein Unternehmen eine Geldbuße in fünfstelliger Höhe festgesetzt, weil dieses in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt hatte, sondern dort nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes aufzufinden waren. Das BayLDA wies darauf hin, dass die keinesfalls ausreichend ist. Die datenschutzrechtliche Verantwortung trage auch im Falle der Einschaltung von Auftragsdatenverarbeitern nach wie vor der Auftraggeber. Dieser müsse daher beurteilen können, ob der Auftragsdatenverarbeiter in der Lage ist, für die Sicherheit der Daten zu sorgen. Auch müsse der Auftraggeber die Einhaltung der technisch-organisatorischen Maßnahmen bei seinem Auftragnehmer kontrollieren. Hierfür sei es unerlässlich, dass die beim Auftragsdatenverarbeiter zum Schutz der Daten zu treffenden technisch-organisatorischen Maßnahmen in dem abzuschließenden schriftlichen Auftrag spezifisch festgelegt werden. Nur so könne der Auftraggeber beurteilen, ob die personenbezogenen Daten bei seinem Auftragnehmer z. B. gegen Auslesen oder Kopieren durch Unbefugte, gegen Verfälschung oder sonstige unberechtigte Abänderung oder gegen zufällige Zerstörung geschützt sind.
Das BayLDA betont, dass nicht pauschal beantwortet werden kann, welche vertraglichen Festlegungen zu den technisch-organisatorischen Maßnahmen getroffen werden müssen. Dies richtet sich nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen. Den gesetzlichen Maßstab für die festzulegenden technisch-organisatorischen Maßnahmen bildet jedenfalls die Anlage zu § 9 BDSG, die Maßnahmen in den Bereichen Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle verlangt. Der schriftliche Auftrag muss daher spezifische Festlegungen zu diesen Fragen enthalten.
„Augen auf beim Einbinden von Dienstleistern. Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht.“, so der Präsident des BayLDA Kranig. „Die Datensicherheitsmaßnahmen müssen konkret und spezifisch im Vertrag festgelegt werden. Unspezifische oder pauschale Beschreibungen reichen nicht aus. Wir werden auch künftig in geeigne- ten Fällen Verstöße in diesem Bereich mit Geldbußen ahnden.“
31. August 2015
Allein in Köln haben mutmaßliche illegale Autorennen bereits in diesem Jahr zu 3 Todesfällen von unbeteiligten Radfahrern geführt, die den mit extrem überhöhter Geschwindigkeit fahrenden Autos im Stadtgebiet zum Opfer fielen. Immer öfter, und so auch bei einem der vorgeannten Fälle mit Todesfolge, sind Nutzer von Carsharing-Fahrzeugen unter den Rasern.
Das mögliche Problem bei Carsharing-Anbietern scheint zu sein, dass viele von ihnen recht leitsungsstarke Wagen in ihrem Portfolio anbieten und häufig vor allem sehr junge Fahrer diese Angebote wahrnehmen. Der Vorsitzende der deutschen Polizeigewerkschaft, Rainer Wendt, hat sich daher nun in der Süddetuschen Zeitung dafür ausgesprochen, dass diese Autovermieter auf Informationen des Kraftfahrtbundesamts in Flensburg, nämlich auf das sog. Fahreignungsregister, zugreifen können sollen. Er schlägt dafür ein Ampelsystem vor, mit dem angezeigt wird, ob ein Fahrer schon viele Verkehrsdelikte begangen hat, so dass die Autovermieter bessere Einschätzungen über die Person des Fahrers treffen könnten.
Bislang können nur die betroffenen Personen selbst sowie Ermittlungsbehörden die “Punkte in Flensburg” einsehen.
Unter der Wahrung des Rechts auf informationelle Selbstbestimmung scheint diese Einschränkung auch gerechtfertigt. So ist schon die Einhaltung des Zweckbindungsgrundsatzes bei einer Ausweitung der Zugriffsrechte problematisch. Die Erhebung der Daten im Fahreignungsregister dient vor allem der Vorbereitung der Entscheidungen der Fahrerlaubnisbehörden über die Entziehung, Versagung oder Neuerteilung der Fahrerlaubnis sowie der Dokumentation von Ordnungswidrigkeiten oder Straftaten für die entsprechenden Ordnungsbehörden. Der Betroffene selbst soll daneben im Rahmen seines Auskunftsanspruchs die zu seiner Person gespeicherten Daten einsehen können.
Sollten nunmehr auch Carsharing-Anbieter auf diese Registerdaten zugreifen dürfen, müssten jedenfalls die Zwecke der Erhebung der Eignungsdaten neu definiert werden. Aber auch dann erscheint fraglich, ob eine Abfrage, wie oben angedacht, überhaupt zuverlässige Werte im Hinblick auf eine Fahrerbewertung liefern kann. Ist der Schluss von einer Person, die sich beispielsweise bereits mehrere Geschwindigkeitsüberschreitungen zu Schulden hat kommen lassen, auf einen potenziellen Raser gerechtfertig? Schließlich kann man auch als Radfahrer Registerpunkte in Flensburg sammeln. Wenn eine Abfrage aber nicht einmal geeignet ist, dem Anbieter bei einer Fahrerbewertung zu dienen, kann erst recht nicht argumentiert werden, sie sei erforderlich für die Begründung oder Durchführung des Mietvertrages. Dies wäre jedoch notwendige Voraussetzung, um den gesetzlichen Vorgaben des denkbaren Rechtfertigungstatbestandes gerecht zu werden.
27. August 2015
Zum 19.08.2015 hat der Musik-Streamingdienst Spotify seine Nutzungs- und Datenschutzbestimmungen geändert, wie die Süddeutsche Zeitung berichtet.
Nutzer können sich bei Spotify registrieren und auf ein Repertoire von bis zu 30 Millionen verschiedenen Musiktiteln zugreifen. Diese können sie mit verschiedenen Endgeräten wiedergeben. Die Nutzung ist entweder kostenlos mit Werbeunterbrechungen oder für einen monatlich zu entrichtenden Betrag ohne Werbeunterbrechungen möglich.
Neben den für die Registrierung und gegebenenfalls für die Abrechnung erforderlichen Daten erhebt Spotify nun auch weitere auf dem Mobilgerät des Nutzers gespeicherte Daten. Zu diesen Daten gehören Kontaktdaten, Fotos und andere Mediendaten. Darüber hinaus werden teilweise auch Daten über den aktuellen Standort des Nutzers erhoben. Mit Hilfe der Standortdaten kann Spotify Sensordaten erstellen. Aus diesen Sensordaten ergibt sich, mit welcher Geschwindigkeit der Nutzer sich fortbewegt – also ob er beispielsweise gemütlich spazieren geht oder joggt.
Auf Grundlage dieser Daten kann Spotify Profile der Nutzer erstellen und seinen Vertragspartnern anbieten, die Nutzer möglichst individuell zu bewerben.
Zwar können die Nutzer die Werbemaßnahmen teilweise unterbinden, indem sie die Handlungsanweisungen in den Datenschutzbestimmungen befolgen und die technischen Voreinstellungen verändern.
Aus datenschutzrechtlicher Sicht ist jedoch fraglich, weswegen die Erhebung von Kontaktdaten, Fotos und anderen Mediendaten für die Erbringung des Streaming-Dienstes erforderlich ist. Auf diese Frage ergibt sich auch aus den Datenschutzbestimmungen keine plausible Antwort.
Insofern ist die Datenerhebung durch Spotify kritisch zu betrachten, wenngleich sie datenschutzrechtlich zulässig ist, weil die Nutzer ihre Einwilligung hierein erklärt haben. Der Widerspruch eines Nutzers in die Datenerhebung ist nur möglich, indem der Nutzer komplett auf die Nutzung des Streamningdienstes verzichtet.
Es bleibt abzuwarten ob die Nutzer mit einem Wechsel des Streamingsdienst auf die Änderungen der Datenschutzbestimmungen reagieren oder ob möglicherweise noch mit einer Maßnahme der Aufsichtsbehörden zu rechnen ist.
Der Trilog zwischen Europäischem Parlament, Rat der Europäischen Union und Europäischer Kommission zu den Beratungen zu der EU-Datenschutzgrundverordnung geht in die “heiße Phase”. Daher hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) am gestrigen Tag ein Positionspapier veröffentlicht und darin diverse Nachbesserungen gefordert. Die EU-Datenschutzgrundverordnung müsse im Vergleich zum geltenden Rechtsstand einen verbesserten, mindestens aber dem bisherigen Standard gleichwertigen Grundrechtsschutz gewährleisten. Daher appelliert die DSK an die Trilogpartner, bei ihren Verhandlungen insbesondere zu berücksichtigen:
- Die Datensparsamkeit muss Gestaltungsziel bleiben!
- Es darf keine Aufweichung der Zweckbindung geben!
- Die Einwilligung des Einzelnen muss die Datenhoheit sichern!
- Die Rechte der Betroffenen dürfen nicht eingeschränkt werden!
- Die Profilbildung muss wirksam begrenzt werden!
- Effektiver Datenschutz braucht betriebliche und behördliche Datenschutzbeauftragte!
- Datenübermittlungen an Behörden und Gerichte in Drittstaaten bedürfen einer stärkeren Kontrolle!
Das Positionspapier steht in detaillierter Version zum Download bereit.
19. August 2015
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nach eigenen Angaben Verkäufer und Käufer eines Unternehmens wegen eines Verstoßes gegen die datenschutzrechtlichen Vorschriften im Umgang mit Kundendaten mit einem mittlerweile unanfechtbaren Bußgeld in jeweils fünfstelliger Höhe belegt.
Im konkreten Fall ging es um die unzulässige Übertragung von E-Mail-Adressen von Kunden eines Online-Shops im Rahmen eines Asset Deals. Diese erfolgte ohne die explizite Einwilligung der betroffenen Kunden. Damit wurde gegen das Datenschutzgesetz verstoßen, was wegen des Umstandes, dass es sich bei E-Mail-Adressen um personenbezogene Daten handelt, anwendbar ist. Zugleich wurde gegen das Gesetz gegen den unlauteren Wettbewerb verstoßen, wonach ebenfalls eine Einwilligung des Kunden von Nöten ist, wenn der Erwerber die Daten auch zu Werbezwecken verwenden möchte.
Das BayLDA hat klargestellt, dass für die unzulässige Übergabe von Kundendaten sowohl der Veräußerer als auch der Erwerber als sogenannte „verantwortliche Stellen“ die datenschutzrechtliche Verantwortung tragen. Der Veräußerer „übermittelt“ die Daten, während der Erwerber diese Daten „erhebt“. Die unzulässige Übermittlung sowie die unzulässige Erhebung personenbezogener Daten stellen Ordnungswidrigkeiten dar, die je nach Sachverhalt mit Geldbuße von bis zu 300.000,- € geahndet werden können.
17. August 2015
Der Einsatz von Mini-Drohnen nimmt auch in Deutschland mehr und mehr zu. Doch was bedeutet dies eigentlich für den Einzelnen, der von einer Drohne erfasst wird?
Die potenziellen Risiken aus Sicht des Datenschutzes folgen vor allem aus der möglichen Erhebung von Bild- und Tonaufnahmen, wenn eine Person von einer Drohne erfasst wird. Aber auch Ortungsdaten können mit Hilfe dieser Technik “gesammelt” und verarbeitet werden.
Es mangelt zunächst an der erforderlichen Transparenz über die Tatsache, dass eine solche Datenerhebung stattfinden kann, denn der Betroffene bleibt in der Regel ahnungslos darüber, dass er überhaupt erfasst wird. Darüber hinaus fehlt es an der Zweckbestimmung bezüglich der Datenerhebung und -verarbeitung, an Kenntnis über die Speicherdauer und überhaupt über die konkrete verantwortliche Stelle.
Die Artikel-29-Datenschutzgruppe hat daher nun in einer Stellungnahme die Schaffung eines gesetzlichen Rahmens für den Einsatz von Drohnen auf nationaler und europäischer Ebene gefordert, einhergehend mit der Erarbeitung eines Regelwerks für den verantwortungsvollen Einsatz von Drohnen unter Wahrung der Privatsphäre. Die Empfehlungen der Gruppe gehen zum einen dahin, eine leichtere Identifikation der Betreiber der Drohnen zu ermöglichen, des Weiteren raten sie dazu, über die beabsichtigte Datennutzung im Vorfeld aufzuklären. Im Allgemeinen könnten die für die öffentliche Videoüberwachung geltenden gesetzlichen Regelungen als Maßgabe dienen.
Man darf gespannt sein, wann und in wie weit diese Empfehlungen zur Anwendung kommen.
14. August 2015
Wie die Zeit berichtet, hat die französische Datenschutzbehörde CNIL den Suchmaschinenbetreiber Google aufgefordert, das Recht auf Vergessen werden weltweit umzusetzen.
Im Jahr 2014 hatte der EuGH geurteilt, dass Betroffenen im Rahmen ihres Rechts auf informationelle Selbstbestimmung auch das Recht zusteht digital vergessen zu werden. Hiernach können Bürger der EU Google dazu verpflichten, bestimmte Links zu ihrer Vergangenheit nicht mehr in der Liste der Suchergebnisse aufzuführen.
Google entspricht den Ansprüchen von Betroffenen insoweit, als dass Einträge zu den jeweiligen Personen in der europäischen Version der Suchmaschine nicht mehr erscheinen. Der CNIL geht diese Vorgehensweise jedoch nicht weit genug. Sie fordert von Google, dass Einträge aus der Vergangenheit einer Person weltweit zu entfernen sind.
Hiergegen wehrt sich Google mit dem Argument, dass eine französische Behörde nicht die Zuständigkeit habe anzuordnen, wie die weltweiten Suchergebnisse von Google zu gestalten sein.
Ob und wie die CNIL in dieser Angelegenheiten weiter gegen Google vorgeht, bleibt abzuwarten.
13. August 2015
Die von Android angebotene Fingerabdruck-Technologie wird nach einem Bericht von Spiegel-Online von IT-Spezialisten als unsicher eingestuft. So seien die sensiblen biometrischen Daten der Nutzer, etwa auf dem HTC One Max, unverschlüsselt auf dem Gerät gespeichert und somit für alle Apps relativ problemlos auslesbar. Den Fachkräften gelang es mehrere Fingerabdrücke zu kopieren, was als kritscheres Sicherheitsrisiko angesehen wurde, als etwa das Ausspähen eines Passwortes.
Anders verhielt sich das Thema bei Apple-Produkten. Diese seien weitgehend sicher. Die Daten würden hier unmittelbar nach dem Erfassen verschlüsselt und seien so vor unrechtmäßigen Zugriffen oder Nutzungen ausreichend gesichert.
3. August 2015
Neben herkömmlichen Passwörtern, biometrischen Verfahren und Multifaktor-Logins wird zurzeit an einer weiteren Alternative geforscht, um Menschen im Internet zu authentifizieren: Durch Verhaltensanalyse, Behavioral Analysis, also der Art und Weise, wie der Nutzer auf eine Tastatur tippt, ob auf seinem PC, Tablet oder Smartphone. Konkret werden Erkenntnisse vor allem aus der Geschwindigkeit des Tippens, aus dem Tastendruck und aus der Art und Weise der beim Tippen eingelegten Pausen gewonnen, die den IT-Sicherheitsexperten genügend Daten liefern, um individuelle Profile erstellen zu können.
Skandinavische Banken testen dieses Verfahren bereits seit dem vergangenen Jahr, die dänische Danske Bank verwendet es bereits für ihr Online-Banking. Das schwedische Unternehmen BehavioSec biete Websitebetreibern an, mit dieser Technik die Logins ihrer Kunden zu sichern.
Die Kehrseite der Medaille einer neuen Authentifizierungsmethode ist jedoch die Gefahr des Missbrauchs der durch die Verhaltensanalyse gewonnen Daten für eine ungewollte Identifizierung des Nutzers. Das Skript von BehavioSec funktioniert beispielsweise auch bei Usern des (eigentlich) anonymisierten Tor-Browsers. Vor allem aber wird der Nutzer völlig im Unklaren darüber gelassen, ob und in wie weit sein Verhalten aufgenommen und analysiert wird. Auch dafür haben findige Entwickler aber schon eine Lösung parat: Jedenfalls bei Google Chrome kann die Eingaben in Textfeldern durch ein Browser-Add-On zufällig um ein paar Milisekunden verzögert werden, so dass eine versteckte Verhaltensanalyse nicht mehr möglich sein soll.
31. Juli 2015
Einem Bericht der Frankfurter Allgemeine Zeitung (FAZ) zufolge, wird der Generalsbundesanwalt Harald Range die Ermittlungen gegen zwei Journalisten und Blogger von Netzpolitik.org vorerst ruhen lassen. Range teilte der FAZ mit, dass er “mit Blick auf das hohe Gut der Presse- und Meinungsfreiheit” von nach der Strafprozessordnung möglichen Exekutivemaßnahmen absehen werde. Es müsse zunächst ein externes Sachverständigengutachten eingeholt werden, um die Frage zu klären, ob es sich bei den Veröffentlichungen um die Bekanntgabe eines Staatsgeheimnisses handele. Dies hätte nur in einem förmlichen Ermittlungsverfahren eingeholt werden können. Bis zum Erhalt dieses Gutachtens sollen keine weiteren Schritte eingeleitet werden.
Am Donnerstagabend war bekannt geworden, dass ein Ermittlungsverfahren gegen die Blogger Markus Beckedahl und Andre Meister von Netzpolitik.org wegen des Verdachts auf Landesverrat eingeleitet worden war. Grund für die Einleitung dieses Ermittlungsverfahrens war das Bekanntwerden eines als geheim eingestuften Budjetplans für das Bundesamt für Verfassungsschutz, den Netzpolitik.org vollständig veröffentlicht und in zwei unterschiedlichen Artikeln erläuert hat. Das vertrauliche Dokument beinhaltete insbesondere das Budjet, welches dem Verfassungsschutz für Massendatenerfassungen in sozialen Netzwerken zur Verfügung steht. Einem Bericht der Süddeutsche Zeitung zufolge, stellte Georg Maaßen, Chef des Verfassungsschutzes, nach der Veröffentlichung Strafanzeige beim Landeskriminalamt in Berlin. Dieses habe den Fall an die Bundesanwaltschaft übergeben.
Die Einleitung des Ermittlungsverfahrens durch den Generalbundesanwalt habe in den sozialen Medien zu einer Solidaritätswelle geführt. Viele Nutzer in den sozialen Netzwerken würden den Blog unterstützen, so die FAZ. Des weiteren schreibt die Zeitung, dass auch in der Politik heftige Kritik zu dem Vorgehen des Generalbundesanwalts geäußert worden sei. Der stellvertretende Bundesvorsitzende der FDP, Wolfgang Kubicki, sehe beispielsweise in den Ermittlungen einen Angriff auf den Rechtsstaat. Gleichzeitig habe er aber auch seine Empörung darüber geäußert, dass gegen das massenhafte Ausspähen der NSA nicht vorgegangen werde.
Pages: 1 2 ... 164 165 166 167 168 ... 275 276 
