12. Mai 2016
Wie Recherchen des SWR ergeben haben, übermittelt die Deutsche Bahn personenbezogene Daten ihrer Kunden an eine Auskunftei.
Hintergrund ist Folgender: Wird ein Fahrgast ohne vermeintlich gültigen Fahrschein vom Schaffner kontrolliert, nimmt der Schaffner die Daten des Fahrgasts auf, welche anschließend an die Fahrpreisnachermittlungsstelle der Deutschen Bahn zum Zwecke der Begleichung der offenen Forderungen der Bahn gegen den Fahrgast übermittelt werden.
Hinter der Fahrpreisnachermittlungsstelle steht jedoch nicht die Deutsche Bahn, sondern nach Angaben des SWR das zum Bertelsmann-Konzern gehörende Unternehmen Avarto Infoscore. Dies wird dem betroffenen Fahrgast jedoch nicht erkennbar mitgteilt.
Dass ein externer Dienstleister – wie in dem vorliegenden Falle mit der Zahlungsabwicklung – beauftragt wird und, dass in diesem Zusammenhang personenbezogene Daten weitergegeben werden, ist zunächst nicht per se datenschutzrechtlich unzulässig. Die Deutsche Bahn versäumt jedoch, ihre Kunden auf die Weitergabe der Daten hinzuweisen und, dass es sich bei dem Unternehmen Avarto Infoscore um eine Auskunftei handelt. Damit verstößt die Deutsche Bahn zum einen gegen das im Datenschutzrecht geltende Transparenzgebot. Außerdem ist die Übermittlung von personenbezogenen Daten an Auskunfteien an strenge gesetzliche Voraussetzungen geknüpft, die pauschal nicht für alle Fälle von Schwarzfahrten vorliegen. Betroffenen Fahrgästen droht durch den geschilderten Umgang mit ihren Daten eine negative Bewertung ihrer Kreditwürdigkeit.
4. Mai 2016
Am 4. Mai 2016 wurde die Datenschutzgrundverordnung im Amtsblatt der Europäischen Union veröffentlicht. Gemäß Art. 99 Abs. 1 DSGVO tritt diese am 20. Tag nach ihrer Veröffentlichung in Kraft. Unmittelbare Geltung wird die Grundverordnung dann gemäß Art. 99 Abs. 2 DSGVO am 25. Mai 2018 erlangen.
2. Mai 2016
Das Oberlandesgericht (OLG) Hamm hat beschlossen (Beschluss vom 02.06.2015, Az. 28 U 46/15), dass ein in einem Land Rover Discovery eingebautes Navigationsgerät nicht mit einem Sachmangel behaftet ist, wenn es personenbezogene Daten und Routendaten speichert. Eine ggf. unzulässige Datenweiterleitung findet laut Gutachten nicht statt.
In dem zugrunde liegenden Sachverhalt bestellte der Beklagte beim klagenden Autohaus einen individuell konfigurierten Land Rover Discovery 3.0 SDV6 zum Preis von 60.450 EUR. Vor der Auslieferung des Fahrzeugs verlangte der Beklagte neben einer Betriebsanleitung, dass die Fahrzeugtechnik “Ort, Zeit und Kilometer-Stand” nicht speichern und diese Daten nicht weiter senden dürfe. Andernfalls verletze eine Fahrzeugnutzung sein Recht auf informationelle Selbstbestimmung. Unter Hinweis hierauf verweigerte der Beklagte die ihm von der Klägerin angetragene Fahrzeugabnahme. Die Klägerin hatte ihn daraufhin auf Schadensersatz in Höhe von ca. 9.000 EUR verklagt.
Mit Erfolg. Nach dem Beschluss des OLG Hamm hatte der Beklagte kein Recht, die Abnahme des Neufahrzeugs zu verweigern. Vor der Übergabe des Fahrzeugs habe er, so das Gericht, keinen Anspruch auf das Übersenden einer Betriebsanleitung. Er habe die Abnahme auch nicht verweigern dürfen, weil das bestellte Fahrzeug mangelhaft gewesen sei. Seine Behauptung, der von ihm bestellte Land Rover verfüge bauartbedingt über unzulässige Vorrichtungen zum Ausspähen und zur permanenten Speicherung seiner persönlichen Daten, treffe nicht zu. Die von einem Kfz-Sachverständigen überprüfte Fahrzeugtechnik habe keinen Anhaltspunkt dafür ergeben, dass das Navigationsgerät Daten über den Fahrzeugstandort permanent speichere oder an andere Bauteile des Fahrzeugs weitergeben könne. Eine derartige Datenverarbeitung sei auch technisch nicht plausibel, weil diese Daten für eine elektronische Fehlerauswertung nicht von Bedeutung sein. Das im Fahrzeug überhaupt Daten gespeichert werden könnten, stelle keinen Verstoß gegen das Recht des Nutzers auf informationelle Selbstbestimmung dar und sei per se kein Sachmangel. Der Beklagte hätte das Fahrzeug als Nutzer erwerben und dann selbst über die abgelegten Daten verfügen können. Ähnlich verhalte es sich bei der Anschaffung eines Computers oder eines Smartphones, bei denen ebenfalls Daten der Nutzer gespeichert würden. Auch dieser Umstand sei kein technischer Fehler des jeweiligen Geräts.
Einwilligungserklärungen zur Verwendung von Daten finden sich häufig – auf Websites, in Formularen oder bei Verträgen. Häufig sind diese Einwilligungserklärungen jedoch nicht datenschutzkonform gestaltet: mal ist die Einwilligung als Bestandteil des Vertrages im Vertragstext “versteckt”, mal ist keine Widerrufsmöglichkeit angegeben.
Um diesen praktischen Problemen zu begegnen, hat der Düsseldorfer Kreis (also die datenschutzrechtlichen Aufsichtsbehörden der Länder) eine “Orientierungshilfe zur datenschutzrechtlichen Einwilligungserklärung in Formularen” herausgegeben. Hier werden die elf wichtigsten Punkte einer Einwilligungserklärung aufgeführt und erklärt.
Dies ist nicht die erste praktische Hilfe des Düsseldorfer Kreises: Hinsichtlich Einwilligungen zu Werbung sei auf den entsprechenden Leitfaden verwiesen, der die Fallstricke und Gestaltungsmöglichkeiten aufzeigt.
29. April 2016
Dass Computer auch im Straßenverkehr sprichwörtlich das Steuer in die Hand nehmen, ist längst schon keine abstruse Zukunftsmusik mehr. Einparkhilfen, Sicherheitsabstandsregulierer oder Ähnliches sind bereits eingezogen in das Cockpit des PKW. Gleichzeitig kann man in Tageszeitungen regelmäßig Berichte über Tests von vollautomatisierten Autofahrten verfolgen.
Doch wie stehen Verbraucher diesen Entwicklungen gegen über? – Skeptisch, wie eine Umfrage der Verbraucherzentrale Bundesverband e. V. ergibt.
Demnach sorgen sich ca. 80 % der Befragten um die Sicherheit ihrer Daten im PKW. Wie sicher sind die IT-Systeme wirklich? Wer haftet für einen Schaden, wenn sich über ein Fernzugriff ein Hacker ans Steuer setzt? Wie werten Anbieter die Daten aus, die bei einer Fahrt generiert werden?
Auf diese Fragen verlangen Verbraucherschützer klare und transparente Antworten. Eine höhere Akzeptanz der Verbraucher werde die Digitalisierung der Automobile nur erfahren, wenn für alle ersichtlich geklärt ist, wer wann welche Daten zu welchen Zwecken erhebt und verarbeitet und wann diese schließlich gelöscht werden.
21. April 2016
Das BKA-Gesetz steht schon länger auf dem Prüfstand, auch wir haben darüber berichtet. Nun ist die Entscheidund aus Karlsruhe da.
Wie u.a. zeitonline berichtet, ist das BKA-Gesetz, das dem Bundeskriminalamt (BKA) weitreichende Befugnisse zur heimlichen Überwachung von Bürgern einräumt, teilweise verfassungswidrig. Oder, wie es das BVerfG gestern, am 20.04.2016, schreibt, ist “die Ermächtigung des Bundeskriminalamts zum Einsatz von heimlichen Überwachungsmaßnahmen zur Abwehr von Gefahren des internationalen Terrorismus zwar im Grundsatz mit den Grundrechten vereinbar”, jedoch genügt “die derzeitige Ausgestaltung von Befugnissen aber in verschiedener Hinsicht dem Verhältnismäßigkeitsgrundsatz nicht”.
Das klingt nicht nur sperrig, sondern bedeutet auch viel Arbeit in der Umsetzung. Das BVerfG kritisiert vor allem fehlende Konkretisierungen von Normen, zu unbestimmte und zu weitgehende Befugnisse des BKA, den Datenaustausch zwischen Behörden, mangelnde Nachvollziehbarkeit der Maßnahmen sowie unzureichende Löschung.
Die Reaktionen auf das Urteil sind naturgemäß unterschiedlich. Während Bundesinnenminister Thomas de Maizière von der CDU alles andere als begeistert ist, begrüßt die Bundesbeauftragte für den Datenschutz und die Datensicherheit das Urteil.
20. April 2016
Wie Apple in seinem jüngst erschienenen Report on Government Information Requests bekanntmacht, wurden durch deutsche Strafverfolgungsbehörden zwischen Juli und Dezember 2015 insgesamt 11989 sog. Device Requests gestellt. Dabei handelt es sich um Anfragen, durch die neben Serien- und IMEI Nummern auch Kontaktdaten von Geräteinhabern ermittelt werden sollen. Ob und in welchem Umfang neben Strafverfolgungsbehörden, wie der Polizei, Informationen auch durch die deutschen Inlandsgeheimdienste (Verfassungschutzbehörden der Länder und des Bundes) abgefragt wurden, ergibt sich aus dem Bericht nicht.
Interessant ist, dass Apple lediglich in 52% der Fälle den Datenauskunftsersuchen der deutschen Behörden nachgibt. Immerhin in fast der Hälfte der Fälle dürfte der Konzern damit von rechtswidrigen bzw. ungerechtfertigten Ersuchen ausgehen, in den USA hingegen ist dies nur in 20% der Anfragen der Fall.
Überraschend ist vor allem aber die gewaltige Anzahl der Gesuche insgesamt. In anderen Mitgliedsländern der EU wurden entsprechende Anfragen deutlich seltener gestellt (Österreich 70, Italien 966, Frankreich 1610, Griechenland 11). Im Vergleich mit den USA (4000 Anfragen) wurden in Deutschland im gleichen Zeitraum nahezu drei Mal so viele Anfragen gestellt. Tatsächlich stammt mehr als die Hälfte aller Anfragen aus Europa, dem mittleren Osten und Afrika zusammengenommen aus der Bundesrepublik.
Auch bei sog. Account Requests, also Anfragen hinischtlich Adress- und weiterer Daten bzgl iTunes- bzw. iCloud-Accounts liegt Deutschland mit 130 weit vorn, nur in den USA und im Vereinigten Königreich wurden weltweit im gleichen Zeitraum mehr derartige Anfragen gestellt.
Gründe für die besondere Neugier deutscher Behörden lassen sich aus dem Bericht freilich nicht ableiten. Eine besonders hohe Diebstahlquote von Geräten mit dem Apfel in Deutschland erscheint, vor dem Hintergrund der gewaltigen Disproportionalität im Vergleich zu anderen Ländern, als Erklärung aber eher auszuscheiden.
Ob von Seiten der Politik oder Justiz eine Erklärung hierzu abgegeben wird, ist nicht bekannt.
18. April 2016
Das EU-Parlament stimmte vergangenen Donnerstag in Straßburg der Richtlinie zur EU-Fluggastdatenspeicherung zu. Zeitgleich dazu erfolgte die Verabschiedung der EU-Datenschutzgrundverordnung. Während einerseits in der EU das “Recht auf Vergessenwerden” normiert wird, werden die Fluggastdaten in der EU weitgehend gespeichert.
Der neuen Richtlinie zufolge dürfen nunmehr Fluggastdatensätze (sog. PNR – Passenger Name Records) zu Zwecken der Verhütung, Aufdeckung und strafrechtlichen Verfolgung terroristischer Strafdaten und schwerer Kriminalität verwendet werden. Die Luftfahrtgesellschaften werden verpflichtet, die Fluggastdaten für Flüge von der EU in Drittländer und andersherum den nationalen Behörden zu übermitteln, während Fluggastdaten für Flüge innerhalb der EU lediglich verarbeitet werden dürfen, nachdem die EU-Kommission davon in Kenntnis gesetzt wurde.
Fluggäste müssen sich in Zukunft also auf mehr staatliche Überwachung einstellen. Konkret handelt es sich u. a. um Angaben zum Reiseverlauf, zu Buchungsinformationen oder zur Zahlung. Für die Erhebung, Speicherung und Nutzung der PNR-Daten sowie deren Übermittlung an die zuständigen Behörden sollen PNR-Zentralstellen zuständig sein, deren Einrichtung durch die Mitgliedstaaten erfolgt. Die Fluggastdaten werden nach der Richtlinie für eine Dauer von fünf Jahren gespeichert, sechs Monate nach deren Übermittlung müssen sie jedoch unkenntlich gemacht werden.
Die Richtlinie sieht verschiedene Datenschutzmechanismen vor. Beispielsweise ernennen die nationalen PNR-Zentralstellen Datenschutzbeauftragte, die für die Einhaltung datenschutzrechtlicher Bestimmungen zuständig sind. Die Verarbeitung der PNR-Daten muss ferner protokolliert und dokumentiert werden. Werden durch die Verarbeitung besondere personenbezogene Daten (z. B. ethnische Herkunft oder Gesundheitsdaten) kenntlich, ist diese Verarbeitung untersagt.
Die Mitgliedstaaten haben nach der noch ausstehenden formellen Billigung der Richtlinie durch den Rat zwei Jahre Zeit, die Richtlinie umzusetzen.
Im betrieblichen Alltag gehen mehr und mehr Unternehmen dazu über, allein wegen der hohen Anschaffungskosten IT-Geräte (z. B. Multifunktionsdrucker, Laptops, Festplatten) zu mieten oder zu leasen. Dabei gerät schnell in Vergessenheit, dass Geräte, die über einen nicht flüchtigen Langzeitspeicher wie Festplatten und sog. „Flashspeicher-Bausteine“ verfügen, beim bestimmungsgemäßen Gebrauch (z. B. Kopieren und Faxen) personenbezogene Daten erzeugen. Diese Daten werden für einen unbestimmten Zeitraum auf diesen Speichern abgelegt. Daher sollte bei der Rückgabe von geleasten oder gemieteten IT-Geräten darauf geachtet werden, dass nicht versehentlich personenbezogene Daten an den Leasinggeber oder Vermieter weitergegeben werden.
Dazu hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BDI Berlin) in ihrem jüngst vorgestellten 15. Tätigkeitsbericht Stellung bezogen. Neben dem expliziten Hinweis, dass gerade auch Multifunktionssysteme, die in das eigene Netzwerk integriert werden können und internetfähig sind, ähnliche Sicherheitsvorkehrungen benötigen wie PCs oder Server, appelliert sie, dass die einsetzende Stelle sicherstellt, dass bei der Rückgabe gemieteter/ geleaster IT-Geräte die in den Geräten enthaltenen Datenträger – sofern diese nicht hinreichend verschlüsselt sind, was regelmäßig ausreichend ist – datenschutzkonform gelöscht sind bzw. die Datenträger datenschutzkonform vernichtet werden. Die Löschung/ Vernichtung durch ein in Deutschland zertifiziertes Unternehmen sei dabei regelmäßig als datenschutzkonform einzustufen.
15. April 2016
Wie gleich mehrere Online-Medien mit Verweis auf die Online-Community „Server Fault“ berichten, hat ein Kleinunternehmer durch die Eingabe eines Löschbefehls nicht nur den anvisierten Zielordner gelöscht, sondern gleich seinen kompletten Datenbestand – inklusive Back-Ups. Umso dümmer, dass das Unternehmen vor allem das Hosting geschäftlicher Websites betreibt, oder ja: betrieben hatte.
Um den Zielordner zu löschen, erteilte er den Befehl “rm -rf {foo}/{bar}”. Dabei beinhaltet das Kürzel „rf“ (recursive force) das Kommando einer Löschung unter Ignorieren aller Systemwarnungen. Dieser Löschbefehl bedarf allerdings der weiteren Information, welches Ziel denn überhaupt zu löschen sei. Offenbar war es die unterlassene Spezifizierung des Befehls, die zur Löschung sämtlicher Verzeichnisse, Ordner und Unterordner auf dem Server führte.
Der Unternehmer wandte sich ratsuchend an die Online-Community. Helfen könne ihm jetzt aber nur noch ein Anwalt, so der Tenor.
Die Tipps eines Users kann man aus Datensicherheitsaspekten allerdings nur unterschreiben:
- BackUps sichern.
- Tools, die nicht bekannt sind, nicht nutzen.
- Einen Befehl nie überall auf einmal nutzen.
- Befehle vor der Eingabe doppelt und dreifach checken.
Für den Unternehmer dürften diese Tipps wohl zu spät kommen.
Pages: 1 2 ... 190 191 192 193 194 ... 312 313