2. September 2019
Der europäische Datenschutzausschuss (EDSA) hat kürzlich Leitlinien „zur Verarbeitung personenbezogener Daten durch Videogeräte“ veröffentlicht. Hintergrund ist der zunehmende Einsatz von Videogeräten in den verschiedensten Lebensbereichen. Die Menge der mit Videogeräten erhobenen Daten sowie der Einsatz intelligenter Technologien schränkt die Möglichkeit die eigene Privatsphäre zu bewahren erheblich ein. Die Leitlinien des EDSA enthalten dabei folgende Kernpunkte.
Die Verwendung von Videogeräten kann die Anwendung der DSGVO nur dann auslösen, wenn personenbezogene Daten über das Videogerät erfasst werden. Das ist der Fall, wenn eine Person direkt oder indirekt identifiziert wird. Die Verarbeitung wird nicht von den zuständigen EU-Behörden zum Zwecke der Verhütung, Aufdeckung oder Verfolgung von Straftaten oder der Vollstreckung von strafrechtlichen Sanktionen durchgeführt. Andernfalls fällt die Verarbeitung in den Anwendungsbereich der EU-Richtlinie zur Strafverfolgung. Als Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Videogeräte kommt überwiegend der Erlaubnistatbestand des Art. 6 Abs. 1 lit. f DSGVO in Betracht.
Werden spezielle Datenkategorien (z.B. biometrische Daten) verarbeitet, birgt dies erhöhte Risiken für den Einzelnen. Daher wird eine erhöhte und kontinuierliche Wachsamkeit bei bestimmten Verpflichtungen wie z.B. eine Datenschutzfolgenabschätzung gefordert.
Zur Sicherstellung von Transparenz für die Betroffenen sieht der EDSA ein mehrstufiges Informationssystem („Mehrebenen-Ansatz“) vor. Auf der ersten Informationsebene steht die Verwendung eines Hinweisschildes mit den wichtigsten Angaben. Auf zweiter Informationsebene (idealerweise digital) sollten alle weiteren nach Art. 13 DSGVO erforderlichen Informationen enthalten sein. Einen weiteren wichtigen Punkt stellen die Aufbewahrungsfristen dar. Dabei gilt, dass bei längerer Speicherung der Daten (mehr als 72 Stunden), der Verantwortliche die Erforderlichkeit der Speicherung besonders darlegen muss.
Bei den Leitlinien handelt es sich nicht um unmittelbar bindende Bestimmungen. Allerdings können sie bei der Auslegung innerhalb der DSGVO herangezogen werden.
30. August 2019
Wie Sie vielleicht bereits wissen geht datenschutzticker.de am 30.10.2019 live. Nach mehr als acht erfolgreichen Jahren und über 2.000 Blogbeiträgen ist es aus unserer Perspektive Zeit, eine Plattform für Kommunikation und Austausch zu schaffen. Aus diesem Grund wollen wir aus der digitalen in die analoge Welt vordringen und dem datenschutzticker.de ein Gesicht geben:
datenschutzticker.live bietet Behörden und Unternehmen am 30.10.2019 unter dem Motto „industry meets authority“ tiefere Einblicke in die Arbeit von Unternehmens-Datenschutzbeauftragten und Datenschutzbehörden. Außerdem soll ein Austausch zwischen den Beteiligten ermöglicht werden.
Wir freuen uns auf den Bundesbeauftragten für Datenschutz und Informationsfreiheit, Herrn Prof. Ulrich Kelber sowie die Landesdatenschutzbeauftragten für Hessen, Herrn Prof. Michael Ronellenfitsch und Sachsen-Anhalt, Herrn Dr. Harald von Bose! Zudem werden Unternehmensvertreter über ihre tägliche Arbeit mit datenschutzrechtlichem Bezug referieren.
Diese hochkarätigen Redner werden Ihnen einen Einblick in ihre Arbeit geben und darüber hinaus auch (überwiegend) an einer Podiumsdiskussion teilnehmen, sodass ein Austausch mit Ihnen möglich ist. Im Rahmen der Podiumsdiskussion möchten wir Ihnen die Möglichkeit geben, datenschutzrechtliche Fragen zu stellen. Wir bitten Sie, Ihre Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.
Zur Vorbereitung auf die Veranstaltung – sowie Ihrer allgemeinen Information – wird in den nächsten Wochen eine vertiefte Auseinandersetzung mit dem Thema datenschutzrechtliche Sanktionen im Rahmen einer Themenreihe auf datenschutzticker.de stattfinden.
Der erste Beitrag dieser Reihe wird am 20.09.19 erscheinen und Sie über die gesetzlichen Grundlagen der EU-Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes informieren.
Wir freuen uns, Ihnen dieses Thema näher zu bringen und Sie beim datenschutzticker.live kennenzulernen.
Melden Sie sich gerne kostenlos für unsere Veranstaltung datenschutzticker.live am 30.10.2019 an.
Aktuelle Informationen bezüglich datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.
27. August 2019
Boris Johnson sieht scheinbar „realistische Chancen“ auf erneute Verhandlungen mit den übrigen europäischen Staaten. Über diese Aussage hinaus hat er jedoch – ausweislich von Medienberichten – keine Aussage dahingehend getroffen, wie dies realisierbar wäre. Diese und andere Aussagen des britischen Premiers erhärten die Annahme, es könne im Oktober zu einem so betitelten „no-deal Brexit“ kommen. Dieser Beitrag soll den Fokus noch einmal auf diejenigen Aspekte lenken, die Unternehmen in diesem Kontext zwingend berücksichtigen sollten. Weitere Informationen werden von der Datenschutzkonferenz angeboten (wenn auch noch für das ehemalige Austrittsdatum).
Datenschutzrechtliche Einordnung des Vereinigten Königreichs
Künftig würde es sich bei dem Vereinigten Königreich um einen Drittstaat im Sinne der Artikel 44 bis 49 DSGVO handeln. Insoweit bestünden grundsätzlich keine Unterschiede zu anderen Staaten außerhalb der Europäischen Union, wie zum Beispiel den USA.
Voraussetzung eines Datentransfers
Unabhängig vom Status des Empfängerlandes muss die Datenübermittlung dem Grunde nach zulässig sein. Jedwede Verarbeitung personenbezogener Daten bedarf auch in diesem Kontext einer Rechtsgrundlage.
Darüber hinaus muss der Transfer in das Drittland selbst zulässig ist. Dies ist einerseits der Fall, wenn die Europäische Kommission das Datenschutzniveau im Rahmen eines Angemessenheitsbeschlusses bestätigt (sicheres Drittland).
Existiert andererseits kein Angemessenheitsbeschluss, so muss das datenverarbeitende Unternehmen auf andere Weise sicherstellen, dass die personenbezogenen Daten beim Empfänger ausreichend geschützt werden (unsicheres Drittland). Dies kann je nach Sachverhalt durch Standarddatenschutzklauseln, Binding Corporate Rules, vertragliche Verpflichtung zur Einhaltung von allgemein gültigen Verhaltensregeln oder durch die Zertifizierung des Verarbeitungsvorgangs realisiert werden. Wird ein angemessenes Schutzniveau nicht erreicht, so kann unter anderem die Einwilligung des Betroffenen einen Datentransfer legitimieren.
Um potentielle Verstöße zu vermeiden sollte jeder Datentransfer allerdings unabhängig von diesen Ausführungen ausschließlich anhand der Umstände des Einzelfalls beurteilt werden.
Mit einer Klage gegen das Bundeskriminalamt wollte ein italienischer Staatsbürger mit Wohnsitz in Brüssel erreichen, dass seine Fluggastdaten nicht gespeichert, verarbeitet oder übermittelt werden. Seinen Antrag im Wege des einstweiligen Rechtsschutzes hat das Verwaltungsgericht Wiesbaden als unzulässig abgelehnt. Nach Auffassung des Gerichts fehlt es schon am notwendigen Rechtsschutzinteresse (Beschl. v. 21.08.2019, Az. 6 L 807/19.WI).
Im Zeitraum zwischen Mai 2018 und Juli 2019 unternahm der Antragsteller mehrfach Flüge von und nach Belgien. In seinem Eilantrag ging es konkret um den Flug im November 2019 von Brüssel nach Berlin bzw. einige Tage später nach Brüssel zurück. Dabei forderte er das Bundeskriminalamt zu der Erklärung auf, dass seine Fluggastdaten zu den beiden Flügen im November 2019 nicht gespeichert, verarbeitet und/oder übermittelt werden. Diese Maßnahmen verstießen gegen sein Recht auf Achtung des Privat- und Familienlebens aus Art. 7 der Charta der Grundrechte der Europäischen Union (GRCh), sein Recht auf Schutz der personenbezogenen Daten aus Art. 8 GRCh sowie sein Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG.
Das Bundeskriminalamt lehnte den Antrag ab und wies darauf hin, dass die Sicherheitsbehörde nach dem deutschen Fluggastdatengesetz (FlugDaG), die Fluggastdaten des Antragstellers speichern müsse. Die Eingriffe in die Rechte des Antragstellers seien gerechtfertigt, weil durch die Regelungen des Fluggastdatengesetzes terroristische Straftaten und schwere Kriminalität verhindert werden sollen.
Das VG Wiesbaden lehnte den Eilantrag des Antragstellers bereits wegen seinem fehlenden Rechtschutzinteresses als unzulässig ab. Die Kammer erklärte in ihrem Beschluss, der Mann habe zwischen Mai 2018 und Juli 2019 zahlreiche Flüge von Belgien aus oder mit dem Ziel Belgien unternommen. Auch dort wurden Fluggastdaten gespeichert, was er offensichtlich widerspruchslos hingenommen habe. Es sei daher nicht ersichtlich, warum die Datenerhebung in Deutschland unzumutbar für ihn sein sollte.
Gegen den Beschluss kann der Antragsteller Beschwerde einlegen, worüber dann der Verwaltungsgerichtshof (VGH) Kassel zu entscheiden hat.
Im Alter von 62 Jahren ist vergangene Woche Europas oberster Datenschützer Giovanni Buttarelli verstorben – dies gab die Behörde des Europäischen Datenschutzbeauftragten (EDPS) kürzlich bekannt. „Wir sind alle zutiefst traurig über den tragischen Verlust eines solchen netten und brillanten Menschen“, teilte die Behörde mit.
Buttarelli war zunächst als Richter und Generalsekretär der Datenschutzaufsichtsbehörde in Italien tätig bevor er 2009 zunächst stellvertretend und dann 2014 das Hauptamt des Europäischen Datenschutzbeauftragten übernahm. Seine Amtszeit hätte noch bis Dezember 2019 gedauert.
Während seiner Amtszeit stärkte er das Amt des Europäischen Datenschutzbeauftragten, dass durch die Einführung der DSGVO globales Gewicht erhielt. So entsprach das Inkrafttreten der DSGVO auch den Hauptanliegen seiner Tätigkeit, nämlich der erhöhte Schutz der Privatsphäre jedes Einzelnen sowie die Einhaltung des Datenschutzes durch globale Konzerne und Großunternehmen.
26. August 2019
Als Folge eines Sicherheitsvorfalls, durch welchen Unbekannte Zugriff auf eine Kundendatenbank des Webhosters Hostinger erlangten, ließ dieser die Passwörter von 14 Millionen Kunden zurücksetzen.
Laut Hostinger konnten Daten wie Datenbank Namen, E-Mail- , IP-Adressen und Kennwörter eingesehen werden. Bankdaten blieben davor jedoch geschützt, da diese auf einem externen Server hinterlegt sind. Die Kennwörter sind zwar durch einen SHA-1 geschützt worden, jedoch gilt dieser Hash-Algorithmus als sehr unsicher.
Die Nutzer welche sich nun wieder in Ihren Account einloggen wollen, müssen ein neues Passwort vergeben. Der Webhoster bat seine Kunden bei der Vergabe neuer Passwörter darauf zu achten, dass diese nicht bereits bei einem anderen Online-Service genutzt werden.
Zukünftig will Hostinger eine Zwei-Faktor-Authentifizierung (2FA) einrichten um die Accounts seiner Kunden besser zu schützen.
22. August 2019
Mastercard’s Priceless Special-Plattform, ein Mastercard Bonusprogramm, ist seit Dienstag offline.
Grund dafür ist eine im Internet frei verfügbare Liste, die die persönlichen Daten von knapp 90.000 Mastercard-Kunden enthält. Zu den Daten gehören Vor- und Nachname, Geburtsdatum, E-mail-adresse und in einigen Fällen zudem die Adresse sowie Handynummer des Betroffenen.
Nach Recherchen von heise Security, die auf die Liste aufmerksam gemacht wurden, handelt es sich um echte Daten. Betroffen sind hauptsächlich deutsche Mastercard-Kunden.
heise Security informierte Mastercard am Montag über das potentielle Datenleck. Derzeit untersucht Mastercard den Vorfall
Zwischenzeitig ist eine zweite Tabelle im Internet aufgetaucht. Diese enthält nach Informationen von heise Security vollständige Kreditkartennummern von rund 84.000 Betroffenen – Informationen zu Karteninhabern, Ablaufdatum und CVC sind nicht enthalten. Demnach scheint ein direkter Missbrauch erst mal ausgeschlossen, allerdings ist nicht bekannt, ob derjenige, der die Liste veröffentlicht hat, Zugriff auf diese Daten hat. Ob diese zweite Liste echt ist, ist noch nicht abschließend geklärt.
Die veröffentlichten Daten können für Phishing-Mails missbraucht werden. Deswegen ist derzeit besondere Vorsicht im Zusammenhang mit E-mails von Mastercard geboten. Auch wenn die E-mails optisch aussehen, als würden sie von Mastercard stammen, sollte in der nächsten Zeit verstärkt darauf geachtet werden, nicht auf Phishing-Mails reinzufallen.
Das Hasso-Plattner-Institut hat seinen Identity Leak Checker um die Daten der Listen erweitert. Sie können überprüfen, ob ihre Daten von dem Leck betroffen sind.
19. August 2019
Medienberichten zufolge haben Hacker aus Israel eine Datenbank aufgespürt, in der circa eine Millionen Fingerabdrücke sowie andere biometrische Daten nahezu ungeschützt abgelegt sind.
Ausweislich des Berichtes handelt es sich hierbei um eine Datenbank für die Software „Biostar 2“. Diese wird von dem koreanischen Unternehmen Suprema Inc. entwickelt und verkauft. Mittels dieser Software wird Unternehmen die Verwaltung der Zugangskontrolle mittels intelligenter Türschlösser ermöglicht. Zu diesem Zweck werden beispielsweise Fingerabdrücke oder sonstige biometrische Daten im System hinterlegt.
Der Vorfall bezöge sich auf mehr als 27 Millionen Datensätze sowie 23 Gigabyte Daten. Diese seien durch Kunden durch lediglich unzureichende Passworte, wie beispielsweise „abcd1234“, gesichert worden. Darüber hinaus seien von Unternehmensseite ebenfalls unzureichende Maßnahmen die zur Sicherung der Daten vorgenommen worden.
Aus datenschutzrechtlicher Perspektive ist die Vertraulichkeit personenbezogener Daten elementar wichtig. Dies zeigt bereits, dass Integrität und Vertraulichkeit personenbezogener Daten einer der Grundsätze für jede Datenverarbeitung im Sinne der DSGVO ist (vgl. Art. 5 Abs. 1 lit f) DSGVO).
15. August 2019
Die Digitalisierung des Gesundheitssystems schreitet weiter voran. Das digitale Versorgungsgesetz (DVG) sieht vor, dass Ärzte künftig Gesundheits-Apps verschreiben können und die Kosten dafür von den Krankenkassen erstattet werden sollen. Viele Patienten nutzen schon jetzt Gesundheits-Apps, die sie zum Beispiel dabei unterstützen, ihre Arzneimittel regelmäßig einzunehmen oder ein Diabetes Tagebuch zu führen.
Bei den Apps werden jedoch in großem Umfang Gesundheitsdaten verarbeitet, welche nach Art. 9 DSGVO zu den sensiblen Daten zählen. Der Einsatz von Gesundheits-Apps birgt damit erhebliche Risiken für das Recht auf informationelle Selbstbestimmung.
Mit Inkrafttreten der EU-Medizinprodukte-Verordnung am 25. Mai 2017 müssen sich Entwickler von Gesundheits-Apps auf deutlich höhere Anforderungen einstellen. Nicht nur nur die Definition weitet sich aus, weshalb mehr Apps der Verordnung unterfallen, auch die Risikoklasse steigt. Bis zum 26. Mai 2020 gilt allerdings noch eine weniger strenge Übergangsregelung.
Laut dem Bundesministerium für Gesundheit soll für die Gesundheits-Apps ein zügiger Zulassungsweg geschaffen werden.
14. August 2019
Externe Unternehmen haben für Facebook Sprachaufnahmen der User seines Messenger-Dienstes ausgewertet. Laut der Finanznachrichtenagentur Bloomberg wussten die Mitarbeiter nicht um was für Daten es sich handelt und sollten diese nur transkribieren.
Betroffen seien die Nutzer des Messenger-Dienstes, die die Transkriptionsfunktion eingeschaltet hatten. Facebook wollte auf diese Weise prüfen, ob die Software die Sätze richtig verstanden hat. Facebook gab außerdem an, dass die betroffenen Nutzer in die Verarbeitung eingewilligt hätten und dass die Auswertung der Sprachaufnahmen pausiert wurde.
Ende Juli erst wurde Facebook eine Rekordstrafe von 5 Milliarden Dollar wegen Datenschutzverstößen auferlegt. Bei einer Anhörung im US-Kongress im April 2018 hat Mark Zuckerberg die Auswertung von Sprachaufnahmen noch als „Verschwörungstheorie“ abgetan.
