13. Mai 2019
Die Polizei Bayerns hat offenbar die Nummernschilder sämtlicher Fahrer auf Autobahnen aufgezeichnet und ausgewertet.
Seit 2018 hat die bayerische Polizei offenbar in mehreren Fällen entsprechende Autofahrerdaten erhoben und gespeichert, obwohl die automatisierten Lesegeräte offiziell nur zur gezielten Suche nach Fahndungsausschreibungen eingesetzt werden sollten.
So gab es im Jahr 2018 acht und 2019 drei Fälle, in denen im Anschluss an erfolgte Straftaten, die Kennzeichen sämtlicher Autofahrer auf nahegelegenen Autobahnen eingescannt und die Fahrzeuge fotografiert wurden. Nach einem konkreten Nummernschild eines Fluchtwagens sei dabei aber gerade nicht gefahndet worden.
Anstatt die erfassten Kennzeichen nach dem Abgleich mit den Fahndungslisten wieder zu löschen, sind diese für die spätere Auswertung fortwährend gespeichert worden.
Erst im Februar hatte das Bundesverfassungsgericht die Praxis solcher Kontrollen unter anderem in Bayern teils als Verstoß gegen das Grundgesetz gewertet (wir berichteten).
10. Mai 2019
Die Finanzbuchhaltungs- und Steuer-Software des Unternehmens Wolters Kluwer ist augenscheinlich seit Beginn der Woche (teilweise) ausgefallen. Grund hierfür seien, so eine Mitteilung des niederländischen Unternehmens, merere Aspekte. Einerseits seien bereits am 06.05.2019 Störungen des Betriebs diverser Plattformen erkennbar gewesen. Andererseits hätte man Anomalien im System der Plattformen festgestellt und diese aus Sicherheitsgründen vom Netz genommen.
Aus aktueller Perspektive ist noch nicht ersichtlich, ob der Vorfall auch in Bezug auf personenbezogene Daten relevant wird. Unternehmen sollten dennoch in Betracht ziehen, ihre Prozesse sowohl hinsichtlich datenschutzrechtlicher als auch (insbesondere) hinsichtlich etwaiger Aspekte der Informationssicherheit zu überprüfen.
9. Mai 2019
Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat gestern den Jahresbericht seiner Behörde für das Jahr 2017/2018 vorgestellt. Insgesamt konnte daraus ein positives Fazit gezogen werden. Er spricht von einer „Zeitenwende im Datenschutz“. Seit dem 25. Mai 2018 wurden 6507 allgemeine Anfragen gestellt und 3108 Beschwerden. Im Jahr 2017 war es noch die Hälfte.
Bei den Informations- und Dokumentationspflichten, die viele Unternehmen belasten, gebe es noch Nachbesserungsbedarf. Aus Angst den Bestimmungen nicht gerecht zu werden, wurden beispielsweise Foren oder Webseiten sicherheitshalber eingestellt. Diese Angst soll durch Hilfestellungen genommen werden.
Kelber warnte jedoch vor Grundrechtseingriffen durch die Sicherheitsbehörden: „Bevor weitergehende Möglichkeiten für Grundrechtseingriffe geschaffen werden, sollten die Sicherheitsbehörden besser erst einmal bereits bestehende Kompetenzen komplett ausschöpfen.“
Die Datenschutzoffensive (wir berichteten) des Suchmaschinenriesen geht weiter.
Im Google-Browser Chrome können Nutzer schon seit Jahren im Inkognito-Modus surfen. Infolgedessen werden die besuchten Webseiten und Cookies nicht gespeichert. Die Navigations-App Google Maps bekommt nun auch einen privaten Modus, wie Google in einem Blogbeitrag schreibt. Es ist nicht die einzige Neuerung.
Künftig können Nutzer die Speicherung von Aktivitätsdaten bei Google Maps vorübergehend aussetzen. Dazu müssen sie in den neuen Inkognito-Modus wechseln. Bisher war das nur über einen Umweg über die Privatsphäre-Einstellungen im Google-Konto möglich.
Auch im Fall von Google Maps bedeutet ein Inkognito-Modus, dass Google keine Daten über die vom Nutzer gesuchten Orte oder Routen speichert. Der Standortverlauf des Nutzers, also seine Bewegungsdaten und Aufenthaltsorte, bleiben vor Google verborgen.
Zudem ermöglicht Google jetzt in allen seinen wichtigen Anwendungen einen direkten Zugang zum Google-Account. Nach einem Klick auf das platzierte Profilbild sollen Nutzer einfacher sehen können, welche Informationen sie mit Google teilen. Auch ein schnelles Navigieren zu den mit An-/Aus-Schaltern zu kontrollierenden Privatsphäre- und Sicherheitseinstellungen soll künftig gewährleistet werden.
8. Mai 2019
Der Software-Konzern reagiert auf die Kritik am Umgang mit Benutzerdaten (wir berichteten) in seinen Produkten, die in Europa in den vergangenen Monaten lauter geworden ist.
Als Reaktion darauf möchte Microsoft über drei Zugänge seinen Kunden mehr Transparenz und Kontrolle über ihre Daten geben. Das wurde nun auf einem Blogbeitrag veröffentlicht.
Zunächst sollen die gesammelten Daten in zwei Gruppen eingeteilt werden: Notwendige (required) und optionale. Notwendige Informationen braucht Microsoft, damit Produkte wie das Betriebssystem oder Office-Software richtig funktionieren. Darunter fallen etwa Begriffe bei Suchanfragen, aber auch Geräte-IP und -typ.
Optionale Daten sollen zur Produktverbesserung genutzt werden. Die genutzten Microsoft-Produkte werden jedoch umfänglich funktionieren – unabhängig davon, ob Kunden der Sammlung von optionalen Daten zustimmen.
Das transparentere Vorgehen soll dem Nutzer die Entscheidung, welche Daten er teilen möchte, erleichtern. In verständlicher Sprache will Microsoft dann erklären, wofür es die Daten überhaupt sammelt und warum sie einer der beiden Kategorien zugeordnet wurden.
Letzlich will Microsoft auch halbjährlich Reports veröffentlichen. So soll zum einen veröffentlicht werden, wenn neue notwendige Daten gesammelt werden. Zum anderen sollen Kunden aber auch darüber informiert werden, wenn Microsoft aufhört, bestimmte Arten von notwendigen Daten zu sammeln. Der IT-Konzern will in den Reports auch darauf eingehen, wie er auf neue Datenschutzbestimmungen reagiert.
Die Maßnahmen sollen in den folgenden Monaten umgesetzt werden. Zunächst für die Produkte Windows 10 und Office 365 ProPlus, anschließend für die Plattformen Xbox und Dynamics 365.
7. Mai 2019
Hacker sind offenbar in das deutsche Internet-Infrastrukturunternehmen Citycomp eingebrochen, das Dienstleistungen für viele große und weltweit tätige Unternehmen, wie beispielsweise Toshiba, Airbus, Oracle, Ericsson, Leica, UniCredit, British Telecom, Hugo Boss, NH Hotel Group und Kaufland, anbietet.
Laut Bericht des US-Portal „Motherboard“ seien dabei umfangreiche Daten von Citycomp-Kunden erbeutet worden. Das Portal beruft sich auf Angaben von Michael Bartsch, Geschäftsführer von Deutor Cyber Security Solutions, der von Citycomp ermächtigt worden sei, über den Fall zu sprechen.
Volkswagen untersuche derzeit ein Online-Datenleck das bei seinem Zulieferer Citycomp zu verantworten sei, bestätigte der Automobilkonzern auf Anfrage. „Nach aktuellen Erkenntnissen sind die potenziell zugänglichen Dokumente nicht vertraulicher Natur“, heißt es.
Dem Bericht zufolge behaupten die Hacker, im Besitz von 312.570 Dateien in 51.025 Ordnern zu sein. In dem Datenbestand von über 516 Gigabyte befänden sich finanzielle und private Informationen.
6. Mai 2019
Bereits seit einigen Jahren bietet die Deutsche Post einen Dienst an, der die Abwicklung des Schriftverkehrs vereinfachen soll. Durch die sogenannte „E-Post“ kann der Kunde einen Brief online erstellen und dieser digitale Brief wird von der Deutschen Post, falls auf der Empfängerseite kein E-Post-Konto besteht, ausgedruckt, kuvertiert und frankiert. Anschließend wird er auf dem normalen Postweg dem gewünschten Empfänger zugestellt. Die Deutsche Post bewirbt ihr Verfahren mit der Zeit-und Geldersparnis ihrer Kunden. Als weiteren Vorteil für die Kunden nennt die Deutsche Post das Versenden von Einschreiben, wenn die Filialen bereits geschlossen sind.
Doch weil sie die Daten für Werbezwecke nutzen will, sind Datenschützer skeptisch.
Die Bundesdatenschutzbehörde prüft das neue Angebot kritisch, insbesondere unter dem Aspekt, ob die Wahrung des Telekommunikations- und Postgeheimnisses sichergestellt ist. Eine „abschließende datenschutzrechtliche Bewertung“ sei bislang nicht erfolgt, teilte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit der FAZ auf Anfrage mit. Ebenso erklärte er dieser gegenüber, dass derzeit geprüft werde, „ob und inwieweit es überhaupt zulässig ist, für die werbliche Ansprache von neuen Kunden E-Post-fähige Sendungen auf Mikrozellenebene auszuwerten und die Sendungsempfänger zu kontaktieren“.
Die Post wird vorerst keine Daten zu Werbezwecken verwenden und die Bewertung der Datenschutzbehörde abwarten.
In einem Teilurteil vom 19.03.2019 (Az.: 4 A 12/19) erklärte das Verwaltungsgericht Lüneburg den Einsatz des GPS Ortungssystems bei Firmenfahrzeugen für unzulässig. Jedoch komme es dabei im Einzelfall immer auf den konkreten Zweck und Umfang der Überwachung an.
In dem Verfahren klagte ein Gebäudereinigungsunternehmen nachdem es einen Bescheid einer Landesaufsichtsbehörde erhalten hatte. Darin wurde der Klägerin die weitere Nutzung der Ortungssysteme während der ordnungsgemäßen betrieblichen Nutzung der Fahrzeuge untersagt.
Das GPS-System speichert jegliche gefahrene Strecke mit Start- und Zielpunkten einschließlich der gefahrenen Zeit für einen Zeitraum von 150 Tagen. Durch einen Tastendruck lässt sich das Ortungssystems nicht ein- oder ausschalten. Lediglich zwischen dem Ende eines Arbeitstages und dem Beginn der Arbeitszeit des Folgetages ist eine Deaktivierung unter erheblichem Aufwand möglich. Das Ortungssystem erfasst die Kennzeichen der betroffenen Fahrzeuge. Die Fahrzeuge selbst sind den jeweiligen betrieblichen Nutzern zugeordnet. Laut der Klägerin sei eine private Nutzung der Firmenfahrzeuge nicht vereinbart. Dabei räumte sie aber ein, dass eine private Nutzung durch die Objektleiter geduldet werde.
Als Zweck dieser Ortung gab die Klägerin eine betriebliche Notwendigkeit an, um Touren zu planen, Mitarbeiter und Fahrzeuge zu koordinieren, Nachweise gegenüber den Auftraggebern zu erbringen, Diebstahlsschutz zu gewährleisten, eventuell gestohlene Fahrzeuge aufzufinden und um schließlich das Wochenendfahrverbot und das Verbot von Privatfahrten zu überprüfen.
Das VG wies die Anfechtungsklage als unbegründet ab. Die Verarbeitung von Positionsdaten der Beschäftigten stehe nicht im Einklang mit dem nach § 26 BDSG zu gewährleistenden Beschäftigtendatenschutz, der über die Öffnungsklausel nach Art. 88 Abs. 1 DSGVO zu beachten ist. Ebenfalls ließe sich die Datenverarbeitung nicht auf die Erlaubnistatbestände aus Art. 6 Abs. 1 c) und f) DSGVO stützen. Zudem scheiterte die Einwilligung aufgrund der fehlenden Transparenz und dem erforderlichen Hinweis auf das Widerrufsrecht.
Die Verarbeitung der Positionsdaten der Beschäftigten sei nicht für die Durchführung des Beschäftigungsverhältnisses erforderlich. Bei den Privatfahrten bestehe kein pauschales Überwachungsbedürfnis des Arbeitgebers. Der Eingriff in das Recht auf informationelle Selbstbestimmung kann in diesem Fall nicht durch ein berechtigtes unternehmerisches Interesse des Arbeitgebers gerechtfertig werden.
Soweit während der Arbeitszeiten anfallende Daten über das Ortungssystem zu dem Zweck erhoben und gespeichert werden, um Touren zu planen, Mitarbeiter- und Fahrzeugeinsatz zu koordinieren, sei dies ebenfalls nicht erforderlich.
Zudem sei eine ständige Erfassung der Fahrzeugposition und die Speicherung über 150 Tage für präventiven Diebstahlsschutz ungeeignet.
3. Mai 2019
Gemäß Art. 85 Abs. 1 DSGVO sind die nationalen Gesetzgeber aufgefordert, Regelung zu erlassen, die das Recht auf freie Meinungsäußerung und Informationsfreiheit mit dem Schutz personenbezogener Daten in Einklang bringen. In Deutschland wurde hierzu der Rundfunkstaatsvertrag (RStV) neu gefasst. Nach § 9c RStV unterliegen private Rundfunkveranstalter und ihre Hilfsunternehmen dem Medienprivileg, sofern personenbezogene Daten zu journalistischen Zwecken verarbeitet werden.
Der Begriff „journalistische Zwecke“ ist in diesem Zusammenhang weit zu verstehen (Erwägungsgrund 153 DSGVO). Tätigkeiten können als journalistisch eingestuft werden, wenn sie zum Zweck haben, „Informationen, Meinungen oder Ideen, mit welchem Übertragungsmittel auch immer, in der Öffentlichkeit zu verbreiten“ (EuGH Urteil vom 14.02.2019, C‑345/17). Darüber hinaus muss die „Absicht einer Berichterstattung“ (BGH Urteil vom 01.02.2011, Az. VI ZR 345/09) gegeben sein. „Informationen“ sind nach § 2 Abs. 2 Nr. 15 RStV insbesondere Nachrichten und Zeitgeschehen, politische Information, Wirtschaft, Auslandsberichte, Religiöses, Sport, Regionales, Gesellschaftliches, Service und Zeitgeschichtliches. Darüber hinaus ist eine redaktionelle Verantwortung erforderlich. Das bedeutet, es bedarf einer wirksamen Kontrolle über die Zusammenstellung und die Bereitstellung der Inhalte. Unschädlich ist, wenn mit der journalistischen Tätigkeit eine Gewinnerzielungsabsicht verbunden ist oder die Sendung auch unterhaltenden Charakter hat. Unter die journalistische Tätigkeit fällt die Recherche, Redaktion, Veröffentlichung, Dokumentation und Archivierung.
Das Medienprivileg besagt, wenn personenbezogenen Daten zu journalistischen Zwecken verarbeitet werden, ist nur ein kleiner Auszug der Regelungen aus der DSGVO zu berücksichtigen. Dazu zählen insbesondere das Datengeheimnis und eine sichere Verarbeitung von personenbezogenen Daten durch angemessene technische und organisatorische Maßnahmen. Nach dem Medienprivileg nicht zu berücksichtigen ist insbesondere die Einholung einer Einwilligung zu der Verarbeitung von personenbezogenen Daten – das gilt auch für besondere Kategorien von personenbezogenen Daten – und die Information der Betroffenen über die Verarbeitung von personenbezogenen Daten. Darüber hinaus ist das Auskunftsrecht der Betroffenen gemäß § 9c Abs. 3 RStV erheblich eingeschränkt, da eine Auskunft nur nach einer Abwägung der schutzwürdigen Interessen erfolgen muss.
Google-Nutzer können ihre Daten über besuchte Websites und Aufenthaltsorte künftig automatisch löschen lassen.
„Wir arbeiten daran, Ihre Daten privat und sicher zu speichern“, versichert Google. „Wir haben das Feedback bekommen, dass sich Nutzer einen einfachen Weg wünschen, Daten zu verwalten oder zu löschen.“
Die Funktion soll in den kommenden Wochen verfügbar sein.
Informationen zu gesuchten Inhalten und Orten werden je nach Nutzereinstellung alle drei Monate oder alle 18 Monate bereinigt, teilte Google auf seinem Blog mit.
Bei Google sammeln sich allerdings noch diverse andere Daten an. Der Internetkonzern machte in dem Blogeintrag keine Angaben dazu, ob man künftig auch andere Datenkategorien mit einem Verfallsdatum versehen können wird.
