4. Juli 2012
Bei ihrem Juni-Treffen hat sich die Artikel 29 Datenschutzgruppe nicht nur zu Binding Corporate Rules geäußert, sondern auch dazu Stellung genommen, wann nach der sogenannten Cookie-Richtlinie keine Einwilligung zum Setzen eines Cookies erforderlich ist. Ein Cookie darf generell ohne Einwilligung gesetzt werden, wenn die Ausnahmekriterien von Artikel 5 Absatz 3 der Richtlinie vorliegen. Demnach muss der alleinige Zweck [des Cookies] die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz sein, oder [das Setzen eines Cookies] unbedingt erforderlich sein, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Anhand praktischer Beispiele führt die Artikel 29 Datenschutzgruppe auf, welche Situationen von dieser Ausnahmeregelung gedeckt sein können:
- „Nutzer-Eingabe“ Cookies, die dazu genutzt werden, um dem Nutzer Eingaben bei mehrseitigen Formularen oder die richtigen Artikel im Warenkorb zuzuordnen, sollen der Ausnahme unterfallen können, wenn es sich um First-Party Cookies handelt, die nur für kurze Dauer (z.B. die aktuelle Sitzung) Gültigkeit haben.
- Authentifizierungscookies, z.B. das Login bei einer Online-Bank, sollen ebenfalls unter den genannten Voraussetzungen von der Ausnahme umfasst sein. Über die Dauer einer Sitzung gespeicherte Authentifizierungscookies bedürfen jedoch einer Einwilligung des Nutzers. Dazu soll aber bereits die Checkbox „Eingeloggt bleiben (setzt ein Cookie)“ ausreichend sein.
- Nutzerbezogene Sicherheitscookies, z.B. die Aufzeichnung wiederholt fehlgeschlagener Loginversuche, können sogar einwilligungsfrei sein, wenn sie dauerhaft gespeichert werden, da sie sonst ihren Zweck nicht erreichen könnten.
- Audio-Video Session Cookies / Flash Cookies sind solche Cookies, die dazu genutzt werden, um technische Daten zur Wiedergabe von Audio- oder Videoinhalten (Bildqualität, Verbindungsgeschwindigkeit, Zwischenspeicherungsparameter) zu speichern. Auch diese sollen keine Einwilligung voraussetzen, solange sie ausschließlich diesem Zweck dienen und nur bis zum Ende der aktuellen Sitzung gespeichert werden.
- Load-Balancing Session Cookies sollen ebenfalls für die Dauer einer Sitzung ohne Einwilligung gesetzt werden könne, wenn es erforderlich ist, dass der Nutzer immer demselben Server zugewiesen wird.
- Cookies zur Speicherung von Anzeigepräferenzen, bei denen beispielsweise die gewünschte Sprache oder die Anzahl der Suchergebnisse pro Seite gespeichert wird, können nach Ansicht der Artikel 29 Datenschutzgruppe ebenfalls der Ausnahmeregelung unterfallen, solange sie nur bis zum Ende der aktuellen Sitzung gespeichert werden. Soll die Einstellung dauerhaft gespeichert werden, ist jedoch eine Einwilligung notwendig, die bereits darin liegen könne, dass neben der Flagge, auf die der Nutzer klickt, um die Sprache zu wechseln, der Hinweis „verwendet Cookies“ angezeigt wird.
- Cookies um Inhalte per Social-Plugins zu teilen – Auch die vielfach umstrittenen Social-Plugins sollen einwilligungsfrei Cookies setzen können, wenn diese dem Nutzer das Teilen und Kommentieren der Inhalte der Betreiberwebsite in einem sozialen Netzwerk ermöglichen. Diese Ausnahme kann nach Ansicht der Datenschützer jedoch nur für Nutzer gelten, die aktuell bei einem sozialen Netzwerk eingeloggt sind. Selbst in diesem Fall soll die Einwilligungsfreiheit auf die aktuelle Sitzung beschränkt sein.
Weiterhin führt die Artikel 29 Gruppe auch Szenarien auf, die nicht von der Ausnahmeregelung gedeckt sein sollen. Eine Einwilligung soll in diesen Fällen folglich nicht entbehrlich sein:
- Social-Plugin Tracking Cookies – Während das Teilen von Inhalten noch unbedingt erforderlich sein könne, um den vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen, könne davon bei verhaltensbasierter Werbung, Analyse oder Marktforschung etc. infolge eines Nutzertrackings nicht mehr die Rede sein.
- Third-Party Advertising / Werbenetzwerke – Hier halten die Datenschützer fest, dass für jegliche Form von Third-Party Advertising nicht von einem Vorliegen der Ausnahmen ausgegangen werden könne, da es immer an dem ausdrücklichen Wunsch des Nutzers fehle. Dies gelte auch für eher technische Zwecke wie Frequency Capping, Financial Logging, Ad Affiliation, Click Fraud Detection, Forschung und Marktanalyse, Produktverbesserung und Debugging.
- Websiteanalyse-Tools – An dieser Stelle arbeitet die Artikel 29 Gruppe schön heraus, dass zwar viele Seitenbetreiber Websiteanalyse-Tools als absolut notwendig ansehen, aber nur die Sicht des Nutzers maßgeblich sei. Demnach fallen weder Tools, bei denen die Daten auf dem Server des Betreibers bleiben (z.B. Piwik), noch Tools, bei denen die Daten zu einem Dritten übertragen werden (z.B. Google Analytics), unter die Ausnahmeregelung der Richtlinie. Nichtsdestotrotz vertritt die Arbeitsgruppe die Auffassung, dass Cookies von First-Party Websiteanalyse-Tools keine Risiken für die Privatsphäre begründen, solange diese sich ausschließlich auf durch den Websitebetreiber (First-Party) aggregierte statistische Zwecke beschränken, die Website verständliche Informationen über diese Cookies in Ihrer Datenschutzerklärung enthält und angemessene Schutzmaßnahmen für die Privatsphäre getroffen werden. Solche Schutzmaßnahmen sollen nach Meinung der Arbeitsgruppe einen nutzerfreundlichen Opt-Out-Mechanismus sowie Anonymisierungsmechanismen bezüglich solcher Informationen, die zur Identifizierung von Nutzern verwendet werden könnten (z.B. IP-Adressen), umfassen. Infolge dieser Einschätzung schlägt die Arbeitsgruppe vor, bei einer zukünftigen Richtlinienrevision eine dritte Ausnahme für solche First-Party Websiteanalyse Cookies aufzunehmen.
Die Datenschützer weisen darauf hin, dass sich keine allgemein gültige Aussage derart treffen lässt, dass beispielsweise ein First-Party Cookie für die Dauer einer Sitzung immer einwilligungsfrei wäre, wohingegen ein dauerhaftes Cookie eines Dritten immer eine Einwilligung erfordere. Vielmehr käme es auf die konkrete Implementierung des Cookies im Einzelfall an. Insbesondere sei zu beachten, dass ein Cookie, welches mehreren Zwecken dient, z.B. dem Tracking und Speicherung von Nutzerpräferenzen, nur dann einwilligungsfrei sein könne, wenn sämtliche Zwecke von der Ausnahmeregelung umfasst würden.
Ferner gibt die Arbeitsgruppe zu bedenken, dass diese Erläuterungen nicht auf Cookies im technischen Sinne beschränkt seien, sondern Geltung für sämtliche Methoden zum Speichern von Informationen auf dem Endgerät des Nutzers hätten.
Nachdem die Artikel 29 Datenschutzgruppe bereits im Jahr 2008 die Anforderungen an Binding Corporate Rules für die verantwortliche Stelle (Controller) dargelegt hat, soll ein neues Arbeitspapier der datenverarbeitenden Stelle (Processor) aufzeigen, welche Bedingungen für den rechtlich wirksamen Einsatz von Binding Corporate Rules zu erfüllen sind.
Zu diesem Zweck hat die Artikel 29 Gruppe einen Leitfaden ausgearbeitet. In dessen erstem Teil findet sich eine Liste, anhand derer man Punkt für Punkt prüfen kann, ob sämtliche Voraussetzungen für die Wirksamkeit von Binding Corporate Rules vorliegen. Hier wird einerseits dargestellt, welche Anforderungen an die Binding Corporate Rules selber zu stellen sind, andererseits wird darauf eingegangen, welche Erfordernisse bei dem Antrag zur Genehmigung von Binding Corporate Rules zu beachten sind. Insgesamt ergibt sich so eine neunseitige Liste, die über 20 Einzelpunkte zu bedenken gibt. Dabei werden vielfach erläuternde Beispiele zur besseren Verständlichkeit genannt.
Im zweiten Teil des Leitfadens fordert die Artikel 29 Gruppe dazu auf, Binding Corporate Rules mit einem Service-Level-Agreement zu verbinden und führt aus, welche Verpflichtungen in Bezug auf Binding Corporate Rules in einem Service-Level-Agreement aufgenommen werden sollten.
Vergangene Woche ist Medienangaben zufolge die von CDU/CSU und FDP vorangetriebene Gesetzesreform zum Geodatenzugangsgesetz (GeoZG) ohne Einschränkungen verabschiedet worden. Damit stehen geographische Informationen des Bundes sowie darauf basierende Dienste und deren zugehörige Metadaten zukünftig “grundsätzlich geldleistungsfrei” zur Verfügung und können sowohl kommerziell als auch privat genutzt werden.
Ziel des Vorstoßes war es, das den Geodaten innewohnende Wertschöpfungs- potenzial besser zu nutzen und die bisher bestehenden bürokratischen Hürden durch einheitliche und verbindliche Nutzungsbedingungen abzubauen. Schrittweise soll eine nationale Geodateninfrastruktur entstehen, so dass die Geodaten des Bundes über Geodatendienste und das Geoportal des Bundes Bürgerinnen und Bürgern, Wissenschaft und Wirtschaft zur Verfügung stehen. Auf Bundesebene existiert allerdings noch keine spezialgesetzliche Rechtsgrundlage zur Festlegung von Nutzungsbedingungen für die Bereitstellung von Geodaten und Geodatendiensten. Die Änderung des Geodatenzugangsgesetzes würde für eine geldleistungsfreie Nutzung von Geodaten und Geodatendiensten für eine allgemeine Nutzung eine Rechtsgrundlage schaffen.
Politiker von SPD und Grünen hatten sich hinsichtlich des eingebrachten Vorschlags enthalten. Lediglich die Linken hatten gegen die Reform votiert. Kritiker sehen angesichts einer Gefahr für das informationelle Selbstbestimmungsrecht durch die “massenhafte Auswertbarkeit” bereitgestellter geographischer Informationen die Notwendigkeit gesetzliche Schutzmaßnahmen zu treffen.
Das Sozialgericht (SG) Düsseldorf hat am vergangenen Donnerstag die Klage eines Versicherten gegen die beabsichtigte Einführung der elektronischen Gesundheitskarte abgewiesen (Az.: S 9 KR 111/09). Der von mehreren Interessenverbänden unterstützte Kläger hat von der beklagten Bergischen Krankenkasse Solingen unter Berufung auf datenschutzrechtliche Bedenken und das Recht auf informationelle Selbstbestimmung die Befreiung von der elektronischen Gesundheitskarte gefordert.
Nach Auffassung des Gerichts verletzt die Karte jedoch nicht das Recht des Versicherten auf informationelle Selbstbestimmung. Eine Befreiung von der Pflicht zur elektronischen Gesundheitskarte sei gesetzlich nicht vorgesehen, was keine verfassungsrechtlichen Bedenken aufwerfe. Schließlich bestimme der Versicherte selbst, welche Informationen auf der Karte gespeichert würden. Die Pflichtangaben wie Name, Anschrift und Gültigkeitsdauer entsprächen denen der bisherigen Krankenversicherungskarte. Nur das Lichtbild sei neu. Im Hinblick auf den konkreten Streitgegenstand gebe es daher keine Veranlassung, auf die datenschutzrechtlichen Bedenken bezüglich der weiteren jedoch freiwilligen und erst zukünftigen Speichermöglichkeiten auf elektronischen Gesundheitskarten im Allgemeinen einzugehen, begründete das Gericht.
3. Juli 2012
Vergangene Woche beschloss der Bundestag einen Entwurf der Bundesregierung zur Änderung des Meldewesens, wie heise.de berichtet. Nach dem Entwurf sollen künftig sämtliche Daten der 5200 Meldeämter vernetzt werden.
Ursprünglich hatte die Bundesregierung geplant, zusammen mit der Einführung des bundesweiten Registerverbunds auch den Schutz der Daten zu stärken. Abfragen von Namen, und Anschriften sollten nur noch für Werbung und Adresshandel möglich sein, wenn der Betroffene vorher eingewilligt hat. Diese Einschränkung war besonders der Direktmarketing-, Inkassobranche und den Auskunfteien ein Dorn im Auge.
Im Beschluss nun fehlt diese Bestimmung. Meldedaten dürfen nur dann nicht für Werbung oder Adresshandel verwendet werden, wenn dieser Zweck bei der Anfrage nicht angegeben wurde oder der Betroffene Widerspruch eingelegt hat. Die Einschränkung soll jedoch nicht gelten bei Anfragen zum Zwecke des Abgleichs bereits vorhandener Daten zwecks Bestätigung oder Berichtigung.
Die Kritik gegen den beschlossenen Entwurf richtet sich vor allem gegen letztgenannte Ausnahme: Selbst der Widerspruch der Betroffenen werde wirkungslos, wenn bereits vorhandene Informationen zur ungehinderten Abfrage der Daten berechtigten. Für jede Melderegisterauskunft seien vorherige Daten nötig, jede Anfrage könne so gerechtfertigt werden.
Ein weiterer Kritikpunkt ist die nach dem Beschluss weiter bestehende Hotelmeldepflicht, die von Datenschützern als Vorratsdatenspeicherung bezeichnet wird. Auch sollen Vermieter den Ein- oder Auszug wieder bestätigen müssen. Der Bundesdatenschutzbeauftragte Peter Schaar bezeichnete den Entwurf als Rückfall hinter die geltende Gesetzeslage.
Facebook arbeitet weiter intensiv an seiner Rolle als Hauptverkehrskreuzung jeglicher medialer Handlungen seiner Nutzer, nicht selten ohne deren Wissen. Neuestes Beispiel für das Streben sich neben der Rolle als soziales Netzwerk auch als Email- und Nachrichtendienst in den Vordergrund zu schieben ist die Neuerung bei Facebook, die von den Nutzern angegebenen und in deren Profil angezeigten privaten Email-Adressen gegen facebookeigene Email-Adressen auszutauschen. Zwar bleiben die privaten Emailadressen im Account gespeichert, standardmäßig wird jedoch nur noch die Email-Adresse des Facebook-Accounts angezeigt, was nach Angaben des Unternehmens der Vereinheitlichung dienen soll.
Kritiker vermuten, dass Facebook so dem Konkurrenzdruck im Bereich der Kurznachrichten und Emails Folge leisten will und dieses Vorgehen ein Indiz für ein Drängen auf die Vormachtstellung sein könnte. Kritisch wird außerdem erachtet, dass der Nutzer uninformiert auf der Strecke bleibe, u.a. auch weil er lediglich die Möglichkeit habe, die Umstellung rückgängig zu machen, nicht jedoch die Umstellung aktiv umzusetzen (Opt-In).
2. Juli 2012
Am vergangenen Donnerstag hat der
Bundestag die Errichtung der
Stiftung Datenschutz beschlossen.Das Stiftungsgeschäft zur Errichtung der Stiftung Datenschutz in Leipzig soll bis Oktober dieses Jahres vorgenommen und zügig die Anerkennung bei der zuständigen Stiftungsaufsicht beantragt werden.
Bundesjustizministerin Leutheusser-Schnarrenberger hat diesen Beschluss und den damit verbundenen Auftrag zur Errichtung der Stiftung
kommentiert und als “großen Erfolg für den Datenschutz” bezeichnet. “Die Stiftung soll helfen, bei den Bürgerinnen und Bürger ein Bewusstsein dafür schaffen, wie wertvoll ihre Daten im Internet sind. Daten sind die Währung in der digitalen Welt.
Bildung und Aufklärung der Nutzer werden in diesem sensiblen Bereich des Internets gestärkt. Damit werden wir auch das Vertrauen in die IT-Wirtschaft stärken. Mit der Entwicklung eines Datenschutzgütesiegels wird die Stiftung zudem deutlich machen, dass der Datenschutz ein wertvoller Wettbewerbsfaktor ist. Nun sollte zügig das Eintragungsverfahren durchgeführt werden.“
29. Juni 2012
Im Rahmen der Entschließung wird seitens der DSK u.a. gefordert, dass eine Verarbeitung von Smart Meter Daten nur erfolgen darf, soweit es für die im Energiewirtschaftsgesetz aufgezählten Zwecke erforderlich ist. Des Weiteren müssen Ableseintervalle so groß sein, dass aus dem Verbrauch keine Rückschlüsse auf das Verhalten der Nutzer gezogen werden können. Smart Meter Daten sollen möglichst nur anonymisiert, pseudonymisiert oder aggregiert an möglichst wenige Stellen übermittelt werden. Zudem müssen angemessene Löschfristen für die Daten festgelegt werden, um eine Vorratsdatenspeicherung zu vermeiden. Weiterhin müssen die Kommunikations- und Verarbeitungsschritte von Smart Metering zu jeder Zeit für den Letztverbraucher sichtbar und nachweisbar sein. Er muss Zugriffe auf den Smart Meter erkennen und dies im Zweifel unterbinden können.
Die Orientierungshilfe soll zum einen Hilfestellung zur datenschutzgerechten Konzeption der technischen Systeme für das Smart Metering geben, indem u.a. erläutert wird, wie die zentralen Forderungen des Datenschutzes nach Zweckbindung, Datensparsamkeit und Erforderlichkeit berücksichtigt werden können. Zum anderen beinhaltet die Orientierungshilfe Empfehlungen an den Gesetzgeber für eine Rechtsverordnung, die die Vorschriften des novellierten Energiewirtschaftsgesetzes konkretisieren soll.
28. Juni 2012
Das Social-Network Facebook muss Medienangaben zufolge eine weitere “Einschränkung” zugunsten des Datenschutzes hinnehmen. Das seit kurzem börsennotierte Unternehmen habe vor einem kalifornischen Gericht einem Vergleich zugestimmt und sich damit verpflichtet, Nutzern künftig die Möglichkeit zu eröffnen, die Einbindung in sogenannte “Sponsored Stories” zu verhindern. Unter den seit Beginn 2011 von Facebook genutzten “Sponsored Stories” versteht sich die Nutzung privater Einträge von Usern zu Werbezwecken. Loggt sich zum Beispiel ein User in einer Starbucks-Filiale ein und klickt bei dieser Marke oder einem Produkt den “Gefällt mir”-Button oder verwendet den Namen Starbucks in einem Post, kann dieser Post durch Facebook zu Werbezwecken gesondert hervorgehoben werden. Von nun an müsse Facebook in seinen Nutzungsbedingungen explizit auf dieses Vorgehen hinweisen und eine noch nicht näher definierte Möglichkeit anbieten, welche dem User Kontrolle über seine “Sponsored Stories” gewährt. Problematisch dürfte für Facebook primär sein, dass somit ein weiterer Einnahmezweig erheblich eingeschränkt wird und empfindliche Umsatzeinbußen drohen.
Wie die Europäische Kommission jetzt in einer Pressemeldung bekannt gab, beabsichtigen die Europäische Union sowie die Vereinigten Staaten ein globales Bündnis der nationalen Justiz- und Innenminister zur Bekämpfung von Kindesmissbrauch und Kinderpornographie im Internet zu initiieren. Darauf verständigten sich die EU-Kommissarin für Inneres Cecilia Malmström sowie US-Justizminister Eric Holder vergangene Woche in Kopenhagen.
Kritiker sehen trotz der prekären Thematik Probleme bei der Umsetzung. So ergänzte das Portal netzpolitik.org die reine Pressemeldung um die Information, dass der Rat der Europäischen Kommission in seiner sogenannten Schlussfolgerung als potentielles Mittel ebenfalls beabsichtigt Netzsperren einzusetzen “wo sie angemessen sind”. Diese wiederum sind alles andere als unumstritten, schränken sie doch in erheblichen Maße auch die völlig legale Nutzung von File-Holdern ein. „Dem Umstand, dass das Sperren von Internetseiten keine statistisch nachweisbare Verbesserung für den Schutz von Kindern mit sich bringt“, werde offenbar nicht beachtet.” kritisiert Joe McNamee von „European Digital Rights“ zudem weiter. Letztlich wird von Seiten der Kritiker vorgetragen, dass Netzsperren, so sie denn erst einmal etabliert sind, für andere Zwecke ausgeweitet würden und so eine nicht unerhebliche Bedrohung für etwa informationelle Grundrechte der Internetnutzer bestünde.
Pages: 1 2 ... 244 245 246 247 248 ... 274 275