Datenschutzmeldepflicht : Kritische Schwachstellen in Microsoft Exchange Servern

12. März 2021

Aufgrund von gezielten Angriffen durch Hacker auf verschiedene Versionen der Microsoft Exchange Server hat Microsoft wichtige Sicherheitsupdates zum Download bereitgestellt. Seit Ende Februar 2021 werden offene Flanken der Mail-Einrichtung Exchange Server angegriffen. Vier Lücken wurden dabei mit dem Bedrohungsgrad „äußerst kritisch“ eingestuft. Die Updates erfolgen außer der Reihe und die Angriffswelle dauert aktuell noch an.

Auch viele deutsche Unternehmen sind von den Attacken betroffen. Nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind zehntausende Exchange Server in Deutschland aktuell über das Internet angreifbar und mit hoher Wahrscheinlichkeit bereits mit Schadsoftware infiziert. Betroffen sind Organisationen jeder Größe. Das BSI hat bereits begonnen, potentiell Betroffene zu informieren und empfiehlt allen Betreibern der Exchange Server, sofort die von Microsoft bereitgestellten Patches einzuspielen.

Betroffene Schwachstellen

Die Schwachstellen betreffen die Exchange Server der folgenden Versionen:

  • Exchange Server 2010 (RU 31 für Service Pack 3)
  • Exchange Server 2013 (CU 23)
  • Exchange Server 2016 (CU 19, CU 18)
  • Exchange Server 2019 (CU 8, CU 7)

Die betroffenen Sicherheitslücken werden als Teil einer Angriffskette ausgenutzt. Der anfängliche Angriff setzt die Fähigkeit voraus, eine nicht vertrauenswürdige Verbindung zum Exchange-Server herzustellen, weitere Teilbereiche des Angriffs können dagegen auch ausgeführt werden, wenn der Angreifer bereits Zugang hat oder auf anderem Wege Zugang erhält. Das bedeutet, dass Abhilfemaßnahmen wie das Einschränken von nicht vertrauenswürdigen Verbindungen, oder das Einrichten eines VPNs nur vor dem ersten Teil des Angriffs schützt. Das Patch ist somit die einzige Möglichkeit, den Angriff vollständig abzuschwächen.

Es sei denkbar, dass weitergehende Angriffe mit den Rechten eines übernommenen Exchange-Servers potentiell mit geringem Aufwand auch die gesamte Domäne kompromittieren könne, so das BSI.  Bei Systemen, die bis dato nicht gepatched wurden, sollte von einer Kompromittierung ausgegangen werden. Aufgrund der öffentlichen Verfügbarkeit von sogenannten Proof-of-Concept Exploit-Codes sowie starken weltweiten Scan-Aktivitäten sieht das BSI weiterhin ein sehr hohes Angriffsrisiko.

Die Sicherheitspatches sind über ein Windows Update verfügbar. Durch das Update werden die insgesamt 89 Sicherheitslücken geschlossen.

Chinesischer Bedrohungsakteur wohl verantwortlich

Nach den Informationen von Microsoft habe der in China ansässige und staatlich gelenkte Bedrohungsakteur “Hafnium” die Fehler ausgenutzt, um sich Zugang zu E-Mails und zusätzlicher Malware zu verschaffen, die einen langfristigen Zugriff auf die Umgebungen der Opfer ermöglichen soll. Hafnium greife Organisationen in zahlreichen Branchen an, darunter Forscher von Infektionskrankheiten, Rechtsanwaltskanzleien, Hochschuleinrichtungen, Verteidigungsunternehmen, politische Denkfabriken und NGOs (Nichtregierungsorganisationen).

Datenschutzrechtliche Maßnahmen

Wer als Unternehmen, Organisation oder Behörde von einem Angriff auf personenbezogene Daten betroffen ist, muss einen solchen Vorfall nach der Datenschutz-Grundverordnung (DS-GVO) unter bestimmten Umständen der zuständigen Datenschutzaufsichtsbehörde, bei Kritischer Infrastruktur zusätzlich auch dem Bundesamt für Sicherheit in der Informationstechnik melden.

Auch nach erfolgreichem Einspielen der Patches sollte bedacht werden, dass betroffene Organisationen in der Zwischenzeit angreifbar waren. Nach Angaben des Bayrischen Landesamt für Datenschutzaufsicht (BayLDA) müssen die jeweiligen Unternehmen prüfen (und ihren Incident-Respone-Plan anwenden, sofern ein solcher vorhanden ist), inwieweit Unregelmäßigkeiten im Betrieb festzustellen seien. Des Weiteren müsse die Kompromittierung des Systems durch das Ausnutzen der Sicherheitslücke, gemäß Art. 33 DS-GVO von einem betroffenen Unternehmen auch gemeldet werden, da es zu einer Verletzung der Sicherheit personenbezogener Daten gekommen ist. Unter bestimmten Voraussetzungen müssten dann auch die betroffenen Personen informiert werden. Nur wenn in der vorliegenden Konstellation atypischer Weise kein Risiko für die Rechte und Freiheiten der betroffenen Personen bestehen sollte, müsse keine Meldung erfolgen, so das BayLDA. Darüber hinaus seien jedoch die für den Verzicht auf die Meldung maßgeblichen Feststellungen, d. h. insbesondere die kompletten Untersuchungen des Mail-Servers und seiner Verbindungen ins übrige Netzwerk des Unternehmens umfassend zu dokumentieren.

Bundesinnenministerium plant Registrierungspflicht bei Messengern

Im Rahmen der TKG-Novelle hat das Bundesinnenministerium eine Pflicht zur Verifizierung von Nutzern „nummernunabhängiger interpersoneller Telekommunikationsdienste“ vorgeschlagen. Das soll Sicherheitsbehörden ermöglichen, diese Identifizierungsmerkmale bei Vorliegen der rechtlichen Voraussetzungen im Rahmen einer Bestandsdatenabfrage abfragen zu können.

Den Forderungskatalog hat die Seite Netzpolitik.org hier veröffentlicht.

Das Bundesinnenministerium formuliert dazu folgenden Vorschlag:

„Die Anbieter nummernunabhängiger interpersoneller Telekommunikationsdienste sollen zukünftig verpflichtet werden von den Nutzern bei Anmeldung zu ihrem jeweiligen Telekommunikationsdienst sog. Identifizierungsmerkmale (Name, Anschrift, Geburtsdatum) zu erheben und zu speichern. Nach den aktuellen Vorgaben in § 111 TKG sind Anbieter von Telekommunikationsdiensten, die Rufnummern oder andere Anschlusskennungen vergeben, verpflichtet, konkret benannte Bestandsdaten vor der Freischaltung zu erheben und unverzüglich zu speichern.“

Da diese nummernunabhängigen Dienste die nummerngebundenen interpersonellen TK-Dienste, also Festnetz- und Mobilfunkanschlüsse und SMS-Versand, bei denen der Nutzer bereits verifiziert ist, weitgehend abgelöst haben, sollen diese in Bezug auf die Verifizierung gleichbehandelt werden.

Das heißt, dass jeder, der Messenger-Dienste wie WhatsApp, Zoom, Skype, Signal, Threema, Telegram, iMessage, Facebook-Messenger und E-Mail-Dienste verwendet, zukünftig seine Identität bei diesen Anbietern verifizieren muss.

Dies würde dazu führen, dass werbefinanzierte Telekommunikationsdienste neben ihren bereits vorhandenen Daten noch das Geburtsdatum sowie die Anschrift der Nutzer erhalten würden.

Auch würden Personen ohne Ausweis von der Nutzung der Dienste ausgeschlossen werden.

Messenger, die besonders viel Wert auf Anonymität ihrer Nutzer legen, zum Beispiel Signal oder Threema, würden ihres Geschäftsmodells in Deutschland beraubt werden. Allerdings ist nicht klar, wie Nutzer aus Deutschland von ausländischen Nutzern unterschieden werden können.

Das würde auch Journalisten die Arbeit erschweren, da diese oft auf Informationen von unbekannt bleibend wollenden Informanten angewiesen sind.

LUCA APP – die Lösung für die Zettelwirtschaft?

„Luca App“ (im Folgenden Luca) – so heißt die neue App im Corona-Universum.
Hinter dieser App steckt die Idee, den Aufwand zur Kontaktnachverfolgung nach Restaurant-, Hotel- oder Konzertbesuchen für alle Parteien einfacher zu gestalten. Ziel ist es, dass Besucher ihre personenbezogenen Daten – Name, Adresse und Telefonnummer – nicht mehr in Listen eintragen müssen, sodass Luca die bisherige Zettelwirtschaft ablösen kann.

Die händisch eingetragenen Daten hatten zudem den Nachteil, dass diese nicht zuletzt wegen unleserlicher oder ausgedachter Kontaktadressen für die Gesundheitsämter meist wenig hilfreich waren. Die personenbezogenen Daten werden von Luca für 14 Tage gespeichert und können, sofern der Nutzer einwilligt, im Falle einer Infektion mit COVID19 dem zuständigen Gesundheitsamt zur Verfügung gestellt werden.

Luca kann kostenlos im Google Play Store und im Apple App Store heruntergeladen werden. Bei der Registrierung muss der Nutzer den Namen, die Adresse und die Telefonnummer angeben. Laut Hersteller werden die Daten anonym und verschlüsselt gespeichert. Das heißt: Dritte, wie Restaurantbetreiber, können die Angaben nicht einsehen.

Erfolgt eine Infektions-Meldung an das Gesundheitsamt, wird die betroffene Person kontaktiert. Sodann geben Infizierte, sofern sie dazu einwilligt haben, in Luca via TAN ihre Historie, sprich die Orte und Veranstaltungseinrichtungen, die sie besucht haben, an das Gesundheitsamt frei. Das zuständige Gesundheitsamt entschlüsselt die Historie und erhält Informationen über die Aufenthaltsorte der letzten 14 Tage. Anschließend werden betroffene Veranstaltungsorte vom Gesundheitsamt kontaktiert und aufgefordert, die zeitlich relevanten Check-Ins über das Luca-System freizugeben. Die Check-Ins werden vom Gesundheitsamt entschlüsselt, wodurch eine schnelle wie auch lückenlose Nachverfolgung der Kontaktpersonen eingeleitet werden kann. Gehört eine Person zur Kontaktgruppe, wird sie vom Gesundheitsamt informiert.

Die Entwickler der Luca App versprechen höchste Datensicherheit. Die dezentral gespeicherten Nutzerdaten können nur von den Gesundheitsämtern, nicht aber von den Gastgebern, der App oder Dritten ausgelesen werden. “Wir haben frühzeitig die Datenschützer mit ins Boot geholt – es hilft ja niemandem etwas, wenn wir erst etwas entwickeln, das von den Datenschützern so nicht abgenickt wird.” Die App könne nur dann beim Weg aus dem Lockdown helfen, wenn alle Beteiligten die App auch gut finden, alle bereit seien, diese auch zu benutzen. “Daher finden wir es wichtig, dass Luca positiv besetzt ist. Es sollen für Betreiber und Gäste keine Kosten entstehen, niemand muss Angst um seine Daten haben.”

Smudo, Rapper der Fantastischen Vier und unter anderem Mitwirkender der App, beteuert, dass die Luca-App nicht als Konkurrenz zur Warn-App des Bundes geplant ist. “Das sind zwei ganz verschiedene Dinge”, Rapper Smudo, „Die Warn-App sei eine Art passives Risiko-Radar, Luca erleichtere hingegen die Arbeit der Gesundheitsämter.“

Videoüberwachung während der Online-Prüfung zulässig

11. März 2021

In Zeiten, in denen neben Präsenzunterricht oft auch keine Präsenzprüfungen möglich sind, haben das Oberverwaltungsgericht des Landes Nordrhein-Westfalen (OVG NRW) und das Oberverwaltungsgericht des Landes Schleswig-Holstein (OVG SH) nun entschieden, dass eine Videoüberwachung während einer Online-Prüfung zulässig ist.

Sachverhalt und Entscheidung des OVG Nordrhein-Westfalen

Ein Student der Fernuniversität Hagen hat sich mittels Normenkontroll-Eilantrag an das OVG NRW gewandt. Mit diesem wollte er gegen die Corona-Prüfungsordnung der Universität vorgehen, die videobeaufsichtigte häusliche Klausurprüfungen als alternative Möglichkeit zu Präsenzprüfungen vorsieht. Dabei werden die Prüflinge durch prüfungsaufsichtsführende Personen über eine Video- und Tonverbindung während der Prüfung beaufsichtigt.

Das besonders interessante am Ablauf der Prüfung ist aber, dass Video, Ton und auch die Bildschirmansicht des Prüflings nicht nur aufgezeichnet, sondern auch gespeichert werden. Eine Löschung der Daten soll im Regelfall nach Ende der Prüfung erfolgen, es sei denn der Prüfungsaufsicht sind Unregelmäßigkeiten aufgefallen, oder der Prüfling hat eine Sichtung der Aufnahme beantragt. Gegen dieses Prozedere, dass Daten aufgezeichnet und gespeichert werden, wehrte sich der Prüfling vor dem OVG NRW und berief sich auf Verstöße gegen die DSGVO und sein Recht auf Informationelle Selbstbestimmung.

Das OVG teilte diese Bedenken allerdings nicht. In einer Pressemitteilung erläuterte das Gericht vielmehr, warum es den Eilantrag abgelehnt hat. Dabei betonte es, dass die Rechtmäßigkeit der Aufzeichnung und Speicherung zwar nicht in einem Eilverfahren geklärt werden kann. Grundsätzlich erlaube die DSGVO die Datenverarbeitung aber, wenn sie für die Wahrnehmung einer Aufgabe erforderlich sei, die im öffentlichen Interesse liege oder in Ausübung öffentlicher Gewalt erfolge, die dem Verantwortlichen übertragen worden sei. Bei einer Hochschule sei dies der Fall, denn sie ist verpflichtet Prüfungen durchzuführen und dabei den Grundsatz der Chancengleichheit zu wahren. Dieser Grundsatz verlange, dass für alle vergleichbare Prüfungsbedingungen und damit gleiche Erfolgschancen geschaffen werden. Die Aufzeichnung und vorübergehende Speicherung diene einerseits dazu, die Prüflinge von Täuschungsversuchen abzuhalten, bietet ihnen andererseits aber auch die Möglichkeit einen nicht ordnungsgemäßen Prüfungsverlauf, zum Beispiel durch Störungen, festzuhalten.

Sachverhalt und Entscheidung des OVG Schleswig-Holstein

Das OVG SH hatte in einem ähnlich gelagerten Fall zu entscheiden. Ein Student der Christian-Albrechts-Universität zu Kiel (CAU) wandte sich gegen die Satzung seiner Universität, die Prüfungen in elektronischer Form unter Videoaufsicht vorsah.

Das OVG SH hielt bereits den Antrag des Studenten für unzulässig. Dennoch äußerte sich der Senat zu dem Antrag und zeigte auf, dass der Antrag auch im Übrigen keine Aussicht auf Erfolg gehabt hätte. Demnach liegt weder ein ungerechtfertigter Eingriff in das Grundrecht der Unverletzlichkeit der Wohnung (Art. 13 Abs. 1 GG) noch in das Recht auf Informationelle Selbstbestimmung durch die Videoaufsicht vor.

Das Recht auf Unverletzlichkeit der Wohnung sei nicht betroffen, da die Videoaufsicht nicht gegen den Willen des Prüflings erfolge, sondern er sich frei entscheiden kann, ob er an der Prüfung teilnehmen möchte, oder nicht. Im Hinblick auf das Recht auf informationelle Selbstbestimmung argumentiert das OVG SH wie das OVG NRW und sieht die Videoüberwachung mit Blick auf die Chancengleichheit als zulässig an.

Abschließend fügt das OVG SH hinzu: „Zu einem unbeobachtbaren Beobachtetwerden komme es nicht. Anders als etwa bei der Vorratsdatenspeicherung liege eine Überwachung von Prüfungen in der Natur der Sache und sei den Betroffenen bekannt.“

VfB Stuttgart: 300.000 Euro Bußgeld im Datenskandal

Der Landesdatenschutzbeauftragte des Landes Baden-Württemberg, Stefan Brink, hat die VfB Stuttgart 1893 AG (im Folgenden “VfB AG”) mit einem Bußgeld in Höhe von 300.000 Euro belegt. Der Verein hat die Sanktion akzeptiert und verzichtet auf Rechtsmittel. Das am 03. Februar begonnene Verfahren ist damit beendet.

Die VfB AG hat ihre Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO fahrlässig verletzt und muss deshalb das Bußgeld zahlen. Zwischen 2016 und 2018 sollen leitende Angestellte wiederholt Mitgliederdaten an Dritte weitergegeben haben. Im Zentrum steht die Weitergabe von Mitgliederdaten (auch jugendlicher Mitglieder) im Vorfeld der Jahreshauptversammlung 2017. Auf dieser wurde über die Ausgliederung der Abteilung Profifußball abgestimmt. Mithilfe der Daten sollten die Mitglieder im Rahmen eines sog. Guerilla-Marketings zur Zustimmung zur Ausgliederung gebracht werden. Wegen Verjährungsvorschriften konnten allerdings nicht alle in der Öffentlichkeit diskutierten Themen aufgeklärt werden.

Die DS-GVO sieht Bußgelder bis zu 20 Millionen Euro vor. Vor diesem Hintergrund liegt das gegen die VfB AG ausgesprochene Bußgeldes im unteren Bereich. Ein wesentlicher Punkt für die verhältnismäßig niedrige Summe sei die „ungewöhnlich“ gute Kooperation seitens des VfB gewesen, so Stefan Brink. Dies verdeutlicht, wie wichtig die Kooperation und Mitwirkung an der Aufklärung ist. Neben dem Bußgeld wird sich die VfB AG auch am Projekt „Datenschutz geht zur Schule“ beteiligen.

Kategorien: Allgemein
Schlagwörter: , ,

Google Chrome macht Vorschläge für mehr Datenschutz-Konformität

10. März 2021

Google Chrome ist momentan der meistgenutzte Browser und bietet zahlreiche praktische Funktionen für die Nutzer. Doch gerade im Bereich Datenschutz ist der Konzern hinter dem Browser nicht gerade auf dem Vormarsch. Durch zahlreiche Einstellungen und Add-ons lässt sich der Datenschutz der Nutzer bei der Verwendung von Google Chrome jedoch verbessern.

Welche Datenschutzeinstellungen sollten bei der Nutzung von Chrome ausgewählt werden?

Über das Chrome-Dreipunktmenü können unter dem Reiter „Einstellungen“ die Funktionen angepasst werden. Hier finden sich unter dem Reiter „Datenschutz und Sicherheit“ auch die Chrome Datenschutz Inhaltseinstellungen. Dort ist es möglich, gespeicherte Cookies sowie den Browserverlauf zu löschen und Berechtigungen im Hinblick auf die Nutzung der Nutzerinformationen durch die Websites zu konfigurieren.

Um die Datensparsamkeit des Chrome Browsers zu gewährleisten, sollte insbesondere auf folgende Punkte Wert gelegt werden:

  • Deaktivieren des automatischen Speicherns von Passwörtern
  • Deaktivieren des automatischen Ausfüllens von Zahlungsmethoden und Adressen
  • Deaktivieren der automatischen Vervollständigung von Suchanfragen und URLs
  • Deaktivieren des Sendens von Nutzungs- und Absturzberichten
  • Deaktivieren von Drittanbietercookies sowie das Aktivieren der Funktion „Do not track“
  • Aktivieren des Standardschutzes beim Safe Browsing, wobei die Funktion „Dabei helfen, das Web für alle sicherer zu machen“ deaktiviert werden sollte
  • Löschen der Browserdaten (insbesondere Cookies und anderen Websitedaten)
  • Die Websiteeinstellungen (unter anderem Zugriffsberechtigungen) sollten entsprechend eingestellt werden.

Zu den meisten der hier genannten Punkte wurde bereits eine detaillierte Schritt-für-Schitt-Anleitung veröffentlicht.

Welche Datenschutz-Add-ons sind für den Nutzer sinnvoll?

Dem Nutzer des Browsers stehen verschiedenste Add-Ons zur Verfügung. Darunter befinden sich beispielsweise uBlock, der Privacy Badger, Click & Clean sowie NoScript.

Der Chrome Browser in der Kritik

Google ist ein Konzern, der von der Auswertung seiner Daten lebt. Nur so ist die Einspielung von Werbung möglich. Dies ist aus der Sicht von Datenschützern problematisch. Dabei sendet Chrome standardmäßig Nutzungsstatistiken und Absturzberichte an Google, um den Konzern bei der Verbesserung seiner Produkte zu unterstützen. Was sich hinter dem unscharfen Begriff „Verbesserung der Produkte“ verbirgt und welche Daten Google dabei genau erhebt, wird den Nutzern gegenüber nicht kommuniziert. Die Angaben in der Datenschutzerklärung sind vage und enthalten nur eine beispielhafte Aufzählung zum Umfang der Nutzungsstatistiken „z.B. Informationen zu Einstellungen, zu Klicks auf Schaltflächen, Leistungsstatistiken oder zur Speicherauslastung“, welche weitgehend keine Webseiten-URLs oder personenbezogenen Daten enthalten sollen. Die Absturzberichte hingegen enthalten „Systeminformationen vom Zeitpunkt des Absturzes und unter Umständen auch URLs von Webseiten oder personenbezogene Daten, je nachdem, was zum Zeitpunkt passierte, als der Absturzbericht ausgelöst wurde.“ Darüber hinaus behält sich Google vor, diese Daten ohne Personenbezug mit Publishern, Werbetreibenden oder Webentwicklern zu teilen. Für die Nutzer ist anhand dieser Datenschutzerklärung jedoch nicht verifizierbar, ob der Konzern diese Versprechen einhält. Der Nutzer muss Google in diesen Punkten Vertrauen entgegenbringen. Zusätzlich sind in Chrome standardmäßig Google-Services für verschiedene Funktionen wie beispielsweise die Suche aktiviert. Werden diese Google-Dienste parallel zur Nutzung des Browsers verwendet, potenzieren sich die Daten, welche Google vom Nutzer erhält. Einen Überblick dazu gibt der Konzern hier.

Welche Datenschutz-Alternativen gibt es zu Chrome?

Trotz der dargestellten Datenschutzeinstellungen wird der Datenfluss zwischen Chrome und Google nie vollständig versiegen. Ist diese Tatsache für den Nutzer nicht zufriedenstellend, so existieren auf dem Markt einige Alternativen verschiedener Anbieter, deren Browser unterschiedliche Vor- und Nachteile haben:

Firefox

Firefox ist einer der beliebtesten Browser nach Google Chrome und präsentiert sich somit als sinnvolle Alternative. Nicht zuletzt aufgrund der fehlenden Kommunikation zwischen Firefox und Google ist der Browser deutlich datenschutzfreundlicher. Firefox verdient kein Geld mit Daten, Haupteinnahmequelle ist vielmehr die Integration voreingestellter Suchmaschinen. Eine gewisse Abhängigkeit besteht hier jedoch auch: Die Standard-Suchmaschine im Firefox-Browser ist Google. Hierfür zahlt der Konzern Mozilla mehrere Milliarden Dollar pro Quartal.

Brave

Brave nutzt wie viele andere Browser den vorgestellten Open-Source-Browser Chromium. Seine fehlende Bekanntheit wird ihm nicht gerecht, vereint er doch die Vorteile von Chrome mit einer herausragenden Datenschutzkonformität. So wird beispielsweise im Inkognito-Modus der Tor-Browser verwendet. Dabei wird nicht nur der Verlauf automatisch gelöscht, sondern das Surf-Verhalten wird durch die Umleitung über mehrere Server anonymisiert. Die Verbindungen sind dabei verschlüsselt.

Opera

Opera bietet durch viele Zusatzfunktionen zahlreiche Nutzungsmöglichkeiten. Es ist beispielsweise möglich, Messenger in den Browser zu integrieren, Mausgesten zu nutzen oder Tastenkürzel einzustellen. Erwähnenswert ist vor allem der integrierte Gratis-VPN. Die Verbergung des Standorts des Nutzers ist damit kein Problem mehr. Nutzern sollte aber bewusst sein, dass VPN-Anbieter den kompletten Datenverkehr einsehen können, der über ihre Netzwerke läuft.

Tor-Browser

Gerade beim Thema Datenschutz ist der Tor-Browser auf dem Vormarsch. Der Nutzer wird beim Surfen in der Regel über drei Server geroutet, die meist in verschiedenen Staaten stehen. Der Nutzer stammt dadurch für die besuchte Website bei jedem einzelnen Besuch aus komplett unterschiedlichen Regionen, sodass er weitestgehend anonym surft. Durch das Routing büßt der Browser jedoch an Geschwindigkeit ein, sodass Websites teilweise länger laden müssen als bei anderen Browsern.

Zusammenfassend:

Besonders datenschutzkonform ist Google Chrome zwar nicht, sein Einsatz kann jedoch mit einigen Kniffen deutlich datensparsamer als in der Standardinstallation gestaltet werden. Am Ende muss jeder für sich selbst entscheiden, welche digitalen Dienste er in Anspruch nimmt und wie viele Daten preisgegeben werden sollen. Das Vorstehende hat zumindest gezeigt, dass eine Nutzung des Browsers Chrome aufgrund der Existenz zahlreicher leistungsstarker Alternativen keinesfalls zwingend ist.

Google verzichtet künftig auf individualisiertes Tracking

8. März 2021

Es gibt wohl nur wenige kommerzielle Webseiten, die kein Tracking – also die Analyse des Nutzerverhaltens – betreiben und die meisten Seiten verwenden entsprechende Dienste von Google. Nun hat Google angekündigt, künftig – vermutlich ab 2022 – keine Tracking-Cookies mehr anzubieten, welche individualisierte Werbung ermöglichen. Dieser Schritt mag für User und Kunden überraschend erscheinen, war aber durchaus abzusehen. Google legt seit einigen Jahren einen größeren Fokus auf das Thema Datenschutz und Privatsphäre und hatte so beispielsweise vergangenes Jahr für den unternehmenseigenen Browser Chrome erstmals die Möglichkeit eröffnet, sog. third-party-cookies zu löschen.

Kein Verzicht auf Werbung

Gleichwohl wird Google nicht darauf verzichten, seinen Kunden maßgeschneiderte Werbe-Möglichkeiten anzubieten. Zwar hat sich Google – bzw. die Mutter Alphabet Inc. – in den vergangenen Jahren immer breiter aufgestellt, doch noch immer macht der Umsatz aus Werbung rund zwei Drittel des Konzernumsatzes aus. Google selbst verweist darauf, dass diese Cookies angesichts neuer gesetzlicher Vorgaben und dem gestiegenen Interesse der User am Thema Datenschutz/Privacy in Zukunft nicht wirtschaftlich seien. Und so wird Google künftig vermehrt auf das sog. FLoC (Federated Learning of Cohorts) setzen. Dabei wird nicht mehr das Nutzerverhalten einzelner User analysiert, sondern von größeren Nutzer-Gruppen. Diese sollen laut bisheriger Tests so effektiv sein, dass sie mindestens 95 Prozent der bisherigen Conversions generieren können. Bereits im zweiten Quartal will Google seinen Kunden über Google Ads FLoC-basierte Kohorten zur Verfügung stellen.

Ausblick

Durch den künftigen Verzicht auf individualisiertes Tracking wird sich – laut einiger Experten – für Google sowie dessen Kunden nicht viel ändern. Stattdessen wird erwartet, dass die Entscheidung Druck auf die Konkurrenz im Online-Werbe-Markt aufbauen wird, insbesondere auf Facebook. Aber auch aus datenschutzrechtlicher Sicht könnten sich daraus Auswirkungen ergeben, beispielsweise auf den erforderlichen Cookie-Consent. Ob dies der Fall ist, wird jedoch erst abschließend bewertet werden können, wenn die genauen Funktionsweisen der FLoC-basierten Kohorten bekannt sind. Und auch aus User-Sicht wird zu hinterfragen sein, ob die geplanten Neuerungen tatsächlich zu mehr Privatsphäre führen.

Automatische Gesichtserkennung: Facebook zahlt 650 Millionen Dollar

3. März 2021

In dem seit 2015 laufenden Verfahren handelt es sich um die Funktion, bei der Facebook vorschlägt, in Fotos abgebildete Freunde mit Namen zu markieren. Die Kläger argumentierten, dass es gegen ein Gesetz zur Gesichtserkennung im US-Bundesstaat Illinois verstieß, dafür vorher nicht die Einwilligung der Betroffenen einzuholen. Mittlerweile hat Facebook das Verfahren weltweit geändert und fragt Nutzer zunächst nach einer Erlaubnis, um die Funktion zu nutzen. 

Die Funktion wurde bereits vor etwa zehn Jahren von Facebook eingeführt. Die Technik zur automatischen Gesichtserkennung ohne vorherige Ankündigung wurde auch für Nutzer außerhalb der USA aktiviert. Nutzer mussten der Verwendung der Funktion in den Datenschutzeinstellungen im Sinne eines Opt-Out explizit widersprechen. Diese Funktion hatte unmittelbar nach Einführung dazu geführt, dass sich die Datenschützer in der EU damit befassten. Letztlich haben wohl solche juristische Auseinandersetzungen und die Klage Facebook dazu veranlasst, die Einwilligung der Nutzer doch einzuholen.

Nun hat ein Richter in Kalifornien am Wochenende die bereits im letzten Jahr verhandelte Einigung der Parteien in dem Rechtsstreit gebilligt. Jeder Kläger erhält 345 US-Dollar (ca. 286 Euro). Die drei Facebook-Nutzer, die die Sammelklage angestoßen hatten, bekommen jeweils 5000 Dollar. Insgesamt zahlt Facebook 650 Millionen US-Dollar an die Kläger im Streit um den Einsatz von Gesichtserkennungs-Technologie. Laut Richter Donato sei dies ein großer Erfolg für Verbraucher „im heiß umkämpften Bereich der digitalen Privatsphäre“.

OVG Lüneburg: Vor der Veröffentlichung von Gruppenbildern auf sozialen Netzwerken bleibt die Einwilligung aller Abgebildeten unerlässlich

2. März 2021

Seit der Geltung der DSGVO liegt nun erstmalig ein zweitinstanzlicher Beschluss vor, welcher die Veröffentlichung von Gruppenbildern auf sozialen Netzwerken thematisiert.

Das Teilen von Bildern ist nicht nur zum Alltag vieler junger Leute geworden, sondern auch Unternehmen und politische Parteien nutzen die Gelegenheit durch das Teilen von Fotos ihre externe Kommunikation auf sozialen Netzwerken auszubauen und Wirkungskreise zu erweitern. Diese “Teilfreudigkteit” birgt allerdings auch die Gefahr des Missbrauchs. Dies haben die Gerichte erkannt und durch den Beschluss die datenschutzrechtliche Position der Betroffenen bestärkt.

Das OVG Lüneburg entschied am 19.01.2021 (Az.: 11 LA 16/20) über die Rechtmäßigkeit einer datenschutzrechtlichen Verwarnung gegenüber eines Partei- Mitglieds.

Das Mitglied einer Partei hatte im August 2014 zu einem öffentlichen Ortstermin eingeladen, um über den Bau einer Ampelanlage zu berichten. Hierbei entstand ein Foto, auf dem 30-40 Personen zu sehen waren. Der Politiker veröffentlichte dieses Foto vier Jahre später auf seinem öffentlichen Facebook Account.

Eine der abgebildeten Personen erkannte sich selbst und forderte den Politiker zur Stellungnahme und Löschung des Fotos auf. Weil er dem nicht nachgekommen war, leitete die betroffene Person daraufhin ein aufsichtsbehördliches Prüfverfahren nach Art. 57 I lit. a und lit. f und Art 58 I lit. b DSGVO ein, welches eine Verwarnung des Politikers und die Übernahme der Kosten in Höhe von 350 Euro zum Ergebnis hatte.

Als rechtliche Grundlage der Verarbeitung personenbezogener Daten wurde Artikel 6 Abs. I S. 1 lit. f der DSGVO herangezogen. Ein berechtigtes Interesse des Veröffentlichenden sollte hier jedoch nicht gegeben sein. Die Veröffentlichung solcher Fotos auf sozialen Netzwerken mit einer weitgehenden Reichweite, birgt erhebliche Risiken und Missbrauchsmöglichkeiten. Demnach ist der Schutz des Betroffenen vordergründig und findet auch keine Grundlage in möglichen journalistischen Zwecken aus Art. 85 II der DSGVO. Die Veröffentlichung des Bildes hatte nicht erkennbar solchen Zwecken gedient.

Auch wenn der BGH zuvor in seinem Urteil vom 11.11.2014 – (VI ZR 9/14) die Ansicht vertrat, dass Teilnehmer einer öffentlich bekannt gemachten Veranstaltung mit der Anfertigung von Fotos zur Veröffentlichung rechnen müssten und sie mit ihrer Anwesenheit und dem Wissen eine konkludente Einwilligung zur Veröffentlichung abgäben, ist dies nur für die Presse, nicht aber für Veröffentlichungen auf sozialen Netzwerken der Fall.

Der Beschluss des OVG Lüneburg zeigt auf, dass auch für Parteien und Unternehmen Vorsicht geboten ist, Bilder mit Personengruppen für eigene Zwecke auf sozialen Netzwerken zu teilen. Auch auf öffentlichen Veranstaltungen ist die Einwilligung jeder abgebildeten Person unerlässlich.

Schadensersatz für vergessenes Online-Profil nach Beendigung des Arbeitsverhältnisses

1. März 2021

Übersieht ein Arbeitgeber bei der Beendigung des Beschäftigungsverhältnisses, dass das Profil eines ehemaligen Arbeitnehmers weiterhin im Internet abrufbar ist, so liegt darin eine Persönlichkeitsrechtsverletzung, die einen Schmerzensgeldanspruch des Arbeitnehmers rechtfertigt.

Das hat das Landesarbeitsgericht Köln mit Urteil vom 14.09.2020 (Az.: 2 Sa 358/20) entschieden, als es der Klägerin, die bei der Beklagten bis August 2018 als Professorin beschäftigt war, ein Schmerzensgeld von 300 Euro zusprach.

Die Beklagte speicherte im Rahmen des Beschäftigungsverhältnisses das Profil der Klägerin als PDF auf ihrer Homepage. 2015 stellte die Beklagte ihre Homepage auf HTML um. Dabei übersah sie, dass die isolierte PDF-Datei weiterhin im Internet abrufbar blieb. Mit der Folge, dass auch bei Beendigung des Beschäftigungsverhältnisses, als die Beklagte die Löschung des Profils der Klägerin nebst Foto vornahm, diese das PDF ebenfalls übersah.

Nach Beendigung des Arbeitsverhältnisses im Februar 2019 entdeckte die Klägerin dies, als sie ihren Namen googelte und das PDF unter den ersten zehn Treffern abrufbar war. Daraufhin verlangte sie von der Beklagten die Löschung des Profils sowie von Artikeln über ihre Forschungsvorhaben. Dem kam die Beklagte unverzüglich nach. Dennoch erhob die Klägerin Klage vor dem Arbeitsgericht Köln und verlangte von der Beklagten unter anderem ein Schmerzensgeld in Höhe von 1.000 Euro aus Art. 82 DSGVO wegen der unberechtigten Vorhaltung des PDF auf dem Server der Beklagten.

Erstinstanzlich hat das Arbeitsgericht Köln der Klägerin Schadensersatz nach Art. 82 DSGVO in Höhe von 300 Euro zugesprochen, da es in der Vorhaltung des PDF eine Persönlichkeitsrechtsverletzung der Klägerin – und mithin einen immateriellen Schaden – sah. Dagegen legte die Klägerin Berufung ein. Das Landesarbeitsgericht Köln lehnte die Berufung der Klägerin ab. Dazu bestätigte es die Ausführungen der ersten Instanz nochmals:

Die Beklagte habe gegen Art. 17 DSGVO, das Recht auf Löschung, verstoßen. Danach hat die betroffene Person das Recht, von einem Verantwortlichen zu verlangen, dass die betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern diese nicht mehr notwendig sind. Die Beklagte hätte daher nach Beendigung des Arbeitsverhältnisses das Profil der Klägerin vollständig löschen müssen. Eine vollumfängliche Löschung nahm sie, wenn auch aus einem Versehen heraus, vorliegend aber nicht vor. Darin sah das Gericht einen Verstoß. Bei diesem handelte es sich laut Gericht auch nicht um ein Bagatelldelikt, da es für Dritte ohne Weiteres möglich war, durch Eingabe der entsprechenden Suchbegriffe die zu Unrecht nicht gelöschte Seite aufzurufen.

Der Höhe nach gaben beide Instanzen der Klage jedoch nicht vollumfänglich statt. Zwar soll die Verhängung eines Schadensersatzes abschreckende Wirkung haben, um zukünftige Verstöße zu vermeiden – zu berücksichtigen sei aber ebenfalls die Schwere der Beeinträchtigung. Eine solche Schwere, die ein Schmerzensgeld von 1.000 Euro rechtfertigt, konnten beide Instanzen nicht erkennen. Insbesondere verneinten sie eine Reputationsschädigung der Klägerin. Vielmehr waren die veröffentlichten Tatsachen über die Klägerein inhaltlich richtig. Zudem sei auch nicht erkennbar, dass für die Beklagte irgendein Mehrwert mit der kurzzeitigen Aufrechterhaltung der Sichtbarkeit des PDF verbunden war. Daher – und unter Berücksichtigung, dass es sich nur um ein Versehen der Beklagten handelte – sei im vorliegenden Fall ein Schmerzensgeld von 300 Euro angemessen.

Beim Ausscheiden von Mitarbeitern sollte unter Berücksichtigung des Art. 17 Abs. 1 DSGVO daher immer geprüft werden, ob die Voraussetzung für einen Löschanspruch bzw. für eine Löschpflicht durch den Arbeitgeber vorliegt. Dies dürfte bei der Beendigung eines Arbeitsverhältnisses fast immer der Fall sein, da der primäre Zweck der Datenspeicherung bzw. -verarbeitung in Form des Beschäftigtenverhältnisses in diesem Fall nicht mehr besteht.

1 2 3 4 5 226