Mozilla Stiftung prüft Videokonferenz-Apps

29. April 2020

Die amerikanische, gemeinnützige Stiftung Mozilla hat 15 der wichtigsten Videokonferenz-Apps einer Sicherheitsanalyse unterzogen und Ihre Ergebnisse in einem Leitfaden mit Datenschutz- und Sicherheitsmerkmalen sowie Datenschutz- und Sicherheitsmängeln zusammengestellt. Der Leitfaden soll Nutzern dabei helfen, die für sie richtige App auswählen zu können.

Um zu bestehen, mussten die Apps folgende fünf Mindestanforderungen erfüllen:

  • Verschlüsselung von Anrufen
  • Regelmäßige Sicherheitsupdates
  • Forderung nach sicheren Passwörtern
  • Umgang mit Schwachstellen
  • Vorliegen einer Datenschutzrichtlinie

12 Apps erfüllen Mindestanforderungen

12 der 15 geprüften Apps konnten diese Mindestsicherheitsstandards erfüllen. Dazu zählen WhatsApp, Apple FaceTime, Skype, Google Duo/HangoutsMeet, Facebook Messenger, Jitsi Meet, Signal, Microsoft Teams, BlueJeans, GoTo Meeting, Cisco WebEx und Zoom.

Insbesondere Zoom wurde in der Analyse dafür gelobt, dass es auf die vielfache Kritik (wir berichteten) schnell reagiert habe, um Sicherheitsmängel zu beseitigen, auch wenn der Grund dieses Handelns, laut Mozilla, wohl vor allem der großen Konkurrenz unter den verschiedenen Videokonferenz-App-Anbietern zu verdanken sei.

Dennoch erhebliche Unterschiede unter den Apps

Die Ausgestaltung der einzelnen Sicherheitsstandards unterscheidet sich zwischen den Anbietern jedoch deutlich.  

So werden Anrufe zwar verschlüsselt, allerdings seien es nur Google Duo, FaceTime, WhatsApp, Signal, Goto-Meeting und Doxy.me, die die sicherste Variante, die Ende-zu Ende Verschlüsselung, verwendeten. Nur diese Art der Verschlüsselung gewährleistet, dass der Inhalt eines Anrufs nur für die jeweiligen Teilnehmer einsehbar ist.

Bei der Skype-App, dem Facebook-Messenger und Webex habe der Nutzer aber zumindest die Option eine Ende-zu Ende Verschlüsselung zu wählen.

Andere Apps würden hingegen eine Client-zu-Server-Verschlüsselung verwenden, welche die Daten, sobald sie auf den Servern eines Unternehmens landen, lesbar macht.

Außerdem weist Mozilla auf eine Reihe weiterer Risken hin. Unter anderem sammle Facebook über seine Apps eine Menge persönlicher Informationen wie Name, E-Mail, Standort, Geolokationen auf Fotos, die hochgeladen werden sowie Informationen über Kontakte und den Nutzer selbst, die andere Personen (möglicherweise) freigeben und sogar alle Informationen, die die App über einen sammeln kann, wenn die Kamerafunktion verwendet wird. Außerdem teile Facebook die Informationen auch mit einer großen Anzahl von Drittparteien wie Werbeagenturen, Anbietern, akademischen Forschern und Analysediensten.

WhatsApp hingegen sei sehr anfällig für Fehlinformationen. Gerade während der Pandemie werde die App zur Verbreitung von Verschwörungstheorien und gefälschten Nachrichten gebraucht.

Drei Apps fielen durch

Die Apps Houseparty, Discord und Doxy.me fielen bei der Sicherheitsanalyse hingegen durch. Sie erfüllten bereits nicht die fünf Mindest-Sicherheitsanforderungen. Laut Mozilla verlangen die genannten Dienste keine sicheren Passwörter und Houseparty und Discord sammeln zu viele persönliche Daten.

EU-Rat zu „Live-Gesichtserkennung“ bei Sport-Events

Aufgrund einer Initiative der kroatischen EU-Ratspräsidentschaft wurde ein Treffen mit den Vertretern der Mitgliedstaaten vereinbart, um über die „Live-Gesichtserkennung“ bei Sport-Events zu diskutieren.

Mithilfe der „Live-Gesichtserkennungsmethode“ können Gesichter aus den Aufnahmen der Überwachungskameras mit der Datenbank abgeglichen werden. Dadurch können die Personen identifiziert und gegebenenfalls mit Beobachtungslisten abgeglichen werden.

Laut eines, heise online vorliegenden, vertraulichen Schreibens an die Fachgruppen, beleuchtete die EU-Ratspräsidentschaft die Gesichtserkennung von beiden Seiten. Einerseits würde die biometrische Technik neue Möglichkeiten für die Verfolgung von Straftätern schaffen. Sie könnte dabei ein wichtiger Schritt für die Terrorismusbekämpfung und die Auflösung von Verbrechen sein.

Andererseits stünden der Überwachungstechnik datenschutzrechtliche Bedenken entgegen. Durch die Anwendung dieser Methode könnten Grundrechte berührt werden und es bestünde eine relativ hohe Fehlerrate. Zudem könnte sich bei den Bürgern das Gefühl einstellen, dass sie durch die Überwachungssysteme dem Staat ausgeliefert sind.

Bei dem Treffen der Regierungsvertreter sollen die Mitgliedsstaaten Erfahrungen aus ihren Ländern auszutauschen und über die Chancen und Risiken debattieren.

Kehrtwende bei Ausgestaltung der Corona-Tracing-App

28. April 2020

Die durch die Bundesregierung in Zusammenarbeit mit dem Robert-Koch-Insitut (RKI) geplante Tracing-App zur Nachverfolgung potentieller Corona-Kontakte ist seit Wochen Gegenstand reger Diskussionen und mit umfangreicher Kritik in Sachen Datenschutz verbunden. Diese Kritik scheint nun Gehör gefunden zu haben, jedenfalls rücken die Entwickler vom Vorhaben einer zentralen Speicherung ab.

Nachdem zunächst ein „zentraler Ansatz“ in der Form geplant war, dass durch die App erhobene Daten – in anonymisierter Form – zentral auf einem Server gespeichert werden sollten, soll nun ein „dezentraler Ansatz“ verfolgt werden. Bei dieser Variante werden die erzeugten Nutzer-IDs sowie die durch die Bluetooth-Funktion erfassten Geräte bzw. deren IDs nicht an einen zentralen Server gesendet, sondern zunächst lokal auf den Geräten gespeichert werden. Erst im Falle eines positiven Befundes wendet sich die positiv geteste Person mit einem geheimen Schlüssel an den Betreiber der App, sodass eine Übermittlung der Information, dass ein möglicher Kontakt bestand, an potentielle Kontaktpersonen übermittelt werden kann.

Dieser Kehrtwende ist umfangreiche Kritik am „zentralen Ansatz“ vorangegangen. Zuletzt kamen kritische Stimmen nicht nur von verschiedenen Digital-Vereinen, sondern vermehrt auch aus der Wissenschaft. Auch der Europarat hat in Bezug auf mögliche Tracing-Apps (nicht nur) datenschutzrechtliche Bedenken geäußert. Dabei wurde insbesondere hervorgehoben, dass der zentralen Speicherung besonders sensibler Gesundheits- oder Bewegungsdaten erhebliche Bedenken in der Bevölkerung bezüglicher einer potentiellen Totalübberwachung entgegenstehend könnten und der Nutzen einer solchen App eingeschränkt sei, wenn Bürger die App wegen dieser Bedenken nicht verwenden.

Oppositionspolitiker und Netzaktivisten lobten die Entscheidung, nunmehr einen dezentralen Ansatz zu verfolgen, wie dies etwa auch durch Apple und Google favorisiert wurde. Auch der Bundesdatenschutzbeauftragte, Ulrich Kelber, sprach sich ausdrücklich für diese Variante aus.

Diese Strategieänderung lässt jedoch befürchten, dass der Einsatz einer funktionierenden, und vor allem datenschutz-sensiblen Tracing-App weiter auf sich warten lassen wird. Nachdem diese eigentlich schon Mitte April bei der Bekämpung des Corona-Virus unterstützen sollte, wird nun über eine Veröffentlichung Mitte Mai spekuliert.

Hacker verschaffen sich Zugang zu über 160.000 Nintendo-Accounts

Nintendo hat bestätigt, dass Hacker sich Anfang April unbefugten Zugriff auf 160.000 Nintendo-Accounts verschafft haben und zahlreiche Daten abgegriffen haben könnten. Laut Nintendo: „Die Untersuchungen sind noch im Gange. Derzeit gibt es jedoch keine Hinweise auf einen unerlaubten Zugriff auf die Datenbanken, Server oder Services von Nintendo.“ Aus Sicherheitsgründen sei es ab sofort nicht mehr möglich, sich über eine Nintendo-Network-ID bei einem Nintendo-Account anzumelden.

Unter den erbeuteten Informationen sind neben der Nintendo-ID, der Nickname, das Geburtsdatum, die Region und die E-Mail-Adresse des Nutzers. Im Laufe der Tage meldeten auch immer mehr User aus Deutschland, dass Geld von verknüpften PayPal-Konten abgebucht wurde. Kreditkarten-Daten sollen sich laut Nintendo jedoch nicht unter den gestohlenen Daten befinden.

Nintendo Deutschland hat sich gemeldet und rät dazu, den Account mit einer Zweistufen-Bestätigung zu schützen, um einen unerlaubten Zugriff zu vermeiden. Zur weiteren Sicherheit wird Nintendo alle Nutzer informieren, die von der Datenpanne betroffen sind. Außerdem empfiehlt Nintendo Kreditkarteninformationen und verknüpfte PayPal-Konten aus dem Account zu entfernen. In der Stellungnahme hat sich Nintendo für die Vorkommnisse entschuldigt.

App für Corona-Soforthilfe-Anträge in Hamburg

24. April 2020

In Hamburg ist eine Antragstellung für Corona-Soforthilfen von Bund und Land nur noch mit App „Self-Ident“ des hanseatischen Anbieter Nect GmbH möglich. Die Einführung der App soll Betrug bei der Beantragung der Corona-Soforthilfen ausschiließen und die Antragstellung insgesamt vereinfachen und beschleunigen.

„Self-Ident“ bietet ein Video-Ident-Verfahren zur Legitimation der Nutzer z.B. bei Versicherungen und Finanzdienstleistern an. In der App können sich Selbständigen und kleinen Unternehmen mittels eines Selfie-Videos und einer Aufnahme des Ausweises verifizieren, und so ihre Identität für die Bewilligung der Soforthilfe zweifelsfrei nachweisen. Dabei werden unter anderem die auf dem Ausweisdokument enthaltenen Daten, die IP-Adresse des Nutzers sowie die biometrischen Daten in den aufgezeichneten Videosequenzen, die nach der DSGVO zu den sensiblen und damit zu den besonders schutzwürdigen Daten zählen, verarbeitet. Die Nect GmbH stützt in ihrer Datenschutzerklärung die Verarbeitung der sensiblen Daten explizit auf eine Einwilligung des Nutzers.

Angesichts der in der App verarbeiteten personenbezogenen teils sensiblen Daten, wird in Medienberichten zum Teil kritisiert, dass für staatliche Fördergelder Daten an ein Privatunternehmen weitergegeben wird und, dass den Antragstellern keine Alternative zur digitalen Identifikation eingeräumt wird.   

Digitalisierungsprozess in Zeiten von Corona – Einsatz datenschutzrechtlicher Betriebsvereinbarungen

Der aktuelle, durch die Infektionen einer Vielzahl von Menschen mit dem neuartigen Virus SARS Covid-19 verursachte, Ausnahmezustand hat die Digitalisierung der Arbeitswelt bei erster, unbefangener Betrachtung erheblich beschleunigt. Eine Vielzahl von Arbeitnehmern arbeitet im Home-Office, Meetings finden virtuell statt und die Kundenkontakte werden gänzlich online abgewickelt. Nachdem die hektischste Phase scheinbar abgeklungen ist, implementieren einige Unternehmen Regelungen und Handlungsanweisungen für die digitale Arbeit, die auch über die Zeit der Ausgangs- oder Kontaktbeschränkungen hinaus gelten sollen.

Die Möglichkeit einer Implementierung derartiger Regelungen mittels arbeitgeberseitigem Weisungsrecht außer Acht gelassen, soll das Instrument der datenschutzrechtlichen Betriebsvereinbarung über die Zeit der aktuellen Corona-Pandemie hinaus, als proaktives Instrument zur Gestaltung des Digitalisierungsprozesses genutzt werden.

Gegenwärtige Friktionen werden aufgelöst 

Zunächst sind Betriebsvereinbarungen eine praxistaugliche Rechtsgrundlage. Deutschland hat von der in Art. 88 DSGVO normierten – fakultativen – Öffnungsklausel in Form von § 26 Abs. 1 S. 1 BDSG Gebrauch gemacht. Betriebsvereinbarungen können überdies Grundlage von Datenverarbeitungen für Zwecke des Beschäftigungsverhältnisses sein (§ 26 Abs. 4 BDSG).

Darüber hinaus bedarf es im Falle des Abschlusses einer Betriebsvereinbarung keiner Einwilligung des Arbeitnehmers. Diese ist – trotz § 26 Abs. 2 BDSG  – im Einzelfall problematisch, da aufgrund des bestehenden Über- und Unterordnungsverhältnisses per se die Gefahr einer „unfreiwilligen“ Einwilligung besteht.

Die Beteiligungsrechte in datenschutzrechtlichen Konstellationen können zeitgleich erfüllt werden

Überdies kann der Arbeitgeber zugleich ohnehin obligatorische Beteiligungsrechte der Arbeitnehmer erfüllen. So steht es dem Arbeitgeber auch im Rahmen der Corona – Pandemie nicht frei, die Home-Office Verfügbarkeit der Arbeitnehmer mit eilig eingeführten Tools zu realisieren.

Insbesondere normiert § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Vorrichtungen, die dazu objektiv und unmittelbar geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Dies gilt ohne Rücksicht darauf, ob der Arbeitgeber dieses Ziel verfolgt und die durch die Überwachung gewonnenen Daten auch auswertet. Hierzu gehören insbesondere die auch gängigen elektronischen Datenverarbeitungssysteme (EDV) und IT-Anwendungen.

Inhalt von Betriebsvereinbarungen in der Praxis

Inhaltlich müssen die Betriebsvertragsparteien insbesondere auch die Grundsätze des Art. 5 Abs. 1 lit. a) – f) DSGVO beachten (§ 26 Abs. 5 BDSG). Mithin sollten die Parteien das Niveau der Grundsätze der Rechtmäßigkeit der Verarbeitung, Zweckbindung, Datenminimierung, Richtigkeit und  Speicherbegrenzung sowie Integrität und Vertraulichkeit einhalten.

Ferner empfiehlt es sich, die Rechte der betroffenen Personen gemäß Art. 12 ff. DSGVO in die Betriebsvereinbarung einzubeziehen. Schließlich sollte in Betriebsvereinbarungen ausdrücklich festgelegt werden, ob sie als Rechtsgrundlage für die Verarbeitung personenbezogener Daten verwendet wird.

Kein Anspruch auf Auskunft über Backup-Daten bei unverhältnismäßigem Aufwand

Eine für Arbeitgeber interessante Entscheidung hat das Landgericht Heidelberg getroffen (Urteil vom 06.02.2020 – Az. 4 O 6/19). Der Kläger begehrte als betroffene Person gegenüber seinem ehemaligen Arbeitgeber, dem Verantwortlichen, Auskunft über alle ihn betreffenden personenbezogenen Daten. Hilfsweise begehrte er die Auskunft über die E-Mail-Korrespondenz in einem Zeitraum von rund 1,3 Jahren. Die betroffene Person war in diesem neun bis zehn Jahre zurückliegenden Zeitraum Vorstandsmitglied des Verantwortlichen. Der Verantwortliche hatte mittlerweile Insolvenz gemeldet und sämtliche Daten zu Backup-Zwecken an einen Dritten übergeben. Das Gericht lehnte den Auskunftsanspruch einer betroffenen Person ab. Die Wiederherstellung und Aufbereitung der Daten stellten in dem konkreten Fall einen unverhältnismäßigen Aufwand dar.

Präzisierung des Anspruchs auf Auskunft bei umfangreicher Verarbeitung

In seinen Urteilsgründen stellt das Gericht zunächst klar, dass die betroffene Person gegen den Verantwortlichen aus Art. 15 DSGVO grundsätzlich einen umfassenden Auskunftsanspruch über die Verarbeitung ihrer personenbezogenen Daten hat. Allerdings gewährt Erwägungsgrund 63 S. 7 DSGVO Verantwortlichen eine Erleichterung, die eine große Menge von Informationen über die betroffene Person verarbeiten. In einem solchen Fall kann der Verantwortliche von der betroffenen Person verlangen, dass sie ihr Auskunftsersuchen auf bestimmte Informationen oder bestimmte Verarbeitungstätigkeiten präzisiert.

Den umfassenden Hauptantrag der betroffenen Person wies das Gericht ab, weil sich der Anspruch auf alle personenbezogenen Daten bezog. Zu dem Hilfsantrag, in dem die betroffene Person ihr Auskunftsbegehren auf die E-Mail-Korrespondent in einem bestimmten Zeitraum konkretisierte, führte das Gericht weiter aus:

Zweifel an Erstreckung des Anspruchs auf Backup-Daten

Es könne bereits bezweifelt werden, dass der Verantwortliche die im Backup bei einem Dritten gespeicherten Daten überhaupt noch verarbeitet. Denn der Auskunftsanspruch beziehe sich regelmäßig nicht auf Daten, die an einen Dritten übergeben worden seien. Das könne auch dann gelten, wenn der Verantwortliche ein Zugriffsrecht hat.

Unverhältnismäßiger Aufwand gemessen am Informationsinteresse

Im Ergebnis stellt das Gericht aber darauf ab, dass die Erteilung der Auskunft für den Verantwortlichen einen unverhältnismäßig großen Aufwand darstellt. Das Gericht hat keine Zweifel daran, dass allein die Wiederherstellung der Daten Kosten von bis zu 4.000 € verursachen würde. Zudem können davon ausgegangen werden, dass die betroffene E-Mail-Korrespondenz mehrere tausend E-Mails umfasse. Denn die betroffene Person war über ein bis eineinhalb Jahre Vorstandsmitglied den Verantwortlichen. All diese Mails müssten zur Sicherung berechtigter Interessen Dritter gesichtet und geschwärzt werden, bevor sie an die betroffene Person herausgegeben werden könnten. Diese Aufbereitung würde bei dem Verantwortlichen unverhältnismäßige Ressourcen binden. Das Informationsinteresse der betroffenen Person sei demgegenüber zu gering. Das Gericht betonte, dass die begehrten Informationen neun bis zehn Jahren alt waren, der Anspruch erst spät geltend gemacht wurde, die betroffene Person seit neun Jahren nicht mehr für das verantwortliche Unternehmen arbeitete und es mittlerweile insolvent sei.

Bewertung

Das Gericht bezieht sich in seiner Entscheidung auf altes Recht: § 34 Abs. 7 i.V.m. § 33 Abs. 2 Nr. 1 BDSG alt kannten eine Ausnahme den Auskunftsanspruchs, wenn die Daten ausschließlich der Datensicherung dienten und eine Benachrichtigung einen unverhältnismäßigen Aufwand erfordert hätte. Der Wegfall der Spezialnorm bedeute nicht, dass nun alle Backup-Daten dem Auskunftsanspruch unterfielen.

Eine entsprechende Ausnahme findet sich in § 34 Abs. 1 Nr. 1 lit. b BDSG auch im aktuellen Recht. Die Entscheidung des Landgerichts Heidelberg kann dennoch nicht pauschal Auskunftsbegehren entgegengehalten werden, da sie einen Sonderfall betrifft. Sie steht insbesondere nicht einem Auskunftsbegehren entgegen, das sich auf im System des Verantwortlichen vorgehaltene Daten bezieht. Die Entscheidung zeigt aber Möglichkeiten auf, wie einem Auskunftsbegehren begegnet werden kann, wenn es eine aufwändige Wiederherstellung und Aufarbeitung der Daten nach sich ziehen würde.

Wenn der Verantwortliche eine große Menge personenbezogener Daten von der betroffenen Person verarbeitet und sich das Auskunftsbegehren auf alle Daten bezieht, sollte die betroffene Person zunächst darauf verwiesen werden, ihren Antrag auf bestimmte Datenkategorien, Zeiträume oder Verarbeitungstätigkeiten zu präzisieren.

Berliner Datenschutzbeauftragte spricht Empfehlungen für Videokonferenzen aus

Die Berliner Datenschutzbeauftragte hat angesichts der Corona-Krise und den negativen Nachrichten um den Videodienst Zoom eine Guideline für Videokonferenzen während der Kontaktbeschränkungen veröffentlicht.

Die Guideline soll Unternehmen, Behörden und andere, wichtige Informationen zur Nutzung von Konferenzplattformen liefern, damit diese die damit verbundenen Risiken für personenbezogene Daten besser abschätzen, minimieren bestenfalls abstellen können. 

Risiken

Die Datenschutzbeauftragte warnt insbesondere vor unbefugtem Mithören, Aufzeichnen, und Auswerten der Videoinhalte. Hinzu kommt die Gefahr der Weiterübertragung der Daten an Dritte und der möglichen Verwendung dieser zum Nachteil der beteiligten Personen. Sollten sich die Gesprächsparteien über besonders sensible Daten unterhalten, können die Folgen umso gravierender sein. 

Bei den meisten Anbietern laufen die Daten beim Betreiber zusammen. Dieser hat somit die faktische Kontrolle über die Daten. Das Fernmeldegeheimnis findet gegenüber Anbietern aufgrund einer Gesetzeslücke zudem keine Anwendung. Die Daten müssen daher auf andere Weise geschützt werden.

Empfehlungen der Datenschutzbeauftragten

Grundsätzlich empfiehlt die Behörde, dass jegliche Kommunikation (Bild und Ton) über verschlüsselte Kanäle laufen soll. Auch sollten Konferenzen im besten Fall über eine eigene Software erfolgen. Alternativ könne man sich auch für eine kommerzielle Software entscheiden. Dabei sei darauf zu achten, dass es sich um einen europäischen Anbieter handele. Die Datenschutzbeauftragte stellt selbst keine Liste entsprechender Softwareprodukte zusammen, verweist aber auf eine vom Forschungs- und Entwicklungszentrum der Fachhochschule, Kiel

Wer diese Möglichkeit nicht hat, soll strenge Anforderungen für das Aussuchen eines passenden Videokonferenzanbieters stellen:

Der ausgewählte Anbieter sollte seinen Sitz in der EU haben oder Mitglied der EFTA sein. Alternativ sollte das Land die gleichen Standards an den Datenschutz stellen. Zudem muss ein Verarbeitungsvertrag zwischen Verantwortlichem und Anbieter abgeschlossen werden.

Anforderungen sind insbesondere auch an die Vertrauenswürdigkeit des Anbieters zu stellen. So sollte er ggf. durch Zertifizierung nachweisen können, dass die Datensicherheit gewährleistet ist.

Kategorien: Allgemein

Data Breach bei Google Play-Store-Alternative Aptoide: 20 Millionen Nutzer betroffen

23. April 2020

Der unabhängige Android-App-Store Aptoide hat ein gewaltiges Datenleck zu beklagen. Der Anbieter teilte am 18. April mit, dass seine Datenbank gehackt wurde. Dabei sind Nutzerdaten von über 20 Millionen Kunden abgeflossen. Im Anschluss veröffentlichten die Hacker die erbeuteten Daten auf bekannten Hacker-Foren. Auch der Passwort-Prüfdienst „Have I Been Pwned“ (HIBP) bestätigte den Data Breach.

Welche Daten wurden geleaked?

Nach Aptoides Angaben griffen die Hacker jeweils die E-Mail-Adressen sowie „verschlüsselte“ Passwörter ab. Zusätzlich sollen aber auch die IP-Adressen, Benutzernamen und Details zum verwendeten Webbrowser kopiert worden sein. Außerdem wurden die Passwörter mit dem sogennanten „Secure Hash Algorithm“ (SHA) der Stufe 1 ohne Salt (=Salz; eine Methodik aus der Kryptologie) verschlüsselt. Wegen Sicherheitsbedenken wird allgemein vom Verweden dieser Hash-Funktion abgeraten. Auf die Sicherheit der Verschlüsselung sollte man sich also lieber nicht verlassen.

Aptoide appeliert an Nutzer: Ändert eure Passwörter zügig!

Die Passwort-Hashes sind nach Angaben des Anbieters allerdings nur dann Teil des Leaks, wenn diese auch extra für den Store angelegt wurden. Wer sich also über Google oder Facebook angemeldet hat, kann insofern beruight sein, da dann nur eine zufällig gespeicherte Zeichenfolge erbeutet wurde. Wer aber sein Passwort selbst angelegt hat, sollte dieses umgehend ändern.

Wie finde ich heraus, ob ich betroffen bin?

HIBP hat die geleakted Daten bereits in seine Datenbank implementiert. Unter diesem Link können Sie umgehend prüfen, ob Sie betroffen sind.



Richtlinien des Europäischen Datenschutzausschusses zu Corona-Tracing-Apps

Der Europäische Datenschutzausschuss (EDSA) veröffentlichte am 21. April 2020 zwei Richtlinien für die datenschutzgerechte Entwicklung von Corona-Tracing-Apps in der EU.

Der EDSA mit Sitz in Brüssel besteht aus Vertretern der nationalen Datenschutzbehörden und dem europäischen Datenschutzbeauftragten. Als unabhängige europäische Einrichtung fördert der EDSA sowohl die einheitliche Anwendung der Datenschutzvorschriften in der gesamten Europäischen Union als auch die Zusammenarbeit zwischen den EU-Datenschutzbehörden.

Die von der EDSA veröffentlichten Richtlinien behandeln zum einen die Verarbeitung von Gesundheitsdaten zu Forschungszwecken und zum anderen die Nutzung von Standortdaten und Tracing-Tools im Kontext der Corona-Pandemie.

Der EDSA hebt hinsichtlich der Verarbeitung von Gesundheitsdaten insbesondere hervor:

– Der nationale Gesetzgeber jedes Mitgliedstaates kann gemäß Art. 9 Abs. 2 lit. i) und j) DSGVO spezielle Gesetze erlassen, um die Verarbeitung von Gesundheitsdaten für wissenschaftliche Forschungszwecke zu ermöglichen. Die Verarbeitung von Gesundheitsdaten zum Zwecke der wissenschaftlichen Forschung muss ebenfalls durch eine der Rechtsgrundlagen in Artikel 6 Abs. 1 DSGVO abgedeckt sein. Daher sind die Bedingungen und der Umfang für eine solche Verarbeitung je nach den in den einzelnen Mitgliedsstaaten geltenden Gesetzen unterschiedlich.

– Angesichts der Verarbeitungsrisiken im Zusammenhang mit dem Ausbruch von COVID-19, ist die Einhaltung von Art. 5 Abs. 1 lit. f), Art. 32 Abs. 1 und Art. 89 Abs. 1 DSGVO unerlässlich. Hierdurch wird festgelegt, dass die Gesundheitsdaten nur in einer Weise verarbeitet werden dürfen, die durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit der Daten gewährleistet. Bei einer Datenverarbeitung zu wissenschaftlichen Zwecken sollen darüber hinaus geeignete Garantien gegeben werden, dass solche technischen und organisatorischen Maßnahmen bestehen.

– Es sind verhältnismäßige Aufbewahrungsfristen für die Daten festzulegen. Bei der Festlegung solcher Speicherfristen sind Kriterien wie die Länge und der Zweck der Forschung zu berücksichtigen. Nationale Bestimmungen können auch Regeln bezüglich der Aufbewahrungsdauer festlegen und müssen daher berücksichtigt werden.

– Prinzipiell dürfen Situationen wie der aktuelle COVID-19-Ausbruch die Möglichkeit der betroffenen Personen, ihre Rechte gemäß Art. 12 bis 22 DSGVO auszuüben, nicht ausschließen oder einschränken. Art. 89 Abs. 2 DSGVO erlaubt es dem nationalen Gesetzgeber jedoch, (einige) der Rechte der betroffenen Person, wie sie in Kapitel 3 der DSGVO festgelegt sind, einzuschränken. Aus diesem Grund können die Einschränkungen der Rechte der betroffenen Personen je nach den geltenden Gesetzen des jeweiligen Mitgliedstaates variieren.

Bei der Verarbeitung von Standortdaten gilt es für Entwickler von Tracing-Apps hauptsächlich zu beachten:

– Die Verwendung einer solchen App muss freiwillig sein und darf den Zugang zu gesetzlich garantierten Rechten nicht einschränken. Der Einzelne muss jederzeit volle Kontrolle über seine Daten haben und soll die Möglichkeit haben, sich frei für die Verwendung einer solchen App zu entscheiden.

– Grundsätzlich lehnt der EDSA die Verwendung von Standortdaten ab. Informationen über die räumliche Nähe zwischen Nutzern der App zur Unterbindung von Infektionsketten können ohne deren Standort eingeholt werden. Bei dieser Art der Verwendung ist die Erhebung von Standortdaten nicht erforderlich und sollte daher auch nicht erfolgen.

– Ist ein Nutzer der App mit einer Coronavirus – Erkrankung diagnostiziert worden, sollen nur die Personen, mit denen der Nutzer der App innerhalb des epidemiologisch relevanten Zeitraums für die Ermittlung von Kontaktpersonen in engem Kontakt gestanden hat, informiert werden.

– Der Betrieb dieser Art von Apps kann den Einsatz eines zentralen Servers erfordern. In diesem Fall und in Übereinstimmung mit den Grundsätzen der Datenminimierung und des Datenschutzes sollten die vom zentralen Server verarbeiteten Daten auf das absolute Minimum beschränkt werden.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber hatte sich bereits früh für einheitliche Vorgaben auf europäischer Ebene ausgesprochen: „Die Gesundheit der Menschen steht gerade im Mittelpunkt. Alle Mitgliedsländer des EDSA haben die gleichen Probleme zu bewältigen. Ich bin deshalb froh, dass wir uns auf eine gemeinsame Linie einigen konnten. Ich begrüße vor allem das Bekenntnis zur Freiwilligkeit. Sowohl in der Forschung als auch bei der Nachverfolgung von Kontakten können nur solche Lösungen erfolgreich sein, die transparent sind und ohne Zwang funktionieren. Es muss eindeutig und leicht verständlich sein, zu welchem Zweck die Daten erhoben und wann sie wieder gelöscht werden. Eine individuelles Tracking oder eine spätere Re-Personalisierung müssen ausgeschlossen sein. Diese Grundsätze werden wir als Aufsichtsbehörde von Verantwortlichen und Entwicklern einfordern.“

Kategorien: Allgemein
1 2 3 4 5 212