Facebook demnächst privater und offenbar mit Datenschutz-Ausschuss

2. Mai 2019

Nach Aussage des CEO Mark Zuckerberg zum Auftakt der Facebook-Entwicklerkonferenz in San Francisco, soll sich Facebook künftig mehr um den Privatssphäreschutz seiner Nutzer bemühen.

Dabei wolle sich Faceook von sechs Prinzipien leiten lassen: Private Interaktionen, Verschlüsselung, Verkürzte Datenhaltung, Sicherheit, Interoperabilität und sichere Datenspeicher. Dabei soll Facebook selbst keinen Zugriff auf die Nutzerdaten haben. Mehr noch: Die Nutzerdaten sollen auch vor unberechtigten Zugriffen von Regierungen geschützt werden.

Abgesehen davon soll Facebook offenbar einen Datenschutz-Ausschuss einrichten. Darüber verhandele das Unternehmen derzeit mit der US-Handelskommission (FTC). Diese würde Facebook zur Einrichtung eines unabhängigen Datenschutz-Ausschusses verpflichten. Weiterhin müsste dann auch ein Datenschutzbeauftragter auf höchster Ebene eingestellt werden, dessen Auswahl durch die US-Behörden bestätigt werden müsste.

Kategorien: Allgemein
Schlagwörter: ,

Multilaterale Verwaltungsvereinbarung zum Datentransfer zwischen Finanzaufsichtsbehörden genehmigt

30. April 2019

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) genehmigte am 24. April 2019 erstmals eine multilaterale Verwaltungsvereinbarung entsprechend der Regelung des Art. 46 Abs. 3 lit. b) DSGVO.

Art. 46 Abs. 3 lit. b) DSGVO lautet: Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde können die geeigneten Garantien gemäß Absatz 1 auch insbesondere bestehen in Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen.

Hierbei geht es um eine Musterverwaltungsvereinbarung zwischen den EU Wertpapier- und Marktaufsichtsbehörden, vertreten durch die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und ihren internationalen Partnerbehörden, vertreten durch die Internationale Organisation der Wertpapieraufsichtsbehörden (IOSCO).

Diese Vereinbarung enthält geeignete Datenschutzgarantien sowie Betroffenenrechte und unterliegt der fortlaufenden Kontrolle des BfDI. Fehlt eine solche Vereinbarung, fehlt auch die Voraussetzung für den rechtmäßigen Datenaustausch mit Finanzaufsichtsbehörden in Drittstaaten.

Apple löscht Apps aus Datenschutzgründen

29. April 2019

Apple hat im vergangenen Jahr diverse Apps, die dem Kinderschutz sowie der Kontrolle der IPhone- / IPad-Nutzung dienten, aus dem App-Store gelöscht.

Durch einen Artikel in der New York Times wurde nun eine Kontroverse darüber angestoßen.
Phil Schiller, der Marketingchef des Konzerns, welcher ebenfalls für die App-Store-Angebote verantwortlich ist, äußerte sich diesbezüglich nun in einer E-Mail an die Nutzer, da Apple sich in dem Artikel nicht korrekt repräsentiert fühlt. In seinem Statement erläutert Schiller, dass Apple im Gegensatz zu dem was aus dem Artikel hervorgeht, für den Schutz der Kinder gehandelt hat, da „der Schutz der Privatsphäre und die Sicherheit im Apple-Ökosystem vom höchsten Rang“ sei und die gelöschten Apps eine stark eingreifende Technologie namens Mobile Device Management beinhalteten.

Dieses ermögliche Drittanbietern die Kontrolle und den Zugriff auf ein Gerät und seine sensibelsten Informationen, einschließlich Nutzerstandort, App-Nutzung, E-Mail-Konten, Kameraberechtigungen und Browserverlauf.

Um den Entwicklern trotzdem die Wiederaufnahme in den App-Store zu ermöglichen, hat Apple ihnen 30 Tage eingeräumt um eine aktualisierte App ohne Mobile Device Management zur Verfügung zu stellen.

Kategorien: Allgemein
Schlagwörter: , ,

Drohnen – datenschutzrechtlich bedenklich

In modernen Zeiten machen immer mehr Privatpersonen Gebrauch von Drohnen. Viele von diesen sind mit Videokameras ausgestattet um Kurzfilme aus der Luft aufnehmen zu können. Sobald sich eine Drohne jedoch über einem Wohngebiet befindet, werden Videoaufnahmen ungesetzlich. In einem solchen Fall wird in die Privatsphäre von anderen Personen eingedrungen.

Die Datenschutzkonferenz (DSK) hat sich nun mit dem
„Positionspapier zur Nutzung von Kameradrohnen durch nicht-öffentliche Stellen“ zu der Einschätzung der datenschutzrechtlichen Problematik geäußert.

Das Positionspapier beruft sich dabei darauf, dass laut § 21b der Luftverkehrs-Ordnung (LuftVO) der Betrieb von Drohnen, die elektronische Bildaufnahmen anfertigen können, über Wohngrundstücken verboten ist, wenn der betroffene Eigentümer oder Mieter nicht ausdrücklich zugestimmt hat. Dies schränkt den Einsatzbereich von Drohnen mit Kamerafunktion durch Privatpersonen stark ein.

Die DSK ist der Ansicht, dass es sich bei der Nutzung von Kameradrohnen datenschutzrechtlich um eine Datenverarbeitung mittels Videoüberwachung handelt. Die DSGVO greift laut der DSK dann, wenn die Drohne im gewerblichen Bereich Anwendung findet. Eine Rechtsgrundlage wie beispielsweise die Verarbeitung zur Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten, wäre im Stande die gewerbliche Nutzung der Drohen zu legitimieren. Wichtig ist in diesem Zusammenhang abzuwägen, ob das Interesse des Verantwortlichen oder das des Betroffenen vorrangig ist. In den „meisten Fällen“ würde die Einschätzung zu Gunsten des Betroffenen ausfallen.

Umgang mit Gesundheitsdaten: Europarat veröffentlicht neue Leitlinie

Der Europarat hat am 28. März 2019 in Straßburg neue Leitlinien zum Umgang mit Gesundheitsdaten veröffentlicht. In einer Mitteilung heißt es, das Ziel der Richtlinie sei, die 47 Mitgliedsstaaten dazu anzuhalten, bei der Datenverarbeitung die Menschenrechte, insbesondere das Recht auf Daten­schutz und das Recht auf den Schutz der Privatsphäre sicherzustellen.

Grund für die Verabschiedung der neuen Leitlinie sei die fortschreitende Digitalisierung im Gesundheitssektor, die einen hohen Umfang an Verarbeitung von Gesundheitsdaten mit sich bringt. Daraus gehe die Notwendigkeit hervor, Gesundheitspersonal und Gesundheitsbehörden Leitlinien zum Umgang mit Gesundheitsdaten an die Hand zu geben.

Die Empfehlung des Europarates enthält eine Reihe von Grundsätzen, die zum Schutz von Gesundheitsdaten zu beachten sind.

Wesentliche Aspekte, die in der Empfehlung des Rates enthalten sind, sind die Implementierung angemessener Sicher­heitssysteme auf höchstem technischen Niveau zum Schutze von Gesundheitsdaten sowie Vorgaben zur Rechtsgrundlage der Verarbeitung von Gesundheitsdaten, insbesondere zu der Einwilligung betroffener Personen.

Die Regelungen befassen sich im Ein­zelnen mit dem Schutz der Daten ungeborener Kinder, dem Umgang mit genetischen Informationen, dem Datenaustausch zwischen Gesundheitseinrichtungen und -organisationen sowie der Speicherung von Gesundheitsdaten . Sie enthalten ebenfalls Regelungen über Daten, die zu wissenschaftlichen Forschungszwecken verarbeitet werden, via mobilen Geräten gesammelt oder grenzüberschreitend übertragen werden.

Weiterhin listet der Rat die Rechte der betroffenen Person auf, zu denen als entscheidendes Recht die Transparenz über den Sinn und Zweck sowie die weitere Verwendung oder Speicherung der Gesundheitsdaten gehört.

Kategorien: Allgemein
Schlagwörter: , ,

Keine Abschaffung des Datenschutzbeauftragten

Die Datenschutzkonferenz lehnt die Forderung ab, die Pflicht zur Benennung von Datenschutzbeauftragten aufzuweichen.

In dem Entschließungsantrag des Landes Niedersachsen vom 02. April 2019 war nachfolgende Forderung angeführt:

„Der Bundesrat fordert eine deutliche Entlastung von kleinen und mittleren Unternehmen von zusätzlichen Bürokratiekosten, die durch das neue Datenschutzrecht entstehen. Gemäß § 38 Abs. 1 S. 1 BDSG haben nichtöffentliche Stellen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Zwar ist diese Regelung nicht neu, sondern an den § 4 f Abs. 1 S. 4 BDSG a. F. angelehnt, sie stellt jedoch eine nationale Besonderheit dar, durch die in Deutschland ansässige Unternehmen gegenüber Unternehmen in anderen Mitgliedsstaaten mit mehr Bürokratie belastet werden. Der Bundesrat fordert die Bundesregierung daher auf, hier nachzubessern und die in § 38 Abs. 1 S. 1 BDSG genannte Mindestanzahl von zehn Personen deutlich anzuheben. Dies würde insbesondere kleine und mittlere Unternehmen deutlich entlasten, da die Kosten für die Bestellung eines Datenschutzbeauftragten sowie ggfs. dessen Aus- und Fortbildung gerade für diese Unternehmen eine hohe finanzielle aber auch bürokratische Belastung darstellen.“

Dieser Forderung kommt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) in einem Beschluss nicht nach.

Nach der DSK habe sich diese Pflicht seit vielen Jahren bewährt und sei auch deshalb bei der Datenschutzreform im deutschen Recht beibehalten worden. Aufgrund einer betrieblichen Selbstkontrolle sorgen die Datenschutzbeauftragten für eine kompetente datenschutzrechtliche Beratung, um Datenschutzverstöße schon im Vorfeld zu vermeiden und das Sanktionsrisiko gering zu halten.

Ein Wegfall der nationalen Benennungspflicht von Datenschutzbeauftragten würde dem nicht entgegenkommen.
Mittelfristig ginge interne Kompetenz verloren.

Die Konferenz spricht sich daher gegen eine Abschaffung oder Auflockerung der die Datenschutzgrundverordnung ergänzenden nationalen Regelungen (§ 38 BDSG) aus.

Kategorien: Allgemein · EU-Datenschutzgrundverordnung
Schlagwörter: , , ,

Urteil gegen Datenschutz-Richtlinien von Google

26. April 2019

Der Bundesverband der Verbraucherzentralen (vzbv) hat beim Berliner Kammergericht ein Urteil gegen die Datenschutz-Richtlinien von Google erreicht.

Die von Google im Jahr 2012 verwendete Datenschutzerklärung ist zum großen Teil rechtswidrig. Nach Auffassung des Gerichts sind außerdem zahlreiche Klauseln in den Nutzungsbedingungen des Konzerns unwirksam. Einige dieser Klauseln verwendet Google noch heute.

Insgesamt erklärte das Gericht 13 Klauseln in der Datenschutzerklärung und 12 Klauseln in den Nutzungsbedingungen für unwirksam.

Google räumte sich umfangreiche Rechte zur Erhebung und Nutzung von Kundendaten ein. Unter anderem sollten personenbezogene Daten aus den verschiedenen Diensten miteinander verknüpft oder in bestimmten Fällen an Dritte weitergegeben werden.

Laut dem Gericht erwecke die Datenschutzerklärung den Eindruck, dass die Datenverarbeitung ohne Zustimmung der Kunden erlaubt sei. Jedoch ist dafür die informierte und freiwillige Einwilligung des Nutzers erforderlich.

Weitere Teile der Datenschutzerläuterungen wurden als unwirksam angesehen, da sie dermaßen verschachtelt und redundant ausgestaltet seien, dass sie die Nutzer kaum hätten durchschauen können.

In den Nutzungsbedingungen behielt sich Google beispielsweise vor, einzelne Dienste nach eigenem Ermessen einzustellen oder zu ändern. Dies ist allerdings ein gesetzlich nicht zulässiger Änderungsvorbehalt.

Cloud-Dienste im Test

25. April 2019

Die Stiftung Warentest hat elf Cloud-Anbieter verglichen. Am besten schnitt der deutsche Freemail-Anbieter Web.de mit seinem Online-Speicher ab, knapp gefolgt von der Magentacloud der Telekom.

Es wurden nur Anbieter von kostenfreien, deutschsprachigen und betriebssystemunabhängigen Cloud-Diensten wie Dropbox, OneDrive, Amazon und iCloud verglichen. Das Testergebnis setzt sich aus Noten für die Handhabung (40 % der Wertung), die technischen Funktionen (30 %) und für die Datensicherheit (30 %) zusammen. Einen pauschalen Notenabzug gab es beispielsweise bei Mängeln in der Datenschutzerklärung oder den Nutzungsbedingungen (z.B. nur auf Englisch vorhanden oder für schwammige Verweise) oder wenn Daten von der Smartphone-App an die Cloud mitübertragen wurden, die für die Funktion nicht notwendig sind.

Fünf von elf Anbietern erhielten die Endnote „gut“. Die schlechteste Note für Datensicherheit bekam – trotz Zweitplazierung in der Gesamtwertung – die Magentacloud  der Telekom (2,7). Den letzten Platz in der Gesamtwertung belegte der US-amerikanische Cloud-Dienst Sugarsync mit 3,5. Hier gab es vor allem Mängel beim Übertragen von zusätzlichen Daten an die Cloud und bei den Begleittexten.

Erben haben Zugang zur Apple iCloud

Im vergangenen Juli hatte der Bundesgerichtshof (BGH, Urteil vom 12. Juli 2018 – III ZR 183/17) entschieden, dass auch persönliche Inhalte im Netz grundsätzlich an die Erben fallen. Es gebe keinen Grund, digitale Inhalte anders zu behandeln als Briefe oder Tagebücher. (wir berichteten)

Nun urteilte das Landgericht Münster (LG Münster, Urteil vom 16. April 2019 – 014 O 565/18), Apple müsse den Erben eines verstorbenen iCloud-Nutzers Zugang zu dem Apple-Service gewähren.

Die Sichtung der in der iCloud wohl gespeicherten Fotos, E-Mails und weiteren Dokumente, soll den Erben Erkenntnisse über die Gründe, die zum Tod des ins Ausland verreisten Familenvaters liefern.

Nachdem der Zugang außergerichtlich verweigert wurde, erging am 16. April 2019 ein Versäumnisurteil gegen Apple. Die Beklagte habe sich bislang nicht anwaltlich vertreten lassen.

Kategorien: Allgemein
Schlagwörter: , ,

Datenschutz im (Spitzen-) Sport

24. April 2019

Spätestens seit das IOC den Beitrag der Whistleblowerin Julia Stepanowa zum Anti-Doping-Kampf offiziell begrüßt, ihr aber dennoch die Starterlaubnis verweigert hat, ist die Bedeutung von Datenschutz auch im Spitzensport omnipräsent. Dieser endet jedoch keinsefalls bei der Dopingprävention.

Herzfrequenz, Laufleistung (Umfang und Pace), maximale Sprintgeschwindigkeit, Laktatwerte und vieles mehr. Derartige Werte bestimmen mittlerweile den Trainingsalltag eines jeden (Spitzen-) Athleten. Korrelierend hierzu gibt es die Möglichkeit der Live-Analyse etwaiger Werte, Auswertung von Positionsdaten sowie sonstige Tools zur Erkennung sportlicher Leistungen und Förderung von Talenten.

In diesem Kontext wird dem Datenschutz bisweilen keinerlei, respektive wenig Bedeutung beigemessen oder aber man ist sich der Existenz einer Norm schlicht nicht bewusst.

Die datenschutzrechtlichen Anforderungen an die Verarbeitung personenbezogener Daten gelten jedoch auch im Rahmen des (Spitzen-) Sports. So sind beispielsweise gewerblich datenverarbeitende Fitnesscoaches, NADA, Sportvereine oder sonstige Stellen, soweit es sich um personenbezogene Daten handelt, Verantwortliche im Sinne der DSGVO.

Die Nichterfüllung datenschutzrechtlicher Normen birgt jedoch ein Haftungsrisiko für den Verantwortlichen. Basierend auf den vorangegangenen Gedanken gilt dies mithin auch für kleinere Sportvereine. Gerade diesen fehlt allerdings bisweilen das Personal zur Bewältigung der Implementierung datenschutzrechtlicher Anforderungen.

Dieses Problem sah ebenfalls exemplarisch das Bayrische Landesamt für Datenschutzaufsicht (sowie viele weitere Aufsichtsbehörden in den Bundesländern) und veröffentlichte ein Muster, in dem es die datenschutzrechtlichen Anforderungen an kleine Vereine aufzählte. Ob und welche Normen im Einzelfall einschlägig sind und wie sich diese auf den konkreten Fall auswirken, sollte im Rahmen einer Beratung eruiert werden.

Kategorien: Allgemein
Schlagwörter: , ,
1 2 3 4 5 190