Schlagwort: Amazon

Einwilligungserklärung bei Bestellungen von Medikamenten im Online-Shop erforderlich

25. April 2018

Das Landgericht Dessau-Roßlau hat entschieden (Urt. 3 O 29/17 vom 28.03.2018), dass bei einer Bestellung von Medikamenten im Internet Gesundheitsdaten auch vom Betreiber Online-Shop verarbeitet werden und dass deshalb eine ausdrückliche Einwilligungserklärung des Betroffen in die Verarbeitung notwendig ist.

Dem Urteil lag der Fall zu Grunde, dass ein Apotheker seine Ware über Amazon verkauft hat. Bei der Bestellung eines Medikaments wurden die Bestelldaten des Kunden nicht nur von der Apotheke, sondern auch von Amazon als Online-Shop-Betreiber verarbeitet.

Bei Gesundheitsdaten handelt es sich um sensible personenbezogene Daten, deren Verarbeitung grundsätzlich untersagt ist. Die Verarbeitung der Daten durch den Apotheker ist ausnahmsweise nach § 28 Abs. 7 BDSG zulässig, da er einer Geheimhaltungspflicht unterliegt. Auch der Betreiber der Handelsplattform verarbeitet die Daten um die Bestellung abzuwickeln. Im Gegensatz dazu unterliegt der Online-Shop aber keiner Verschwiegenheitspflicht. Für diese Verarbeitung greift kein Ausnahmetatbestand des § 28 BDSG, sodass die Verarbeitung der Gesundheitsdaten des Bestellers rechtswidrig ist.
Dies hat zur Folge, dass der Online-Shop-Betreiber eine Einwilligungserklärung des Kunden vor der Verarbeitung der Bestellerdaten einholen muss.

Auch nach der DSGVO ändert sich die Rechtslage ab dem 25. Mai nicht. Art. 9 Abs. 2 DSGVO sieht ebenfalls keine Ausnahme für den Betreiber der Handelsplattform vor, sodass es einer ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. A DSGVO bedarf.

Daten bei Facebook zu unsicher

26. März 2018

Nach einer Umfrage von US-Bürgern hat die Reuters/Ipsos Studie herausgefunden, dass die Mehrheit der Ansicht ist, dass ihre Daten bei Facebook schlechter aufgehoben sind als bei anderen Internet-Unternehmen.

Lediglich 41 % sind davon überzeugt, dass das soziale Netzwerk die Datenschutzvorschriften einhält. Bei Amazon und Google wissen ca. 60 % ihre Daten sicher.

Dieses Misstrauen gegenüber Facebook entstammt wahrscheinlich aus dem aktuellen Datenskandal, bei der Daten von etwa 50 Millionen Facebook-Nutzer ausgespäht wurden.

Nun sollen auch hunderte mit Facebook verknüpfte Apps untersucht werden. Als Gegenmaßnahme sollen auch die Privatsphäre- Einstellungen verbessert und der Zugriff von App-Anbieter eingeschränkt werden.

Dies ist zwar alles begrüßenswert, dennoch zu spät, denn wenn persönliche Daten einmal in die falschen Hände gelangen, sind sie kaum noch zu schützen.

Umso wichtiger ist es, dass Datenschutz am Anfang der Überlegung steht, quasi als Voreinstellung und nicht als unwichtige Draufgabe.

 

 

Datenschutz wird durch Lebensmittel-Lieferdienste verletzt

12. März 2018

Foodwatch Deutschland testete mehrere Lebensmittel-Lieferdienste (u.a. Amazon Fresh, Allyouneedfresh, Mytime).

Dabei wurde deutlich, dass viele Lieferdienste zur Verarbeitung der Bestellung die Angabe nicht erforderlicher Daten verlangten, wie z.B. das Geburtsdatum. Das Geburtsdatum ist lediglich bei Bonitätsprüfungen (bei Zahlung auf Rechnung) oder beim Kauf von Alkoholika notwendig.

Auch die Kontrolle der Shops durch Kontrollbehörden wird als mangelhaft angesehen. „Im Onlinehandel besteht ein echtes Kontrolldefizit, weil die Lebensmittelüberwachung nicht zeitgemäß aufgestellt ist. Die kommunal und offline organisierten Kontrollbehörden sind noch nicht im globalen Online-Zeitalter angekommen. Die zuständigen Lebensmittelkontrolleure schaffen es schlichtweg nicht, neben dem Bäcker vor Ort auch noch die großen Online-Supermärkte und die unzähligen Nischenanbieter im Internet zu kontrollieren, die zufällig ihren Sitz in diesem Ort haben.“ , sagte Martin Rücker, Geschäftsführer foodwatch Deutschland.

Außerdem benutzen die Lieferdienste bis auf Allyouneedfresh  eine hohe Anzahl von Trackern, oft völlig unbemerkt. Damit sammeln sie ohne Wissen des Nutzers Informationen über das Nutzerverhalten.

Es besteht mithin ein großer Bedarf an datenschutzrechtlichen Maßnahmen sowie an Kontrollmaßnahmen bei den Lebensmittel-Lieferdiensten.

 

 

Ein Supermarkt ohne Kasse: Amazon Go

7. Februar 2018

Amazon eröffnete am 22. Januar den ersten „Amazon-Go“ in Seattle. Dabei handelt es sich um einen Supermarkt, in dem es keine Kassen mehr gibt.

Der Amazon Kunde benötigt dazu nur ein Smartphone, worauf er die erforderliche App installiert. Diese App identifiziert – mit zahlreichen Kameras und Sensoren – den Kunden. Beim Betreten und Verlassen des Geschäfts checken die Kunden mit Hilfe eines Barcodes auf dem Smartphone ein und aus. Dies ist vergleichbar mit dem Check-in am Flughafen. Das System merkt sich automatisch, die Artikel, für die sich der Kunde im Geschäft entschieden hat. Wenn dieser das Geschäft wieder verlässt, werden die Artikel automatisch bezahlt und kurze Zeit später erscheint die Rechnung in der App.

Das  Bezahlmodell funktioniert mittels Videoüberwachung mit 3D-Objekterkennung und Zuordnung der Produkte anhand der Amazon Go App. Ein anonymer Einkauf  ist somit ausgeschlossen. Es werden Bewegungsdaten und allgemeine Informationen zum Einkauf verarbeitet. Laut Aussagen von Amazon wird auf die Gesichtserkennung verzichtet. Das System erkenne allein 3D-Objekte und den Menschen ohne exakte Gesichtsstrukturen.

Bedenklich ist, was genau mit den Informationen passiert, die Amazon durch die verknüpften Apps und Sensoren sammelt. Denn jeder Griff, ob zur Wasserflasche oder zum Käse, wird von einem virtuellen Einkaufswagen in der App registriert. 

Amazons Sensoren-Supermarkt Go würde in Deutschland erhebliche Datenschutz-Bedenken auslösen, davon ist zumindest der Landesbeauftragtefür Datenschutz in Nordhrein-Westfalen überzeugt.

 

 

 

Niedersächsische Datenschutzbeauftragte kontrolliert Amazon

14. Dezember 2017

Ein neues Logistikzentrum von Amazon ist ins Blickfeld der niedersächsischen Datenschutzbeauftragten gerückt. Das Zentrum des Online-Händlers in Winsen/Luhe soll von der niedersächsischen Datenschutzbeauftragten Barbara Thiel überprüft werden.

Das Kontrollverfahren soll bereits angelaufen sein. Bereits zum aktuellen Zeitpunkt soll Amazon ein Fragenkatalog vorliegen, auf den bis zum Jahresende geantwortet werden muss.

Laut dem Magazin Panorama 3 des NDR, besteht ein Verdacht auf Datenschutzverstöße durch das genannte Logistikzentrum des Konzerns, das erst im Sommer den Betrieb aufgenommen hat. In der Kritik steht, dass der Konzern die Leistungen und Arbeitsweise seiner Mitarbeiter ohne Ausnahme erfassen soll. Dafür sollen insbesondere Kameras verwendet werden, die zu diesem Zweck in Räumlichkeiten mit Spinden und anderen Räumen installiert wurden.

Laut Jens Thurow, Mitarbeiter der Pressestelle der Datenschutzbeauftragten, will Barbara Thiel diesen aufgekommenen Verdacht prüfen.

Laut Amazon gebe es keine Datenschutzverstöße. Sprecher des Konzerns verweisen darauf, dass in der Vergangenheit bereits mehrfach die, in Verdacht stehenden, Systeme geprüft wurden. Die genannten Kameras sollen danach nur den Schutz der Mitarbeiter bezwecken. Zudem verweisen die Sprecher darauf, dass nicht alle Räume mit Kameras versehen wurden. Die Leistungsüberwachung werde dagegen gar nicht durchgeführt.

Datenschutz Made in Germany

25. Mai 2016

Deutsche Datenschutzbestimmungen zählen zu den strengsten weltweit. Nicht selten werden die Reglementierungen besonders aus Wirtschaftskreisen als zu unflexibel bezeichnet. Stimmen aus den USA, woher die meisten Internetgiganten stammen, sprechen oft von der „German Angst“. Wie groß die globalen Diskrepanzen beim Verständnis zum Thema Datenschutz sind, zeigte unlängst das richtungsweisende Safe-Harbor-Urteil des Europäischen Gerichtshofs, wonach die USA kein sicheres Datenschutzniveau nach europäischem Verständnis aufweisen. Das europäische Verständnis von Datenschutz wiederum orientiert sich stark an dem deutschen Verständnis, das während der Erarbeitung der EU-Datenschutz-Grundverordnung (EU-DSGVO) immer wieder als Maßstab herangezogen wurde. Nicht ohne Grund leitete das Bundesverfassungsgericht in seinem berühmten Volkszählungsurteil bereits 1983 den Datenschutz aus den Artikeln eins und zwei des Grundgesetzes ab und manifestierte auf diese Weise das Grundrecht zur informationellen Selbstbestimmung. Der Schutz persönlicher Daten ist somit Ausprägung des Schutzes der eigenen Persönlichkeit.

US-Amerikanische Internetfirmen, für die der europäische Markt besonders bedeutend ist, passen sich zunehmend dem Verständnis europäischer Kunden nach hiesigen Datenschutzerfordernissen an, indem sie ihr liberal geprägtes Datenschutzniveau für den europäischen Markt freiwillig anpassen. Marktführer aus den USA wie Google, Microsoft, Amazon und viele weitere investieren große Summen, um künftig Rechenzentren in Europa und vermehrt in Deutschland betreiben zu können. Dies bedeutet deutlich größeren Datenschutz für Nutzer und Kunden, denn mit einem Rechencenter in Deutschland gilt auch das strenge deutsche Datenschutzrecht für diese unternehmen.

Wie heise online aktuell mitteilt, wird demnächst auch der Online-Speicherdienst Dropbox Datenschutz made in Germany anbieten und seinen Kunden (zunächst nur Geschäftskunden) die Möglichkeit der Datenspeicherung auf in Deutschland stationierten Servern anbieten. Das Unternehmen bestätigte, dass die Nachfrage nach lokaler Datenspeicherung zunimmt. Dies hängt natürlich mit der steigenden Sensibilisierung für den Datenschutz, also unserem Verständnis und der hohen Gewichtung für den Datenschutz hierzulande zusammen. Nicht ganz unbegründet kann Datenschutz made in Germany daher als eine Art Gütesiegel betrachtet werden.

Wie US-Firmen auf das Safe-Harbor-Urteil des EuGH reagieren

14. Oktober 2015

Nachdem der Europäische Gerichtshof (EuGH) vergangene Woche die Ungültigkeit des Safe-Harbor-Abkommens zwischen der EU und den USA festgestellt hat, lohnt sich ein Blick auf US-Unternehmen. Denn es sind gerade die Großen der Internetbranche, die überdurchschnittlich viele Daten aus der EU erheben und verarbeiten. Und die Großen, allen voran Google, Amazon, Microsoft, Facebook und Apple sind US-Firmen mit großen Marktanteilen in der EU.

Während das Safe-Harbor-Abkommen, sei es nun die gekippte oder die seit 2013 in der Überarbeitung befindliche neue Version, allein von der Politik gestaltet wird und Alternativen wie EU-Standardvertragsklauseln und Binding Corporate Rules von Juristen und Behörden empfohlen werden, sind es die großen US-Unternehmen, die nach ganz eigenen Lösungen suchen. Diese sind – das liegt in der Natur der Sache – zumeist praxisnäher und nicht selten bereits praxiserprobt. Finanziell, organisatorisch und personell können die Unternehmen deutlich schneller, flexibler und nicht selten sogar innovativer reagieren als es nationale Datenschutzbehörden und eine überbürokratisierte EU-Politik können.

Nun stand das Safe-Harbor-Abkommen schon lange in der Kritik und das Urteil des EuGH kommt auch nicht all zu überraschend. Kernproblem war und bleibt der Patriot Act, der US-Behörden ermächtigt, nahezu uferlos auf Daten von US-Firmen zugreifen zu können. Dieses Vorgehen kritisieren nicht nur der EuGH und europäische Datenschützer. Auch US-Firmen bemängelten in der Vergangenheit das Vorgehen der eigenen Regierung, Firmen dazu zwingen zu können, Daten und Informationen gegen ihren Willen preisgeben zu müssen.

Die Summe der Probleme beim Austausch von Daten zwischen EU und USA ist gerade für die Großen der Branche Grund genug, nach eigenen, praxisnahen Lösungen zu suchen. So setzen jedenfalls die finanzstarken Unternehmen verstärkt auf den Ausbau ihrer Standorte innerhalb Europas, wie das Wall Street Journal berichtet. Insbesondere in Irland, aber auch in Belgien, Finnland, den Niederlanden, Dänemark und in Deutschland investieren Google & Co. beachtliche Summen in den Aufbau eigener Rechenzentren und Infrastrukturen. Der Vorteil: Eines der Fundamente des Datenschutzes, nämlich die Zulässigkeit der Datenverarbeitung gemäß § 11 BDSG, ist grundsätzlich gegeben. Denn innerhalb der EU bzw. des europäischen Wirtschaftsraumes wird ein angemessenes Datenschutzniveau unterstellt, während ein solches bei der Datenverarbeitung über die Grenzen der EU hinaus – oft umständlich – nachgewiesen werden muss.

Amazon: Erstes Rechenzentrum in Deutschland

27. Oktober 2014

Der Online-Händler Amazon will Medienberichten zufolge sein erstes Rechenzentrum in Deutschland, voraussichtlich Frankfurt, eröffnen und von dort aus die EU-Region versorgen. Begründet worden sei diese Entscheidung – neben dem allgemeinen Wachstum des Geschäfts in Europa – auch mit dem Interesse der Kunden an Datendiensten aus Deutschland. Die strengen deutschen Datenschutzregelungen würden Deutschland insbesondere als Standort für Cloud-Rechenzentren interessant machen. Damit folge Amazon u.a. dem Unternehmen Oracle, das bereits jüngst die Eröffnung von zwei Rechenzentren in Frankfurt und München angekündigt hat, dem Cloud-Dienstleister VMware, der zum kommenden Jahr ein Rechenzentrum in Deutschland bauen wolle sowie dem Unternehmen Cisco, dessen Cloud-Plattform von der Deutschen Telekom betrieben wird.

 

 

Kategorien: Allgemein
Schlagwörter: ,

Amazons 1Button App übermittelt gesamtes Surfverhalten der Nutzer

15. Juli 2013

Amazons 1Button App, welche es als Erweiterung für Firefox und Chrome gibt, bietet direkten Zugriff auf die Amazon-Suche und zeigt Angebote und Topseller übersichtlich an.

Doch das ist nicht alles, was das Programm kann! Wie wahrscheinlich kaum ein Nutzer weiß, übermittelt die Erweiterung sämtliche aufgerufenen Websites nicht nur an Amazon selber, sondern teilweise auch an den Webstatistik Dienst Alexa, welcher zum Amazon Konzern gehört. Wie der der polnische Sicherheitsfachmann Krzysztof Kotowicz herausgefunden hat, werden dabei sogar die URLs von verschlüsselten HTTPS-Verbindungen an die Amazon-Server übertragen.

In den Datenschutzbestimmungen zur App findet sich zu diesem Verhalten folgender Passus: „The Amazon Browser Apps may also collect information about the websites you view, but that information is not associated with your Amazon account or identified with you.Dem Wortlaut nach ist also nur von Sammeln, nicht aber von Übermitteln die Rede. Auch die Angabe, dass die übermittelten Daten nicht mit dem Amazon-Account verbunden werden oder zur Identifizierung genutzt werden, scheint fragwürdig, weil Amazon bei der Übermittlung das gleiche Cookie verwendet, wie auch zur Identifikation der Nutzer im Onlineshop.

Doch damit nicht genug: Amazon überträgt von bestimmten Seiten sogar die Inhalte an die eigenen Server. So werden beispielsweise die über eine verschlüsselte HTTPS-Verbindung aufgerufenen Ergebnisse einer Google-Suche an Alexa übertragen. In Bezug auf diese Übermittlung an Alexa finden sich folgende Angaben in den Datenschutzbedingungen: „In some cases, that information may be personally identifiable, but Alexa does not attempt to analyze web usage data to determine the identity of any user.“ Damit gibt Amazon recht unverhohlen zu, dass durch die Übermittlung einzelne Nutzer identifizierbar sind. Die übermittelten Daten enthalten dabei nicht nur identifizierende Merkmale, sondern auch sämtliche URL-Parameter wie Session-IDs, die zumindest theoretisch dazu genutzt werden können, die Identität des Nutzers gegenüber den besuchten Webdiensten zu übernehmen.

Berliner Datenschutzbeauftragter: Gefahren für den Missbrauch von persönlichen Daten sind 2011 erheblich gestiegen

4. April 2012

Der Berliner Datenschutzbeauftragte Dr. Alexander Dix hat in seinem Jahresbericht 2011 auf die stark erhöhte Gefahr eines Missbrauchs bei der Nutzung und Verarbeitung von privaten Daten hingewiesen.

Die Privatsphäre des Bürgers sei insbesondere durch neuartige Überwachungstechniken in Staat und Wirtschaft bedroht. Hier nimmt der Bericht vor allem Cloud-Computing sowie soziale Netzwerke aber auch den Einsatz von sogenannten Staatstrojanern ins Visier.

Unternehmen und Behörden müssten ebenfalls bei der Nutzung von Cloud-Computing die grundsätzlichen Anforderungen an Datenverarbeitungsprozesse, zu denen neben Informationssicherheit etwa auch Kontrollierbarkeit, Transparenz und Beeinflussbarkeit gehörten, erfüllen.

Facebook-Nutzern rät der Datenschutzbeauftragte die Timeline Funktion nicht zu aktivieren oder zumindest die Reichweite in die Vergangenheit zu begrenzen. Zudem sollte es Facebook-Apps und anderen Webseiten verwehrt sein, Einträge ungefragt auf die persönliche Neuigkeiten-Seite zu schreiben.

Im Rahmen der in der Vergangenheit kontrovers diskutierten staatlichen Maßnahmen wie die gesetzliche Verankerung der Online-Durchsuchung und die durch das Bundesverfassungsgericht vorgenommene Abgrenzung zur unzulässigen Quellen-Telekommunikationsüberwachung kommt der Bericht zu dem Ergebnis, dass die „Informationelle Selbstbestimmung, Persönlichkeitsrechte und die sich daraus ergebenden Forderungen für die Freiheit des Einzelnen nach den Vorgaben des Grundgesetzes […] zusehends in die Defensive gegenüber den Interessen des Staates zur Vorbeugung und Verfolgung von Straftaten und zur Gewährleistung von Sicherheit und Ordnung [geraten].“

Eine weitere besondere Herausforderung für den Datenschutz sieht der Datenschutzbeauftragte darin, dass große internationale – vor allem aber US-amerikanische – Unternehmen, wie Google, Apple, Amazon und vor allem Facebook immer größere Mengen an personenbezogenen Daten verarbeiten und speichern ohne dabei das deutsche und europäische Datenschutzrecht hinreichend zu berücksichtigen.

1 2