Schlagwort: Datenschutzbehörde

Dringlichkeitsverfahren gegen Facebook eröffnet

15. April 2021

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBdFI) hat sich in der Causa neue WhatsApp-Nutzungsbedingungen für einen drastischen Schritt entschieden. In einer Pressmitteilung gibt die Behörde bekannt, ein Dringlichkeitsverfahren gem. Art. 66 DSGVO gegen die Facebook Ireland Ltd. eröffnet zu haben.

Was ist ein Dringlichkeitsverfahren?

Ein Dringlichkeitsverfahren gem. Art. 66 DSGVO bietet einer Aufsichtsbehörde die Möglichkeit, Vorkehrungen für Eilfälle zu schaffen, wenn dringender Handlungsbedarf zum Schutz der Rechte und Freiheiten von betroffenen Personen besteht. Eine Aufsichtsbehörde kann in diesen Fällen hinreichend begründete Maßnahmen mit einer festgelegten Dauer in ihrem Hoheitsgebiet erlassen.

Das Dringlichkeitsverfahren in Hamburg

Die Hamburger Datenschutzbehörde hat sich nun, mit Blick auf die Aktualisierung der Nutzungsbedingungen und der Datenschutzrichtlinie von WhatsApp, für dieses Verfahren entschieden. Da Facebook seine deutsche Niederlassung in Hamburg hat, ist auch die Hamburger Behörde zuständig und kann ein Verfahren gegen Facebook eröffnen, um die Rechte und Freiheiten deutscher Nutzer zu schützen.

Konkret führt Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, zu dem Verfahren gegen Facebook aus: “WhatsApp wird in Deutschland mittlerweile von fast 60 Millionen Menschen genutzt und ist die mit Abstand meistgenutzte Social Media-Anwendung noch vor Facebook. Umso wichtiger ist es, darauf zu achten, dass die hohe Zahl der Nutzer, die den Dienst für viele Menschen attraktiv macht, nicht zu einer missbräuchlichen Ausnutzung der Datenmacht führt. Leider ist es bislang zu keiner uns bekannten aufsichtsbehördlichen Überprüfung der tatsächlichen Verarbeitungsvorgänge zwischen WhatsApp und Facebook gekommen. Derzeit besteht Grund zu der Annahme, dass die Bestimmungen zum Teilen der Daten zwischen WhatsApp und Facebook mangels Freiwilligkeit und Informiertheit der Einwilligung unzulässig durchgesetzt werden sollen. Um gegebenenfalls einen rechtswidrigen massenhaften Datenaustausch zu verhindern und einen unzulässigen Einwilligungsdruck auf Millionen von Menschen zu beenden, ist nun ein förmliches Verwaltungsverfahren zum Schutz Betroffener eingeleitet worden.“

Über den Fortgang des Verfahrens werden wir Sie weiterhin im Datenschutzticker informieren.

Datenschutzleck bei Facebook – Über 500 Millionen Nutzer betroffen

8. April 2021

In einem Hacker-Forum sind vor kurzem Daten von 533 Millionen Facebeook-Nutzern aufgetaucht, die zumindest potentiell für Identitätsdiebstahl missbraucht werden könnten.

Konkret enthält der Datensatz die Telefonnummern, E-Mail-Adressen, Geburts- und andere Daten von Facebook-Nutzern aus über 106 Ländern der Welt. Eine Facebook-Sprecherin kommentierte den Vorfall auf Twitter und beschwichtigte, dass es sich um Daten handele, die bereits im August 2019 abhandengekommen seien, das Problem mittlerweile aber behoben wurde.

An die Daten kamen die Hacker wohl durch sogenanntes Scraping, bei dem über automatisierte Anfragen Daten in großem Stil abgegriffen werden können. Bereits 2019 waren Telefonnummern von 420 Millionen Nutzern in Netz aufgetaucht, nachdem eine Funktion zur Freundessuche für den Datenabgriff missbraucht wurde (wir berichteten).

Trotz Beschwichtigung seitens Facebook ist auch die Irische Datenschutzbehörde auf den Fall aufmerksam geworden und äußerte sich gegenüber der BBC dahingehend, eine eigene Prüfung anzustoßen, bei der festgestellt werden soll, um was für Daten es sich tatsächlich handelt.

Update (12.04.21): Leser des Blogs haben sich bei uns gemeldet und berechtigte Zweifel an der Theorie des „einfachen“ Scrapings geäußert. So sollen etwa auch Telefonnummern abgegriffen worden sein, die eigentlich nur für die 2-Faktor-Authentifizierung verwendet wurden. Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber zeigt sich auf Twitter verwundert darüber, dass er von dem Datenleak betroffen ist, obwohl er sich bereits im Jahr 2018 von der Plattform abgemeldet hatte.

Um einen Erklärungsversuch, wie die Hacker so viele Telefonnummern erbeuten konnten, bemüht sich Jürgen Schmidt auf Heise.de. Wie die riesige Anzahl an Daten allerdings tatsächlich abhandenkommen konnte, wird sich erst im Laufe der Ermittlungen zeigen.

Wir werden Sie im Datenschutzticker dabei stets über aktuelle Entwicklungen auf dem Laufenden halten.

Wenn Sie testen wollen, ob auch sie von einen Datenleak betroffen sind, können Sie dies hier tun.

Wie US-Firmen auf das Safe-Harbor-Urteil des EuGH reagieren

14. Oktober 2015

Nachdem der Europäische Gerichtshof (EuGH) vergangene Woche die Ungültigkeit des Safe-Harbor-Abkommens zwischen der EU und den USA festgestellt hat, lohnt sich ein Blick auf US-Unternehmen. Denn es sind gerade die Großen der Internetbranche, die überdurchschnittlich viele Daten aus der EU erheben und verarbeiten. Und die Großen, allen voran Google, Amazon, Microsoft, Facebook und Apple sind US-Firmen mit großen Marktanteilen in der EU.

Während das Safe-Harbor-Abkommen, sei es nun die gekippte oder die seit 2013 in der Überarbeitung befindliche neue Version, allein von der Politik gestaltet wird und Alternativen wie EU-Standardvertragsklauseln und Binding Corporate Rules von Juristen und Behörden empfohlen werden, sind es die großen US-Unternehmen, die nach ganz eigenen Lösungen suchen. Diese sind – das liegt in der Natur der Sache – zumeist praxisnäher und nicht selten bereits praxiserprobt. Finanziell, organisatorisch und personell können die Unternehmen deutlich schneller, flexibler und nicht selten sogar innovativer reagieren als es nationale Datenschutzbehörden und eine überbürokratisierte EU-Politik können.

Nun stand das Safe-Harbor-Abkommen schon lange in der Kritik und das Urteil des EuGH kommt auch nicht all zu überraschend. Kernproblem war und bleibt der Patriot Act, der US-Behörden ermächtigt, nahezu uferlos auf Daten von US-Firmen zugreifen zu können. Dieses Vorgehen kritisieren nicht nur der EuGH und europäische Datenschützer. Auch US-Firmen bemängelten in der Vergangenheit das Vorgehen der eigenen Regierung, Firmen dazu zwingen zu können, Daten und Informationen gegen ihren Willen preisgeben zu müssen.

Die Summe der Probleme beim Austausch von Daten zwischen EU und USA ist gerade für die Großen der Branche Grund genug, nach eigenen, praxisnahen Lösungen zu suchen. So setzen jedenfalls die finanzstarken Unternehmen verstärkt auf den Ausbau ihrer Standorte innerhalb Europas, wie das Wall Street Journal berichtet. Insbesondere in Irland, aber auch in Belgien, Finnland, den Niederlanden, Dänemark und in Deutschland investieren Google & Co. beachtliche Summen in den Aufbau eigener Rechenzentren und Infrastrukturen. Der Vorteil: Eines der Fundamente des Datenschutzes, nämlich die Zulässigkeit der Datenverarbeitung gemäß § 11 BDSG, ist grundsätzlich gegeben. Denn innerhalb der EU bzw. des europäischen Wirtschaftsraumes wird ein angemessenes Datenschutzniveau unterstellt, während ein solches bei der Datenverarbeitung über die Grenzen der EU hinaus – oft umständlich – nachgewiesen werden muss.

Österreich: Neue Datenschutzbehörde

13. Mai 2013

Medienberichten zufolge hat der Verfassungsausschuss des österreichischen Nationalrats als Reaktion auf die Feststellung des Europäischen Gerichtshofes, dass die bisherige Datenschutzkommission nicht hinreichend unabhängig ist, eine Novelle des Datenschutzgesetzes beschlossen, wonach die Einrichtung einer neuen Datenschutzbehörde vorgesehen ist. Diese Datenschutzbehörde werde nicht nur als unabhängige Kontrollstelle zur Überprüfung der Einhaltung von Datenschutzvorschriften fungieren, sondern u.a. auch für die Führung von Registrierungsverfahren, die Genehmigung von Datenübermittlungen ins Ausland, die Genehmigung von Datenverwendungen für wissenschaftliche oder statistische Zwecke und die Auskunftserteilung an Bürger zuständig sein. Der/die Leiter/in soll für jeweils fünf Jahre von dem Bundespräsidenten auf Vorschlag der Regierung bestellt werden. Damit rücke man von der ursprünglich vorgesehenen Einrichtung eines Fachbeirates zur Unterstützung der Datenschutzbehörde ab.