Schlagwort: Nutzerdatenschutz
6. Oktober 2015
Mit dem Urteil C-362/14 vom 06. Oktober 2015 hat der EuGH die Entscheidung der Kommission vom 26. Juli 2000, dass die s.g. „Safe-Harbor-Regelung“ der Vereinigten Staaten ein angemessenes Schutzniveau der übermittelten personenbezogenen Daten gewährleistet, für ungültig erklärt.
Zusammenfassung und Folgen für die Praxis:
• Die Entscheidung des EuGH zu Safe Harbor macht den Datentransfer von Europa in die Vereinigten Staaten für die Safe Harbor registrierten Unternehmen nicht per se rechtswidrig.
• Die Datenschutzbehörden der Mitgliedsstaaten sind nun jedoch befugt, Unternehmen, die Daten auf der Basis von Safe Harbor in die Vereinigten Staaten übermitteln oder dort verarbeiten lassen, auf die Einhaltung der datenschutzrechtlichen Vorschriften hin zu überprüfen und im Falle des Verstoßes Sanktionen zu erlassen, etwa Untersagungsverfügungen. Dies dürfte auch für den Transfer auf der Basis der Standardvertragsklauseln bzw. Corporate Binding Corporate Rules gelten, da der Hintergrund der Zugriff der amerikanischen Behörden auf der Basis des Patriot Act ist, der unabhängig von der gewählten rechtlichen Grundlage zur Anwendung kommen kann und europäische Daten nicht ausnimmt.
• Bei Verstößen können die Datenschutzbehörden als utima ratio durch Untersagungsverfügungen die Übermittlung der personenbezogenen Daten in die Vereinigten Staaten untersagen.
• Doch die EU und die Vereinigten Staaten verhandeln bereits seit 2013 über ein neues Safe-Harbor-Abkommen. Es erscheint also nicht ausgeschlossen, dass die nationalen bzw. regionalen europäischen Aufsichtsbehörden eine Übergangsfrist abstimmen, bis zu der keine konkreten Prüfungen durch die Landes-Aufsichtsbehörden erfolgen und mithin keine Untersagungsverfügungen gegenüber Unternehmen erfolgen.
• Entschieden ist dies jedoch aktuell nicht. Entsprechende Abstimmungen auf behördlicher Ebene werden jedoch schon für die kommende Woche erwartet.
• Voraussetzung könnte sein, dass sich die Regierungen bis zu einem gewissen Zeitpunkt auf ein neues Safe-Harbor-Abkommen einigen. Die Aufsichtsbehörden würden so den durch die Rechtsprechung aufgebauten Druck weg von den Unternehmen zumindest temporär auf die handelnden politischen Entscheidungsträger verlagern.
• Inhaltlich dürfte es bei den kommenden Verhandlungen zwischen den transatlantischen Partnern neben den bisher häufig zu oberflächlich erfolgten Umsetzungen der Safe Harbor Regeln und den damit unzutreffend erfolgten Selbstzertifizierungen in den betroffenen Unternehmen insbesondere um die Zugriffe auf europäische Daten auf der Basis des Patriot Act gehen.
Die Entscheidung
Zum Hintergrund: Der Beschwerdeführer nutzt seit 2008 das soziale Netzwerk facebook. Die in Irland ansässige Tochtergesellschaft übermittelte die Daten des Beschwerdeführers an Server, die sich in den Vereinigten Staaten befinden und ließ sie dort verarbeiten. Der Beschwerdeführer befürchtete aufgrund der bekanntgewordenen Tätigkeiten der Nachrichtendienste, dass die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der übermittelten Daten vor den Behörden bot. Eine hiergegen eingelegte Beschwerde bei der irischen Datenschutzbehörde lehnte diese mit der Begründung ab, dass die Kommission in ihrer Entscheidung vom 26. Juli 2000 festgestellt habe, dass ein angemessenes Schutzniveau gewährleistet sei.
Stärkung der Rechte nationaler Datenschutzbehörden
In der heutigen Entscheidung führt der EuGH aus, dass die Feststellung des Schutzniveaus durch die Kommission die Befugnisse der nationalen Datenschutzbehörden weder beschränken, noch beseitigen kann. Die Datenschutzbehörden müssen, wenn sie mit einer Beschwerde befasst werden, in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung der Daten einer Person in ein Drittland die datenschutzrechtlichen Anforderungen der EU gewahrt sind.
Verletzung des Grundrechts auf Achtung des Privatlebens
Nach Feststellung der bestehenden Prüfungskompetenz der nationalen Datenschutzbehörden nimmt der EuGH auch zu der inhaltlichen Gültigkeit der Kommissionsentscheidung Stellung. Er stellt fest, dass die Kommission nicht die Gewährleistung des Schutzniveaus der Grundrechte durch die innerstaatlichen Vorschriften und internationalen Verpflichtungen der Vereinigten Staaten geprüft hat. Vielmehr hat sie sich darauf beschränkt, die Safe-Harbor-Regelung zu prüfen.
Aber auch die Regelung allein gewährleistet keinen Schutz, der dem in der Union garantierten Niveau gleichwertig ist. Denn die diese gilt nur für Unternehmen, die sich der Safe-Harbor Regelung unterwerfen, nicht aber für Behörden der Vereinigten Staaten. Darüber hinaus haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzten der Vereinigten Staaten Vorrang vor den Safe-Harbor-Regelungen, so dass Unternehmen bei einem Widerstreit der genannten Interessen, die Safe-Harbor-Regelung unangewandt lassen müssen. Die Safe-Harbor Regelung ermögliche insoweit Eingriffe durch amerikanische Behörden, ohne dass Reglungen bestünden, die die Eingriffskompetenzen begrenzten.
In diesem Zusammenhang stellt der EuGH in aller Deutlichkeit fest, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt der elektronischen Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt. Da dem Bürger kein Zugang zu den ihn betreffenden Daten zur Verfügung steht, sei darüber hinaus das Grundrecht auf einen wirksamen gerichtlichen Schutz verwehrt.
3. August 2015
Neben herkömmlichen Passwörtern, biometrischen Verfahren und Multifaktor-Logins wird zurzeit an einer weiteren Alternative geforscht, um Menschen im Internet zu authentifizieren: Durch Verhaltensanalyse, Behavioral Analysis, also der Art und Weise, wie der Nutzer auf eine Tastatur tippt, ob auf seinem PC, Tablet oder Smartphone. Konkret werden Erkenntnisse vor allem aus der Geschwindigkeit des Tippens, aus dem Tastendruck und aus der Art und Weise der beim Tippen eingelegten Pausen gewonnen, die den IT-Sicherheitsexperten genügend Daten liefern, um individuelle Profile erstellen zu können.
Skandinavische Banken testen dieses Verfahren bereits seit dem vergangenen Jahr, die dänische Danske Bank verwendet es bereits für ihr Online-Banking. Das schwedische Unternehmen BehavioSec biete Websitebetreibern an, mit dieser Technik die Logins ihrer Kunden zu sichern.
Die Kehrseite der Medaille einer neuen Authentifizierungsmethode ist jedoch die Gefahr des Missbrauchs der durch die Verhaltensanalyse gewonnen Daten für eine ungewollte Identifizierung des Nutzers. Das Skript von BehavioSec funktioniert beispielsweise auch bei Usern des (eigentlich) anonymisierten Tor-Browsers. Vor allem aber wird der Nutzer völlig im Unklaren darüber gelassen, ob und in wie weit sein Verhalten aufgenommen und analysiert wird. Auch dafür haben findige Entwickler aber schon eine Lösung parat: Jedenfalls bei Google Chrome kann die Eingaben in Textfeldern durch ein Browser-Add-On zufällig um ein paar Milisekunden verzögert werden, so dass eine versteckte Verhaltensanalyse nicht mehr möglich sein soll.
6. Juli 2015
Der österreichische Datenschutz-Aktivist Max Schrems hatte dem sozialen Netzwerk Facebook im Rahmen einer Sammelklage, an der sich rund 250.000 Nutzer beteiligten (wir berichteten darüber), unter anderem ein Ausspähen des Surfverhaltens und ungültige Datenschutzbestimmungen vorgeworfen. Jetzt wurde die Klage vom Landgericht Wien als unzulässig zurück gewiesen, das Gericht erklärte sich für unzuständig.
Nach Auffassung des Gerichts handelte Schrems nicht mehr als Verbraucher, sondern verfolge mit seinem Vorgehen inzwischen auch berufliche Interessen. Mithin müsse er sich an ein Gericht in Irland wenden, wo Facebook seinen eurpäischen Sitz hat.
Schrems kündigte unmittelbar nach dem Beschluss Rechtsmittel an. Das Verfahren wird dann vor dem Oberlandesgericht fortgesetzt werden. Es handelte sich formal um eine Schadenersatzklage mit einem eher symbolischen Betrag von 500 Euro pro Kläger.
16. Juni 2015
Nach dreieinhalb Jahren (oder 40 Monaten) Verhandlungen haben sich die EU-Mitgliedsstaaten auf einen ersten Entwurf einer europaweiten Datenschutzverordnung geeinigt. Vorausgegangen war eine der größten Lobbyschlachten der letzten Jahre. Der Grünen-Europa-Abgeordnete Jan-Philipp Albrecht (stellvertretender Vorsitzender des Justiz- und Innenausschusses des Europäischen Parlaments) lobt in einem Interview mit der Deutsche Welle dennoch den gefundenen Kompromiss als gelungenen Ausgleich zwischen den Interessen der Wirtschaft und den Freiheitsrechten der Bürger.
Experten sehen dies deutlich skeptischer. Heise.de bemängelt vor Allem die faktische Aufhebung der Zweckbindung (also das Prinzip, dass Daten nur für den Zweck ihrer Erhebung verwendet werden dürfen) sowie des insbesondere in Deutschland geltenden Grundsatzes der Datensparsamkeit (das Prinzip so wenig wie möglich personebezogene Daten zu erheben, zu nutzen bzw. zu verarbeiten).
Auch das sich mittlerweile etablierte Prinzip des Opt-In (etwa zur Anmeldung zu Newslettern und Werbemails) könnte zukünftig nicht mehr gelten. So ist eine Formulierung geplant, dass zukünftig die “unzweideutige Einwilligung” ausreichen soll. Ob damit gemeint ist, dass künftig auch ein mehr oder wenig leicht zu erkennender Hinweis in einem langen Text von Einwilligungen genügen soll, um entsprechende Mailings vorzunehmen, scheint nicht ausgeschlossen.
Die Nutzung der Daten für Direktmarketing soll zukünftig bereits dann möglich sein, wenn das Interesse eines Drittunternehmens (also nicht nur des Unternehmens, welches die Daten erhoben hat) bei einer Abwägung größer als das des Betroffenen eingeschätzt wird.
Ob und wie das viel diskutierte Recht auf Vergessenwerden tasächlich in der finalen Verordnung Einzug finden wird, bleibt abzuwarten.
Auch die Konsequenzen von Datenschutzverstößen für Unternehmen, die sich nicht einmal an die geplanten Rahmenbedingungen halten möchten, sollen deutlich sanfter ausfallen als bisher geplant. War in der Vergangenheit von Bußgeldern i.H.v. 100 Millionen Euro oder 5 Prozent des Jahresumsatzes die Rede wurden diese Zahlen nun deutlich reduziert. Ob sich große internationale Unternehmen, die mit den personenbezogenen Daten ihrer Nutzer viel Geld verdienen, von einem Bußgeld i.H.v. maximal 250.000 € von Verstößen abschrecken lassen werden, wird die Zukunft zeigen.
Wie die Verordnung am Ende tatsächlich aussieht hängt von den Verhandlungen zwischen EU-Kommission, Parlament und Ministerrat ab. Diese sollen bis Ende des Jahres abgeschlossen sein.
25. Mai 2015
Wie eine Studie der Camebridge University jetzt ergab, können sich Nutzer älterer Android-Handys nicht auf die sog. Factory Reset Funktion verlassen und davon ausgehen, dass sich ihr Gerät nach Durchführen dieser Funktion wieder im ursprünglichen Werkszustand befindet. Den Forschern zufolge wird der Löschvorgang nur unvollständig durchgeführt, persönliche Login-Angaben und andere personenbezogene Daten, inklusive Textnachrichten und Fotos sowie Kontaktdaten für Facebook und WhatsApp, werden nicht vollständig entfernt.
Darüber hinaus konnten auch Tokens von Google-Diensten wieder hergestellt werden, es konnte also eine Art Hauptschlüssel extrahiert werden und so etwa Zugriff auf Gmail und den Google-Kalender der ehemaligen Nutzer genommen werden.
Den Schätzungen der Wissenschaftler zufolge können rund 500 Million Geräte der Versionen Android 4.3 und älter betroffen sein. Eine vollständige Datenverschlüsselung kann helfen, das Problem jedenfalls abzumildern.
10. Februar 2015
Auf Initiative der Europäischen Kommission findet am heutigen Dienstag, 10.02.2015, der jährliche internationale Safer Internet Day statt. Er wird von der Kampagne “klicksafe” koordiniert, einer Sensibilisierungskampagne zur Förderung der Medienkompetenz im Umgang mit dem Internet und neuen Medien in Deutschland und steht unter dem Motto “Gemeinsam für ein besseres Internet”.
Mit diesem Aktionstag sollen vor allem Schüler und Jugendliche sensibiliert und informiert werden um ihnen so einen bewussten Umgang mit dem Internet zu vermitteln. Über die vielfältigen Möglichkeiten, die zu diesem Tag angeboten werden, kann man sich hier informieren.
Aus Anlass des Safer Internet Days hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Reihe von Hinweistexten und Broschüren zum Thema Sicherheit im Internet zusammengestellt. So finden sich beisielsweise auf vier zum Herunterladen bereit stehenden Postern Hinweise und Erläuterungen zum Cloud-Computing, zur Sicherheit auf dem Smartphone, in sozialen Netzwerken und beim Surfen.
29. Januar 2015
Am 30. Januar treten Facebooks neue Nutzungsbedingungen in Kraft. Neben der Möglichkeit für Mitglieder, genauer festzulegen, wer ihre Einträge ansehen kann oder herauszufinden, warum ihnen bestimmte Werbung zugespielt wird, ermöglichen die neuen AGB aber auch eine detailliertere Verfolgung des Nutzerverhaltens. Der Rechtsausschuss des Bundestages diskutierte daher gestern mit Richard Allan, dem für Europa zuständige Policy Director des Unternehmens, über die geplanten Änderungen.
Sowohl Abgeordnete als auch Datenschützer kritisierten das Online-Netzwerk: Der Hamburger Datenschutzbeauftragte Johannes Caspar erklärte, es sei unklar, ob aus den Daten Nutzerprofile gebildet würden und ob die Weiternutzung als Einwilligung ausreiche. Vor allem sei Facebook auch nach wie vor nicht der Meinung, dass deutsches Datenschutzrecht gelte.
Die Vorsitzende des Ausschusses, Renate Künast, warf dem Unternehmen mangelnde Offenheit vor. Noch immer sei unklar, welche Daten Facebook eigentlich zu welchem Zweck sammelt, nutzt und auswertet.
Wer sich nach dem 30. Januar auf Facebook einloggt, stimmt den neuen Regeln automatisch zu, ohne dass ein Widerspruch überhaupt möglich ist. Die einzige Alternive, die Nutzern bleibt, die sich mit den Änderungen nicht einverstanden zeigen wollen, ist, sich komplett abzumelden. Diesen Punkt kritisierte der Parlamentarischer Staatssekretär im Bundesjustizministerium, Ulrich Kelber (SPD): In einem Brief an das Netzwerk bemängelte er, viele Aussagen seien nicht konkret genug.
Leider konnten die Abgeordneten und Datenschützer jedoch gestern kein Einlenken von Facebook erreichen, es wurden in der Sitzung keine Änderungen seitens Facebook angekündigt.
21. Januar 2015
SplashData, ein amerikanisches IT-Unternehmen, das vor allem auch im Bereich Passwort-Management-Anwendungen tätig ist, hat jetzt eine Liste mit den 25 schlechtesten Passwörtern veröffentlicht. Für die Untersuchung wurden Dateien mit mehr als 3,3 Millionen Passwörtern aus dem Jahr 2014 ausgewertet.
Auf den ersten beiden Plätzen dieser Liste stehen so geistreiche Ideen wie “123456” und “password” – beachten Sie einfach die folgenden Hinweise und lassen Sie sich so Ihr Passwort weniger leicht “knacken”:
1. Länge: Ein Passwort muss mindestens 8 Zeichen enthalten.
2. Komplexität: Das Passwort muss jeweils mindestens ein Zeichen aus den folgenden vier Kategorien enthalten:
- Ein großgeschriebener Buchstabe (A–Z)und
- ein kleingeschriebender Buchstabe (a-z) und
- eine Zahl (0-9) oder
- ein nicht-alphanumerisches Zeichen (zum Beispiel: !$#,%)
3. Maximale und minimale Gültigkeit: Passwörter sind höchstens einmal pro Tag und mindestens alle 90 Tage zu ändern.
4. Historie: Neue Passwörter sollten Sie so wählen, dass sie nicht aus den vorherigen Passwörtern hergeleitet werden können.
5. Name: Passwörter sollten auf keinen Fall den Namen des jeweiligen Nutzers ganz oder in Teilen enthalten.
6. Geheimhaltung: Teilen Sie Ihr Passwort niemandem mit und schreiben Sie es möglichst nicht auf!
1. August 2014
Nach einer Studie, die HP diese Woche veröffentlicht hat, gehen die Hersteller von vernetzten Geräten oft sehr sorglos mit deren Sicherheit um.
Bei den zehn populärsten vernetzten Geräte, die untersucht wurden (darunter z. B. Webcams, Alarmanlagen, Türschlösser, Sprinkleranlagen), wies jedes im Durchschnitt 25 Schwachstellen auf. Vor allem wurden bei der Studie mangelnde Verschlüsselung in Kombination mit überflüssigen privaten Informationen, schwache Passwörter und fehlerhafte Benutzerschnittstellen aufgedeckt. So könnten Geräte der Kategorie “Internet of Things” zu einem großen Sicherheitsrisiko werden.
Das größte Risiko bestehe wohl darin, dass die Nutzer in neun von zehn Geräten überflüssige persönlichen Daten eingeben mussten, darunter auch Kreditkarteninformationen, und diese durch eine unverschlüsselste Verbindung kommunizieren müssen. In acht von zehn Geräten konnten Nutzer auch einfache Passwörter wie 1234 eingeben, heißt es in der Studie weiter. Besonders kritisch: Diese Passwörter werden teilweise nicht nur im Heimnetzwerk, sondern auch für den Zugang zur Cloud oder von mobilen Geräten aus genutzt.
Ein weiterer sehr kritischer Punkt sei die mangelhafte Verschlüsselung. So werde in sieben von zehn Geräten überhaupt keine Verschlüsselung eingesetzt. Unverschlüsselte Updates hingegen sorgen für unsichere Firmware.
Dabei ist das Internet der Dinge ein vielbeschworenes Entwicklungsfeld: Laut dem Marktforschungsinstitut Gartner sollen bis zum Jahr 2020 etwa 26 Milliarden Geräte weltweit mit Bluetooth, WLAN oder sonstigen Netzwerkverbindungen ausgestattet werden, wie Zeit-Online in diesem Zusammenhang berichtet.
3. Juli 2014
In einem Grundsatzurteil zu Persönlichkeitsrechten im Internet hat der Bundesgerichtshof (BGH) den Auskunftsanspruch gegen ein Online-Portal aus Hessen zurückgewiesen – und damit ein Urteil für die Anonymität und gleichzeitig gegen den Persönlichkeitsschutz gesprochen.
Der BGH urteilte, das der Betreiber eines Internetportals die Daten des Nutzers selbst dann nicht herausgeben müsse, wenn dieser wiederholt unwahre Aussagen ins Netz eingestellt hat. Für solche Auskünfte gebe es keine gesetzliche Grundlage; Ausnahme seien lediglich Auskünfte zum Zweck der Strafverfolgung (Az: VI ZR 345/13).
Im Streitfall wollte ein Arzt von einem Bewertungsportal den Namen eines Nutzers wissen. Dieser hatte mehrfach falsche Behauptungen über den Mediziner aufgestellt. Auf Beschwerde des Arztes hatte der Portalbetreiber diese zwar gelöscht, wenig später waren sie aber neu zu lesen. Nach dem Karlsruher Urteil muss das Bewertungsportal den Namen dennoch nicht herausgeben. Der Vorsitzende Richter Gregor Galke sagte, die Anonymität der Nutzer dürfe nach der Vorschrift des Telemediengesetzes nur in wenigen Ausnahmen aufgehoben werden. „Der Schutz der Persönlichkeitsrechte ist nicht genannt.”, so der Richter.
