Schlagwort: sensible Daten

Risiken und Nutzen von biometrischen Daten – Teil 2

11. August 2022

In Teil 2 unseres Beitrages über biometrische Daten beschäftigen wir uns damit, wo biometrische Daten zum Einsatz kommen und was für ein Problem es mit Gesichtserkennungssoftwares gibt. Um ein grundsätzliches Verständnis für biometrische Daten zu erhalten, verweisen wir auf Teil 1 dieses Beitrages.

Wo & wann werden biometrische Daten verwendet?

Biometrische Daten sind im Alltag vielfältig zu finden. Teilweise werden biometrische Daten auf amtlichen Ausweisen gespeichert, so muss der deutsche Personalausweis z.B. ein biometrisches Lichtbild und seit letztem Jahr auch Fingerabdrücke enthalten.

Auch kann man seinen Fingerabdruck oder seine Gesichtsgeometrie in seinem Smartphone speichern und dies zur Entsperrung nutzen.

Wie funktionieren Gesichtserkennungssoftwares?

Es gibt unterschiedliche Arten der Gesichtserkennung, die sich aber im Wesentlichen alle ähnlich sind.

Dabei lokalisiert die Kamera ein Gesicht. Die Software liest sodann das Gesicht und berechnet seine charakteristischen Eigenschaften, also seine Geometrie. Dafür herangezogen werden vor allem solche Merkmale des Gesichts, die sich aufgrund der Mimik nicht ständig verändern, z.B. die oberen Kanten der Augenhöhlen, die Gebiete um die Wangenknochen und die Seitenpartien des Mundes. Diese Informationen werden in Form eines Merkmalsdatensatzes gespeichert. Dieser Merkmaldatensatz kann dann in Datenbanken abgeglichen werden, sodass mehrere Bilder von einer Person dieser alle zugeordnet werden können.

Eines der bekanntesten Unternehmen, das Gesichtserkennungssoftware nutzt ist Clearview AI. Das US-amerikanische Unternehmen sammelt öffentlich zugängliche Bilder von Menschen, z.B. in sozialen Netzwerken oder in Videos. Mittlerweile hat das Unternehmen eine Datenbank von 10 Milliarden Bildern. Kunden können ein Foto von einem Gesicht machen und hochladen. Dieses Foto wird dann mit den Datenbanken abgeglichen.

Wofür werden sie genutzt?

Gesichtserkennungssoftwares können vielfältig genutzt werden. So können sie aus Sicherheitsgründen eingesetzt werden oder um vermisste Personen zu identifizieren. Ein aktuelles Beispiel dafür ist, dass die Ukraine offenbar Clearview AI nutzte, um im Krieg gefallene Soldaten zu identifizieren. Auch Strafverfolgungsbehörden in den USA nutzen Clearview.

Welche Kritik begegnet ihnen?

In Europa begegnet Clearview AI enorme Kritik von Datenschutzbehörden, die Rekordstrafen verhängen. So haben allein dieses Jahr die italienische und die griechische Datenschutzbehörde jeweils ein Bußgeld von 20 Mio. Dollar gegen das Unternehmen verhängt. Außerdem haben u.a. die französische Datenschutzbehörde Clerview AI aufgefordert, die Daten ihrer Bürger nicht länger zu sammeln.

Die Befürchtung bei solchen Gesichtserkennungssoftwares ist, dass eine illegale Massenüberwachung entsteht. Auch findet so ein immenser Eingriff in der Privatsphäre der Betroffenen statt. Dabei ist das Missbrauchspotential groß, potenzielle Straftäter können ihre Opfer auskundschaften. Vor allem Straftaten im Bereich des Stalkings können so vereinfacht werden. Aber auch in autoritären Regimen können solche Softwares eingesetzt werden, um bspw. Regimekritiker auf Demonstrationen zu identifizieren.

Dem Erfassen von biometrischen Daten kann man im Alltag nicht aus dem Weg gehen. Es ist aber auf jeden Fall sinnvoll, vernünftig über biometrische Daten informiert zu sein, um sie bestmöglich schützen zu können.

EuGH zur Auslegung von Art. 6 und 9 der DSGVO

10. August 2022

In seinem Urteil (EuGH, Urteil v. 01.08.2022 – EuGH AZ: C-184/20) hatte sich der Europäische Gerichtshof mit zwei Vorlagefragen bezüglich der Auslegung der DSGVO zu befassen.

Ausgangsrechtsstreit

Am 07. Februar 2018 entschied die Oberste Ethikkommission, dass ein Leiter einer Einrichtung litauischen Rechts aus dem Bereich des Umweltschutzes, die öffentliche Mittel erhält, gegen Art. 3 Abs. 2 und Art. 4 Abs. 1 des litauischen Gesetzes über den Interessenausgleich verstoßen habe, indem er keine Erklärung über private Interessen vorgelegt habe. Gegen diese Entscheidung erhob dieser Leiter beim litauischen Gericht Anfechtungsklage. Er war der Ansicht, ihn treffe keine Pflicht zur Erklärung privater Interessen. Jedenfalls verletze die Veröffentlichung dieser Erklärung sowohl sein eigenes Recht auf Achtung seines Privatlebens als auch das der anderen Personen, die er in seiner Erklärung angeben müsste. Das litauische Regionalverwaltungsgericht Vilnius hat sodann beschlossen, das Verfahren auszusetzen und dem Europäischen Gerichtshof (EuGH) zwei Fragen zur Vorabentscheidung vorzulegen:

  • Ist die in Art. 6 Abs. 1 Unterabs. 1 Buchst. c der DSGVO festgelegte Bedingung im Hinblick auf die in Art. 6 Abs. 3 der DSGVO festgelegten Anforderungen und ferner im Hinblick auf die Art. 7 und 8 der Charta dahin auszulegen, dass das nationale Recht nicht die Offenlegung der in Erklärungen über private Interessen enthaltenen Daten und deren Veröffentlichung auf der Website des Verantwortlichen verlangen darf, wodurch allen Personen, die Zugang zum Internet haben, Zugang zu diesen Daten gewährt wird?
  • Ist das in Art. 9 Abs. 1 der DSGVO normierte Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten unter Berücksichtigung der in Art. 9 Abs. 2 der DSGVO festgelegten Bedingungen, einschließlich der in Buchst. g genannten Bedingung, auch in Hinblick auf die Art. 7 und 8 der Charta dahin auszulegen, dass das nationale Recht nicht die Offenlegung von Daten in Erklärungen über private Interessen verlangen darf, durch die personenbezogene Daten offenbart werden können, einschließlich solcher Daten, die Rückschlüsse auf politische Ansichten, Gewerkschaftszugehörigkeit, sexuelle Orientierung oder andere persönliche Informationen zulassen, und auch nicht ihre Veröffentlichung auf der Website des Verantwortlichen, wodurch allen Personen mit Zugang zum Internet Zugang zu diesen Daten gewährt wird?

Zu Art. 6 Abs. 1 Unterabs. 1 Buchst. c und Abs. 3 DSGVO

In dem vorgelegten Fall diente die Datenverarbeitung durch Veröffentlichung der Inhalte einer Erklärung über private Interessen auf der Website der Ethikkommission der Erfüllung einer rechtlichen Verpflichtung aus Art. 10 des litauischen Gesetzes über den Interessenausgleich. Somit fällt die Datenverarbeitung unter Art. 6 Abs. 1 Unterabs. 1 Buchst. c der DSGVO. Dieser Art. 10 des Gesetzes über den Interessenausgleich muss als Rechtsgrundlage der Datenverarbeitung dann ebenfalls den Anforderungen aus Art. 52 Abs. 1 der Charta und Art. 6 Abs. 3 der DSGVO genügen.

Im Rahmen dieser Verhältnismäßigkeitsprüfung hatte der EuGH zum Schluss die Schwere des Eingriffs in die Grundrechte der Art. 7 und 8 der Charta gegen die Bedeutung der Ziele des Gesetzes über den Interessenausgleich, nämlich die Verhütung von Interessenkonflikten und von Korruption im öffentlichen Sektor, abzuwägen. Hierbei seien die konkreten Ausprägungen und das Ausmaß der Korruption im öffentlichen Dienst des betreffenden Mitgliedstaats zu berücksichtigen, sodass das Ergebnis der Abwägung nicht unbedingt für alle Mitgliedstaaten gleich ausfallen würde. Zudem ist ebenfalls zu berücksichtigen, dass das Allgemeininteresse an der Veröffentlichung personenbezogener Daten aus einer Erklärung über private Interessen je nach Bedeutung der Aufgaben der erklärungspflichtigen Person variieren kann. Eine Online-Veröffentlichung von Daten, die geeignet sind, Informationen über bestimmte sensible Aspekte des Privatlebens der betroffenen Personen und ihm nahestehende Personen, wie z.B. ihre sexuelle Orientierung, zu offenbaren, sei als schwerwiegender Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten anzusehen. Aber auch die Korruptionsbekämpfung sei in der Union von großer Bedeutung.

Zur Abwägung führte der EuGH aus: „Im Vergleich zu einer Erklärungspflicht in Verbindung mit einer von der Obersten Ethikkommission ausgeübten Inhaltskontrolle, deren Wirksamkeit der betreffende Mitgliedstaat zu gewährleisten hat, indem er diese Behörde mit den dafür erforderlichen Mitteln ausstattet, stellt eine solche Veröffentlichung einen erheblich schwereren Eingriff in die durch die Art. 7 und 8 der Charta verbürgten Grundrechte dar, ohne dass diese zusätzliche Schwere durch etwaige Vorteile kompensiert werden könnte, die sich hinsichtlich der Verhütung von Interessenkonflikten und der Bekämpfung von Korruption aus der Veröffentlichung aller dieser Daten ergeben könnten.“ (EuGH, Urt. v. 1.8.22, AZ: C-184/20, Rn. 112).

Zu Art. 9 Abs. 1 der DSGVO

Der EuGH wurde des Weiteren vor die Frage gestellt, ob auch Daten, aus denen mittels gedanklicher Kombination oder Ableitung auf die sexuelle Orientierung einer Person geschlossen werden kann, ebenfalls unter die besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO fallen, obwohl die verarbeiteten Daten ihrer Natur nach nicht direkt sensible Daten darstellen. Der EuGH führt dazu aus, dass eine Auslegung des Wortlauts des Art. 9 Abs. 1 DSGVO („zu“, „über“) dahingehend, dass eine direktere Verbindung zwischen der Verarbeitung und den betreffenden Daten bestehen muss und nicht bereits ein indirektes Schließen auf sensible Informationen ausreicht, nicht im Einklang mit einer kontextbezogenen Analyse der Vorschriften stehen würde. Insbesondere der Normzweck der Gewährleistung eines erhöhten Schutzes vor Datenverarbeitungen, die aufgrund besonderer Sensibilität einen besonders schweren Eingriff in die Grundrechte aus Art. 7 und 8 der Charta darstellen können, spreche für eine weite Auslegung der Begriffe des Art. 9 Abs. 1 DSGVO.

Die Entscheidung zeigt, dass sich der EuGH für den Datenschutz ausspricht und dieser auch im Rahmen wichtiger Themen wie Korruption im öffentlichen Sektor noch großen Einfluss hat und im Einzelfall überwiegen kann. Auch zeigt die weite Auslegung des Begriffs der sensiblen Daten, dass diese auch vorliegen, obwohl es auf den ersten Blick nicht danach aussieht.

Risiken und Nutzen von biometrischen Daten – Teil 1 

5. August 2022

Die USA plant, ab dem Jahr 2027 ihre Visa-Bedingungen zu ändern. Sie möchte mit anderen Ländern eine „Partnerschaft zur Verbesserung des Grenzschutzes“ („Enhanced Border Security Partnership“, EBSP) abschließen. Im Rahmen dessen sollen u.a. biometrische Daten zwischen den Ländern ausgetauscht werden, um Einreisende identifizieren zu können. Dies ergibt sich aus der schriftlichen Anfrage eines Abgeordneten. 

Ob es dazu kommt, gilt abzuwarten, denn die Verwendung biometrischer Daten ist sehr umstritten. Da der Begriff der „biometrischen Daten“ oft gar nicht richtig eingeordnet werden kann, werden wir in einem zweiteiligen Beitrag Fragen dazu beantworten.  

In diesem ersten Teil möchten wir Ihnen ein grundsätzliches Verständnis für biometrische Daten vermitteln.  

Was sind biometrische Daten? 

Die europäische Datenschutzgrundverordnung (DSGVO) definiert biometrische Daten in Art. 4 Nr. 14 als: mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;“ 

Biometrische Daten sind also biologische bzw. körperliche Merkmale, die so eindeutig sind, dass eine Person durch diese identifiziert werden kann. 

Beispiele für solche Daten sind u.a. Fingerabdrücke, Gesichtsgeometrie, das Muster der Iris, Stimmerkennung und die eigene DNA. 

Welche Verwendung gibt es für biometrische Daten? 

Biometrische Daten können zur Verifikation oder zur Identifikation einzelner Personen genutzt werden. 

Verifikation / Authentifikation: dabei wird die Identität einer Person bestätigt, also geprüft, ob es sich bei einer Person um diejenige handelt, für die sie sich ausgibt. Ein Beispiel dafür ist das Entsperren des Smartphones über den Fingerabdruck-Sensor des Geräts, bei dem der Fingerabdruck, mit dem im Gerät gespeicherten abgeglichen wird.

Identifikation: dabei wird die Frage geklärt, um welche Person es sich handelt. Die errechneten Daten werden dabei mit im System gespeicherten Merkmalen abgeglichen. Stimmen Merkmale überein, kann die überprüfte Person als eine bestimmte Person identifiziert werden. Dieses Verfahren findet u.a. in der Kriminalistik und Strafverfolgung Anwendung. 

Warum sind sie so schützenswert und welche Risiken gibt es? 

Biometrische Daten sind von der DSGVO in Art. 9 als sensible Daten aufgeführt. Sensible Daten sind solche, bei deren Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen auftreten können. Aus diesem Grund dürfen solche Daten grundsätzlich nicht verarbeitet werden. In Art. 9 DSGVO sind jedoch Ausnahmen definiert, z.B. die ausdrückliche Einwilligung der betroffenen Person. 

Sie sind sensibel, weil die Verarbeitung solcher personenbezogener Daten erheblich in die Privatsphäre der betroffenen Personen eingreift. So können z.B. bestimmte Daten Hinweise auf Erkrankungen geben (bei Diabeteserkrankungen kann die Erkrankung im Augenhintergrund erkennbar sein). Auch bleiben biometrische Daten ihrer Natur nach meist lebenslang bestehen. Sollte ein Passwort an Dritte geraten, kann es geändert werden. Bei biometrischen Daten ist dies nicht möglich, so können bspw. Fingerabdrücke und DNA nicht geändert werden.  

Gleichzeitig können Messfehler nie ganz ausgeschlossen werden. Diese können z.B. bei altersbedingter Veränderung der körperlichen Merkmale oder Verletzungen und Krankheiten auftreten. Dann kann es zu Falschidentifikationen kommen. 

Besonders gefährlich sind biometrische Daten, wenn sie an Dritte gelangen, die den betroffenen Personen schaden wollen, wie z.B. im vorigen Jahr in Afghanistan geschehen. Dort waren den Taliban nach deren Machtübernahme Geräte von Hilfsorganisationen in die Hände gefallen, auf denen biometrische Daten gespeichert waren.

Nächste Woche werden wir uns in Teil 2 intensiv mit der Frage beschäftigen, wo biometrische Daten zum Einsatz kommen und was für ein Problem es mit Gesichtserkennungssoftwares gibt. 

Datenschutzaufsichtsbehörde verhängt ein Millionenbußgeld gegen eine Wohnungsbaugesellschaft

8. März 2022

Wegen umfangreicher Verstöße gegen die DSGVO hat Bremens Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Anfang März ein Bußgeld von rund 1,9 Millionen Euro gegen eine Bremer Wohnungsbaugesellschaft verhängt.

Hintergrund des Bußgeldverfahrens war, dass die Wohnungsbaugesellschaft Daten von über 9.500 Mietinteressenten erhob, ohne dafür eine Rechtsgrundlage zu haben. Nach Angaben der LfDI Bremen wurden dabei Daten über die ethnische Herkunft, Hautfarbe, Religionszugehörigkeit, die sexuelle Orientierung und den Gesundheitszustand der potentiellen Mieter unzulässig verarbeitet. Auch Daten über das persönliche Auftreten der Interessenten wie z.B. die Frisur o.ä. wurden in großem Umfang gesammelt, ohne für den Abschluss eines Mietvertrags erforderlich zu sein. Besonders problematisch an der Erhebung der Daten war, dass es sich bei einem Großteil der gesammelten Daten um besonders sensible und damit von der DSGVO besonders schützenswerte Daten handelte. Diese dürfen nur in Ausnahmefällen und mit einer entsprechenden rechtlichen Grundlage (Art. 9 DSGVO) verarbeitet werden. Eine solche lag nicht vor.

Bei Verstößen gegen die Grundsätze der datenschutzrechtlichen Verarbeitung sieht die DSGVO in Art. 83 DSGVO Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes vor.

Obwohl die LfDI aufgrund der „außerordentliche Tiefe“ der Verletzung des Datenschutzes ein höheres Bußgeld für angemessen hielt, reduzierte sie das Bußgeld auf rund 1,9 Millionen Euro. Grund dafür war, dass die Wohnungsbaugesellschaft im datenschutzrechtlichen Aufsichtsverfahren mit der Behörde umfangreich zusammenarbeitete und sich um Schadensminderung und Sachverhaltsermittlung bemühte.

Immobilien- und Hausverwaltungen sollten diesen aber auch vergangene Bußgeldbescheide beispielsweise gegen die Deutsche Wohnen nun unbedingt zum Anlass nehmen, ihre Unterlagen wie z.B. Mieterselbstauskünfte auf Datenschutzkonformität zu überprüfen.

Internationales Rotes Kreuz Opfer von Cyberangriff geworden

24. Januar 2022

Das Internationale Komitee vom Roten Kreuz (IKRK) veröffentlichte am 19.01.2022 die Meldung, Opfer eines Cyberangriffs geworden zu sein. Der Angriff erfolgte auf personenbezogene Daten und vertrauliche Informationen von über 515.000 Personen. Zu den betroffenen Daten zählen Namen, Standort und Kontaktinformationen. Sie stammen von insgesamt mindestens 60 nationalen Rotkreuz- und Rothalbmondgesellschaften weltweit. Das IKRK geht davon aus, dass diese Daten kopiert und exportiert wurden.

Besonders brisant ist der Angriff, weil die erbeuteten Daten von „Menschen, die aufgrund von Konflikten, Migration und Naturkatastrophen von ihren Familien getrennt wurden, vermisste[n] Personen und deren Familien sowie inhaftierte[n] Personen“, also besonders schutzbedürftigen Menschen stammen. Entsprechend besorgt ist das IKRK darüber, was dieser Angriff für Folgen haben kann. Robert Mardini, Generaldirektor des IKRK, äußerte sich dazu entsprechend: „Dieser Cyberangriff gefährdet die Menschen, die bereits auf humanitäre Hilfe angewiesen sind, umso mehr.“

Nach aktuellen Äußerungen geht das IKRK von einem gezielten Angriff aus. Veröffentlicht wurden die gehackten Daten bisher nicht. Ob Daten verändert wurden, lässt das IKRK nun prüfen, die betroffenen Server wurden offline genommen. Davon direkt betroffen ist ein Programm zur Zusammenführung getrennter Familien („Restoring Family Links“), welches jetzt ohne dieses System fortgesetzt werden muss. Wer für den Angriff verantwortlich ist, ist zum jetzigen Zeitpunkt unklar.

Bereits im August letzten Jahres wurde befürchtet, die Taliban könnte in Afghanistan Zugriff auf Daten von Hilfsorganisationen erlangt haben. Von Hilfsorganisationen gespeicherte, personenbezogene Daten sind besonders empfindlich, da sie meist von Schutzbedürftigen stammen. Sollten solche Daten veröffentlicht werden, kann das für die Betroffenen im schlimmsten Fall lebensgefährlich sein. So wird immer wieder ersichtlich, wie unverzichtbar der Datenschutz auch für humanitäre Hilfsarbeit ist.

Digitalisierung der Medizin: Neue Herausforderungen an den Datenschutz

11. Juni 2019

Mit einem neuen Referentenentwurf zum „Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation“ (kurz: Digitale Versorgung Gesetz) will Bundesgesundheitsminister Spahn die digitale Versorgung verbessern.

Patienten sollen telemedizinische Angebote wie etwa Gesundheits-Apps und Videosprechstunden einfacher nutzen können. Auch Überweisungen, Bescheinigung von Arbeitsunfähigkeit oder Verschreibungen ohne Vor-Ort-Besuch einer Praxis sollen ermöglicht werden. Außerdem sollen sich Daten der Patienten in absehbarer Zeit in einer elektronischen Patientenakte speichern lassen. Dies sind wesentliche Ziele des Referentenentwurfes.

Bei diesen digitalen Anwendungen werden sog. Gesundheitsdaten verarbeitet, welche nach Art. 9 DSGVO besonders schützenswert sind.

Laut Ehrenpräsident der Bundesärztekammer Frank Ulrich Montgomery wird diesem Umstand Rechnung getragen: „ Höchste Priorität haben hier der Datenschutz und eine Einwilligung der Patienten in digitale Prozesse.“ sagte er gegenüber der Deutschen Presse-Agentur in Berlin.

Bundesgesundheitsminister Spahn sieht die Digitalisierung im Gesundheitswesen auf einem guten Weg: „Ich möchte, dass wir mit unserem Datenschutz, unserer Datensicherheit und vor allem auf deutschen Servern digitale Angebote entwickeln.“

Inzwischen haben fast alle Landesärztekammern ihre Berufsordnungen entsprechend angepasst.

HIV-Nutzerdaten bei der Dating-App „Grindr“ nicht sicher

10. April 2018

Um die Dating-App Grindr rankt sich erneut ein Datenskandal. Nachdem der ägyptische Geheimdienst  im Jahr 2014 die Standortanzeige zahlreicher App-User dazu nutzte, Jagd auf homosexuelle Männer zu machen, gerät die App nun erneut in die Kritik. Diesmal geht es um Gesundheitsdaten.

Einem kürzlichen Bericht von CNN zufolge hat die bei homo- und bisexuellen Männern beliebte Dating-App Grindr HIV-Nutzerdaten an die Datendienste Apptimize und Localystics weitergegeben. Neben Angaben zum HIV-Status und dem Datum des letzten HIV-Tests zählen auch die E-Mail- und GPS-Adressen der Nutzer zu den weitergegebenen Daten. Geraten diese Informationen in die falschen Hände, können die Konsequenzen für Betroffene kaum schlimmer sein, zumal durch die damit mögliche Identifizierung von Personen auch die Gefahr einer gesellschaftliche Ächtung einhergeht. Wie konkret diese Gefahr tatsächlich einzustufen ist, ist allerdings unklar: Laut CNN hat die schwedische Non-Profit-Forschungsorganisation SINTEF herausgefunden, dass die Daten teilweise in reinem Textformat und völlig unverschlüsselt übermittelt worden sind, was Grindr jedoch bestreitet.

Grindr hat derweil reagiert und die Datendienste zur Löschung aufgefordert. Zudem verspricht der App-Anbieter für die Zukunft, Daten dieser Art nicht mehr weiterzugeben.

Auch wenn es die Weitergabe solch sensibler Daten kaum zu rechtfertigen vermag, hat der Appell von Grindr an einen eigenverantwortlichen Umgang der Nutzer mit ihren persönlichen Daten durchaus seine Berechtigung. Letztlich kann jeder Nutzer über die Einstellungsfunktion selbst entscheiden, welche Daten er von sich preisgeben möchte. So lässt sich das Risiko einer unerwünschten Datenweitergabe von vornherein ausschließen.

Mangel an Verschlüsselungstechniken in mittelständischen Unternehmen

27. Februar 2018

In einem Unternehmen gibt es zahlreiche sensible Daten, die jeden Tag verarbeitet werden. Sei es in Form von Speichern von sensiblen Daten oder im Versenden dieser an Vertragspartner.

Dennoch ergab eine Umfrage des Bundeswirtschaftsministeriums, dass ein Viertel der mittelständischen Unternehmen keine Verschlüsselungstechniken bei ihren Verarbeitungstätigkeiten anwenden. Bei Großunternehmen sind es lediglich 10 %, die es mit der Verschlüsselung nicht ganz so genau nehmen.

Es zeichnen sich auch erhebliche Branchenunterschiede ab. IT- und Telekommunikationsunternehmen speichern und tauschen mit Dritten nur verschlüsselt Daten aus. In der Autobranche sind es beispielsweise jedoch nur zwei Drittel, die verschlüsselt arbeiten.

Als Grund werden technischer und finanzieller Aufwand genannt sowie Komforteinbußen täglicher Arbeit.

„Informationen in einer unverschlüsselten E-Mail sind etwa genauso geschützt wie die auf einer Postkarte“, sagte Brigitte Zypries (SPD), die geschäftsführende Bundeswirtschaftsministerin.

Aus diesem Grund entwickelte das Bundeswirtschaftsministerium auch einen Kompass für Unternehmen, wie man am besten Daten verschlüsseln kann.

Bose Connect – Hört die App mit?

21. April 2017

Nach Informationen der Nachrichtenagentur Reuters sieht sich der Hersteller von Audioartikeln Bose wegen seiner kostenlosen App „Bose Connect“ in den USA mit einer Klage konfrontiert. Im Mittelpunkt der Klage steht der Vorwurf, dass Bose über diese App unerlaubt zahlreiche Informationen über seine Nutzer sammlt. Mit Hilfe der App soll Bose Informationen darüber gesammelt haben, welche Musik, Podcasts oder sonstigen Medieninformationen sich der Nutzer anhört. In der Klage wird weiterhin angeführt, dass Bose die so erstellten Kundenprofile auch mit dritten Unternehmen geteilt habt.

Zwar ist die Nutzung der Produkte von Bose nicht zwingend an die Nutzung der App Bose Connect gekoppelt. Viele Zusatzfunktionen und Optimierungsmöglichkeiten lassen sich aber nur nach dem Download dieser App nutzen. Über die bei der Verwendung der App gesammelten Nutzungsinformationen lassen sich dann auch weitere Rückschlüsse über den Kunden ziehen. Zur Veranschaulichung können hierfür beispielsweise Podcasts oder Radiosender mit politischen oder religiösen Hintergründen angeführt werden. Informationen über die Nutzung solcher Medien sind dazu geeignet, einen intimen Blick auf die politischen oder religiösen Ansichten und somit auf die Persönlichkeit der jeweiligen Person zu offenbaren.

Inwiefern die in der Klage erhobenen Vorwürfe gegen Bose durch die Nutzung der App zutreffen, ist bis jetzt noch nicht geklärt. Bose selbst hat sich hierzu noch nicht geäußert.

Deutscher Mieterbund kritisiert Datenschutz bei der Wohnungssuche

19. April 2017

Der Deutsche Mieterbund (DMB) hat auf seiner Internetpräsenz einen Artikel veröffentlicht, in dem er den Datenschutz bei der Wohnungssuche bemängelt. Kritisiert wird, dass Wohnungssuchende, gerade in Gebieten mit knappem Wohnraum, aufgefordert werden, sensible Daten preiszugeben. Diese Praxis verstoße gegen den Datenschutz. Grund für dieses Urteil war dem Deutschen Mieterbund zufolge eine Untersuchung des Landesbeauftragten für Datenschutz in Nordrhein-Westfalen (LDI). Demnach hat es bei allen 40 geprüften Immobilienmaklern und Wohnungsverwaltungen datenschutzrechtliche Beanstandungen gegebe. Nach Angaben der Datenschutzbeauftragten Helga Block würden so unter anderem Personalausweise kopiert, nach früheren Wohnsitzen gefragt und eine Vorlage der Schufa, die Informationen für Kredite sammelt, angefordert. Hinzukämen unzulässige Fragen zum Beruf oder zum Familienstand. Den Wohnungssuchenden bliebe allerdings aufgrund des knappen Wohnraums in Großststädten und Ballungsräumen keine andere Wahl als den Forderungen nachzukommen.

Aufgrund der datenschutzrechtlichen Bedenken fordert Lukas Siebenkotten, Bundesdirektor des Deutschen Mieterbundes, Konsequenzen. „Wir begrüßen die Aktion des nordrhein-westfälischen Datenschutzbeauftragten. Jetzt müssen bundesweit Konsequenzen aus dieser Untersuchung gezogen werden. Die Angebote von Maklern, Verwaltern und Vermietern, insbesondere auch der Online-Portale, müssen kontrolliert werden. […]“.

Schließlich ist dem Artikel des DMB eine Liste mit den wichtigsten Punkten, die geändert werden sollen, angefügt:

  • Die Mieterselbstauskunft muss ein Interessent erst ausfüllen, wenn nach erfolgter Wohnungsbesichtigung ernsthaftes Interesse an der Wohnung besteht.
  • Kontaktdaten aus vorangegangenen Mieterverhältnissen dürfen nicht abgefragt werden.
  • Fragen zum Familienstand, zum Geburtstag sowie zum Verwandtschaftsverhältnis der zum Haushalt gehörenden Kinder und sonstigen Angehörige sind nicht erforderlich und unzulässig.
  • Fragen nach der Dauer der beruflichen Beschäftigung sind unzulässig.
  • Die undifferenzierte Forderung nach Vorlage einer „Schufa-Auskunft“ oder „Schufa-Selbstauskunft“ oder einer ähnlichen Bonitätsauskunft ist unzulässig. Erst wenn der Abschluss des Mietvertrages unmittelbar bevorsteht, dürfen Bonitätsauskünfte bei Auskunfteien erfragt und die Vorlage einer Bonitätsauskunft verlangt werden.
  • Eine Kopie des Personalausweises darf ebenfalls nicht gefördert werden.