Schlagwort: Social Media
21. September 2022
Aufgrund der Veröffentlichung von personenbezogener Daten Minderjähriger muss das soziale Netzwerk Instagram in Irland ein Bußgeld in Höhe von 405 Millionen Euro zahlen. Dies verkündete der irische Data Protection Commissioner in seiner Presseerklärung vom 15. September.
Laut der irischen Behörde habe die Tochter des Internetriesen Meta Platforms Jugendlichen erlaubt, sogenannte “Business-Accounts” zu betreiben. Damit verbunden war die Veröffentlichung von Telefonnummern und E-Mail-Adressen der Minderjährigen. Zusätzlichen waren die Profile der Jugendlichen in Teilen standardmäßig auf “öffentlich” geschaltet, wodurch die Social-Media-Inhalte der Nutzenden öffentlich einsehbar waren.
Das Rekordbußgeld reiht sich in die strikte Handhabung der irischen Datenschutzbehörde in Bezug auf Meta Platforms und die verbundenen Tochterunternehmen ein. Bereits in den letzten 12 Monaten verhängte der DPC Bußgelder in Höhe von 225 Millionen Euro gegen Whatsapp und 17 Millionen Euro gegen Meta.
Meta kündigte in einer nicht öffentlichen Stellungnahme an, die Entscheidung des Data Protection Commissioner anzufechten und betonte, dass es sich bei den kritisierten Optionen um veraltete Einstellungen handele.
3. September 2021
WhatsApp wurde von der irischen Datenschutzbehörde zu einer Rekordstrafe von 225 Millionen Euro verurteilt. Da WhatsApp zu Facebook gehört und der EU-Hauptsitz der Social-Media-Plattform in Irland liegt, ist die irische Aufsichtsbehörde für WhatsApp zuständig.
Die Strafe ist die Folge einer seit drei Jahren laufenden Untersuchung. Zu dem Zeitpunkt wurde in der EU eine neue DSGVO (Datenschutzgrundverordnung) aktiv, bei der es um personenbezogenen Datenaustausch zwischen Firmen und Nutzern geht. Gerügt wurde, dass das Unternehmen gegen die Transparenz bei der Weitergabe von Personendaten an andere Facebook-Unternehmen verstoßen habe. Auch habe es die Nutzer nicht ausreichend über die Verarbeitung ihrer Daten informiert. WhatsApp hat bereits angekündigt Berufung einzulegen.
Die irische Datenschutzbehörde teilte mit, dass sie ihre Entscheidung, wie in der DSGVO vorgeschrieben, “nach einer langwierigen und umfassenden Untersuchung” anderen nationalen Datenschutzbehörden vorgelegen und Einwände aus acht Ländern, darunter Deutschland, Frankreich und Italien, erhalten habe. Dabei stimmten einige Länder in gewissen Punkten nicht mit der irischen Aufsichtsbehörde überein; u.a. was die Höhe der Geldstrafe angehe oder auch gegen welche spezifischen Artikel der DSGVO vorliegend verstoßen werde. Ende Juli forderte der Europäische Datenschutzausschuss die irische Datenschutzbehörde dann dazu auf, ihre Feststellungen zu überarbeiten und die vorgeschlagene Geldbuße neu zu bewerten.
Eine höhere Strafe gab es bisher nur bei Amazon, die im Juli von der luxemburgischen Datenschutzbehörde eine Strafe in Höhe von 886,6 Millionen Euro auferlegt bekommen haben.
Ein Firmensprecher erklärte, WhatsApp sei bestrebt, einen sicheren und privaten Dienst anzubieten. „Wir haben uns dafür eingesetzt, dass die von uns bereitgestellten Informationen transparent und umfassend sind, und werden dies auch weiterhin tun.“ WhatsApp sei mit der aktuellen Entscheidung der irischen Datenschutzkommission in Bezug auf die Transparenz, die man den Menschen im Jahr 2018 geboten haben, nicht einverstanden. Die Strafe sei völlig unverhältnismäßig. „Wir werden gegen diese Entscheidung Rechtsmittel einlegen“, erklärte der WhatsApp-Sprecher.
5. Mai 2021
Die Impfung gegen das Corona-Virus ist für viele Menschen auf der ganzen Welt aktuell das Licht am Ende des Tunnels. Die Impfquote und Impf-Geschwindigkeit nimmt in Deutschland stetig zu. Viele Menschen teilen ihre Freude über die erhaltene Impfung mit einem Foto des Impfausweises in sozialen Medien. Doch das ist aus verschiedenen Gründen keine gute Idee.
Zunächst enthält der Impfausweis sensible Gesundheitsdaten. Ärztliche Befunde, Gesundheitskarten oder der Impfausweis enthalten vertrauliche Informationen, die in der Regel nicht auf sozialen Medien geteilt werden sollten. Neben den Freundinnen und Bekannten erhalten auch die Betreiber der Netzwerke die Daten. Im Zusammenspiel mit der in Deutschland bestehenden Impfpriorisierung können daraus Rückschlüsse auf bestimmte, ernste Vorerkrankungen gezogen werden. Selbst wenn diese Rückschlüsse falsch sind, weil beispielsweise eine Krankenpflegerin oder der Ehemann einer Schwangeren geimpft wurden, bleiben sie dennoch im Fundus der Netzwerke.
Außerdem können Impfpass-Fälscher die Daten nutzen, um mit Hilfe der Chargennummer oder des Impfstempels Fälschungen in Umlauf zu bringen. Vor dem Hintergrund der sich abzeichnenden Aufhebung einiger Beschränkungen für Geimpfte dürfte dies aktuell ein lukratives Geschäft sein. Das Impfzentrum in Frankfurt am Main hat deshalb bereits angekündigt, Anzeige zu erstatten.
Mit den Chargennummern können Menschen zudem Impf-Nebenwirkungen an das Paul-Ehrlich-Institut melden. Bei tatsächlichen Nebenwirkungen sind diese Angaben wichtig, um Menschleben zu schützen, allerdings können so auch falsche Nebenwirkungen gemeldet werden, die dann der Pandemiebekämpfung insgesamt großen Schaden zufügen können. Die Freude über den erhaltenen Schutz vor einer Sars-Cov2-Infektion sollte daher lieber ohne Foto des Impfausweises geteilt werden.
16. März 2021
Das in Deutschland noch recht neue soziale Netzwerk “Clubhouse” ändert seine umstrittene Einladungspolitik. Bislang mussten Nutzer, die von ihrem zweimaligen Einladungsrecht Gebrauch machen wollten, der App den Zugriff auf das gesamte iPhone-Adressbuch gestatten (für Android-Smartphones ist eine App in Planung, es gibt aber derzeit noch keine). Nach einem Update ist diese Freigabe nun nicht mehr notwendig. Stattdessen kann auch einfach die Nummer eines Dritten im Einladungsfeld eingegeben werden. Man kann also auch Menschen einladen, die selbst nicht im eigenen Adressbuch stehen.
Zwar war es auch in der Vergangenheit möglich, dass der Nutzer nicht sein gesamtes Adressbuch für die App freigeben muss, im Gegenzug war es dann allerdings nicht möglich, von seinem Einladungsrecht Gebrauch zu machen. Für Nutzer, die bereits ihr Adressbuch freigegeben haben, soll bald die Möglichkeit bestehen, bei den App-Betreibern eine Löschung dieser Daten zu beantragen. Eine weitere geplante Neuerung ist die Möglichkeit, mittels eines Creator First-Programms Geld zu verdienen. Dazu sollen Creator, also Nutzer, die ein Gespräch führen, sich einfacher mit dem Publikum und auch mit Marken vernetzen können. Wie die Monetarisierung konkret aussieht, ist noch unklar, zunächst ist ein Testlauf geplant. Angekündigt haben die App-Betreiber diese Neuerungen standesgemäß in einem ihrer Online-Townhall-Meetings.
Clubhouse ist eine Audio-Only-App, die es in den USA seit rund einem Jahr und in Deutschland seit einigen Wochen gibt. Sie funktioniert wie ein Live-Podcast. Creator können Räume eröffnen und allein oder zusammen mit anderen Nutzern ein Gespräch führen. Grundsätzlich kann sich jeder Zuhörer auch aktiv an dem Gespräch beteiligen. Der Hype, den die App ausgelöst hat, dürfte auch an der künstlichen Verknappung liegen. Man bekommt nur auf Einladung eines Mitglieds Zugang zu diesem sozialen Netzwerk, wobei jedes Mitglied nur zwei weitere Personen einladen darf.
12. Februar 2021
Der Mitte/Ende Januar aus den USA herübergeschwappte Hype um die Clubhouse-App ist nun offiziell auch ein Fall für Deutschlands Datenschützer.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Johhannes Caspar teilte jüngst mit ,,Viele Menschen haben gerade gegenwärtig ein überwältigendes Interesse an einer neuen diskursiven Plattform, die spannende Kommunikation und den ungezwungenen Austausch mit anderen verspricht. Die App wirft jedoch viele Fragen zur Wahrung der Privatsphäre von Nutzerinnen und Nutzern und von dritten Personen auf.”
Der Verbraucherzentrale Bundesverband (VZBV) hat die Firma Alpha Exploration Co., die hinter der App Clubhouse steht und somit die Fäden derselbigen zieht, bereits abgemahnt. Ebenso hat auch der Datenschutz-Check der Stiftung Warentest gezeigt, dass Clubhouse gegen mehrere Punkte der EU-Datenschutz-Grundverordnung verstößt.
So wurde die Datenschutzerklärung der Firma Alpha Exploration Co. zur Clubhouse-App bisher lediglich auf Englisch verfasst. Außerdem benennt diese Datenschutzerklärung weder einen Verantwortlichen, der für die Datenverarbeitung zuständig ist, so wie es Art. 13 Abs. 1 lit. a) DSGVO voraussetzt noch werden Verbraucher über ihre Rechte ausreichend aufgeklärt. Des Weiteren sind die Informationen zu Datenverarbeitungszwecken, den genauen rechtlichen Grundlagen dafür und die Auskunft zur Speicherdauer unvollständig. Zu guter Letzt hält sich der Anbieter nicht an die Pflicht, ein Impressum auf der Website zu veröffentlichen.
Die Adressbücher in den Mobilfunkgeräten von jenen Nutzerinnen und Nutzern, die wiederum andere Personen zu Clubhouse einladen, werden automatisch ausgelesen und durch die Betreiber in den USA gespeichert. Dadurch geraten Kontaktdaten zahlreicher Menschen, ohne dass diese überhaupt mit der App in Kontakt kommen, in fremde Hände. Die Betreiber speichern nach eigenen Angaben zudem die Mitschnitte aller in den verschiedenen Räumen geführten Gespräche, um Missbräuche zu verfolgen, ohne dass die näheren Umstände transparent werden.
Es bleibt spannend um Clubhouse und seine Beziehung zum europäischen Datenschutzrecht.
17. Juli 2020
Hacker verschafften sich Zugang zu den Prominenten-Accounts mit Millionen Followern. Betroffene sind unter anderem Barack Obama, Warren Buffet, Kanye West, Bill Gates, Elon Musk und Jeff Bezos.
Auf den gehackten Accounts wurde am Mittwoch dazu aufgefordert, Bitcoins zu überweisen. Nach öffentlichen Daten flossen Bitcoins im Wert von mindestens 120.000 Dollar über rund 400 Überweisungen ab.
“Harter Tag für uns bei Twitter.”
Dies erklärte Twitter-Chef Jack Dorsey. Laut Twitter haben die Hacker sich anscheinend zunächst die Zugänge von Twitter-Mitarbeitern gesichert und erst anschließend die Profile der Prominenten gehackt. Es handelt sich nach Meinung vieler Experten um einen der größten Angriffe auf eine reichweitenstarke Social-Media-Plattform.
Twitter sperrte nach mehr als einer Stunde die entsprechenden Konten. Nach Meinung von Experten, ist es sehr wahrscheinlich, dass die Hacker Zugriff auf die Systeme von Twitter gehabt haben. Daher ist das wahre Ausmaß der Attacke noch nicht abzusehen. Da manche Politiker über ihren Twitter-Kanal auch Außenpolitik betreiben, ist das Risiko nicht nur monetärer Natur.
10. März 2020
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland Pfalz (LfDI RLP) hat am 06. März 2020 seinen aktualisierten Handlungsrahmen für die Nutzung von “Social Media” durch öffentliche Stellen veröffentlicht.
Wie bereits berichtet stellte der EuGH im Juni 2018 fest, dass der Betreiber einer Fanseite auf Facebook gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten verantwortlich ist. Daraufhin stellte das BVerwG im September 2019 klar, dass die Datenschutzaufsichtsbehörden bei Verstößen gegen die Betreiber von Facebook-Fanpages vorgehen können.
Der LfDI RLP beschäftigt sich zunächst mit der Zulässigkeit der Datenverarbeitung durch öffentliche Stellen. Diese könnten zwar Öffentlichkeitsarbeit als Annexkompetenz zu ihren Aufgaben betreiben. Die Stellen könnten sich dabei aber nicht auf Art. 6 Abs. 1 lit. e DSGVO i.V.m. § 3 LDSG RLP berufen. Danach ist eine Verarbeitung rechtmäßig, wenn sie zur Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Nach Ansicht des LfDI RLP ist die Weitergabe an Social Media-Dienste für die Öffentlichkeitsarbeit aber nicht erforderlich. Es bedürfe daher einer Einwilligung oder anderen Rechtsgrundlage.
Ob angemeldete Nutzer eine wirksame Einwilligung abgegeben haben lässt der Handlungsrahmen offen. Der LfDI RLP sieht es unter Vorbehalt als akzeptabel an, in einer Einwilligung an den Dienst auch eine solche für die Verarbeitung im Zusammenhang mit bestimmten Angeboten der Plattform zu sehen. Eine Einwilligung fehle aber jedenfalls regelmäßig bei Nutzerinnen und Nutzern, die nicht Mitglied der jeweiligen Social Media-Plattform sind. Jedenfalls sehe Facebook dafür keine technische Lösung vor.
Der Handlungsrahmen führt weiter aus, dass öffentliche Stellen für einen datenschutzkonformen Betrieb von Social Media-Plattformen eine Vereinbarung zur gemeinsamen Verantwortlichkeit schließen müssen. Solche Vereinbarungen müssten Antworten auf die im Fragenkatalog des Beschlusses der Datenschutzkonferenz zu Facebook Fanpages vom 5. September 2018 gestellten Fragen enthalten. Facebook beantworte in seiner Seiten-Insights-Ergänzung aktuell nicht alle diese Fragen. Zudem müssen der Verantwortliche auch weiteren Pflichten nachkommen, wie den Informationspflichten oder der Bereitstellung alternativer Informations- und Kommunikationsmöglichkeiten.
Der LfDI RLP weist darauf hin, dass er bei Verstößen die Außerbetriebnahme des Angebots anordnen könnte und eine Beanstandung oder Verwarnung erfolgen könnte. Daneben könnten betroffene Personen gegenüber Betreibern von Fanpages Schadensersatzansprüche haben.
Nachdem insbsondere der Landesbeauftragter für den Datenschutz des Landes Baden-Württemberg mit seinen Äußerungen zur Nutzung des Kurznachrichtendienstes Twitters für Aufsehen gesorgt hatte, beschäftigt sich jetzt eine weitere Aufsichtsbehörde mit der Nutzung von Social Media durch öffentlich Stellen.
13. Februar 2020
Eigentlich sollte Facebooks Datingdienst am 13. Februar und damit pünktlich einen Tag vor Valentinstag in Europa verfügbar sein. Daraus wird aber nichts, wie die irische Datenschutzkommission (DPC) am 12. Februar bekanntgab. Erst 10 Tage vor dem geplanten Start, am 3. Februar, wurde die DPC von Facebooks EU-Headquarter in Irland über den geplanten Start von Facebook Dating informiert. Die DPC monierte, dass ihr keine Informationen und Dokumentationen über die Datenschutz-Folgenabschätzung (DPIA) oder den bei Facebook Irland abgelaufenen Entscheidungsfindungsprozessen vorgelegt wurden. Um die Beschaffung der erforderlichen Unterlagen zu beschleunigen hat die DPC am vergangenen Montag eine Inspektion in den Büros von Facebook Irland durchgeführt und Dokumente gesammelt. Am daraufolgenden Tag teilte Facebook der Datensschutzbehörde mit, dass die Einführung des Features verschoben wurde.
In den USA wurde das Dating-Feature bereits im September gelauncht. EU-Bürger müssen bis auf Weiteres auf anderen Plattformen auf Partnersuche gehen. Aber auch die stehen im Fokus von Untersuchunngen: So legten norwegische Verbraucherschützer gegen die Dating-App Grindr Beschwerde ein, auch Lovoo stand bereits in der Kritik und aktuell ermittelt die irische Datenschutzkommission, ob der Umgang mit personenbezogenen Daten der Dating-App Tinder im Einklang mit dem Datenschutzrecht steht.
11. Februar 2020
Der Landesbeauftragter für den Datenschutz des Landes Baden-Württemberg, Stefan Brink, löschte am 31. Januar 2020 seinen Twitter-Account mit rund 5400 Followern. Diesen Schritt begründete er damit, dass die Benutzung des datenschutzrechtlich problematischen Dienstes nicht mit seiner Tätigkeit vereinbar sei. Er wolle nun prüfen, “ob die anderen drinbleiben dürfen.” Die Landesregierung Baden-Württembergs und die Landespolizei meldeten kurz danach an, nicht auf den Kurznachrichtenndienst verzichten zu wollen. Der “Twexit” des Landesbeauftragten könnte nun aber Folgen für Behörden und Unternehmen haben. Kürzlich veröffentlichte die Aufsichtsbehörde Anforderungen an die behördliche Nutzung “Sozialer Netzwerke“. Im Wesentlichen werden 5 Anforderungen aufgestellt: Behörden müssten eine datenschutzrechtliche Rechtsgrundlage für die Benutzung vorweisen und Transparenzgebote einhalten. Sie sollen mit dem Sozialen Netzwerk einen Vertrag zur gemeinsamen Verantwortung schließen. Zudem müssten Behörden alternative Informations- und Kommunikationswege anbieten und technisch und organisatorische Sicherungsmaßnahme einhalten. Besonders die Forderung nach einem Vertrag über die gemeinsame Verantwortung hat es in sich: Denn Twitter weigert sich aktuell solche Verträge mit seinen Nutzern zu schließen. Stefan Brink sieht aber Verträge für die gemeinsame Verantwortlichkeit als zwingende Voraussetzung für eine rechtskonforme Benutzung des Dienstes an. Diese Anforderung schließt die Aufsichtsbehörde aus den neuerlichen Urteilen des EuGH und des BVerwG zu Facebook-Fanpages, die auf Twitter übertragbar seien.
In einem Interview mit JUVE Rechtsmarkt erläuterte Stefan Brink nun seine Strategie: Zunächst will er mit Behörden den Dialog suchen. Wenn das nicht funktioniere könnten Anordnungen erlassen werden, um “die Behörden [zu] zwingen, mit dem Twittern aufzuhören.” Er erkennt zwar die große Rolle die Social-Media-Kanäle spielen, möchte sich aber trotzdem “in der zweiten Jahreshälfte […] Unternehmen ansehen.” Er ist sich sicher durch “Druck auf die Unternehmen” zu erreichen, dass “die Unternehmen ihrerseits Druck auf die Plattformbetreiber ausüben” und so an “den formal nötigen Vertrag” kommen werden.
30. Juli 2019
Der EuGH hat vergangenen Montag in einem Urteil verkündet, dass Webseiten mit integrierten Facebook “Gefällt mir”-Button eine Mitverantwortung für die Erhebung und Übermittlung von personenbezogenen Daten an Facebook tragen (C-40/17).
Die Betreiber der Webseiten müssen in diesem Falle über die Erhebung der Daten informieren und eine entsprechende Einwilligung einholen. Für die weitere Verarbeitung nach Übermittlung der Daten ist Facebook alleinverantwortlich.
In dem konkreten Fall ging es darum, dass der Webseitenbetreiber Fashion ID den “Gefällt mir”-Button eingesetzt hat um sein Onlinesortiment zu bewerten. Die personenbezogenen Daten wurden jedoch bereits bei Aufsuchen der Webseite an Facebook übermittelt, vollkommen unabhängig, ob der Webseiten-Nutzer einen “Gefällt mir”-Button genutzt hat oder überhaupt ein Facebook-Account betreibt. Die Klage ging von der Verbraucherzentrale NRW aus, die eine Datenübermittlung ohne Einwilligung stark kritisierte.
Das Verfahren begann beim Landgericht Düsseldorf und führte über das Oberlandesgericht Düsseldorf zum Europäischen Gerichtshof.
Die Entscheidung des EuGH wurde mit dem Prinzip der “Gemeinsamen Verantwortung” gemäß Art. 26 DSGVO untermauert, wodurch Fashion ID selbst auf seiner Webseite über die Erhebung, Nutzung und Übermittlung der personenbezogenen Daten informieren und die Einwilligung der Nutzer einholen muss.
Der Digitalverband Bitkom kritisierte die Entscheidung des EuGH, da sich diese auf alle Social-Media-Plugins auswirken wird und Cookie-Banner sowie Datenschutzerklärungen bereits viel Platz auf den Webseiten einnehmen ohne vom Nutzer genügend Beachtung zu erhalten.
