Schlagwort: ULD

ULD: Keine Verbesserung des Datenschutzes bei Facebook

25. Juli 2012
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat mitgeteilt, dass ein erster Austausch mit dem seit dem 15. April 2012 in Amt getretenen Director Public Policy von Facebook Deutschland, Dr. Gunnar Bender, stattgefunden hat. Nach dem Austausch habe man jedoch feststellen müssen, dass sich seit den Gesprächen mit dem Unternehmen Ende 2011 praktisch keine Verbesserungen und sogar einige wesentliche datenschutzrechtliche Verschlechterungen bei Facebook ergeben haben. So sollen beispielsweise die Ende 2011 von Facebook zugesagten Transparenzverbesserungen hinsichtlich der Reichweitenanalyse „Insights“ nicht realisiert worden sein, auch sei die diesbezüglich zugesagte Bereitstellung von aussagekräftigen technischen Unterlagen nicht erfolgt. Die Aktivitäten von Facebook fehle überdies – nach wie vor – die Rechtmäßigkeit der Datenverarbeitung in Deutschland, weswegen man bei der Einschätzung bleibe, dass eine gesetzeskonforme Nutzung unter anderem von Facebook-Fanpages für öffentliche und private Stellen aktuell nicht möglich ist. Während Bender bekräftigt habe, dass Facebook „sich an europäisches Recht gebunden“ fühle, könne das ULD lediglich signalisieren, dass dies „bisher nicht erkenn- und belegbar“ ist.
Kategorien: Social Media
Schlagwörter: ,

ULD: Hinweise zum datenschutzkonformen Cloud Computing

16. Juli 2012

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat – auf einer Empfehlung der Artikel-29-Datenschutzgruppe vom 1. Juli 2012 beruhende – Hinweise zur datenschutzgerechten Erbringung und Nutzung von Cloud-Dienstleistungen nach deutschem und europäischem Recht veröffentlicht. Dort wird u.a. betont, dass der Vertrag zwischen Cloud-Anbieterin und -Anwenderin inhaltlich den Anforderungen des § 11 Abs. 2 S. 2 Bundesdatenschutzgesetz genügen müsse. Aus Gründen der Rechtssicherheit sei es ferner von Nöten, dass dieser Vertrag zusätzlich regelt, dass die Cloud-Anbieterin dazu verpflichtet ist, die Cloud-Anwenderin über alle Unterauftrags- verhältnisse und über alle Orte, an denen personenbezogene Daten gespeichert oder verarbeitet werden können, zu informieren. Bei der gesetzlich geforderten sorgfältigen Auswahl der Dienstleister, reiche des Weiteren ein Blick auf die Datensicherheit nicht aus. Neben Verfügbarkeit, Vertraulichkeit und Integrität sei es erforderlich, die Datenschutz-Schutzziele Transparenz, Nicht-Verkettbarkeit und Intervenierbarkeit umzusetzen. Ferner sei bei einer Übermittlung personenbezogener Daten in die USA seitens der verantwortlichen Stelle – auch nach Auffassung der Art. 29–Gruppe – ein schlichtes Verlassen auf eine Selbstzertifizierung nach den Safe Harbor Prinzipien nicht hinreichend. Vielmehr müsse die Zertifizierung und die Einhaltung der Prinzipien selbst überprüft werden.

Cloud Computing ist eine technische Realität, bei der die Beachtung der Datenschutzvorschriften zwingend gefordert ist. Dies gilt auch hinsichtlich der Zugriffe staatlicher Stellen, insbesondere durch Strafverfolgungsbehörden, in Drittstaaten. Transparenz ist für die Nutzerinnen und Nutzer gerade beim Cloud Computing unverzichtbar. Mit dem EuroPriSe-Zertifikat des ULD können Cloud-Anbieter die Einhaltung der europäischen Vorgaben verlässlich und transparent nachweisen. Die Bestrebungen der EU-Kommission, Clouds `Made in Europe´ besonders zu zertifizieren, sind zu unterstützen, wenn die Siegel – wie bei EuroPriSe – durch unabhängige Stellen auf der Basis qualifizierter Gutachten im Rahmen eines definierten, transparenten Verfahrens verliehen werden.“, so der Leiter des ULD Thilo Weichert.

ULD: Inszenierte Abstimmung bei Facebook über Änderung der Nutzungsbedingungen

6. Juni 2012

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat sich kritisch bezüglich der Abstimmungsmöglichkeiten von Facebook-Nutzern über die Änderungsvorschläge der Nutzungsbedingungen geäußert. Zwar sei es grundsätzlich begrüßenswert, dass die Nutzer von Facebook überhaupt abstimmungsberechtigt, jedoch bestünde keine echte Wahlmöglichkeit der Nutzer. Zum einen würden nur solche Nutzer von Facebook über die Abstimmung informiert, die „Fan“ von der Seite „Facebook Site Governance“ sind, was gegenüber angeblich 900 Millionen Facebook-Mitgliedern eine verschwindend geringe Zahl sei. Zum anderen müssten nach dem Regelungswerk von Facebook weit mehr als 200 Millionen registrierte Nutzer abstimmen, um eine verbindliche Entscheidung zu erzwingen. Bei derart umfänglichen Änderungen wäre es erforderlich gewesen, alle Nutzer hierauf hinzuweisen. Besonders kritisch sei, dass wer an der Abstimmung teilnehmen möchte, nur zwischen den alten und den neuen Bedingungen wählen könne. Beide Alternativen enthielten allerdings rechtswidrige Klauseln, so dass guten Gewissens beide nicht wählbar seien.

„Ehrlich wäre es gewesen, sich mit den Forderungen der Nutzerinnen und Nutzer ernsthaft auseinanderzusetzen und echte Alternativen – natürlich auf Basis einer rechtskonformen Lösung – zur Wahl zu stellen. So ist die Abstimmung reine Augenwischerei. Das ganze Verfahren zeigt, dass Facebook keine wirkliche Mitbestimmung der Mitglieder möchte. Facebook stößt die vielen tausend Nutzerinnen und Nutzer, die sich an der Diskussion um die Regelungen beteiligt haben, vor den Kopf.“, kommentiert der Leiter des ULD Weichert.

ULD: „Facebook nervt – Widerspruch ist weiterhin und erneut nötig“

16. Mai 2012

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat die am 11.05.2012 von Facebook veröffentlichten Vorschläge für die Änderung seiner Datenverwendungsregeln überprüft und teilte mit, dass mit Implementierung der Datenverwendungsrichtlinien erneut keine wesentlichen Verbesserungen, sondern aus Datenschutzsicht sogar weitere Verschlechterungen einhergehen würden, wie z. B. Ermächtigungen für eine noch längere Speicherung und Nutzung der Daten. Die vom irischen Datenschutzbeauftragten geäußerte Kritik werde zwar aufgegriffen, aber die dort geforderten tatsächlichen Änderungen nicht umgesetzt.

„Facebook nervt, indem es die Öffentlichkeit mit immer wieder neuen Scheinma- növern hinhält. Facebook muss nicht einfach sein Kleingedrucktes ändern, sondern seine Geschäftspolitik und seine Datenverarbeitung. Hierüber muss dann Transparenz hergestellt werden.“, kommentierte der Landesbeauftragte für den Datenschutz Schleswig-Holstein Weichert. Er könne Facebook-Nutzern nur ein weiteres Mal empfehlen, gegen die geplanten Datenverwendungsrichtlinien Einspruch einzulegen.

 

IHK erhebt Klage gegen Unterlassungsverfügung des ULD

26. Januar 2012

Nach Meldungen der dpa geht der Streit um Facebook-Fanseiten in die nächste Runde: Das Bildungswerk der Industrie-und Handelskammer Schleswig-Holstein hat nach Angaben der IHK beim VG Schleswig Klage erhoben. Ziel sei, die Unterlassungsverfügung des Landeszentrums für Datenschutz (ULD) zu beseitigen. Eine gerichtliche Klärung sei erforderlich, um die bereits entstandenen Wettbewerbsverzerrungen für die Wirtschaft auszuräumen, begründete die IHK den Schritt.

Vorausgegangen war die Forderung des ULD, alle Betreiber von Webseiten in Schleswig-Holstein müssten den „Gefällt mir“-Button von ihren Webseiten entfernen. Nach Auffassung des ULD verstoßen derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH). Schuld sei die Weitergabe von Verkehrs- und Inhaltsdaten in die USA, sobald eine Website mit dem „Gefällt mir“-Button von Facebook aufgerufen werde. Außerdem würde für den Seitenbetreiber eine Reichweitenanalyse erstellt.

Das ULD begründet den Verstoß gegen deutsches und europäisches Datenschutzrecht damit, dass Nutzer nicht oder nicht ausreichend über die Vorgänge informiert würden. Was Facebook als Nutzungsbedingungen oder Datenschutzrichtlinien vorweise, erfülle nicht annähernd die Anforderungen an eine wirksame Einwilligung in die Datensammlung. (ssc)

ULD fordert Klarstellung der Bußgeldzuständigkeit

13. Dezember 2011
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat den Landtag aufgefordert, die Bußgeldzuständigkeit bei Datenschutzverstößen abschließend und zeitlich vor der Novellierung des Landesdatenschutzgesetzes Schleswig-Holsteins festzulegen. Hintergrund dieser Forderung ist, dass im Rahmen der  Auseinandersetzung um die datenschutzrechtliche Zulässigkeit von Facebook-Fanpages zu Teilen die Bußgeldzuständigkeit des ULD bestritten wurde. Da die Europäische Datenschutzrichtlinie jedoch für die unabhängige Datenschutzaufsicht  explizit wirksame „Einwirkungsbefugnisse“, insbesondere die „Befugnis, eine rechtliche Verwarnung an den/die für die Verarbeitung Verantwortlichen zu richten“, fordere, solle das Parlament – schon um teure unnötige Zuständigkeitskonflikte zu vermeiden – eine Klärung herbeiführen, so der Leiter des ULD Thilo Weichert . “ Im Interesse der Wirtschaft, der betroffenen Bürgerinnen und Bürger und der Aufsicht sollte insofern Rechtssicherheit geschaffen werden.“ (sa)

ULD: Desorganisation führte zur Panne mit sensiblen Patientendaten

8. November 2011

Nach Angaben des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat die Prüfung bei der RebuS Consulting- und Verwaltungs GmbH ergeben, dass eine Kombination schwerwiegender organisatorischer Mängel zu der Panne mit Psychatriedatensätzen geführt hat. Beteiligt seien mehrere Stellen zwischen denen Arbeitsverhältnisse und Verantwortlichkeiten unklar geregelt sind und nicht durch aussagekräftige Dokumente belegt werden konnten. Auf Qualitätskontrollen bei dem IT-Einsatz sei gänzlich verzichtet und stattdessen eine spezielle Software eingesetzt worden, deren Sicherheit nie hinterfragt wurde. Die vorläufige Bestandsaufnahme habe ergeben, dass fast alle Anforderungen an ein funktionsfähiges Datenschutzmanagement nicht beachtet wurden.

„Aktuell besteht, soweit für uns ersichtlich, keine weitere Gefahr mehr. Der Server mit den sensiblen Daten ist abgeschaltet. Dies hat kurzfristig zur Folge, dass die dokumentierten Daten auch für den Wirkbetrieb nicht verfügbar sind. Die Unternehmen wurden verpflichtet, innerhalb einer kurzen Frist eine Vielzahl von Dokumenten vorzulegen, die Auskunft über die bestehenden Strukturen geben. Wir haben es hier mit einem undurchsichtigen Unternehmensgeflecht zu tun, in dem naturwüchsig und handgestrickt Lösungen erarbeitet wurden, die insgesamt keine Sicherheiten gewährleisten konnten. Die beteiligten Unternehmen müssen jetzt die Hausaufgaben erledigen, die über Jahre hinweg unbearbeitet blieben und voraussichtlich nur mit fremder Hilfe geschafft werden können. Erst wenn sämtliche geforderten Informationen vorgelegt worden sind, kann eine umfassende Bestandsaufnahme und Bestandssicherung vorgenommen werden. Dies hat vorläufig Vorrang vor möglichen Sanktionen.“, so  der Landesbeauftragte für den Datenschutz Schleswig-Holstein Weichert. (sa)

Reaktion auf Panne mit sensiblen Patientendaten

7. November 2011

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) führt am heutigen Tag bei der RebuS Consulting- und Verwaltungs GmbH, die die jüngst bekannt gewordene Panne mit Patientendaten u.a. in Schleswig-Holstein verursacht haben soll, eine Prüfung durch. Nach Angaben des Landesbeauftragten für den Datenschutz Schleswig-Holstein Weichert geht es um Ermittlungs- und Sicherungsmaßnahmen sowie um die Klärung, ob rechtswidriges Verhalten vorliegt. Auch die Staatsanwaltschaft Kiel hat Medienberichten zufolge einen Prüfvorgang angelegt und steht in enger Verbindung zum ULD, „um gegebenenfalls im Hinblick auf strafrechtliche Verantwortlichkeiten in Ermittlungen einzutreten“. (sa)

Irische Behörde will Facebook prüfen – Wissenschaftlicher Dienst legt Gutachten zu Social-Plugins vor

24. Oktober 2011

Wie heise online berichtet, plant die irische Datenschutzbehörde eine Überprüfung der europäischen Facebook-Niederlassung in der kommenden Woche. Anlass hierfür gaben auch die Beschwerden des österreichischen Studenten, der seine bei Facebook gespeicherten Daten angefordert hatte. Auf der ihm anschließend übersandten CD mit einem 1200 Seiten starken Dokument fanden sich unter anderem Einträge und Daten, die er längst gelöscht hatte.

Die Überprüfung von Facebook in Dublin soll nach dem Bericht etwa eine Woche dauern. Zuständig ist der irische „Data Protection Comissioner“, weil Facebook allein in Irland die „Facebook Ireland Limited“ als Niederlassung für Europa betreibt.

Inzwischen hat sich auch der Wissenschaftliche Dienst des Bundestages mit Facebook beschäftigt. Genauer ging es um die Anfrage eines FDP-Bundestagsabgeordneten, ob das Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein Nutzern der Social-Plugins von Facebook zu Recht vorwerfe, gegen deutsches Datenschutzrecht zu verstoßen.

Das eindeutige Fazit der Wissenschaftler lautet, dass wegen deutlicher Unsicherheiten im geltenden Datenschutzrecht keinesfalls eindeutig von einem Verstoß ausgegangen werden könne. Die Rechtsauffassung des ULD sei vertretbar, die Behauptung eines eindeutigen Verstoßes aber unzutreffend.

Problematisch sei besonders der Personenbezug von Cookies und IP-Adressen. Die Anforderungen an die Bestimmbarkeit einer Person seien sehr umstritten und von der Rechtsprechung nicht einheitlich geklärt. Diese Kontroverse würde aber vom ULD ausgeblendet. Nicht nachvollziehbar sei auch die Begründung einer Auftragsdatenverarbeitung  nach  §11 BDSG, aus der sich die angeprangerte Verantwortlichkeit der Webseitenbetreiber für die von Facebook erstellen Statistiken ergeben könnte. (ssc)

Google Analytics und die datenschutzkonforme Ausgestaltung von Websiteanalysen

14. März 2011

Immer wieder taucht die Frage auf, ob Dienste wie Google Analytics datenschutzkonform sind. Dies richtet sich entscheidend nach den Regelungen des TMG (Telemediengesetz).

Die dabei maßgeblichen Kriterien hat der Düsseldorfer Kreis (eine informelle Vereinigung der obersten Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich) bereits im November 2009 herausgearbeitet. Festzuhalten ist dabei vor allem, dass Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden dürfen. Eine IP-Adresse ist dabei kein Pseudonym im Sinne des Telemediengesetzes.

Der Düsseldorfer Kreis hält im Einzelnen folgende Vorgaben aus dem TMG für beachtlich:

  • Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.
  • Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.
  • Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.
  • Personenbezogene Daten eines Nutzers dürfen ohne Einwilligung nur erhoben und verwendet werden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Jede darüber hinausgehende Nutzung bedarf der Einwilligung der Betroffenen.
  • Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.

Was bedeutet dies nun für Google Analytics? Google selber gibt in den Bedingungen für Google Analytics unter Punkt 8.1 an, die IP-Adresse in die USA zu übertragen und dort zu speichern.  Die Schlussfolgerung liegt damit auf der Hand: Ohne Einwilligung des Websitenutzers zu dieser Übertragung und Speicherung ist der Einsatz von Google Analytics nicht datenschutzkonform.

Diese Einschätzung teilt auch das ULD (Unabhängiges Landeszentrum für Datenschuzt Schleswig-Holstein) und hat prägnant festgestellt, „dass „Google Analytics“ nach deutschem Recht nicht datenschutzkonform eingesetzt werden kann.“

Auf Grund dieser Kritik hat Google mittlerweile die Funktion „_anonymizeIp()“ hinzugefügt. Mit Hilfe dieser Funktion wird das letzte Oktett der IP-Adresse vor der Speicherung durch Google abgeschnitten. Wird diese Funktion verwendet, erfolgt die Analyse des Nutzungsverhaltens somit nicht mehr unter Verwendung der vollständigen IP-Adresse des Nutzers. Formell scheint damit auf den ersten Blick den Anforderungen des Düsseldorfer Kreises insofern Genüge getan sein. Das ULD fordert jedoch an anderer Stelle die Löschung der letzten beiden Oktette und begründet diese Ansicht mit den Ausführungen der Artikel29-Datenschutzgruppe in deren Arbeitspapier WP 148:

„Bei der Anonymisierung von Daten sollte jegliche Möglichkeit der Identifizierung von Personen ausgeschlossen werden. Auszuschließen ist selbst das Kombinieren der anonymisierten Informationen eines Suchmaschinenbetreibers mit Informationen, die ein anderer Beteiligter gespeichert hat (beispielsweise ein Internet-Diensteanbieter). Derzeit schneiden einige Suchmaschinenbetreiber IPv4-Adressen ab, indem sie die letzte Achtergruppe entfernen, womit sie effektiv Informationen über den Internet-Diensteanbieter oder das Teilnetz des Benutzers speichern, ohne die Person direkt zu identifizieren. Die Aktivität könnte dann von einer beliebigen der 254 IP-Adressen ausgehen. Dies ist für eine Anonymisierungsgarantie möglicherweise aber nicht immer ausreichend.“

Weiterhin ist zu beachten, dass die Nutzer auch eine wirksame Möglichkeit haben müssen, der Erstellung von Nutzungsprofilen zu widersprechen. Dazu bietet Google für Microsoft Internet Explorer, Google Chrome, Mozilla Firefox, Apple Safari und Opera ein Browser-AddOn an, welches Google Analytics für alle mit dem Browser aufgerufenen Seiten blockiert.

Sowohl zur Frage, ob die „_anonymizeIp()“ Funktion ausreichend ist, als auch bezüglich der Frage, ob die Installation eines Browser-AddOns eine wirksame Widerspruchsmöglichkeit gegen die Erstellung von Nutzerprofilen darstellt, steht eine Stellungnahme der Datenschuztbehörden noch aus.

Unternehmen, die dem Online-Datenschutz Rechnung tragen und dennoch das Nutzungsverhalten der Besucher ihres Webangebotes mit Google-Analytics auswerten möchten, muss daher geraten werden, zumindest die Funktion „_anonymizeIp()“ zu verwenden.

Wer nicht unbedingt auf Google-Analytics angewiesen ist, kann auch auf Websiteanalysetools wie das Open-Source Tool Piwik auszuweichen. Für Piwik existiert sogar eine Anleitung des ULD, die explizit beschreibt, wie dieses datenschutzkonform verwendet werden kann. (se)

1 2 3