30. Januar 2020

Einfluss von Selbstfahrenden Autos auf den Datenschutz

By Datenschutz Frankfurt | Allgemein | No Comments

Einfluss von Selbstfahrenden Autos auf den Datenschutz

An selbstfahrenden Autos forschen Firmen aus der Automobilindustrie, der Tech-Branche, der Internetszene, Experten für künstliche Intelligenz und viele, viele mehr. Die wirklich „auto-mobilen“ Autos gelten als der Schlüssel der Zukunft des Individualverkehrs. Das autonome Fahren soll den Verkehr sicherer machen, Unfälle vermeiden, Staus verringern und Straftaten sowie Ordnungswidrigkeiten im Straßenverkehr verringern.

Neue Konzepte zur Mobilität und die bestmögliche Auslastung der vorhandenen Fahrzeuge durch Car-Sharing und der Straßen- sowie Parkflächen könnte zur Verringerung des Platzproblems in den Städten führen und die Stadtplanung der Zukunft maßgeblich beeinflussen. Die Flächen die für Straßen und Parkplätze benötigt werden, könnten anderweitig verwendet werden – die Flächenversiegelung verringern und zu Grünanlagen umgewidmet werden.

Damit selbstfahrende Autos auch selbst fahren können, müssen sie unheimlich viele Daten erfassen. Ein herkömmliches Auto muss zum Beispiel nicht jederzeit wissen, wo es sich befindet – allein wegen der Gefahr durch ein solches Bewegungsprofil, lohnt es sich diese Technik aus datenschutzrechtlicher Perspektive zu betrachten.

Welche Daten erfassen selbstfahrende Autos?

Da es bis heute noch keine marktreifen autonomen Fahrzeuge gibt, kann diese Frage selbstverständlich nicht abschließend beantwortet werden. Damit ein solches Auto aber überhaupt funktionieren kann, gibt es eine Reihe von Daten, die erfasst werden können. Drei Kategorien von Daten erscheinen daher plausibel:

Fahrzeugdaten: Hier handelt sich vor allem um technische Daten, wie der Batteriestand, der Zustand der Bremsen etc.

Daten, die die Außenwelt des Fahrzeugs betreffen: Damit sich ein selbstfahrendes Auto sicher durch den Straßenverkehr bewegen kann, muss es die komplette Umgebung erfassen. Also registriert der Computer eines autonomen Fahrzeugs die Straßenzüge, Fußgänger, Radfahrer, andere Autos, Häuser. Diese Erfassung erfolgt mittels verschiedener Sensoren, optisch mit Kameras, mit Lidar und Radar, Schallwellen und GPS. Dabei wird also nicht nur der Standort des Fahrzeuges dauerhaft erfasst, sondern es besteht auch die Gefahr, dass die Kennzeichen anderer Autos gespeichert werden.

Drittens muss ein solches selbstfahrendes Auto Daten über die Benutzer haben. Es ist anzunehmen, dass man ein selbstfahrendes Auto nur mit einem Benutzerkonto in Betrieb nehmen können wird. Hier werden Schnittstellen mit Kalendern, Adressbüchern oder einem Bewegungsprofil des Nutzers datenschutzrechtlich problematisch werden.

Vernetzung mit anderen Verkehrsteilnehmern

Damit das volle Potential selbstfahrender Autos ausgeschöpft werden kann und tatsächlich eine digitale Verkehrswende eines Tages Wirklichkeit werden kann, müssen sich die selbstfahrenden Autos vernetzen können. Nur so könnten beispielsweise Staus vermieden werden, weil die „Schwarmintelligenz“ der Autos den ganzen Platz des Straßennetz‘ voll ausnutzen könnten.

Deshalb kann man davon ausgehen, dass sich die selbstfahrendenden Autos mit anderen Fahrzeugen, der Verkehrsinfrastruktur und einer Cloud vernetzen werden. Außerdem liegt es nahe, dass sich das Auto mit dem Smartphone der Insassen vernetzen können wird.

Damit werden diese Autos zu Datenspionen, wie wir sie heute kaum oder nur von Wearables kennen. Ob und wie dabei die Anforderungen der Datenschutzgrundverordnung (DSGVO) eingehalten werden, wird zu einem wesentlichen Teil davon abhängen, ob die gesammelten Daten, die Personen identifizieren könnten. Schon heute existieren durch die enorme Datenmenge und fortgreifender Vernetzung kaum noch Daten ohne Personenbezug.

Welche Datenschutzprobleme werden sich durch die selbstfahrenden Autos ergeben?

Das zentrale Problem wird sich aus dem von der DSGVO geforderten Erlaubnisbestand ableiten. Damit personenbezogene Daten überhaupt verarbeitet werden dürfen, muss entweder die Einwilligung der Betroffenen, eine Vertragserfüllung oder wenigstens das Überwiegende Interesse des Verantwortlichen vorliegen.

Hieraus leitet sich das Problem ab, dass zwar die Insassen eines Fahrzeuges ihre Erlaubnis geben können, aber nicht die Personen außerhalb des selbstfahrenden Autos. Darüber hinaus könnte eine Mitfahrt nur möglich sein, wenn alle Fahrgäste der Datenschutzerklärung des Fahrzeuganbieters zustimmen. Ob damit noch eine freiwillige Zustimmung – die datenschutzrechtlich notwendig ist – noch vorliegt ist mehr als zweifelhaft.

Auch die Verarbeitung von personenbezogenen Daten aus beispielsweise Adressbüchern wird problematisch, weil zwar der Inhaber des Adressbuchs der Datenschutzerklärung zustimmen kann – nicht aber diejenigen, die in diesem Adressbuch hinterlegt sind.

Die Liste der Fragen, die autonome Fahrzeuge an den Datenschutz stellen ließe sich noch sehr lange fortführen. Von zentraler Bedeutung ist aber die Frage, wer für die personenbezogenen Daten im Sinne der DSGVO verantwortlich ist? Der Eigentümer des Fahrzeuges? Der Hersteller – oder doch der Fahrzeugführer?

Wer wird Interesse an den Daten eines selbstfahrenden Autos haben?

Es ist allgemein bekannt, wie wertvoll personenbezogene Daten sind. Und im Anhang des Autoverkehrs stehen viele finanzkräftige Branchen. Das beginnt mit der Versicherungsbranche – KFZ-Versicherungen könnten individuelle Tarife anbieten, zugeschnitten auf das Bewegungsprofil eines Kunden zum Beispiel.

Ein Unternehmen, das die Entwicklung von selbstfahrenden Autos forciert, ist Google. Hieraus ergeben sich weitere Fragen – beispielsweise ob das Angebot von Google Maps in die Autos des Unternehmens aus Mountain View integriert wird. Wie würden Suchanfragen verarbeitet werden, wie würde der Algorithmus die Ergebnisse auswählen?

Wie könnten Selbstfahrende Autos realisiert und die Daten der Kunden geschützt werden?

Idealerweise sollte bereits die Programmierung der Software von selbstfahrenden Autos nach dem Grundsatz der „Privacy by Design“ (Datenschutz durch Technologiegestaltung) erfolgen. Die datenschutzrechtlichen Interessen könnten durch sofortiges Blurring von Gesichtern, Autokennzeichen und anderer personenbezogener Daten geschützt werden.

Auch könnte eine Datenübertragung in Drittstaaten der EU verboten werden, da dies die Anforderungen an den Datenschutz multiplizieren würde.

23. Januar 2020

Wird sich der Brexit auf den Datenschutz auswirken?

By Datenschutz Frankfurt | Allgemein | No Comments

Wird sich der Brexit auf den Datenschutz auswirken?

Solange der Brexit nicht doch noch in letzter Sekunde abgesagt wird, ja. Gegenwärtig (Januar 2020) ist kein Grund mehr absehbar, der einem Austritt des Vereinigten Königreichs aus der Europäischen Union am 31. Januar 2020 verhindern sollte.

Das heißt jedoch nicht, dass bereits feststeht, welche Änderungen sich aus diesem offiziellen Austritt aus der EU für Großbritannien ergeben. Denn nach diesem Datum beginnt zunächst eine Übergangsfrist bis zum 31. Dezember 2020. In dieser Übergangsphase werden die auch in Großbritannien die Vorschriften der EU weiterhin gelten.

Der Hintergrund dieser Übergangsphase ist, dass der britische Premierminister Boris Johnson den Austritt des Landes aus der EU nicht länger aufschieben möchte. Gleichzeitig konnte die britische Regierung aber noch keinen Austrittsvertrag mit der Europäischen Kommission aushandeln, der durch das britische Parlament ratifiziert wurde. Daher sollen die abschließenden Regelungen bis Dezember 2020 ausgehandelt und sowohl in Großbritannien, wie den Mitgliedsstaaten der EU ratifiziert werden.

Es bleibt also spannend – noch kann niemand mit Sicherheit sagen, wie das zukünftige Verhältnis zwischen der EU und Großbritannien aussehen wird. Es steht noch nicht fest, wie eng die Bindung Großbritannien an die EU ab 2021 sein wird. Aber unabhängig davon, wie der Austritt letztendlich aussieht, wird er Auswirkungen auf den Datenschutz haben.

Die wirtschaftlichen Verbindungen zwischen der deutschen und britischen Wirtschaft sind eng. Schätzungen zu Folge übermittelt fast jedes 7. deutsche Unternehmen personenbezogene Daten nach Großbritannien. All jene Unternehmen werden ihre Datenschutzbestimmungen anpassen müssen.

Die sicherste Vorbereitung für deutsche Unternehmen auf den Brexit im Sinne des Datenschutz‘ wäre es, sicherzustellen, dass Großbritannien als Drittland behandelt wird.

Was passiert bei sehr lockeren Regelungen ab 2021?

Sollte Großbritannien Ende 2020 die EU verlassen ohne weiterhin die Maßgaben der Datenschutzgrundverordnung (DSGVO) umzusetzen, hieße das, dass Großbritannien von einem Tag auf den anderen zu einem Drittstaat werden würde. Die Bundesregierung rät Unternehmen, sich auf diesen Fall vorzubereiten, um auf der sicheren Seite zu sein.

Gemäß der Datenschutzgrundverordnung der EU ist eine Übertragung von personenbezogenen Daten in Drittstaaten nur in Ausnahmefällen erlaubt. Diese vier Ausnahmen sind:

Die ausdrückliche Zustimmung der Betroffenen
Die Übermittlung ist für die Erfüllung eines Vertrages unumgänglich
Die Übermittlung ist aus berechtigten Gründen im Sinne des öffentlichen Interesses
Der Empfänger garantiert nach Art. 46 oder 47 DSGVO einen Umgang mit personenbezogenen Daten nach den vorgeschriebenen Standards der EU

Der nun hinfällige Vertrag des Kabinetts May II für einen „weichen“ Brexit bis zum 31. Oktober 2019 sah vor, dass die europäischen Datenschutzbestimmungen noch für eine Übergangsfrist bis zum Jahresende 2019 gelten würden. Da dieser Vertag nie gültig wurde, ist es jetzt fraglich, ob ein neuer Vertrag der Regierung Boris‘ Johnsons ebenfalls eine solche Regelung enthalten wird.

Am sichersten ist es für Unternehmen, sich vorsichtshalber darauf vorzubereiten, Großbritannien als Drittland behandeln zu können.

Welche Alternativen sind abzusehen?

Das ist gegenwärtig nicht abzuschätzen. Wenn sich in der Übergangsphase herausstellt, dass Großbritannien und die EU weiterhin an einer engen Zusammenarbeit interessiert sind, ist es gut möglich, dass auch der Datenschutz neuen Bestimmungen unterliegen wird. Diese müssten im Verlauf der Verhandlungen zwischen London und Brüssel noch bestimmt werden.

Eine weitere Möglichkeit ist noch immer eine weitere Verschiebung des de-facto Brexit. Sollte sich die Regierung in London und die Europäische Kommission nicht einigen können, oder die Austrittsverträge nicht ratifiziert werden, ist immer noch eine Verlängerung der Übergangsphase möglich.

Unbenommen der abschließenden Regelungen, sollten deutsche Unternehmen sich darauf vorbereiten, Großbritannien nach dem Brexit wie ein Drittland zu behandeln. So werden sie auf der sicheren Seite sein. Das Königreich sollte in das Informationsblatt zur Datenverarbeitung und in die Datenschutzerklärung des Unternehmens aufgenommen werden. Auch das Verzeichnis der Verarbeitungstätigkeiten muss angepasst werden. Wichtig ist, dass der Datenschutzbeauftragte die Datenschutz-Folgeabschätzungen des Unternehmens überarbeitet, bevor es zum Brexit kommt.

Arbeitsprozesse vor dem Brexit anpassen

Unabhängig von der endgültigen Form des Brexits sollten Unternehmen also ihre Datenschutzmaßnahmen im Umgang mit britischen Partnern rechtzeitig überarbeiten. Jetzt abzuwarten wäre ein fataler Fehler. Stattdessen müssen alte Arbeitsprozesse überarbeitet und überprüft werden. Entsprechen die Vorgänge der Datentransfers nach Großbritannien auch nach dem Brexit noch den Vorschriften von DSGVO und Bundesdatenschutzgesetz (BDSG)? Entscheidend ist, dass weiterhin ein angemessenes Datenschutzniveau sichergestellt werden kann.

Vieles wird davon abhängen, ob die EU Großbritannien nach dem Austritt als angemessenes Drittland einstufen wird. So könnte ein freier Austausch personenbezogener Daten zwischen dem Vereinigten Königreich und der Europäischen Union trotz Austritt sichergestellt werden.

Müssen britische Unternehmen nach dem Brexit die DSGVO beachten?

Alle Staaten außerhalb der EU müssen sich an die Vorschriften der DSGVO halten, wenn sie personenbezogene Daten in der EU verarbeiten. Das heißt, dass auch britische Unternehmen sich weiterhin an die Bestimmungen der Europäischen Union halten müssen, wenn sie personenbezogene Daten in der EU verarbeiten möchten. Daher wird es für solche Unternehmen auch nötig sein, einen Vertreter entsprechend Art. 27 DSGVO zu benennen. Die britische Regierung hat bereits britische Unternehmen dazu aufgerufen, auch nach dem Brexit die Bestimmungen der DSGVO einzuhalten.

Unabhängig davon wird der Brexit für britische Unternehmen noch wesentlich mehr Auswirkungen auf ihre Datenschutzvorschriften haben, als nur die DSGVO. Schließlich möchte sich das Vereinigte Königreich wieder eigene Bestimmungen auferlegen.

20. Januar 2020

Smart Watches, Fitness Apps und Co. – Tragbare Datenspione?

By Datenschutz Frankfurt | Allgemein | No Comments

Wearables wie Smart Watches und Fitness Apps, die die Ergebnisse dieser kleinen Datenspione aufzeichnen und in einer Cloud Speichern werden immer beliebter. Dabei sind diese Apps ständig mit dem Internet verbunden – ohne Netzanbindung lassen sich diese nicht nutzen. Aber die Anbieter nehmen es nicht zu eng mit dem Datenschutz. Erst 2017 wurden gleich neun Anbieter von der Verbraucherzentrale NRW abgemahnt, weil sie nicht ausreichend über die Verwendung der sensiblen Daten informierten.

Wearables sammeln sensible Daten, die geschützt werden müssten

Datenschutz scheint für die allermeisten Anbieter von Wearables und Fitness Apps also eher ein Fremdwort zu sein – dabei sammeln sie sehr persönliche Daten. Sie wissen Bescheid über den Schlaf des Nutzers, können Rückschlüsse über seine Aktivitäten über den Puls ziehen, kennen über die Mahlzeiten seinen Kalorienverbrauch.

Wenn diese Informationen erst einmal ins Internet gelangt sind, sind sie der Kontrolle des Nutzers endgültig entzogen. Die meisten Anbieter lassen eine Nutzung ihrer App nur zu, wenn der Nutzer ihnen das Recht einräumt, seine Daten – auch zu Werbezwecken – an Dritte weiterzugeben oder zu –verkaufen.

Wearables erlauben keine Kontrolle der eigenen Daten

Nicht nur erlaubt fast kein Gerät oder App eine Nutzung ohne Internetverbindung, sondern meist werden eine ganze Reihe von Daten übermittelt, die oft in keinem nachvollziehbaren Zusammenhang mit der Funktion des Geräts stehen. Nur Teilweise lässt sich dies über die Berechtigungen der App steuern – aber nicht alle Smartphone Betriebssysteme beherrschen dies und der Entzug von Berechtigungen schränkt die Funktionalität der Anwendung ein.

Weil sich die Apps ohnehin nur nutzen lassen, wenn die Nutzer den Datenschutzbestimmungen des Anbieters zustimmen, erwächst hieraus das Problem, das der Nutzer kaum nachvollziehen kann, was mit seinen Daten geschieht.

Noch bevor ein Nutzer den Datenschutzbestimmungen zustimmen kann, übermitteln viele Apps bereits die technischen Daten des Telefons an den Anbieter. Nachdem der Nutzer einmal den Datenschutzbestimmungen zugestimmt hat, hat er im Nachhinein keine Möglichkeit mehr, nachzuvollziehen, wie seine Daten genutzt werden.

Wearables werden in der Regel mit Bluetooth mit dem Smartphone verbunden. Das ermöglicht eine ungewollte Standortverfolgung des Nutzers, was eine Erstellung von Bewegungsprofilen ermöglicht. Schon ein Supermarkt könnte durch eine Sicherheitslücke in der Bluetooth-Verbindung die Laufwege seiner Kunden nachvollziehen.

Neun Anbieter wurden wegen Verstößen gegen die Datenschutzbestimmungen abgemahnt

Besonders neun Anbieter, zum Teil namhafte Firmen wie Apple, Garmin, Fitbit, Jawbone, Polar oder UnderArmour wurden von der Verbraucherzentrale NRW wegen ihres sorglosen Umgangs mit den Daten ihrer Kunden abgemahnt. Einige Anbieter gehen soweit und behalten sich das Recht vor, ihre Datenschutzvereinbarung ohne aktive Information ihrer Kunden zu ändern.

Krankenkassen fördern Fitness Apps und Wearables

Die ersten Krankenkassen bezuschussen Fitnessarmbänder und Apps mit der Idee, dass diejenigen die sich gesund ernähren und ausreichend bewegen seltener krank werden und langfristig damit weniger Beitrag zahlen muss – schließlich kosten diese Kunden die Krankenkassen weniger. Auf der anderen Seite zahlen dann diejenigen einen höheren Beitrag, die sich weniger bewegen und weniger gesund bewegen – oder kein Fitnessarmband tragen.

Aktuell können Kunden sich Wearables von manchen Krankenkassen bezuschussen lassen ohne der Krankenkasse den vollen Zugriff auf die eigenen Daten einräumen zu müssen. Es ist aber zu erwarten, dass die Kassen über kurz oder lang immer umfangreichere Daten erheben möchten. Nur so wäre eine tatsächliche Beitragskalkulation anhand des Bewegungs- und Ernährungsprofil des Beitragszahlers möglich.

Darüber hinaus müssen sich Nutzer wie Kassen darüber bewusst werden, dass die Ergebnisse der meisten Apps keinen wissenschaftlichen Standards genügen. Einfache Rechengrößen wie der Body-Mass-Index (BMI) sind aus wissenschaftlicher Sicht schon lange keine verlässlichen Indikatoren für den Gesundheitszustand eines Menschen.

Wearables – Datenspione am Handgelenk

Nutzer von Wearables und Fitness Apps sollten sich der Risiken bewusst sein, die diese kleinen Spione am Handgelenk mit sich bringen. Die Daten die sie hier über sich preisgeben sind zum Teil sensible Gesundheitsdaten, die der Kontrolle des Nutzers entzogen werden. Daher sollten die Anwender abwägen, ob die Gesundheitsdaten für fragwürdige Gesundheitstipps und Trainingsanalysemöglichkeiten freigegeben werden sollten.

Vor der Nutzung einer App sollte man sich die Datenschutzerklärung durchlesen und auf die folgenden Punkte achten:

Welche Daten werden erhoben?
Welche Funktionen bietet diese App und ist hierfür die Abfrage der Daten plausibel?
Wo werden die Daten gespeichert?
An wen werden die Daten weitergegeben?

Heute bieten viele Apps und Wearables die Möglichkeit die eigenen Daten und den eigenen Standort mit anderen Nutzern zu teilen. Hier ist besondere Vorsicht geboten – schließlich bieten diese Geräte anderen Menschen die Möglichkeit den eigenen Standort zu überwachen und Daten wie Pulswerte anzuzeigen.

Bildnachweis: © dolgachov (123rf.de)

8. Januar 2020

TikTok – Zensur und Gefahr für Datensicherheit

By Datenschutz Frankfurt | Allgemein | No Comments

Die chinesische App TikTok gilt nicht nur für Marketing Experten als Absatzplattform der Zukunft, denn die App nutzen vor allem Kunden, die weniger als 20 Jahre alt sind. Die App, mit der die Mitglieder kurze Videos – zum Beispiel von den eigenen Gesangskünsten – aufnehmen und teilen können, ist das am schnellsten wachsende soziale Netzwerk der Welt. Allein im ersten Quartal 2018 wurde die App 46 Millionen (!) mal heruntergeladen und mittlerweile nutzen über 1 Milliarde (!) Nutzer weltweit TikTok. Aber hat diese Erfolgsgeschichte auch Schattenseiten? Genau dieser Erfolg ruft in Europa Datenschützer auf den Plan.

TikTok – der Werbemarkt von morgen?

Viele Marketingexperten, die Jugendliche und Heranwachsende erreichen wollen, wissen um die enormen Reichweite der App und konzentrieren ihre Kampagnen auf TikTok. Eine App die den Großteil der unter-20-Jährigen erreichen kann, verspricht eine ungeahnte Resonanz der eigenen Marketingstrategie. Marketingfirmen wie Guess nutzen die Plattform bereits zusammen mit Influencern um appinterne Werbekampagnen zu gestalten und zu realisieren – aber auch andere Institutionen haben die Chancen ergriffen, die TikToks Reichweite ermöglicht. Aus der Perspektive des Datenschutz‘ ist der offizielle TikTok Account der Tagesschau unbedenklich, aber auch das US-Militär benutzt TikTok um Kinder und Jugendliche für die amerikanische Armee zu rekrutieren.

TikToks jugendliche Nutzer dürfen die App eigentlich nicht nutzen

Der Erfolg TikToks bei jungen Internetnutzern ist das größte datenschutzrechtliche Problem der App – schließlich greift die App unheimlich viele personenbezogene Daten ab, wie den Standort, die IP-Adressen, das Nutzerverhalten und vieles mehr. Vor allem die Tatsache, dass viele Nutzer, das 16. Lebensjahr noch nicht vollendet haben, wirft die Fragen auf, auf welcher Rechtsgrundlage die Daten verarbeitet werden, wie sicher diese Daten sind und wie TikTok diese verwendet/auswertet. Einwilligungen zur Datenverarbeitung ihrer personenbezogenen Daten von Jugendlichen, die jünger sind als 16 Jahre, sind rechtlich unwirksam. Für die Verarbeitung von personenbezogenen Daten von Personen unter 16 Jahren ist die Einwilligung der Erziehungsberechtigten notwendig. Hierfür fehlt der App eine Jugendschutz- und eine Altersprüfung, weswegen in Großbritannien bereits Ermittlungen gegen die Betreiber der App von den staatlichen Datenschutzbehörden eingeleitet worden sind.

In Deutschland wird die App seit August 2018 vom Berliner Landesdatenschutzbeauftragten überprüft, da Nutzer Ihre Daten in der App nicht vollständig löschen können.

TikTok: Ohne Datenschutz, dafür mit Zensur

Auch die Schlagzeile, dass das US-Amerikanische Militär die App nutzte um Jugendliche für den Dienst an der Waffe zu begeistern, führte dazu, dass der Staatssekretär des amerikanischen Verteidigungsministerium Ryan McCarthy darauf hinwies, dass die Betreiber TikToks Benutzerdaten an chinesische Behörden weiterleiten würden. Auch das deutsche Bundesamt für Verfassungsschutz und der Bundesbeauftragte für Datenschutz plädieren dafür, mit dieser App sehr vorsichtig umzugehen, da sie datenschutzrechtlich sehr kritisch zu bewerten sei.

Das diese Vorwürfe aus Amerika und Deutschland nicht aus der Luft gegriffen sind, bestätigte TikTok unfreiwillig selbst – als es eine Unternehmensinterne Quelle veröffentlicht wurde. Der Facebook Gründer und Chef Mark Zuckerberg wies darauf hin, dass TikTok strenge Zensurauflagen umsetze und beim Datenschutz schlampe. Nachrichten von Umweltaktivisten in den USA würden von TikTok zensiert werden. Das belege, wie wenig TikTok an einem freien und kreativen Internet liegen würde.

Die Zensur TikToks dient nicht dem Datenschutz

Die nun öffentlich zugänglichen Bestimmungen TikToks welche Posts unterdrückt werden müssten, bestätigen die Aussage Zuckerbergs.

Denn Posts, die als gefährdend oder politisch identifiziert würden, werden unterdrückt, unsichtbar und damit unauffindbar gemacht. Diese Zensur wird in sechs „Moderationsstufen“ vorgenommen und findet in der Volksrepublik China – der bevölkerungsmäßig größten Diktatur der Welt – statt. Proteste, die sich gegen die chinesische Regierung oder ihre Politik richten werden auf eine „not for feed“-Liste indiziert. Dazu gehören Proteste in Hong Kong, Tibet, aber auch kurdische oder uighurische Demonstrationen. Während der jüngsten Proteste gegen die China-freundlichen Politik der Regierung Hong Kongs wurden Proteste laut, da auf TikTok so gut wie nichts von diesen Protesten zu sehen wäre. Sogar Kritik an Diktatoren wie Kim Jong-Un wird von TikTok unterdrückt.

Die spaßige und kurzweilige App für Kinder und Jugendliche ist also nicht nur eine Datenschutzrechtliche Katastrophe – sie stellt sich auch in den Dienst eines Regimes, dass Milliarden Menschen unterdrückt und Hundertausende in geheimeren Lagern interniert.

Bildnachweis: © Alexey Malkin (123rf.de)

2. Januar 2020

Datenschutz bei Gewinnspielen – Was ist zu beachten?

By Datenschutz Frankfurt | Allgemein | No Comments

Ein Gewinnspiel erscheint wie ein verlockendes Angebot – ein paar grundlegende Daten angeben und die Chance auf einen netten Gewinn erhalten. Für das Unternehmen, das das Gewinnspiel ausrichtet, ist es aber nur ein Geschäftsmodell wie jedes andere. Der verlockende Preis animiert die Nutzer personenbezogene Daten preiszugeben, die gesammelt, verarbeitet und ggf. weiterverkauft werden können. Diese Daten, zumeist Namen und Adressdaten verwendet das Unternehmen entweder selbst für Werbezwecke oder verkauft sie zu lukrativen Preisen weiter.

Damit dieses System nicht ausgenutzt werden kann, schreibt der Gesetzgeber vor, dass lediglich Daten, die für das Gewinnspiel relevant sein können, erhoben werden dürfen. Außerdem unterliegen die personenbezogenen Daten denselben Datenschutzregeln wie in anderen Kontexten. Das Unternehmen, das die Daten erhebt, darf diese nur entsprechend der Europäischen Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) weiterverarbeiten oder weitergeben.

Welche Daten dürfen erhoben werden?

Natürlich erfordern Gewinnspiele gewisse Angaben durch die Teilnehmenden – schließlich muss der Gewinner identifizierbar sein, damit ihm oder ihr der Gewinn auch tatsächlich zugeordnet werden kann. Der Veranstalter ist dabei an das Prinzip der Datensparsamkeit gebunden. Daher darf er nur solche Daten erheben, die tatsächlich für die Durchführung des Gewinnspiels notwendig sind.

Außerdem dürfen die Daten, die für das Gewinnspiel erhoben werden auch nur für das Gewinnspiel genutzt werden, sie sind also Zweckgebunden. Das rechtliche Prinzip der Zweckbindung personenbezogener Daten schreibt vor, dass die Nutzung der Daten für andere Zwecke nicht stattfinden darf.

Dürfen Daten aus Gewinnspielen für Werbezwecke genutzt werden?

Weil Gewinnspiele aber niemand veranstaltet um den Teilnehmenden eine Freude zu bereiten, sondern um wirtschaftliche Interessen zu verfolgen, gibt es eine Möglichkeit die Daten trotzdem für gewerbliche Zwecke zu nutzen. Der Veranstalter kann die Zweckbindung der Daten umgehen, indem er sich eine Erlaubnis durch die Teilnehmer einholt.

Das Verbot einer Weiterverarbeitung von personenbezogener Daten unterliegt einem sogenannten Erlaubnisvorbehalt – das heißt, sobald die Teilnehmenden der Verarbeitung oder Weitergabe ihrer Daten zustimmen, darf der Veranstalter diese auch für seine Zwecke nutzen – oder verkaufen.

Damit eine solche Erlaubnis auch rechtskräftig ist, müssen die Teilnehmenden die Daten auch freiwillig für eine solche Nutzung freigeben. Das erfolgt nicht über die bloße Information, dass die Daten entsprechend genutzt und weitergegeben werden, sondern muss aktiv durch die Teilnehmer erlaubt werden. Dies geschieht im Internet etwa durch die Markierung eines entsprechenden Kästchens mit einem Haken.

Koppelungsverbot: Entsprechend der Europäischen Datenschutzgrundverordnung darf die Teilnahme an einem Gewinnspiel nicht an das Einverständnis an die Verarbeitung und Weitergabe von personenbezogenen Daten für Werbezwecke gekoppelt werden.

Gewinnspiele und Datenschutzerklärungen

Genauso wie bei allen anderen Anwendungsgebieten sollte auch bei einem Gewinnspiel eine transparente und eindeutige Datenschutzerklärung die Teilnehmenden darüber informieren, was mit ihren Daten passiert.

Diese Datenschutzerklärung sollte die Teilnehmenden daher darüber informieren, welche Angaben erhoben und gespeichert werden, zu welchem Zweck sie verwendet werden, wie sie verarbeitet und ob sie weitergegeben werden. Erst in diesem Fall dürfen die personenbezogenen Daten der Teilnehmenden entsprechend gewerblich verwendet werden.

Besonders sensibel ist, dass die Teilnehmenden informiert werden, dass die Daten auch für Werbezwecke genutzt werden und an Dritte übermittelt werden, da die Teilnehmenden immer wissen sollten, was mit ihren personenbezogenen Daten geschieht und worin sie bei der Teilnahme am Gewinnspiel teilnehmen.

Je größer die Zahl der Teilnehmenden, desto wichtiger ist der Datenschutz

Mit einem Gewinnspiel erreicht der Ausrichter, ob Unternehmen oder Institution schnell eine große Reichweite. Dabei wird es mit zunehmender Reichweite immer wichtiger die rechtlichen Datenschutzbestimmungen einzuhalten. Schließlich fragen Gewinnspiele mit den Adressdaten sensible personenbezogene Daten ab. Mit einer steigenden Zahl von Teilnehmenden steigt selbstredend auch das Risiko einer Abmahnung, wenn die Vorgaben der DSGVO und des BDSG nicht eingehalten wurden. Daher ist es immer ratsam sich vor der Ausrichtung eines Gewinnspiels datenschutzrechtlich beraten zu lassen.

Johannes Pfaff

20:49 11 Dec 18

Kompetente und super fixe Beratung rund um die Umsetzung der DSGVO in unserem Unternehmen und der Erstellung einer Datenschutzerklärung! Würde ich wieder hier machen lassen.

Mona Damian

18:21 04 Dec 18

Wir werden als gemeinnütziger Verein von datenschutzfrankfurt.de umfassend und kompetent beraten und sind dankbar, einen so sachkundigen Dienstleister als externen DSB bestellt zu haben. Herzlichen Dank für die gute Zusammenarbeit!

Peter Lachmund

10:56 05 Dec 18

Aus persönlichen Gesprächen mit anderen Selbständigen oder Kunden wurde mir bewusst. dass das Thema Datenschutz häufig unterschätzt wird. Aus diesem Grund war es mir wichtig Profis an meiner Seite zu wissen. Gerade als Selbständiger ist man ständig einem potenziellen Datenschutz-Risiko ausgesetzt und dann ist es wichtig, sich auf einen sehr guten Partner zum Thema Datenschutz verlassen zu können. Seit ich mit den externen Datenschutzbeauftragten und Rechtsanwälten von DatenschutzFrankfurt.de zusammenarbeite habe ich ein sehr gutes und sicheres Gefühl. Man hat vom ersten Telefonat an das Gefühl... hier stimmt nicht nur das Know How zum Thema Datenschutz, sondern man trifft auf empathische Menschen die mich verstehen. Meine TOP Empfehlung. Peter L. aus Kelkheim

R R

09:22 26 Dec 18

Vertrauensvolle und kompetente Zusammenarbeit mit den Datenschutz Spezialisten der DatenschutzFrankfurt.de bzgl der Umsetzung der DSGVO in unserem online Webshop.

Flx Hbl

13:24 13 Apr 19

Top Beratung! Endlich sicher fühlen mit der DSGVO. Tausend Dank

Jack .Mcphee

07:17 16 Apr 19

Vielen Dank an das Team von datenchutzfrankfurt.de bei der kompetenten Beratung und Umsetzung der DSGVO auf unserer Unternehmenshomepage.

Alican T

12:40 24 Apr 19

Wir haben für unser Unternehmen einen externen Datenschutzbeauftragten gesucht und bei datenschutzfrankfurt.de fündig geworden. Seit dem müssen wir uns keine Sorge mehr um die Umsetzungen der rechtlichen Anforderungen der DSGVO machen. Vielen Dank für die kompetente Unterstützung.

Lukas Neumann

08:14 13 May 19

Vielen Dank für die kompetente und vertrauensvolle Beratung rund um das Thema Beschäftigtendatenschutz und dessen Umsetzung in unserem Unternehmen

Kenan Celikkal

13:29 13 May 19

Vielen dank für die schnelle Erstellung einer abmahnsicheren Datenschutzerklärung für unsere Homepage.

Michi S.

15:50 29 Oct 19

Tolles Team, dass mir unglaublich schnell geholfen hat meine Homepage auf den aktuellen Stand der DSGVO zu bringen. Vielen Dank.......

Christian

23:01 29 Oct 19

Im Zuge einer Unternehmensgründung haben wir uns vorher beim Team von datenschutzfrankfurt umfassend um die notwendigen Voraussetzungen und Bestimmungen rund um den Datenschutz beraten lassen. Vielen Dank für das freundliche, kompetente und sehr interessante Gespräch

Dieter Schöppen

19:52 12 Mar 20

Vielen Dank für die ständige, freundliche und kompetente Unterstützung als externer Datenschutzberater für unser Unternehmen. Absolute Empfehlung

Matthias Lastowiecki

23:42 21 Dec 20

Die Zusammenarbeit mit Herrn Florian Kaiser ist hervorragend - er begleitet uns seit längerem zu unserer vollsten Zufriedenheit als externer Datenschutzbeauftragter. Wir freuen uns weiterhin auf eine lange und erfolgreiche Zusammenarbeit, vielen Dank!

COGITARIS GmbH

16:02 19 Feb 24

Die Beratung durch Datenschutzberatung Frankfurt ist für unser Unternehmen ein absoluter Gewinn. Die kompetente und umfassende Beratung hilft uns, den Datenschutz in unserem Unternehmen auf ein neues Niveau zu heben. Besonders die freundliche und zielgerichtete Zusammenarbeit mit dem Team ist super.

Januar 2020