Category

Allgemein

Kategorien von personenbezogenen Daten

Personenbezogene Daten: diese Kategorien gibt es

By | Allgemein | No Comments

Wer Personenbezogene Daten verarbeitet, der sollte wissen, was für Kategorien die Europäische Datenschutzgrundverordnung (DSGVO) und das BDSG vorsehen. Denn abhängig von den Kategorien der Daten sind verschiedene Verarbeitungsmethoden zugelassen. Außerdem gelten unterschiedliche Vorschriften, wie diese Daten vernichtet werden müssen, damit sie nicht rekonstruiert werden können.

Read More
Gibt es ein Recht auf Vergessenwerden und wie funktioniert das?

Gibt es ein Recht auf Vergessenwerden?

By | Allgemein | No Comments

Das „Recht auf Vergessenwerden“ bedeutet, dass personenbezogene Daten gelöscht werden können oder sogar gelöscht werden müssen. Diese Regelung wurde mit der Einführung der Europäischen Datenschutzgrundverordnung (DSGVO) 2018 eingeführt – und positioniert die europäische Datenschutzgesetzgebung damit im Spannungsverhältnis zwischen Datenschutzinteressen einerseits und Informationsfreiheit andererseits deutlich auf der Seite des Datenschutz‘.

Read More
E-Privacy Verordnung - Das müssen Unternehmen wissen

Die e-Privacy Verordnung: Was sie für Unternehmen bedeutet

By | Allgemein | No Comments

Nach Einführung und Umsetzung der Europäischen Datenschutzgrundverordnung DSGVO und dem Bundesdatenschutzgesetz (BDSG) kam es zu einer Welle an Verunsicherung in Unternehmen, Institutionen und sogar Vereinen. Viele neue Regelungen und Anforderungen mussten durchschaut und umgesetzt werden, während sich der Datenschutz in Europa weiterhin mit großer Geschwindigkeit weiterentwickelt.

Read More

Einfluss von Selbstfahrenden Autos auf den Datenschutz

By | Allgemein | No Comments

Einfluss von Selbstfahrenden Autos auf den Datenschutz

An selbstfahrenden Autos forschen Firmen aus der Automobilindustrie, der Tech-Branche, der Internetszene, Experten für künstliche Intelligenz und viele, viele mehr. Die wirklich „auto-mobilen“ Autos gelten als der Schlüssel der Zukunft des Individualverkehrs. Das autonome Fahren soll den Verkehr sicherer machen, Unfälle vermeiden, Staus verringern und Straftaten sowie Ordnungswidrigkeiten im Straßenverkehr verringern.

Neue Konzepte zur Mobilität und die bestmögliche Auslastung der vorhandenen Fahrzeuge durch Car-Sharing und der Straßen- sowie Parkflächen könnte zur Verringerung des Platzproblems in den Städten führen und die Stadtplanung der Zukunft maßgeblich beeinflussen. Die Flächen die für Straßen und Parkplätze benötigt werden, könnten anderweitig verwendet werden – die Flächenversiegelung verringern und zu Grünanlagen umgewidmet werden.

Damit selbstfahrende Autos auch selbst fahren können, müssen sie unheimlich viele Daten erfassen. Ein herkömmliches Auto muss zum Beispiel nicht jederzeit wissen, wo es sich befindet – allein wegen der Gefahr durch ein solches Bewegungsprofil, lohnt es sich diese Technik aus datenschutzrechtlicher Perspektive zu betrachten.

Welche Daten erfassen selbstfahrende Autos?

Da es bis heute noch keine marktreifen autonomen Fahrzeuge gibt, kann diese Frage selbstverständlich nicht abschließend beantwortet werden. Damit ein solches Auto aber überhaupt funktionieren kann, gibt es eine Reihe von Daten, die erfasst werden können. Drei Kategorien von Daten erscheinen daher plausibel:

Fahrzeugdaten: Hier handelt sich vor allem um technische Daten, wie der Batteriestand, der Zustand der Bremsen etc.

Daten, die die Außenwelt des Fahrzeugs betreffen: Damit sich ein selbstfahrendes Auto sicher durch den Straßenverkehr bewegen kann, muss es die komplette Umgebung erfassen. Also registriert der Computer eines autonomen Fahrzeugs die Straßenzüge, Fußgänger, Radfahrer, andere Autos, Häuser. Diese Erfassung erfolgt mittels verschiedener Sensoren, optisch mit Kameras, mit Lidar und Radar, Schallwellen und GPS. Dabei wird also nicht nur der Standort des Fahrzeuges dauerhaft erfasst, sondern es besteht auch die Gefahr, dass die Kennzeichen anderer Autos gespeichert werden.

Drittens muss ein solches selbstfahrendes Auto Daten über die Benutzer haben. Es ist anzunehmen, dass man ein selbstfahrendes Auto nur mit einem Benutzerkonto in Betrieb nehmen können wird. Hier werden Schnittstellen mit Kalendern, Adressbüchern oder einem Bewegungsprofil des Nutzers datenschutzrechtlich problematisch werden.

Vernetzung mit anderen Verkehrsteilnehmern

Damit das volle Potential selbstfahrender Autos ausgeschöpft werden kann und tatsächlich eine digitale Verkehrswende eines Tages Wirklichkeit werden kann, müssen sich die selbstfahrenden Autos vernetzen können. Nur so könnten beispielsweise Staus vermieden werden, weil die „Schwarmintelligenz“ der Autos den ganzen Platz des Straßennetz‘ voll ausnutzen könnten. Deshalb kann man davon ausgehen, dass sich die selbstfahrendenden Autos mit anderen Fahrzeugen, der Verkehrsinfrastruktur und einer Cloud vernetzen werden. Außerdem liegt es nahe, dass sich das Auto mit dem Smartphone der Insassen vernetzen können wird.

Damit werden diese Autos zu Datenspionen, wie wir sie heute kaum oder nur von Wearables kennen. Ob und wie dabei die Anforderungen der Datenschutzgrundverordnung (DSGVO) eingehalten werden, wird zu einem wesentlichen Teil davon abhängen, ob die gesammelten Daten, die Personen identifizieren könnten. Schon heute existieren durch die enorme Datenmenge und fortgreifender Vernetzung kaum noch Daten ohne Personenbezug.

Welche Datenschutzprobleme werden sich durch die selbstfahrenden Autos ergeben?

Das zentrale Problem wird sich aus dem von der DSGVO geforderten Erlaubnisbestand ableiten. Damit personenbezogene Daten überhaupt verarbeitet werden dürfen, muss entweder die Einwilligung der Betroffenen, eine Vertragserfüllung oder wenigstens das Überwiegende Interesse des Verantwortlichen vorliegen.

Hieraus leitet sich das Problem ab, dass zwar die Insassen eines Fahrzeuges ihre Erlaubnis geben können, aber nicht die Personen außerhalb des selbstfahrenden Autos. Darüber hinaus könnte eine Mitfahrt nur möglich sein, wenn alle Fahrgäste der Datenschutzerklärung des Fahrzeuganbieters zustimmen. Ob damit noch eine freiwillige Zustimmung – die datenschutzrechtlich notwendig ist – noch vorliegt ist mehr als zweifelhaft.

Auch die Verarbeitung von personenbezogenen Daten aus beispielsweise Adressbüchern wird problematisch, weil zwar der Inhaber des Adressbuchs der Datenschutzerklärung zustimmen kann – nicht aber diejenigen, die in diesem Adressbuch hinterlegt sind.

Die Liste der Fragen, die autonome Fahrzeuge an den Datenschutz stellen ließe sich noch sehr lange fortführen. Von zentraler Bedeutung ist aber die Frage, wer für die personenbezogenen Daten im Sinne der DSGVO verantwortlich ist? Der Eigentümer des Fahrzeuges? Der Hersteller – oder doch der Fahrzeugführer?

Wer wird Interesse an den Daten eines selbstfahrenden Autos haben?

Es ist allgemein bekannt, wie wertvoll personenbezogene Daten sind. Und im Anhang des Autoverkehrs stehen viele finanzkräftige Branchen. Das beginnt mit der Versicherungsbranche – KFZ-Versicherungen könnten individuelle Tarife anbieten, zugeschnitten auf das Bewegungsprofil eines Kunden zum Beispiel.

Ein Unternehmen, das die Entwicklung von selbstfahrenden Autos forciert ist Google. Hieraus ergeben sich weitere Fragen – allein schon ob wie das Angebot von Google Maps in die Autos des Unternehmens aus Mountain View in diese Autos integriert wird. Wie würden Suchanfragen verarbeitet werden, wie würde der Algorithmus die Ergebnisse auswählen?

Wie könnten Selbstfahrende Autos realisiert werden und die Daten der Kunden geschützt werden?

Idealerweise sollte bereits die Programmierung der Software von selbstfahrenden Autos nach dem Grundsatz der „Privacy by Design“ (Datenschutz durch Technologiegestaltung) erfolgen. Die datenschutzrechtlichen Interessen könnten durch sofortiges Blurring von Gesichtern, Autokennzeichen und anderer personenbezogener Daten geschützt werden.

Auch könnte eine Datenübertragung in Drittstaaten der EU verboten werden, da dies die Anforderungen an den Datenschutz multiplizieren würde.

Wird sich der Brexit auf den Datenschutz auswirken?

By | Allgemein | No Comments

Wird sich der Brexit auf den Datenschutz auswirken?

Solange der Brexit nicht doch noch in letzter Sekunde abgesagt wird, ja. Gegenwärtig (Januar 2020) ist kein Grund mehr absehbar, der einem Austritt des Vereinigten Königreichs aus der Europäischen Union am 31. Januar 2020 verhindern sollte.

Das heißt jedoch nicht, dass bereits feststeht, welche Änderungen sich aus diesem offiziellen Austritt aus der EU für Großbritannien ergeben. Denn nach diesem Datum beginnt zunächst eine Übergangsfrist bis zum 31. Dezember 2020. In dieser Übergangsphase werden die auch in Großbritannien die Vorschriften der EU weiterhin gelten.

Der Hintergrund dieser Übergangsphase ist, dass der britische Premierminister Boris Johnson den Austritt des Landes aus der EU nicht länger aufschieben möchte. Gleichzeitig konnte die britische Regierung aber noch keinen Austrittsvertrag mit der Europäischen Kommission aushandeln, der durch das britische Parlament ratifiziert wurde. Daher sollen die abschließenden Regelungen bis Dezember 2020 ausgehandelt und sowohl in Großbritannien, wie den Mitgliedsstaaten der EU ratifiziert werden.

Es bleibt also spannend – noch kann niemand mit Sicherheit sagen, wie das zukünftige Verhältnis zwischen der EU und Großbritannien aussehen wird. Es steht noch nicht fest, wie eng die Bindung Großbritannien an die EU ab 2021 sein wird. Aber unabhängig davon, wie der Austritt letztendlich aussieht, wird er Auswirkungen auf den Datenschutz haben.

Die wirtschaftlichen Verbindungen zwischen der deutschen und britischen Wirtschaft sind eng. Schätzungen zu Folge übermittelt fast jedes 7. deutsche Unternehmen personenbezogene Daten nach Großbritannien. All jene Unternehmen werden ihre Datenschutzbestimmungen anpassen müssen.

Die sicherste Vorbereitung für deutsche Unternehmen auf den Brexit im Sinne des Datenschutz‘ wäre es, sicherzustellen, dass Großbritannien als Drittland behandelt wird.

Was passiert bei sehr lockeren Regelungen ab 2021?

Sollte Großbritannien Ende 2020 die EU verlassen ohne weiterhin die Maßgaben der Datenschutzgrundverordnung (DSGVO) umzusetzen, hieße das, dass Großbritannien von einem Tag auf den anderen zu einem Drittstaat werden würde. Die Bundesregierung rät Unternehmen, sich auf diesen Fall vorzubereiten, um auf der sicheren Seite zu sein.

Gemäß der Datenschutzgrundverordnung der EU ist eine Übertragung von personenbezogenen Daten in Drittstaaten nur in Ausnahmefällen erlaubt. Diese vier Ausnahmen sind:

  1. Die ausdrückliche Zustimmung der Betroffenen
  2. Die Übermittlung ist für die Erfüllung eines Vertrages unumgänglich
  3. Die Übermittlung ist aus berechtigten Gründen im Sinne des öffentlichen Interesses
  4. Der Empfänger garantiert nach Art. 46 oder 47 DSGVO einen Umgang mit personenbezogenen Daten nach den vorgeschriebenen Standards der EU

Der nun hinfällige Vertrag des Kabinetts May II für einen „weichen“ Brexit bis zum 31. Oktober 2019 sah vor, dass die europäischen Datenschutzbestimmungen noch für eine Übergangsfrist bis zum Jahresende 2019 gelten würden. Da dieser Vertag nie gültig wurde, ist es jetzt fraglich, ob ein neuer Vertrag der Regierung Boris‘ Johnsons ebenfalls eine solche Regelung enthalten wird.

Am sichersten ist es für Unternehmen, sich vorsichtshalber darauf vorzubereiten, Großbritannien als Drittland behandeln zu können.

Welche Alternativen sind abzusehen?

Das ist gegenwärtig nicht abzuschätzen. Wenn sich in der Übergangsphase herausstellt, dass Großbritannien und die EU weiterhin an einer engen Zusammenarbeit interessiert sind, ist es gut möglich, dass auch der Datenschutz neuen Bestimmungen unterliegen wird. Diese müssten im Verlauf der Verhandlungen zwischen London und Brüssel noch bestimmt werden.

Eine weitere Möglichkeit ist noch immer eine weitere Verschiebung des de-facto Brexit. Sollte sich die Regierung in London und die Europäische Kommission nicht einigen können, oder die Austrittsverträge nicht ratifiziert werden, ist immer noch eine Verlängerung der Übergangsphase möglich.

Unbenommen der abschließenden Regelungen, sollten deutsche Unternehmen sich darauf vorbereiten, Großbritannien nach dem Brexit wie ein Drittland zu behandeln. So werden sie auf der sicheren Seite sein. Das Königreich sollte in das Informationsblatt zur Datenverarbeitung und in die Datenschutzerklärung des Unternehmens aufgenommen werden. Auch das Verzeichnis der Verarbeitungstätigkeiten muss angepasst werden. Wichtig ist, dass der Datenschutzbeauftragte die Datenschutz-Folgeabschätzungen des Unternehmens überarbeitet, bevor es zum Brexit kommt.

Arbeitsprozesse vor dem Brexit anpassen

Unabhängig von der endgültigen Form des Brexits sollten Unternehmen also ihre Datenschutzmaßnahmen im Umgang mit britischen Partnern rechtzeitig überarbeiten. Jetzt abzuwarten wäre ein fataler Fehler. Stattdessen müssen alte Arbeitsprozesse überarbeitet und überprüft werden. Entsprechen die Vorgänge der Datentransfers nach Großbritannien auch nach dem Brexit noch den Vorschriften von DSGVO und Bundesdatenschutzgesetz (BDSG)? Entscheidend ist, dass weiterhin ein angemessenes Datenschutzniveau sichergestellt werden kann.

Vieles wird davon abhängen, ob die EU Großbritannien nach dem Austritt als angemessenes Drittland einstufen wird. So könnte ein freier Austausch personenbezogener Daten zwischen dem Vereinigten Königreich und der Europäischen Union trotz Austritt sichergestellt werden.

Müssen britische Unternehmen nach dem Brexit die DSGVO beachten?

Alle Staaten außerhalb der EU müssen sich an die Vorschriften der DSGVO halten, wenn sie personenbezogene Daten in der EU verarbeiten. Das heißt, dass auch britische Unternehmen sich weiterhin an die Bestimmungen der Europäischen Union halten müssen, wenn sie personenbezogene Daten in der EU verarbeiten möchten. Daher wird es für solche Unternehmen auch nötig sein, einen Vertreter entsprechend Art. 27 DSGVO zu benennen. Die britische Regierung hat bereits britische Unternehmen dazu aufgerufen, auch nach dem Brexit die Bestimmungen der DSGVO einzuhalten.

Unabhängig davon wird der Brexit für britische Unternehmen noch wesentlich mehr Auswirkungen auf ihre Datenschutzvorschriften haben, als nur die DSGVO. Schließlich möchte sich das Vereinigte Königreich wieder eigene Bestimmungen auferlegen.

Smart Watches, Fitness Apps und Co. – Tragbare Datenspione?

By | Allgemein | No Comments

Wearables wie Smart Watches und Fitness Apps, die die Ergebnisse dieser kleinen Datenspione aufzeichnen und in einer Cloud Speichern werden immer beliebter. Dabei sind diese Apps ständig mit dem Internet verbunden – ohne Netzanbindung lassen sich diese nicht nutzen. Aber die Anbieter nehmen es nicht zu eng mit dem Datenschutz. Erst 2017 wurden gleich neun Anbieter von der Verbraucherzentrale NRW abgemahnt, weil sie nicht ausreichend über die Verwendung der sensiblen Daten informierten.

Wearables sammeln sensible Daten, die geschützt werden müssten

Datenschutz scheint für die allermeisten Anbieter von Wearables und Fitness Apps also eher ein Fremdwort zu sein – dabei sammeln sie sehr persönliche Daten. Sie wissen Bescheid über den Schlaf des Nutzers, können Rückschlüsse über seine Aktivitäten über den Puls ziehen, kennen über die Mahlzeiten seinen Kalorienverbrauch.

Wenn diese Informationen erst einmal ins Internet gelangt sind, sind sie der Kontrolle des Nutzers endgültig entzogen. Die meisten Anbieter lassen eine Nutzung ihrer App nur zu, wenn der Nutzer ihnen das Recht einräumt, seine Daten – auch zu Werbezwecken – an Dritte weiterzugeben oder zu –verkaufen.

Wearables erlauben keine Kontrolle der eigenen Daten

Nicht nur erlaubt fast kein Gerät oder App eine Nutzung ohne Internetverbindung, sondern meist werden eine ganze Reihe von Daten übermittelt, die oft in keinem nachvollziehbaren Zusammenhang mit der Funktion des Geräts stehen. Nur Teilweise lässt sich dies über die Berechtigungen der App steuern – aber nicht alle Smartphone Betriebssysteme beherrschen dies und der Entzug von Berechtigungen schränkt die Funktionalität der Anwendung ein.

Weil sich die Apps ohnehin nur nutzen lassen, wenn die Nutzer den Datenschutzbestimmungen des Anbieters zustimmen, erwächst hieraus das Problem, das der Nutzer kaum nachvollziehen kann, was mit seinen Daten geschieht.

Noch bevor ein Nutzer den Datenschutzbestimmungen zustimmen kann, übermitteln viele Apps bereits die technischen Daten des Telefons an den Anbieter. Nachdem der Nutzer einmal den Datenschutzbestimmungen zugestimmt hat, hat er im Nachhinein keine Möglichkeit mehr, nachzuvollziehen, wie seine Daten genutzt werden.

Wearables werden in der Regel mit Bluetooth mit dem Smartphone verbunden. Das ermöglicht eine ungewollte Standortverfolgung des Nutzers, was eine Erstellung von Bewegungsprofilen ermöglicht. Schon ein Supermarkt könnte durch eine Sicherheitslücke in der Bluetooth-Verbindung die Laufwege seiner Kunden nachvollziehen.

Neun Anbieter wurden wegen Verstößen gegen die Datenschutzbestimmungen abgemahnt

Besonders neun Anbieter, zum Teil namhafte Firmen wie Apple, Garmin, Fitbit, Jawbone, Polar oder UnderArmour wurden von der Verbraucherzentrale NRW wegen ihres sorglosen Umgangs mit den Daten ihrer Kunden abgemahnt. Einige Anbieter gehen soweit und behalten sich das Recht vor, ihre Datenschutzvereinbarung ohne aktive Information ihrer Kunden zu ändern.

Krankenkassen fördern Fitness Apps und Wearables

Die ersten Krankenkassen bezuschussen Fitnessarmbänder und Apps mit der Idee, dass diejenigen die sich gesund ernähren und ausreichend bewegen seltener krank werden und langfristig damit weniger Beitrag zahlen muss – schließlich kosten diese Kunden die Krankenkassen weniger. Auf der anderen Seite zahlen dann diejenigen einen höheren Beitrag, die sich weniger bewegen und weniger gesund bewegen – oder kein Fitnessarmband tragen.

Aktuell können Kunden sich Wearables von manchen Krankenkassen bezuschussen lassen ohne der Krankenkasse den vollen Zugriff auf die eigenen Daten einräumen zu müssen. Es ist aber zu erwarten, dass die Kassen über kurz oder lang immer umfangreichere Daten erheben möchten. Nur so wäre eine tatsächliche Beitragskalkulation anhand des Bewegungs- und Ernährungsprofil des Beitragszahlers möglich.

Darüber hinaus müssen sich Nutzer wie Kassen darüber bewusst werden, dass die Ergebnisse der meisten Apps keinen wissenschaftlichen Standards genügen. Einfache Rechengrößen wie der Body-Mass-Index (BMI) sind aus wissenschaftlicher Sicht schon lange keine verlässlichen Indikatoren für den Gesundheitszustand eines Menschen.

Wearables – Datenspione am Handgelenk

Nutzer von Wearables und Fitness Apps sollten sich der Risiken bewusst sein, die diese kleinen Spione am Handgelenk mit sich bringen. Die Daten die sie hier über sich preisgeben sind zum Teil sensible Gesundheitsdaten, die der Kontrolle des Nutzers entzogen werden. Daher sollten die Anwender abwägen, ob die Gesundheitsdaten für fragwürdige Gesundheitstipps und Trainingsanalysemöglichkeiten freigegeben werden sollten.

Vor der Nutzung einer App sollte man sich die Datenschutzerklärung durchlesen und auf die folgenden Punkte achten:

  • Welche Daten werden erhoben?
  • Welche Funktionen bietet diese App und ist hierfür die Abfrage der Daten plausibel?
  • Wo werden die Daten gespeichert?
  • An wen werden die Daten weitergegeben?

Heute bieten viele Apps und Wearables die Möglichkeit die eigenen Daten und den eigenen Standort mit anderen Nutzern zu teilen. Hier ist besondere Vorsicht geboten – schließlich bieten diese Geräte anderen Menschen die Möglichkeit den eigenen Standort zu überwachen und Daten wie Pulswerte anzuzeigen.

 

Bildnachweis: © dolgachov (123rf.de)