Category

Allgemein

Bußgelder für Datenschutzvergehen wurden erhöht

By | Allgemein | No Comments

Anfang Januar sorgte ein Bußgeldbescheid der französischen Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) für Aufsehen. Auf eine Beschwerde des Datenschutzaktivisten Max Schrems verhängte die Behörde ein Bußgeld in einer Höhe von 50 Millionen Euro. Und das gegen den Branchenriesen Google.

Read More

Einfluss von Selbstfahrenden Autos auf den Datenschutz

By | Allgemein | No Comments

Einfluss von Selbstfahrenden Autos auf den Datenschutz

An selbstfahrenden Autos forschen Firmen aus der Automobilindustrie, der Tech-Branche, der Internetszene, Experten für künstliche Intelligenz und viele, viele mehr. Die wirklich „auto-mobilen“ Autos gelten als der Schlüssel der Zukunft des Individualverkehrs. Das autonome Fahren soll den Verkehr sicherer machen, Unfälle vermeiden, Staus verringern und Straftaten sowie Ordnungswidrigkeiten im Straßenverkehr verringern.

Neue Konzepte zur Mobilität und die bestmögliche Auslastung der vorhandenen Fahrzeuge durch Car-Sharing und der Straßen- sowie Parkflächen könnte zur Verringerung des Platzproblems in den Städten führen und die Stadtplanung der Zukunft maßgeblich beeinflussen. Die Flächen die für Straßen und Parkplätze benötigt werden, könnten anderweitig verwendet werden – die Flächenversiegelung verringern und zu Grünanlagen umgewidmet werden.

Damit selbstfahrende Autos auch selbst fahren können, müssen sie unheimlich viele Daten erfassen. Ein herkömmliches Auto muss zum Beispiel nicht jederzeit wissen, wo es sich befindet – allein wegen der Gefahr durch ein solches Bewegungsprofil, lohnt es sich diese Technik aus datenschutzrechtlicher Perspektive zu betrachten.

Welche Daten erfassen selbstfahrende Autos?

Da es bis heute noch keine marktreifen autonomen Fahrzeuge gibt, kann diese Frage selbstverständlich nicht abschließend beantwortet werden. Damit ein solches Auto aber überhaupt funktionieren kann, gibt es eine Reihe von Daten, die erfasst werden können. Drei Kategorien von Daten erscheinen daher plausibel:

Fahrzeugdaten: Hier handelt sich vor allem um technische Daten, wie der Batteriestand, der Zustand der Bremsen etc.

Daten, die die Außenwelt des Fahrzeugs betreffen: Damit sich ein selbstfahrendes Auto sicher durch den Straßenverkehr bewegen kann, muss es die komplette Umgebung erfassen. Also registriert der Computer eines autonomen Fahrzeugs die Straßenzüge, Fußgänger, Radfahrer, andere Autos, Häuser. Diese Erfassung erfolgt mittels verschiedener Sensoren, optisch mit Kameras, mit Lidar und Radar, Schallwellen und GPS. Dabei wird also nicht nur der Standort des Fahrzeuges dauerhaft erfasst, sondern es besteht auch die Gefahr, dass die Kennzeichen anderer Autos gespeichert werden.

Drittens muss ein solches selbstfahrendes Auto Daten über die Benutzer haben. Es ist anzunehmen, dass man ein selbstfahrendes Auto nur mit einem Benutzerkonto in Betrieb nehmen können wird. Hier werden Schnittstellen mit Kalendern, Adressbüchern oder einem Bewegungsprofil des Nutzers datenschutzrechtlich problematisch werden.

Vernetzung mit anderen Verkehrsteilnehmern

Damit das volle Potential selbstfahrender Autos ausgeschöpft werden kann und tatsächlich eine digitale Verkehrswende eines Tages Wirklichkeit werden kann, müssen sich die selbstfahrenden Autos vernetzen können. Nur so könnten beispielsweise Staus vermieden werden, weil die „Schwarmintelligenz“ der Autos den ganzen Platz des Straßennetz‘ voll ausnutzen könnten. Deshalb kann man davon ausgehen, dass sich die selbstfahrendenden Autos mit anderen Fahrzeugen, der Verkehrsinfrastruktur und einer Cloud vernetzen werden. Außerdem liegt es nahe, dass sich das Auto mit dem Smartphone der Insassen vernetzen können wird.

Damit werden diese Autos zu Datenspionen, wie wir sie heute kaum oder nur von Wearables kennen. Ob und wie dabei die Anforderungen der Datenschutzgrundverordnung (DSGVO) eingehalten werden, wird zu einem wesentlichen Teil davon abhängen, ob die gesammelten Daten, die Personen identifizieren könnten. Schon heute existieren durch die enorme Datenmenge und fortgreifender Vernetzung kaum noch Daten ohne Personenbezug.

Welche Datenschutzprobleme werden sich durch die selbstfahrenden Autos ergeben?

Das zentrale Problem wird sich aus dem von der DSGVO geforderten Erlaubnisbestand ableiten. Damit personenbezogene Daten überhaupt verarbeitet werden dürfen, muss entweder die Einwilligung der Betroffenen, eine Vertragserfüllung oder wenigstens das Überwiegende Interesse des Verantwortlichen vorliegen.

Hieraus leitet sich das Problem ab, dass zwar die Insassen eines Fahrzeuges ihre Erlaubnis geben können, aber nicht die Personen außerhalb des selbstfahrenden Autos. Darüber hinaus könnte eine Mitfahrt nur möglich sein, wenn alle Fahrgäste der Datenschutzerklärung des Fahrzeuganbieters zustimmen. Ob damit noch eine freiwillige Zustimmung – die datenschutzrechtlich notwendig ist – noch vorliegt ist mehr als zweifelhaft.

Auch die Verarbeitung von personenbezogenen Daten aus beispielsweise Adressbüchern wird problematisch, weil zwar der Inhaber des Adressbuchs der Datenschutzerklärung zustimmen kann – nicht aber diejenigen, die in diesem Adressbuch hinterlegt sind.

Die Liste der Fragen, die autonome Fahrzeuge an den Datenschutz stellen ließe sich noch sehr lange fortführen. Von zentraler Bedeutung ist aber die Frage, wer für die personenbezogenen Daten im Sinne der DSGVO verantwortlich ist? Der Eigentümer des Fahrzeuges? Der Hersteller – oder doch der Fahrzeugführer?

Wer wird Interesse an den Daten eines selbstfahrenden Autos haben?

Es ist allgemein bekannt, wie wertvoll personenbezogene Daten sind. Und im Anhang des Autoverkehrs stehen viele finanzkräftige Branchen. Das beginnt mit der Versicherungsbranche – KFZ-Versicherungen könnten individuelle Tarife anbieten, zugeschnitten auf das Bewegungsprofil eines Kunden zum Beispiel.

Ein Unternehmen, das die Entwicklung von selbstfahrenden Autos forciert ist Google. Hieraus ergeben sich weitere Fragen – allein schon ob wie das Angebot von Google Maps in die Autos des Unternehmens aus Mountain View in diese Autos integriert wird. Wie würden Suchanfragen verarbeitet werden, wie würde der Algorithmus die Ergebnisse auswählen?

Wie könnten Selbstfahrende Autos realisiert werden und die Daten der Kunden geschützt werden?

Idealerweise sollte bereits die Programmierung der Software von selbstfahrenden Autos nach dem Grundsatz der „Privacy by Design“ (Datenschutz durch Technologiegestaltung) erfolgen. Die datenschutzrechtlichen Interessen könnten durch sofortiges Blurring von Gesichtern, Autokennzeichen und anderer personenbezogener Daten geschützt werden.

Auch könnte eine Datenübertragung in Drittstaaten der EU verboten werden, da dies die Anforderungen an den Datenschutz multiplizieren würde.

Wird sich der Brexit auf den Datenschutz auswirken?

By | Allgemein | No Comments

Wird sich der Brexit auf den Datenschutz auswirken?

Solange der Brexit nicht doch noch in letzter Sekunde abgesagt wird, ja. Gegenwärtig (Januar 2020) ist kein Grund mehr absehbar, der einem Austritt des Vereinigten Königreichs aus der Europäischen Union am 31. Januar 2020 verhindern sollte.

Das heißt jedoch nicht, dass bereits feststeht, welche Änderungen sich aus diesem offiziellen Austritt aus der EU für Großbritannien ergeben. Denn nach diesem Datum beginnt zunächst eine Übergangsfrist bis zum 31. Dezember 2020. In dieser Übergangsphase werden die auch in Großbritannien die Vorschriften der EU weiterhin gelten.

Der Hintergrund dieser Übergangsphase ist, dass der britische Premierminister Boris Johnson den Austritt des Landes aus der EU nicht länger aufschieben möchte. Gleichzeitig konnte die britische Regierung aber noch keinen Austrittsvertrag mit der Europäischen Kommission aushandeln, der durch das britische Parlament ratifiziert wurde. Daher sollen die abschließenden Regelungen bis Dezember 2020 ausgehandelt und sowohl in Großbritannien, wie den Mitgliedsstaaten der EU ratifiziert werden.

Es bleibt also spannend – noch kann niemand mit Sicherheit sagen, wie das zukünftige Verhältnis zwischen der EU und Großbritannien aussehen wird. Es steht noch nicht fest, wie eng die Bindung Großbritannien an die EU ab 2021 sein wird. Aber unabhängig davon, wie der Austritt letztendlich aussieht, wird er Auswirkungen auf den Datenschutz haben.

Die wirtschaftlichen Verbindungen zwischen der deutschen und britischen Wirtschaft sind eng. Schätzungen zu Folge übermittelt fast jedes 7. deutsche Unternehmen personenbezogene Daten nach Großbritannien. All jene Unternehmen werden ihre Datenschutzbestimmungen anpassen müssen.

Die sicherste Vorbereitung für deutsche Unternehmen auf den Brexit im Sinne des Datenschutz‘ wäre es, sicherzustellen, dass Großbritannien als Drittland behandelt wird.

Was passiert bei sehr lockeren Regelungen ab 2021?

Sollte Großbritannien Ende 2020 die EU verlassen ohne weiterhin die Maßgaben der Datenschutzgrundverordnung (DSGVO) umzusetzen, hieße das, dass Großbritannien von einem Tag auf den anderen zu einem Drittstaat werden würde. Die Bundesregierung rät Unternehmen, sich auf diesen Fall vorzubereiten, um auf der sicheren Seite zu sein.

Gemäß der Datenschutzgrundverordnung der EU ist eine Übertragung von personenbezogenen Daten in Drittstaaten nur in Ausnahmefällen erlaubt. Diese vier Ausnahmen sind:

  1. Die ausdrückliche Zustimmung der Betroffenen
  2. Die Übermittlung ist für die Erfüllung eines Vertrages unumgänglich
  3. Die Übermittlung ist aus berechtigten Gründen im Sinne des öffentlichen Interesses
  4. Der Empfänger garantiert nach Art. 46 oder 47 DSGVO einen Umgang mit personenbezogenen Daten nach den vorgeschriebenen Standards der EU

Der nun hinfällige Vertrag des Kabinetts May II für einen „weichen“ Brexit bis zum 31. Oktober 2019 sah vor, dass die europäischen Datenschutzbestimmungen noch für eine Übergangsfrist bis zum Jahresende 2019 gelten würden. Da dieser Vertag nie gültig wurde, ist es jetzt fraglich, ob ein neuer Vertrag der Regierung Boris‘ Johnsons ebenfalls eine solche Regelung enthalten wird.

Am sichersten ist es für Unternehmen, sich vorsichtshalber darauf vorzubereiten, Großbritannien als Drittland behandeln zu können.

Welche Alternativen sind abzusehen?

Das ist gegenwärtig nicht abzuschätzen. Wenn sich in der Übergangsphase herausstellt, dass Großbritannien und die EU weiterhin an einer engen Zusammenarbeit interessiert sind, ist es gut möglich, dass auch der Datenschutz neuen Bestimmungen unterliegen wird. Diese müssten im Verlauf der Verhandlungen zwischen London und Brüssel noch bestimmt werden.

Eine weitere Möglichkeit ist noch immer eine weitere Verschiebung des de-facto Brexit. Sollte sich die Regierung in London und die Europäische Kommission nicht einigen können, oder die Austrittsverträge nicht ratifiziert werden, ist immer noch eine Verlängerung der Übergangsphase möglich.

Unbenommen der abschließenden Regelungen, sollten deutsche Unternehmen sich darauf vorbereiten, Großbritannien nach dem Brexit wie ein Drittland zu behandeln. So werden sie auf der sicheren Seite sein. Das Königreich sollte in das Informationsblatt zur Datenverarbeitung und in die Datenschutzerklärung des Unternehmens aufgenommen werden. Auch das Verzeichnis der Verarbeitungstätigkeiten muss angepasst werden. Wichtig ist, dass der Datenschutzbeauftragte die Datenschutz-Folgeabschätzungen des Unternehmens überarbeitet, bevor es zum Brexit kommt.

Arbeitsprozesse vor dem Brexit anpassen

Unabhängig von der endgültigen Form des Brexits sollten Unternehmen also ihre Datenschutzmaßnahmen im Umgang mit britischen Partnern rechtzeitig überarbeiten. Jetzt abzuwarten wäre ein fataler Fehler. Stattdessen müssen alte Arbeitsprozesse überarbeitet und überprüft werden. Entsprechen die Vorgänge der Datentransfers nach Großbritannien auch nach dem Brexit noch den Vorschriften von DSGVO und Bundesdatenschutzgesetz (BDSG)? Entscheidend ist, dass weiterhin ein angemessenes Datenschutzniveau sichergestellt werden kann.

Vieles wird davon abhängen, ob die EU Großbritannien nach dem Austritt als angemessenes Drittland einstufen wird. So könnte ein freier Austausch personenbezogener Daten zwischen dem Vereinigten Königreich und der Europäischen Union trotz Austritt sichergestellt werden.

Müssen britische Unternehmen nach dem Brexit die DSGVO beachten?

Alle Staaten außerhalb der EU müssen sich an die Vorschriften der DSGVO halten, wenn sie personenbezogene Daten in der EU verarbeiten. Das heißt, dass auch britische Unternehmen sich weiterhin an die Bestimmungen der Europäischen Union halten müssen, wenn sie personenbezogene Daten in der EU verarbeiten möchten. Daher wird es für solche Unternehmen auch nötig sein, einen Vertreter entsprechend Art. 27 DSGVO zu benennen. Die britische Regierung hat bereits britische Unternehmen dazu aufgerufen, auch nach dem Brexit die Bestimmungen der DSGVO einzuhalten.

Unabhängig davon wird der Brexit für britische Unternehmen noch wesentlich mehr Auswirkungen auf ihre Datenschutzvorschriften haben, als nur die DSGVO. Schließlich möchte sich das Vereinigte Königreich wieder eigene Bestimmungen auferlegen.

Smart Watches, Fitness Apps und Co. – Tragbare Datenspione?

By | Allgemein | No Comments

Wearables wie Smart Watches und Fitness Apps, die die Ergebnisse dieser kleinen Datenspione aufzeichnen und in einer Cloud Speichern werden immer beliebter. Dabei sind diese Apps ständig mit dem Internet verbunden – ohne Netzanbindung lassen sich diese nicht nutzen. Aber die Anbieter nehmen es nicht zu eng mit dem Datenschutz. Erst 2017 wurden gleich neun Anbieter von der Verbraucherzentrale NRW abgemahnt, weil sie nicht ausreichend über die Verwendung der sensiblen Daten informierten.

Wearables sammeln sensible Daten, die geschützt werden müssten

Datenschutz scheint für die allermeisten Anbieter von Wearables und Fitness Apps also eher ein Fremdwort zu sein – dabei sammeln sie sehr persönliche Daten. Sie wissen Bescheid über den Schlaf des Nutzers, können Rückschlüsse über seine Aktivitäten über den Puls ziehen, kennen über die Mahlzeiten seinen Kalorienverbrauch.

Wenn diese Informationen erst einmal ins Internet gelangt sind, sind sie der Kontrolle des Nutzers endgültig entzogen. Die meisten Anbieter lassen eine Nutzung ihrer App nur zu, wenn der Nutzer ihnen das Recht einräumt, seine Daten – auch zu Werbezwecken – an Dritte weiterzugeben oder zu –verkaufen.

Wearables erlauben keine Kontrolle der eigenen Daten

Nicht nur erlaubt fast kein Gerät oder App eine Nutzung ohne Internetverbindung, sondern meist werden eine ganze Reihe von Daten übermittelt, die oft in keinem nachvollziehbaren Zusammenhang mit der Funktion des Geräts stehen. Nur Teilweise lässt sich dies über die Berechtigungen der App steuern – aber nicht alle Smartphone Betriebssysteme beherrschen dies und der Entzug von Berechtigungen schränkt die Funktionalität der Anwendung ein.

Weil sich die Apps ohnehin nur nutzen lassen, wenn die Nutzer den Datenschutzbestimmungen des Anbieters zustimmen, erwächst hieraus das Problem, das der Nutzer kaum nachvollziehen kann, was mit seinen Daten geschieht.

Noch bevor ein Nutzer den Datenschutzbestimmungen zustimmen kann, übermitteln viele Apps bereits die technischen Daten des Telefons an den Anbieter. Nachdem der Nutzer einmal den Datenschutzbestimmungen zugestimmt hat, hat er im Nachhinein keine Möglichkeit mehr, nachzuvollziehen, wie seine Daten genutzt werden.

Wearables werden in der Regel mit Bluetooth mit dem Smartphone verbunden. Das ermöglicht eine ungewollte Standortverfolgung des Nutzers, was eine Erstellung von Bewegungsprofilen ermöglicht. Schon ein Supermarkt könnte durch eine Sicherheitslücke in der Bluetooth-Verbindung die Laufwege seiner Kunden nachvollziehen.

Neun Anbieter wurden wegen Verstößen gegen die Datenschutzbestimmungen abgemahnt

Besonders neun Anbieter, zum Teil namhafte Firmen wie Apple, Garmin, Fitbit, Jawbone, Polar oder UnderArmour wurden von der Verbraucherzentrale NRW wegen ihres sorglosen Umgangs mit den Daten ihrer Kunden abgemahnt. Einige Anbieter gehen soweit und behalten sich das Recht vor, ihre Datenschutzvereinbarung ohne aktive Information ihrer Kunden zu ändern.

Krankenkassen fördern Fitness Apps und Wearables

Die ersten Krankenkassen bezuschussen Fitnessarmbänder und Apps mit der Idee, dass diejenigen die sich gesund ernähren und ausreichend bewegen seltener krank werden und langfristig damit weniger Beitrag zahlen muss – schließlich kosten diese Kunden die Krankenkassen weniger. Auf der anderen Seite zahlen dann diejenigen einen höheren Beitrag, die sich weniger bewegen und weniger gesund bewegen – oder kein Fitnessarmband tragen.

Aktuell können Kunden sich Wearables von manchen Krankenkassen bezuschussen lassen ohne der Krankenkasse den vollen Zugriff auf die eigenen Daten einräumen zu müssen. Es ist aber zu erwarten, dass die Kassen über kurz oder lang immer umfangreichere Daten erheben möchten. Nur so wäre eine tatsächliche Beitragskalkulation anhand des Bewegungs- und Ernährungsprofil des Beitragszahlers möglich.

Darüber hinaus müssen sich Nutzer wie Kassen darüber bewusst werden, dass die Ergebnisse der meisten Apps keinen wissenschaftlichen Standards genügen. Einfache Rechengrößen wie der Body-Mass-Index (BMI) sind aus wissenschaftlicher Sicht schon lange keine verlässlichen Indikatoren für den Gesundheitszustand eines Menschen.

Wearables – Datenspione am Handgelenk

Nutzer von Wearables und Fitness Apps sollten sich der Risiken bewusst sein, die diese kleinen Spione am Handgelenk mit sich bringen. Die Daten die sie hier über sich preisgeben sind zum Teil sensible Gesundheitsdaten, die der Kontrolle des Nutzers entzogen werden. Daher sollten die Anwender abwägen, ob die Gesundheitsdaten für fragwürdige Gesundheitstipps und Trainingsanalysemöglichkeiten freigegeben werden sollten.

Vor der Nutzung einer App sollte man sich die Datenschutzerklärung durchlesen und auf die folgenden Punkte achten:

  • Welche Daten werden erhoben?
  • Welche Funktionen bietet diese App und ist hierfür die Abfrage der Daten plausibel?
  • Wo werden die Daten gespeichert?
  • An wen werden die Daten weitergegeben?

Heute bieten viele Apps und Wearables die Möglichkeit die eigenen Daten und den eigenen Standort mit anderen Nutzern zu teilen. Hier ist besondere Vorsicht geboten – schließlich bieten diese Geräte anderen Menschen die Möglichkeit den eigenen Standort zu überwachen und Daten wie Pulswerte anzuzeigen.

 

Bildnachweis: © dolgachov (123rf.de)

TikTok – Zensur und Gefahr für Datensicherheit

By | Allgemein | No Comments

Die chinesische App TikTok gilt nicht nur für Marketing Experten als Absatzplattform der Zukunft, denn die App nutzen vor allem Kunden, die weniger als 20 Jahre alt sind. Die App, mit der die Mitglieder kurze Videos – zum Beispiel von den eigenen Gesangskünsten – aufnehmen und teilen können, ist das am schnellsten wachsende soziale Netzwerk der Welt. Allein im ersten Quartal 2018 wurde die App 46 Millionen (!) mal heruntergeladen und mittlerweile nutzen über 1 Milliarde (!) Nutzer weltweit TikTok. Aber hat diese Erfolgsgeschichte auch Schattenseiten? Genau dieser Erfolg ruft in Europa Datenschützer auf den Plan.

TikTok – der Werbemarkt von morgen?

Viele Marketingexperten, die Jugendliche und Heranwachsende erreichen wollen, wissen um die enormen Reichweite der App und konzentrieren ihre Kampagnen auf TikTok. Eine App die den Großteil der unter-20-Jährigen erreichen kann, verspricht eine ungeahnte Resonanz der eigenen Marketingstrategie. Marketingfirmen wie Guess nutzen die Plattform bereits zusammen mit Influencern um appinterne Werbekampagnen zu gestalten und zu realisieren – aber auch andere Institutionen haben die Chancen ergriffen, die TikToks Reichweite ermöglicht. Aus der Perspektive des Datenschutz‘ ist der offizielle TikTok Account der Tagesschau unbedenklich, aber auch das US-Militär benutzt TikTok um Kinder und Jugendliche für die amerikanische Armee zu rekrutieren.

TikToks jugendliche Nutzer dürfen die App eigentlich nicht nutzen

Der Erfolg TikToks bei jungen Internetnutzern ist das größte datenschutzrechtliche Problem der App – schließlich greift die App unheimlich viele personenbezogene Daten ab, wie den Standort, die IP-Adressen, das Nutzerverhalten und vieles mehr. Vor allem die Tatsache, dass viele Nutzer, das 16. Lebensjahr noch nicht vollendet haben, wirft die Fragen auf, auf welcher Rechtsgrundlage die Daten verarbeitet werden, wie sicher diese Daten sind und wie TikTok diese verwendet/auswertet. Einwilligungen zur Datenverarbeitung ihrer personenbezogenen Daten von Jugendlichen, die jünger sind als 16 Jahre, sind rechtlich unwirksam. Für die Verarbeitung von personenbezogenen Daten von Personen unter 16 Jahren ist die Einwilligung der Erziehungsberechtigten notwendig. Hierfür fehlt der App eine Jugendschutz- und eine Altersprüfung, weswegen in Großbritannien bereits Ermittlungen gegen die Betreiber der App von den staatlichen Datenschutzbehörden eingeleitet worden sind.

In Deutschland wird die App seit August 2018 vom Berliner Landesdatenschutzbeauftragten überprüft, da Nutzer Ihre Daten in der App nicht vollständig löschen können.

TikTok: Ohne Datenschutz, dafür mit Zensur

Auch die Schlagzeile, dass das US-Amerikanische Militär die App nutzte um Jugendliche für den Dienst an der Waffe zu begeistern, führte dazu, dass der Staatssekretär des amerikanischen Verteidigungsministerium Ryan McCarthy darauf hinwies, dass die Betreiber TikToks Benutzerdaten an chinesische Behörden weiterleiten würden. Auch das deutsche Bundesamt für Verfassungsschutz und der Bundesbeauftragte für Datenschutz plädieren dafür, mit dieser App sehr vorsichtig umzugehen, da sie datenschutzrechtlich sehr kritisch zu bewerten sei.

Das diese Vorwürfe aus Amerika und Deutschland nicht aus der Luft gegriffen sind, bestätigte TikTok unfreiwillig selbst – als es eine Unternehmensinterne Quelle veröffentlicht wurde. Der Facebook Gründer und Chef Mark Zuckerberg wies darauf hin, dass TikTok strenge Zensurauflagen umsetze und beim Datenschutz schlampe. Nachrichten von Umweltaktivisten in den USA würden von TikTok zensiert werden. Das belege, wie wenig TikTok an einem freien und kreativen Internet liegen würde.

 

Die Zensur TikToks dient nicht dem Datenschutz

Die nun öffentlich zugänglichen Bestimmungen TikToks welche Posts unterdrückt werden müssten, bestätigen die Aussage Zuckerbergs.

Denn Posts, die als gefährdend oder politisch identifiziert würden, werden unterdrückt, unsichtbar und damit unauffindbar gemacht. Diese Zensur wird in sechs „Moderationsstufen“ vorgenommen und findet in der Volksrepublik China – der bevölkerungsmäßig größten Diktatur der Welt – statt. Proteste, die sich gegen die chinesische Regierung oder ihre Politik richten werden auf eine „not for feed“-Liste indiziert. Dazu gehören Proteste in Hong Kong, Tibet, aber auch kurdische oder uighurische Demonstrationen. Während der jüngsten Proteste gegen die China-freundlichen Politik der Regierung Hong Kongs wurden Proteste laut, da auf TikTok so gut wie nichts von diesen Protesten zu sehen wäre. Sogar Kritik an Diktatoren wie Kim Jong-Un wird von TikTok unterdrückt.

Die spaßige und kurzweilige App für Kinder und Jugendliche ist also nicht nur eine Datenschutzrechtliche Katastrophe – sie stellt sich auch in den Dienst eines Regimes, dass Milliarden Menschen unterdrückt und Hundertausende in geheimeren Lagern interniert.

 

Bildnachweis: © Alexey Malkin (123rf.de)

Datenschutz bei Gewinnspielen – Was ist zu beachten?

By | Allgemein | No Comments

Ein Gewinnspiel erscheint wie ein verlockendes Angebot – ein paar grundlegende Daten angeben und die Chance auf einen netten Gewinn erhalten. Für das Unternehmen, das das Gewinnspiel ausrichtet, ist es aber nur ein Geschäftsmodell wie jedes andere. Der verlockende Preis animiert die Nutzer personenbezogene Daten preiszugeben, die gesammelt, verarbeitet und ggf. weiterverkauft werden können. Diese Daten, zumeist Namen und Adressdaten verwendet das Unternehmen entweder selbst für Werbezwecke oder verkauft sie zu lukrativen Preisen weiter.

Damit dieses System nicht ausgenutzt werden kann, schreibt der Gesetzgeber vor, dass lediglich Daten, die für das Gewinnspiel relevant sein können, erhoben werden dürfen. Außerdem unterliegen die personenbezogenen Daten denselben Datenschutzregeln wie in anderen Kontexten. Das Unternehmen, das die Daten erhebt, darf diese nur entsprechend der Europäischen Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) weiterverarbeiten oder weitergeben.

Welche Daten dürfen erhoben werden?

Natürlich erfordern Gewinnspiele gewisse Angaben durch die Teilnehmenden – schließlich muss der Gewinner identifizierbar sein, damit ihm oder ihr der Gewinn auch tatsächlich zugeordnet werden kann. Der Veranstalter ist dabei an das Prinzip der Datensparsamkeit gebunden. Daher darf er nur solche Daten erheben, die tatsächlich für die Durchführung des Gewinnspiels notwendig sind.

Außerdem dürfen die Daten, die für das Gewinnspiel erhoben werden auch nur für das Gewinnspiel genutzt werden, sie sind also Zweckgebunden. Das rechtliche Prinzip der Zweckbindung personenbezogener Daten schreibt vor, dass die Nutzung der Daten für andere Zwecke nicht stattfinden darf.

Dürfen Daten aus Gewinnspielen für Werbezwecke genutzt werden?

Weil Gewinnspiele aber niemand veranstaltet um den Teilnehmenden eine Freude zu bereiten, sondern um wirtschaftliche Interessen zu verfolgen, gibt es eine Möglichkeit die Daten trotzdem für gewerbliche Zwecke zu nutzen. Der Veranstalter kann die Zweckbindung der Daten umgehen, indem er sich eine Erlaubnis durch die Teilnehmer einholt.

Das Verbot einer Weiterverarbeitung von personenbezogener Daten unterliegt einem sogenannten Erlaubnisvorbehalt – das heißt, sobald die Teilnehmenden der Verarbeitung oder Weitergabe ihrer Daten zustimmen, darf der Veranstalter diese auch für seine Zwecke nutzen – oder verkaufen.

Damit eine solche Erlaubnis auch rechtskräftig ist, müssen die Teilnehmenden die Daten auch freiwillig für eine solche Nutzung freigeben. Das erfolgt nicht über die bloße Information, dass die Daten entsprechend genutzt und weitergegeben werden, sondern muss aktiv durch die Teilnehmer erlaubt werden. Dies geschieht im Internet etwa durch die Markierung eines entsprechenden Kästchens mit einem Haken.

Koppelungsverbot: Entsprechend der Europäischen Datenschutzgrundverordnung darf die Teilnahme an einem Gewinnspiel nicht an das Einverständnis an die Verarbeitung und Weitergabe von personenbezogenen Daten für Werbezwecke gekoppelt werden.

Gewinnspiele und Datenschutzerklärungen

Genauso wie bei allen anderen Anwendungsgebieten sollte auch bei einem Gewinnspiel eine transparente und eindeutige Datenschutzerklärung die Teilnehmenden darüber informieren, was mit ihren Daten passiert.

Diese Datenschutzerklärung sollte die Teilnehmenden daher darüber informieren, welche Angaben erhoben und gespeichert werden, zu welchem Zweck sie verwendet werden, wie sie verarbeitet und ob sie weitergegeben werden. Erst in diesem Fall dürfen die personenbezogenen Daten der Teilnehmenden entsprechend gewerblich verwendet werden.

Besonders sensibel ist, dass die Teilnehmenden informiert werden, dass die Daten auch für Werbezwecke genutzt werden und an Dritte übermittelt werden, da die Teilnehmenden immer wissen sollten, was mit ihren personenbezogenen Daten geschieht und worin sie bei der Teilnahme am Gewinnspiel teilnehmen.

Je größer die Zahl der Teilnehmenden, desto wichtiger ist der Datenschutz

Mit einem Gewinnspiel erreicht der Ausrichter, ob Unternehmen oder Institution schnell eine große Reichweite. Dabei wird es mit zunehmender Reichweite immer wichtiger die rechtlichen Datenschutzbestimmungen einzuhalten. Schließlich fragen Gewinnspiele mit den Adressdaten sensible personenbezogene Daten ab. Mit einer steigenden Zahl von Teilnehmenden steigt selbstredend auch das Risiko einer Abmahnung, wenn die Vorgaben der DSGVO und des BDSG nicht eingehalten wurden. Daher ist es immer ratsam sich vor der Ausrichtung eines Gewinnspiels datenschutzrechtlich beraten zu lassen.

Datenschutzdokumentation – Das Verzeichnis der Verarbeitungstätigkeiten

By | Allgemein | No Comments

Entsprechend Artikel 30 der europäischen Datenschutzgrundverordnung (DSGVO) fordert die Europäische Kommission (fast) jeden dazu auf, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, der Daten erhebt. Vor der Einführung der DSGVO wurde dieses Verzeichnis noch als Verfahrensverzeichnis bezeichnet und enthielt einige Vorschriften, die weggefallen sind.

Was ist neu im Verzeichnis für Verarbeitungstätigkeiten?

Eine große Neuerung ist, dass kein öffentliches Verzeichnis mehr geführt werden muss. Während früher das Verfahrensverzeichnis auf Antrag vorgelegt werden musste, ist das neue Verzeichnis nur noch intern. Dieses interne Verzeichnis muss sowohl die für die Datenverarbeitung Verantwortlichen als auch die jeweiligen Auftragsverarbeitenden führen. Im Sinne der DSGVO sind Auftragsverarbeitenden entweder natürliche oder juristische Personen, Behörden, Istitutionen usw., die personenbezogen Daten im Auftrag eines anderen Verantwortlichen verarbeiten.

Ausgenommen von dieser Pflicht sind Unternehmen oder Institutionen, die weniger als 250 Mitarbeiter beschäftigen – außer die Verarbeitung von personenbezogenen Daten in diesem Unternehmen birgt

„ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien“ (DSGVO Art. 30, Abs. 5).

Was muss das Verzeichnis von Verarbeitungstätigkeiten beinhalten?

Der Inhalt des Verzeichnisses unterscheidet sich in Teilen je nachdem, ob es vom Verantwortlichen oder einem Auftragsverarbeitenden geführt wird.

Das Verzeichnis eines Verantwortlichen muss den Namen und die Adressdaten des Verantwortlichen, seines Vertreters und ggf. eines Datenschutzbeauftragten (DSB) enthalten. Außerdem müssen die Kategorien der betreffenden Personen und die ihrer personenbezogenen Daten, der Zweck der Datenverarbeitung, sowie die Kategorien der Empfänger notiert werden.

Wenn personenbezogene Daten an ein Drittland übermittelt wurden, oder werden, das nicht in im Geltungsbereich der DSGVO liegt, so muss dies unter Garantieren für die Einhaltung der datenschutzrechtlichen Bestimmungen erfolgen.

Soweit möglich sollten auch Fristen für die Löschung von Daten und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen der Datenverarbeitung im Verzeichnis hinterlegt werden.

Das Verzeichnis von Auftragsverarbeitenden ist weniger umfangreich. Hier müssen selbstredend die Namen und Kontaktdaten der Auftragsverarbeitenden und des Verantwortlichen, bzw. seines Vertreters und des DSB, die Kategorien, die im Auftrag bearbeitet werden, die Bestimmungen hinsichtlich des Umgangs mit Daten, die an ein Drittland übermittelt werden und wenn möglich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

Das Verzeichnis für Verarbeitungstätigkeiten ist eine Arbeitsunterstützung

Nicht nur ist das Verzeichnis für Verarbeitungstätigkeiten eine Rechtspflicht für Unternehmen und Institutionen, sondern ist – sofern es richtig geführt wird – eine deutliche Hilfe bei der alltäglichen Datenverarbeitung. Spätestens bei einer Kontrolle durch die Datenschutzaufsicht ist ein sorgfältig geführtes Verzeichnis eine große Hilfe, um die Übersicht über die gesammelten Daten und ihre Verwendung zu behalten.

Auch für die interne Datenschutzkontrolle ist das Verzeichnis eine große Hilfe. Denn eine Verarbeitungsübersicht gibt insbesondere darüber Auskunft, welche personenbezogenen Daten, unter welcher Verwendung automatisierter Verfahren, auf welche Weise verarbeitet worden sind und welche Datenschutzmaßnahmen die Prozesse schützen.

Das Verzeichnis hilft auch dabei, tatsächlich die Rechte der Betroffenen zu erfüllen, etwa wenn diese Auskunft über ihre personenbezogenen Daten fordern – nur mit einem Verzeichnis können Unternehmen und Institutionen die Übersicht über gesammelte Daten behalten.

Wie wird ein Verzeichnis zur Verarbeitungstätigkeiten erstellt?

Im ersten Schritt erfordert die Erstellung eines Verzeichnisses zur Verarbeitungstätigkeit einen gewissen Aufwand. Denn um ein brauchbares Verzeichnis anzulegen, muss erst eine Übersicht über die bisher gesammelten Daten, ihre Kategorien, ihre Zwecke und die jeweiligen Verantwortlichen gewonnen werden.

In einem zweiten Schritt gilt, eine Liste mit allen Verfahren und den Programmen zu erstellen, die die personenbezogenen Daten verarbeiten und festzuhalten, wozu diese dienen – denn jetzt müssen die Fachverfahren, Softwareanwendungen und Datenverarbeitungszwecke miteinander verknüpft werden. Nur so kann nachgehalten werden, wie die sensiblen Daten verarbeitet werden.

Anschließend können die Personen- und Datenkategorien definiert, die jeweiligen Datenempfänger festgestellt, Löschfristen festgelegt und Datenübermittlungen an Drittländer überprüft werden.

Das Verzeichnis hilft nur bei fortlaufender Pflege

Damit das Verzeichnis tatsächlich die Arbeit erleichtern kann und im Falle eines Datenschutzverstoßes den Anforderungen der Datenschutzbehörde genügen kann, muss es regelmäßig gepflegt werden.

Hier sind die Verantwortlichen in der Pflicht, auf die kontinuierliche Pflege des Verzeichnisses zur Verarbeitungstätigkeit zu achten. Es ist ebenso wenig im Interesse des Unternehmens, wie des Gesetzgebers, ein unvollständiges Verzeichnis über die Daten zu haben.

Genauso wie das Qualitätsmanagement oder die Buchhaltung in einem Unternehmen nur bei fortlaufender Pflege Sinn machen, gilt dies genauso für das Verzeichnis für Verfahrenstätigkeiten.

Daten schreddern: So werden Dateien wirklich gelöscht

By | Allgemein | No Comments

Wenn Daten tatsächlich gelöscht werden sollen, reicht die normale Löschen-Funktion nicht aus. Dann können die „gelöschten“ Dateien unkompliziert wiederhergestellt werden. Um sie tatsächlich löschen, müssen die Daten überschrieben werden, was auch schreddern genannt wird. Hierfür gibt es spezielle Programme, die alles von einzelnen Dateien bis hin zu ganzen Festplatten unwiderruflich löschen können.

Vertrauliche Dokumente datenschutzkonform vernichten

Daten, die auch von technisch unerfahrenen Nutzern wiederhergestellt werden können, sind datenschutzrechtlich natürlich problematisch. Frei verfügbare Programme, die Urlaubsfotos wiederherstellen können, sind ebenso dafür geeignet Dokumente mit personenbezogenen Informationen wiederherzustellen.

Eine Festplatte mit vertraulichen Dokumenten wie Bankinformationen, Sozialversicherungsnummern, medizinische Daten oder auch eine elektronische Unterschrift, sollte sorgfältig geleert werden, bevor sie weiterverwendet oder gar verkauft wird. Diese Daten sind nicht nur viel Geld wert – sie können den betreffenden Personen auch schaden. Es reicht definitiv nicht aus, diese Informationen nur zu löschen, die Daten müssen mit einem speziellen Programm geschreddert werden, um sicherzustellen, dass sie auch tatsächlich nicht illegal weiter verarbeitet werden können.

So werden Daten zuverlässig vernichtet

Die normale „Löschen“ Funktion bei Windows Betriebssysteme löscht die Informationen nicht tatsächlich. Stattdessen entfernt die Funktion lediglich den Verweis auf den Speicherort. Da auf der Festplatte aber die Information noch erhalten ist, kann sie leicht wieder abgerufen werden und der Verweis auf den Speicherort wiederhergestellt werden. Damit die Informationen tatsächlich gelöscht werden, muss nicht nur der Verweis gelöscht werden, sondern auch die Information überschrieben werden. Wenn auf dem physischen Ort der Festplatte neue Informationen hinterlegt werden, können die alten nicht mehr abgerufen werden. Dann ist eine Wiederherstellung unmöglich.

Es gibt drei Möglichkeiten um Daten sicher zu entfernen: Einzelne Dateien schreddern, eine ganze Festplatte schreddern oder freien Speicherplatz schreddern – zum Beispiel um gelöschte Daten im Nachhinein sicher zu löschen.

Einzelne Daten schreddern

Dateien sicher nachhaltig zu löschen ist nicht schwer und auch für Nutzer ohne technische Erfahrung einfach umzusetzen. Alles was es dafür braucht ist ein Freeware Programm wie der OW Shredder, der die Speicherorte der zu löschenden Datei beliebig oft überschreiben kann.

Nach der Installation der Freeware – es gibt tatsächlich viele Alternativen, die auch gut funktionieren – bietet die Oberfläche des Programms die Möglichkeit die zu löschenden Dateien auszuwählen. Außerdem bietet das Menü die Option, wie oft der Speicherort überschrieben werden soll. Dabei gilt, je öfter er mit neuen Informationen überschrieben wurde, desto weniger der ursprünglichen Dateien bleiben erhalten. Der Schredder löscht die Daten und überschreibt den Speicherplatz mit Zufallszahlen.

Eine ganze Festplatte schreddern

Um alle Informationen zuverlässig zu löschen, muss der Datenträger nicht physisch vernichtet werden. Auch hierfür eignen sich Freewareprogramme. Anstatt einzelne Daten auszuwählen, muss hier nur die ganze Festplatte oder eine einzelne Partition ausgewählt werden. Mit einem Klick wird dann der Lösch- und Überschreibungsprozess gestartet.

Sonderfälle: Systempartitionen, Flash und SSD

Mit der oben beschrieben Variante lassen sich Systempartitionen nicht löschen. Systempartitionen sind die Bereiche einer Festplatte, auf der sich das Betriebssystem (zum Beispiel Windows oder Linux) befindet. Wenn der Computer verkauft oder entsorgt werden soll, ist es aber ratsam, auch diese zu schreddern.

Hierfür muss der Computer entweder mit einem Live-System gestartet werden oder mit einem Datenschredder, der das System selbst booten kann.

Bei einem Live-System befindet sich das Betriebssystem, mit dem der Computer gestartet wird, nicht auf der Festplatte, sondern auf einem USB-Stick oder einer DVD. Weil jetzt das Betriebssystem auf der Festplatte nicht mehr benötigt wird, kann die ganze Festplatte des Computers geschreddert werden.

Die andere Möglichkeit ist die Verwendung eines Boot-fähigen Datenschredders wie DBAN – oder Darik’s Boot and Nuke – einem kleinen Programm auf Linux-Basis, dessen einziger Zweck es ist, alle Daten auf einer Festplatte unwiderruflich zu löschen.

Flash und SSD

Flash-Drives und SSD-Festplatte arbeiten mit einem anderen System als herkömmliche Festplatten. Anstatt an bestimmten, physischen Orten Daten zu speichern, legen sie Daten gleichmäßig über den gesamten Speicherplatz verteilt in sogenannten Speicherzellen ab. Daher ist es nicht nachvollziehbar, an welchem Ort eine Information abgespeichert ist. Daher muss immer der gesamte Datenträger überschrieben werden, wenn Datei sicher gelöscht werden soll.