Kategorie: Datenschutz

Laut einer Mitteilung der österreichischen Studentengruppe „Europe-v-Facebook“ möchte diese gegen den Facebook-Prüfbericht von der irischen Datenschutzbehörde gerichtlich vorgehen. In der Mitteilung heißt es, dass dieses Verfahren zu einem der größten Musterverfahren im Datenschutz werden könnte. Außerdem hätte es gute Chancen bis zum Europäischen Gerichtshof zu laufen.

Seit langer Zeit drängt die Gruppe auf einen verbesserten Datenschutz bei Facebook und hat diverse Anzeigen gegen Facebook eingebracht.

Die europäische Tochter von Facebook hat ihren Sitz in Irland. Seit dem Eingang der Anzeigen kümmert sich die irische Datenschutzbehörde.

Facebook habe zwar mittlerweile auf ein paar Kritikpunkte reagiert, indem z.B. die Gesichtserkennung abgeschaltet wurde und die Datenschutzrichtlinie geändert wurde, dies ist aber für die Studentengruppe bei weitem nicht genug. Sie glauben, dass ihre Anzeigen bei den Behörden nicht ausreichend bei der Prüfung berücksichtigt werden und dass die Iren „massiv vom gemeinsamen Rechtsverständnis der Europäischen Union“ abweichen würden.

Thilo Weichert, der schleswig-holsteinische Datenschützer, hat den Bericht bereits im September als nicht ausreichend kritisiert. Wichtige Fragen, wie die Verarbeitung von Cookie- und Social-Plugin-Daten, werden nicht beantwortet und es gebe keine rechtliche Prüfung der Datenverarbeitung.

Eine rechtskonforme Lösung der Behörde scheint nicht absehbar. Deshalb bereitet sich die Gruppe nach ihren Angaben nun auf ein Gerichtsverfahren gegen die irische Datenschutzbehörde vor. Nach Einschätzung der Studentengruppe benötigen sie hierfür allerdings 100.000 bis 300.000 Euro.

Man versucht nun, diesen Betrag unter anderem über die Spendenplattform „Gemeinsam für ernsthaften Datenschutz“, (https://www.crowd4privacy.org/) im Internet zu sammeln.

Das BSI hat die neue Broschüre „Überblick IT-Grundschutz“ vorgestellt, die hier heruntergeladen werden kann.

Die Broschüre richtet sich an Entscheider, die mit dem Thema Informationssicherheit in ihrem Unternehmen konfrontiert sind und zeigt auf, warum Informationssicherheit notwendig ist, wie sie organisiert werden kann und wie mit Hilfe des BSI IT-Grundschutzes eine Unterstützung bei Umsetzung der Informationssicherheit erfolgen kann.

Die Eintragung in die sogenannte Robinsonliste hatten wir als Möglichkeit dargestellt, sich gegen ungebetene Werbung schützen zu können. Durch den Eintrag soll im Idealfall eine „Isolation“ von Werbemaßnahmen möglich sein wie bei dem Held des Buches „Robinson Crusoe“. Allerdings ist zur Zeit ein derart vollständiger Schutz gegen Werbung noch nicht möglich. Die Befolgung der Liste ist freiwillig. Immerhin aber hat eine wachsende Anzahl von Unternehmen erkannt, dass es auch für sie von Interesse sein kann, sich an die Liste zu halten, etwa um kostenpflichtige Abmahnungen zu verhindern. Leider jedoch ist die Eintragung bislang nur folgenden Gruppen erlaubt: privaten Verbrauchern, Kleingewerbetreibenden, Freiberuflern und Selbständigen. Kleine und mittelständische Unternehmen fallen daher bereits nicht mehr unter die möglichen Nutzer.

Das Kopieren von Personalausweisen hatten wir bereits in unserem Infobrief als Datenschutzproblem dargestellt. Bereits die Kenntnis persönlicher Kerndaten kann von Datendieben missbraucht werden. Dazu gehört auch die Personalausweisnummer. Hier besteht die besondere Gefahr des so genannten Identitätsdiebstahls. Durch Kenntnis u.a. der Personalausweisnummer sind Fälschungen von Dokumenten und falsche Angaben gegenüber Behörden und Institutionen möglich, die ernsthafte persönliche und finanzielle Konsequenzen nach sich ziehen können.

So ist denkbar, dass Straftaten begangen und in diesem Zusammenhang die falsche Identität des Opfers des Datendiebstahls angenommen wird. Dies kann zur Folge haben, dass Einträge im Bundeszentralregister (dem zentralen Strafregister der Bundesrepublik Deutschland) zulasten des Opfers erfolgen und im schlimmsten Fall eine Verhaftung oder Strafe. Weiterhin ist möglich, dass ein Kreditkartenkonto auf den Namen des Opfers eröffnet und dann mit der fremden Identität eingekauft wird. Ggf. werden unter der falschen Identität sogar weitere offizielle Dokumente wie Führerschein oder Reisepass beantragt, die dann zusätzlich noch eine gesteigerte Glaubhaftigkeit für sich haben. Mittels eines gefälschten Führerscheins kann der Täter dann die Folgen von Straßenverkehrsdelikten – von Einträgen im Verkehrszentralregister bis hin zu Bußgeldern, Strafen und Haftbefehlen – auf das Opfer des Identitätsbetruges „abwälzen“.

Diesen Gefahren ist durch entsprechende Vorsicht bei der Weitergabe von Daten wie der Personalausweisnummer entgegenzuwirken. Kommt es zum Ernstfall, so sind unverzüglich Behörden und Kreditinstitute zu informieren und Einträge bei Kreditauskunfteien vornehmen zu lassen.

Häufig wird die Frage gestellt, ob auch ein Wirtschaftsprüfer eine Vertragsanlage zur Auftragsdatenverarbeitung hinsichtlich § 11 BDSG unterzeichnen muss.

Bei dieser Frage hat der Landesdatenschutzbeauftragte des Landes Sachsen-Anhalt die Meinung vertreten, dass eine Auftragsdatenverarbeitung nur dann vorläge, wenn die beauftragte Stelle den strikten Anweisungen des Auftraggebers im Hinblick auf ihren Auftrag unterliegen würde.
Regelmäßig sei dies bei einem Wirtschaftsprüfer nicht der Fall. Wirtschaftsprüfer entscheiden in der Regel selbst über die Art und Weise der Prüfung und sind nicht an Weisungen des Auftraggebers gebunden.

Daher sei ausgeschlossen, dass Wirtschaftsprüfung als Auftragsdatenverarbeitung anzusehen sei.

Wenn Wirtschaftsprüfer also (ihrer Aufgabe entsprechend) zur Erfüllung ihres Auftrages selbständige fachlich intellektuelle Leistungen  erbringen und nicht nur Daten in ihrem Rechner verarbeiten, gilt für die Datenweitergabe § 28 BDSG. Aus diesem Grunde ist § 11 BDSG hier nicht anzuwenden.

Mitte Oktober 2012 trieb Facebook den Datenschützern einmal mehr die Schweißtropfen auf die Stirn. Um das eigene Konto zusätzlich zu sichern, konnten die Nutzer ihre Handynummer eingeben. Diese wurde von Facebook – und zwar ohne die Einverständniserklärung der Nutzer – zur Rückwärtssuche freigegeben. Das bedeutet, wer nach der Nummer suchte, erhielt Name, Geschlecht und Profilbild.

Wenige Tage später hat ein Unbekannter, der unter dem Namen Suriya Prakas auftrat, eine Liste mit mehr als 850 Namen und Telefonnummern veröffentlicht. Mit Hilfe von einem einfachen Script erzeugte er Zufallstelefonnummern und fragte über Facebook ab, ob es ein dazugehöriges Profil gäbe. Wenn das Script fündig wurde, speicherte es die dazugehörigen bei Facebook registrierten Namen und Nummern ab.

Bemerkenswerterweise wurde Suriya Prakas beim Abruf der massenhaften Datensätze (zehntausend Datensätze in einem Durchlauf) über die mobile Version von Facebook nicht blockiert. Erst als eine E-Mail mit einem Hinweis auf ein Sicherheitsproblem eintraf, wurde nach einigen Tagen der Massenzugriff gestoppt.

Facebook hat die Darstellung des Unbekannten nicht bestritten. Ein Sprecher bemerkte, dass eine Zugriffssperre bei zu vielen Datenabrufen greifen würde und dass man die Obergrenze nach den Enthüllungen reduziert hätte.

Datenschutz und IT-Sicherheit haben gemeinsame Schnittstellen. Zur Information sei hier auf die Veröffentlichung des BSI vom 16.10.2012 zur sicheren PC-Nutzung hingewiesen, einzusehen unter https://www.allianz-fuer-cybersicherheit.de/ACS/DE/Home/Wegweiser/kleinstUnternehmen_node.html.

Neuerliche Datenpannen veranlassen uns, auf die Dringlichkeit der Sicherstellung der laut Bundesdatenschutzgesetz BDSG erforderlichen technischen und organisatorischen Maßnahmen (häufig als TOM bezeichnet) hinzuweisen.

Wenn es zu einer Datenpanne gekommen ist – unabhängig von der Ausprägung – sollten Sie Ihren Datenschutzbeauftragten sofort informieren, damit er zusammen mit dem Unternehmen den Sachverhalt einschätzen und Maßnahmen ergreifen kann.

Ab dem 1. September 2012 gelten auch für die Nutzung von Alt-Adressbeständen die Neuregelungen der BDSG-Novelle II. Unternehmen, die noch vor dem 1. September 2009 erhobene Daten verwenden, sollten ihre Datenbestände entsprechend überprüfen.

Sollten Sie Ihre Kundendatei bis zum 1. September 2012 nicht “sauber” gehabt haben, laufen Sie Gefahr Ihre Daten löschen zu müssen.

Es besteht das Risiko, von den Aufsichtsbehörden ein Bußgeld zu bekommen oder wegen Wettbewerbsverstößen belangt zu werden.

Der Gesetzgeber hat im Rahmen der Novellierung des BDSG auch die Nutzung von personenbezogenen Daten für eigene Geschäftszwecke (wie z.B. Werbung) in § 28 BDSG neu geregelt und strengere Auflagen als bisher festgesetzt.

In § 28 Abs. 3 ff. BDSG werden die Voraussetzungen festgelegt, welche zur Verwendung der Adressen für Werbezwecke erfüllt sein müssen:

• Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke der Werbung ist zulässig, soweit der Betroffene (z.B. Kunde) eingewilligt hat. (§ 28 Abs. 3 BDSG) (Datenschutzerklärung)

• Sofern keine schriftliche Einwilligung vorliegt, hat die verantwortliche Stelle (Sie als Unternehmer) dem Betroffenen (z.B. Kunden) den Inhalt der Einwilligung schriftlich zu bestätigen. (§ 28 Abs. 3a BDSG)

• Wurde die Einwilligung elektronisch abgegeben, muss diese protokolliert und jederzeit abrufbar sein. (§ 28 Abs. 3a BDSG)

• Außerdem muss der Betroffene (z.B. Kunde) die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können. (§ 28 Abs. 3a BDSG)

Wenn ein Kunde seine Datenschutzerklärung widerruft, ist die verantwortliche Stelle aufgefordert, die Daten zu löschen.

Was ist also nun zu tun?

Wenn Sie feststellen, dass die Einwilligung fehlt bzw. nicht belegbar ist, sollten alleine schon zur Minimierung Ihres Risikos bei der Verwendung von Kundendaten ab dem 1. September 2012 alle Datensätze gelöscht oder zumindest gesperrt werden, wenn sie nicht auf Grundlage eines der hier genannten Verfahren verifiziert wurden.

Beachten Sie hierbei auch unbedingt alle bei Ihnen bisher eingegangenen Widerrufsforderungen.

Sollten Sie einen Betroffenen trotz dessen Widerruf zur Nutzung seiner Daten für Werbezwecke “versehentlich” anschreiben, kann sich dieser mit der unrechtmäßigen Verwendung seiner Daten an die Aufsichtsbehörden wenden.

Diese wären dann zur Prüfung verpflichtet und könnten dabei noch weitere Fälle bei Ihnen entdecken. Die Aufsichtsbehörden können im günstigsten Fall die Löschung der Daten fordern oder aber Bußgelder in Höhe von 50.000 EUR und mehr verhängen.

Betrüger verschicken zurzeit gefälschte Mails und bieten den E-Mail-Empfängern eine „neue Goldcard“ an. Die Nutzer werden aufgefordert, Ihre Zugangsdaten einzugeben, um von den vermeintlichen Neuerungen der Goldcard profitieren zu können. Die Betrüger benutzen dabei unterschiedliche Betreffzeilen unter dem Absender „DHL Packstation
info[at]dhl.de“.

Sollten Sie eine solche E-Mail erhalten, öffnen Sie diese bitte nicht und geben bitte auch keine Zugangsdaten ein.

Zum einen besteht die Gefahr, beim Öffnen der E-Mail und  anschließendem Klick auf Links innerhalb der E-Mail auf virenseuchte Internet-Seiten zu gelangen.

Zum anderen droht dem Inhaber des Packstation-Zugangs Missbrauch seiner Zugangsdaten: Bestellung von teuren Waren oder illegalen Sendungen in seinem Namen.