Fitbit: Achtung bei unberechtigter Datenweitergabe

Aktuell häufen sich Beschwerden gegen den Fitness-Smartwatch-Anbieter Fitbit. Denn dieser soll personenbezogene Daten ohne eine wirkliche vorliegende Einwilligung an Drittstaaten weitergegeben haben.

Besonders problematisch: es handelt sich hierbei auch noch um besondere Kategorien von personenbezogenen Daten im Sinne des Art. 9 DSGVO – nämlich Gesundheitsdaten wie Puls, Kalorienanzahl, Daten über den Schlaf, das Essverhalten oder den weiblichen Zyklus der Nutzer.

Und genau diese werden weitergegeben an Länder, in denen kein vergleichbares Datenschutzniveau besteht. Dies geschieht – entgegen den Anforderungen der Einwilligung – nicht freiwillig sondern gewissermaßen unter Zwang, was der Vorschrift der DSGVO zuwider läuft. Der Nutzer wird nicht darüber informiert welche der Daten in welche Länder abfließen bzw. weitergegeben werden.

Auch kann diese erzwungene Einwilligung nicht einfach und frei widerrufen werden, wie es die DSGVO in Artikel 7 fordert. Wenn der Nutzer nicht möchte, dass die Daten weitergegeben werden, muss er sein Konto löschen. Was die Nutzung der Uhr oder den dahinterstehenden Sinn und Zweck wiederum quasi nutzlos macht.

In diesem Fall sind die Datenschutzbehörden der jeweiligen Länder der Beschwerdeführer informiert worden.

Kommen diese zum selben Ergebnis, dann ist eine enorm hohe Geldstrafe gegen Fitbit sicher denkbar.

Deshalb sollte bei der Einwilligung unbedingt in jedem Fall darauf geachtet werden, dass die Anforderungen der Artikel 6 und 7 DSGVO eingehalten werden.

Data Privacy Framework

Am 10.07.2023 ist der Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten, der als Grundlage für Datenübermittlung an zertifizierte Organisationen in die USA dienen kann.

Damit soll die bisher kritisch begutachtete Datenübertragung nach den USA abgesichert werden.

Vorab aber dazu eine kurze Entstehungsgeschichte des EU‐US Data Privacy Framework um die Einordnung zu erleichtern.

Der Europäische Gerichtshof (EuGH) erklärte 2015 und 2020 in den sog. „Schrems I“‐ und „Schrems II“‐Urteilen zwei frühere Angemessenheitsbeschlüsse für zertifizierte Stellen in den USA („Safe Harbor“ sowie „Privacy Shield“) aufgrund unverhältnismäßiger Zugriffsbefugnisse der US‐Sicherheitsbehörden und unzureichender Rechtsschutzmöglichkeiten für betroffene Personen für ungültig.

Dies lag zu einem sehr großen Teil an den Offenlegungen, dass US‐Sicherheitsbehörden systematisch und massenhaft auf personenbezogene Daten von EU‐Bürgerinnen und EU‐Bürgern zugreifen. Damit wurden die Grundsätze der Besagten gravierend verletzen. Daraufhin erklärte der EuGH im Oktober 2015 in der sog. „Schrems I“‐Entscheidung den „Safe Harbor“‐Angemessenheitsbeschluss der Europäischen Kommission für ungültig.

Der nachfolgende Angemessenheitsbeschluss, der auf das sog. „Privacy Shield“ beruhte, wurde aus ähnlichen Gründen durch das Urteil des EuGH s am 16. Juli 2020 ebenfalls hinfällig.

I. Das Problem der Übermittlung an sog. unsichere Drittländer

Problematisch seit dem war, dass es sich auch beim Einräumen einer faktischen Zugriffsmöglichkeit aus dem Drittland (beispielsweise für administrative oder Supportzwecke) um eine Übermittlung nach Drittländern handeln kann. Die seitdem von US-Dienstleistern angeführten Server innerhalb der EU, auf denen die personenbezogenen Daten von EU-Bürgern  abgespeichert wurden, waren daher, genauso wie die vertragliche (nicht realistisch erfüllbare) Garantie, die Datenverarbeitung auf EU-Länder zu beschränken, datenschutzrechtlich gesehen, häufig irrelevant .

Als Lösung sollten die von der Europäischen Kommission verfassten Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer dienen.

Diese wurden allerdings auch von vielen als nicht ausreichend bewertet, aus Gründen, die bereits anderorts in erheblicher Breite und Tiefe diskutiert wurden und deswegen hier nicht wiederholt werden sollen.

Dieses Problem soll aber nun mit dem EU‐US Data Privacy Framework abgeschafft worden sein.

Wichtig zu merken ist, dass der Angemessenheitsbeschluss zum EU‐US DPF lediglich sektoral ist. Dies bedeutet, er erfasst nur Datenübermittlungen an teilnehmende US‐Organisationen. Hier handelt es sich eben nicht um einen umfassenden Angemessenheitsbeschluss für die gesamten USA.

Datenexporteure müssen daher prüfen, ob ihre geplanten Datenübermittlungen in den Anwendungsbereich des Beschlusses fallen und damit auf Grundlage dieses Übermittlungsinstrumentes vorgenommen werden können.

II. Wer kann sich zertifizieren lassen? Wie wird zertifiziert?

Eine Selbstzertifizierung unter dem EU‐US DPF ist jeder US‐Organisationen, die der Aufsicht der Federal Trade Commission (FTC, eine US‐Bundesbehörde, die für Wettbewerbskontrolle sowie Verbraucherschutz zuständig ist) oder des US Department of Transportation (DOT, US‐Verkehrsministerium) unterliegen, möglich.
Zukünftig können gegebenenfalls weitere Zuständigkeiten hinzukommen.
Bislang steht eine Zertifizierung jedoch nur Unternehmen offen, welche einer der genannten aufsichtsbehördlichen Zuständigkeiten unterliegen.

Für die Aufnahme der Zertifizierung in die Liste des US‐Handelsministeriums (US Department of Commerce, DOC) bestehen bestimmte Voraussetzungen.
Dem Handelsministerium müssen unter anderem bestimmte 25 Informationen übermittelt werden:
• den Namen der betreffenden US‐Organisation (US‐Unternehmen oder US‐Tochtergesellschaften),
• den Zweck, zu dem die Organisation personenbezogene Daten verarbeiten wird,
• die Kategorie der personenbezogenen Daten, die von der Zertifizierung erfasst werden,
• die gewählte Überprüfungsmethode,
• den einschlägigen unabhängigen Regressmechanismus und
• die für die Durchsetzung der Grundsätze zuständigen gesetzlichen Stelle.

Werden sämtliche Anforderungen nach Überprüfung durch das Handelsministerium erfüllt, erklären die jeweiligen US‐Organisationen öffentlich, dass sie sich zur Einhaltung der Vorgaben des EU‐US DPF verpflichten, ihre Datenschutzrichtlinien zur Verfügung zu stellen und diese vollständig umsetzen.

Zur Überprüfung wird eine „Data Privacy Framework List“ veröffentlicht, welche diejenigen US‐Organisationen auflistet, die ihre Selbstzertifizierung unter dem EU‐US DPF abgeschlossen haben.

Nur Übermittlungen an dort aufgelistete US‐Organisationen können auf den EU‐US DPF gestützt werden. Es sollte also vor dem Eingehen eines jeweiligen Vertragsverhältnisses eine Überprüfung erfolgen, ob die jeweilige US-Organisation eine entsprechend gültige Zertifizierung besitzt.

Auf Grundlage des EU‐US DPF, können personenbezogene Daten ab dem Zeitpunkt, zu welchem die Organisation auf der entsprechenden Liste aufgezeigt wird, übermittelt werden.

Zum Erhalt der Zertifizierung erfolgt eine jährliche „Neu‐Zertifizierung“ mit Verpflichtungserklärungen gegenüber dem Handelsministerium und einer erneuten Prüfung durch dieses.

Die FTC, deren Zuständigkeit in 15 U.S.C. § 45 geregelt ist, weist auf Bereiche hin, in welchen sie keine bzw. nur eingeschränkte Zuständigkeiten hat.

Sollte der Datenexporteur daher Übermittlungen in diesen Bereichen planen, kann dies evtl. nicht auf Grundlage des Angemessenheitsbeschlusses zum EU/US DPF erfolgen. Betroffen sind insbesondere die Betreiber öffentlicher Telekommunikationsnetze, das Versicherungsgewerbe und der Bankensektor. Hier muss der Datenexporteur genau prüfen, ob der Datenimporteur auf der EU/US/DPF /Liste gelistet wurde.

III.  Welche Übermittlungen sind erfasst?

Auf Grundlage des EU‐US DPF können nahezu alle Übermittlungen personenbezogener Daten aus der EU sowie dem EWR an US‐Organisationen, die aufgrund ihrer Zertifizierung zum EU‐US DPF in der EU‐US‐DPF‐Liste gelistet sind, erfolgen.

Allerdings sind keine Datenübermittlungen von Stellen außerhalb der EU (EWR), welche der DS‐GVO gem. Art. 3 Abs. 2 DS‐GVO unterfallen, an Organisationen in den USA, welche in der EU‐US‐DPF‐Liste, aufgelistet sind, vom Angemessenheitsbeschluss umfasst. Zudem gilt eine „journalistische Ausnahme“ für Daten im Zusammenhang mit journalistischer Aktivität und Medienarchiven. Diese Daten können nicht auf Grundlage des EU‐US DPF übermittelt werden.

Bei Beschäftigtendaten, welche im Beschäftigungskontext übermittelt werden, muss vorher geprüft werden, ob die Zertifizierung sich tatsächlich auch auf diese spezielle Datenart bezieht, da die Zertifizierung diese, nach unserer Ansicht, nicht zwingend erfasst.

Bußgeld für Datenpanne von Schwedischem Versicherungsunternehmen

Das schwedische Versicherungsunternehmen Trygg Hansa Försäkring wurde kürzlich im Rahmen einer Datenpanne von der schwedischen Datenschutzbehörde durchleuchtet.

Im Rahmen der Untersuchungen wurde eine technische Schwachstelle entdeckt, die zwischen 2018 und 2021 durch eine Anpassung einer URL-Adresse den Zugriff auf Dokumente von Versicherungsnehmenden ermöglichte.
Etwa 650.000 personenbezogene Daten von Kunden (über Gesundheit, Versicherung und finanzielle Situation) wurden dadurch einsehbar.

Für dieses Versäumnis wurden 35.000.000 Schwedische Kronen (= 2.945.632 Euro) verhängt.

Weitere Informationen finden Sie hier:
https://www.imy.se/contentassets/c3ee6b30e5084c598ff5545cd4912055/beslut-efter-tillsyn-enligt-dataskyddsforordningen—trygg-hansa-forsakring-filial.pdf

Finanzaufsicht Bafin von Hackern angegriffen

Die Bafin (Bundesanstalt für Finanzdienstleistungsaufsicht) wurde Opfer eines Hacker-Angriffs. Mittels einer DDoS-Attacke („Distributed Denial of Service“) sollten die Server der Bafin durch eine massive von Aufrufen überlastet werden.
Aufgrund der daraufhin eingeleiteten Abwehrmaßnahmen war die Webseite seit dem 1. September nur eingeschränkt erreichbar.

Hacken nahmen dieses und letztes Jahr bereits andere deutsche Unternehmen ins Visier, wie etwa diverse Flughäfen, welche dadurch keine Online-Services anbieten konnten. Bereits 2022 wurden diverse Ministerien, einschließlich des Verteidigungsministeriums, der Bundespolizei und des Bundesrates Opfer der russischen Hackergruppe „Killnet“.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/digital-tech/cyberkriminalitaet/138739-finanzaufsicht-bafin-hackern-angegriffen-rewe-prospekt-bundesnetzagentur-gas?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Bußgeld in Rumänien für Überwachungskameraaufnahme

Die rumänische Datenschutzbehörde verhängte ein Bußgeld in Höhe von 49.322 Rumänische Leu (= 9.989 Euro) für das Unternehmen BODY LINE SRL. Dies geschah nach der Beschwerde eines Betroffenen, der von Überwachungskameras aufgezeichnet wurde. Diese Aufnahmen wurden anschließend in einem sozialen Netzwerk veröffentlicht, wobei auch die ethnische Herkunft des Betroffenen offengelegt wurde.

Die Datenschutzbehörde stellte darüber hinaus fest, dass das Unternehmen die Sicherheit des Überwachungssystems und dessen Aufnahmen nicht angemessen gewährleistet wurden.

Weitere Informationen finden Sie hier:
https://www.dataprotection.ro/?page=Comunicat_Presa_23.08.2023&lang=ro

Sprachlern-App Duolingo wurde Opfer eines Cyberangriffs

Anfang des Jahres wurde Duolingo, eine App zum Lernen von Fremdsprachen, gehackt. Dabei wurden Daten (Namen, Nutzernamen, E-Mail-Adressen und Sprachkenntnisse) von etwa 2,6 Millionen Nutzern abgegriffen. Zunächst wurden die Daten für 1.500 Dollar zum Verkauf angeboten und erschienen später in einem öffentlichen Hacker-Forum.
Duolingo räumte im Januar den Cyberangriff ein – die Schwachstelle, die den Hack ermöglichte, ist laut Sicherheitsexperten allerdings immer noch offen.

Cyberangriffe sind nach wie vor ein wichtiges Thema, das jedes Unternehmen betreffen kann. Denn selbst wenn die entwendeten Daten nicht zu unmittelbarem Schaden führen, können Namen und E-Mail-Adressen immer als Basis für Phishing-Angriffe dienen.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/digital-tech/cyberkriminalitaet/138681-duolingo-cyberangriffs-girokonten-entgelttransparenz?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Bußgeld für Hausvermieter wegen Überwachungskamera

Eine Beschwerde gab es in Spanien, nachdem ein Vermieter eine Überwachungskamera an der Fassade seines Hauses einrichtete, bei der die zugehörige Terrasse und das Schwimmbecken erfasst wurden. Beides wird gemeinschaftlich von den Mietern genutzt und die spanische Datenschutzbehörde sieht darin eine unrechtmäßige Überwachung und einen erheblichen Eingriff in die Privatsphäre der Mieter, einschließlich Minderjähriger.
Es kommen 5.000 Euro Bußgeld auf den Vermieter zu.

Weitere Informationen finden Sie hier:
https://www.aepd.es/es/documento/ps-00450-2022.pdf

Achtung vor gefälschter Abmahnung

Aktuell befindet sich eine angebliche Abmahnung wegen Filesharings im Umlauf, die den Anschein erweckt, von einem Rechtsanwalt Dr. Losert erstellt worden zu sein.

Dies entspricht jedoch nicht der Wahrheit.

Inhaltlich wird ein Betrag von 450,– € für eine angebliche Urheberrechtsverletzung durch Filesharing gefordert. Ebenso wird Druck ausgeübt, da behauptet wird, es sei bereits vorab eine fristgebundene Zahlungsaufforderung versendet worden, die durch den Empfänger nicht eingehalten worden sei.

Versendet wird das Schreiben aktuell per E-Mail, welche einen Link enthält. Der Empfänger wird aufgefordert auf diesen zu klicken, um so seine Identität zu bestätigen.

Der betroffene Anwalt Dr. Losert teilte jedoch mit, selbst Opfer von Cyberkriminalität geworden zu sein. Das Schreiben stammt nicht von ihm, da es sich in diesem Fall um Identitätsdiebstahl handelt. Auch die im Text angegebene Webadresse führt nicht zu der des Rechtsanwaltes. Daher ist allein deshalb Vorsicht geboten.

Denn daraus kann sich eine Gefahr für Ihre Daten ergeben! Diese zu schützen ist von großer Bedeutung.

Wir raten Ihnen daher dazu, die Links, die im Schreiben enthalten sind, nicht zu öffnen. Ebenso sollte der geforderte Betrag nicht gezahlt werden.

Sollten Sie das entsprechende Schreiben erhalten und unsicher sein, können Sie uns gerne per E-Mail an info{at)gindat.de kontaktieren:

Keine personalisierte Werbung mehr ohne Einwilligung

Nach langem Ringen über die Auslegung der Datenschutzgrundverordnung und zahlreichen schweren Geldstrafen will Meta nun nur noch nach Einwilligung die Daten von Facebook-, Instagram- und Whatsapp-Nutzern in Europa sammeln.

In der Vergangenheit wurde argumentiert, das Tracking der Nutzer sei notwendig, um der vertraglichen Verpflichtung nachkommen und die Plattform individuell zuschneiden zu können – was jedoch durch eine Beschwerde der Datenschutzorganisation noyb vor den Europäischen Gerichtshof ging.
Es folgte die Argumentation, dass es ein „begründetes Interesse“ an dem Sammeln von Nutzerdaten gebe und die Opt-Out-Option wurde unnötig in den Einstellungen versteckt. Auch hier urteilte der Europäische Gerichtshof zu Ungunsten von Meta.

Die neue Absicht von Meta, rechtskonform Nutzerdaten zu sammeln, wird von Max Schrems, Datenschützer und Gründer von noyb, kritisch betrachtet: „Wir werden sehen, ob Meta die Zustimmungspflicht tatsächlich die gesamte Nutzung personenbezogener Daten für Werbung anwenden wird. Bislang ist von ‚hoch personalisierter‘ oder ‚verhaltensorientierter‘ Werbung die Rede, und es ist unklar, was das bedeutet“.
Es bleibt also abzuwarten, bis Meta die neuen Änderungen Ende Oktober umsetzen will.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2023/meta-keine-personalisierte-werbung-mehr-ohne-einwilligung/

Meta: Personalisierte Werbung in Norwegen verboten

Datatilsynet, die Datenschutzbehörde Norwegens, hat in einem Dringlichkeitsverfahren entschieden, dass der Facebook-Mutterkonzern Meta für 3 Monate keine personalisierte Werbung mehr schalten darf.

Dass Meta wenig Wert auf den Datenschutz von einzelnen legt, ist natürlich keine neue Erkenntnis. Bereits der EuGH hat entschieden, dass Metas Praxis, ein Gesamtprofil von Einzelpersonen aus den zusammengeführten Daten von Instagram, WhatsApp und Facebook zu erstellen, mit der DSGVO nicht vereinbar ist.

Die norwegische Datenschutzbehörde sieht in dieser Datensammelei auch eine Einschränkung der Meinungsfreiheit, da durch Metas personalisierte Werbung Stereotypen verstärkt und bestimmte Gruppen diskriminiert würden.
Meta erklärte, die Anordnung zu prüfen und ggf. dagegen vorzugehen.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/aktuelle-urteile/138495-meta-personalisierte-werbung-in-norwegen-verboten?utm_source=newsletter&utm_medium=email&utm_campaign=ohn