Der Begriff Datenschutz bezieht sich auf die Gesamtheit der Gesetze, Vorschriften und Richtlinien, die die Erhebung, Speicherung, Verwendung und Verbreitung personenbezogener Daten regeln. Das Ziel des Datenschutzes ist es, die Privatsphäre und die Sicherheit des Einzelnen zu schützen und ihm die Kontrolle über seine persönlichen Daten zu geben.
In vielen Ländern wird der Datenschutz durch spezielle Gesetze und Verordnungen geregelt, wie z. B. die Allgemeine Datenschutzverordnung (GDPR) in der Europäischen Union und der California Consumer Privacy Act (CCPA) in Kalifornien. In diesen Gesetzen sind in der Regel bestimmte Rechte für Einzelpersonen in Bezug auf ihre personenbezogenen Daten festgelegt, z. B. das Recht auf Zugang, Berichtigung und Löschung ihrer personenbezogenen Daten.
Zum Datenschutz gehört auch die Umsetzung technischer und organisatorischer Maßnahmen, um personenbezogene Daten vor unbefugtem Zugriff, Veränderung, Weitergabe oder Zerstörung zu schützen. Dazu können Maßnahmen wie Verschlüsselung, Firewalls und Zugangskontrollen gehören.
Darüber hinaus sind Organisationen verpflichtet, einen Datenschutzbeauftragten (DSB) zu ernennen, der die Einhaltung der Verordnung sicherstellt und die Organisation und ihre Mitarbeiter bei der Einhaltung der Datenschutzgrundsätze unterstützt, Datenschutz-Folgenabschätzungen durchführt und als Ansprechpartner für betroffene Personen und Aufsichtsbehörden fungiert.
Insgesamt ist der Datenschutz ein komplexes und sich ständig weiterentwickelndes Gebiet, und Organisationen müssen über die neuesten Gesetze und Vorschriften sowie über bewährte Verfahren zum Schutz personenbezogener Daten informiert bleiben.
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegen ein Kreditinstitut eine Geldbuße in Höhe von 900.000 Euro festgesetzt. Der Bußgeldbescheid ist noch nicht rechtskräftig.
Das Unternehmen hatte Daten aktiver sowie ehemaliger Kundinnen und Kunden ohne deren Einwilligung ausgewertet. Dazu analysierte es das digitale Nutzungsverhalten und wertete unter anderem das Gesamtvolumen von Einkäufen in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern sowie die Gesamthöhe von Überweisungen im Online-Banking im Vergleich zur Nutzung des Filialangebots aus. Hierzu bediente es sich eines Dienstleisters. Ergänzend wurden die Ergebnisse der Analyse mit einer Wirtschaftsauskunftei abgeglichen und von dort angereichert. Ziel war es, Kundinnen und Kunden mit einer erhöhten Neigung für digitale Medien zu identifizieren und diese adressatengerecht für vertragsrelevante oder werbliche Zwecke verstärkt auf elektronischen Kommunikationswegen anzusprechen. Den meisten Kundinnen und Kunden wurden zwar vorab zusammen mit anderen Unterlagen Informationen zugeschickt. Diese ersetzten die notwendigen Einwilligungen allerdings nicht.
Dem Unternehmen wird vorgeworfen, dass die vorgenommene Auswertung nicht mit Artikel 6 Absatz 1 Buchstabe f der Datenschutz-Grundverordnung (DS-GVO) vereinbar war. Danach kann ein Verantwortlicher personenbezogene Daten auf Grundlage einer Interessenabwägung verarbeiten. Die Interessen der betroffenen Person dürfen dabei nicht überwiegen. Bei der Festsetzung der Geldbuße wurde berücksichtigt, dass das Unternehmen die Ergebnisse seiner Auswertungen nicht weiterverwendet hatte. Zudem hat sich das Unternehmen im gesamten Verfahren kooperativ gezeigt.
Häufung ähnlicher Fälle
Der LfD Niedersachsen werden vermehrt Fälle bekannt, in denen Verantwortliche Daten von Kundinnen und Kunden, die zunächst rechtmäßig verarbeitet wurden, zur Profilbildung auswerten. Hierzu nutzen Sie teilweise externe Anbieter oder gleichen ihre Ergebnisse mit diesen ab.
„Die Verantwortlichen holen sich für solche Auswertungen häufig keine Einwilligung der Kundinnen und Kunden ein“, sagt die Landesdatenschutzbeauftragte Barbara Thiel. „Stattdessen berufen sie sich auf eine Interessenabwägung nach Artikel 6 Absatz 1 Buchstabe f DS-GVO. Diese Rechtsgrundlage erlaubt es aber nicht, Profile für Werbezwecke zu bilden, indem man große Datenbestände auswertet.“
Zwar liegt die werbliche Ansprache (potenzieller) Kundinnen und Kunden im Interesse der Verantwortlichen. Der Gesetzgeber stuft dieses Interesse aber als weniger gewichtig ein, indem er für die betroffenen Personen eine erleichterte Widerspruchsmöglichkeit vorsieht. Der Widerspruch muss nicht begründet werden. Bei der Interessenabwägung überwiegen zudem die Interessen der betroffenen Kundinnen und Kunden.
Vernünftige Erwartung maßgeblich
Verantwortliche müssen bei der Interessenabwägung unter anderem die vernünftigen Erwartungen der Kundinnen und Kunden berücksichtigten. „Die Betroffenen erwarten es aber in der Regel nicht, dass Verantwortliche im großen Umfang Datenbestände nutzen, um ihre Neigung zu bestimmten Produktkategorien oder Kommunikationswegen zu identifizieren“, so Barbara Thiel. Verantwortliche können sich in diesen Fällen deshalb nicht auf eine Interessenabwägung berufen und müssen stattdessen Einwilligungen einholen.
Werden zudem externe Stellen einbezogen (z. B. Wirtschaftsauskunfteien), können Daten aus unterschiedlichen Lebensbereichen verkettet und so genauere Profile erstellt werden. Hiermit müssen Kundinnen und Kunden erst recht nicht rechnen, weshalb auch hierfür Einwilligungen eingeholt werden müssen.
Quelle: Landesbeauftragte für den Datenschutz (LfD) Niedersachsen
Das Datengesetz wird für Fairness im digitalen Umfeld sorgen, einen wettbewerbsfähigen Datenmarkt fördern, Chancen für datengesteuerte Innovationen eröffnen und Daten für alle zugänglicher machen. Es wird zu neuen innovativen Diensten und zu Wettbewerbspreisen für anschließende Dienste und Reparaturen vernetzter Objekte führen. Dieser letzte horizontale Baustein der Datenstrategie der Kommission wird eine Schlüsselrolle beim digitalen Wandel und der Verwirklichung der digitalen Ziele für 2030 spielen.
Margrethe Vestager, die für das Ressort „Ein Europa für das digitale Zeitalter“ zuständige Exekutiv-Vizepräsidentin, erklärte: „Wir wollen Verbrauchern und Unternehmen noch mehr Mitspracherecht darüber einräumen, was mit ihren Daten geschehen darf, indem klargestellt wird, wer zu welchen Bedingungen Zugang zu den Daten hat. Dies ist ein zentraler Digitalgrundsatz, der zur Schaffung einer robusten und fairen datengesteuerten Wirtschaft beitragen und Leitsatz für den digitalen Wandel bis 2030 sein wird.“
Der für den Binnenmarkt zuständige Kommissar Thierry Breton fügte hinzu: „Heute machen wir einen wichtigen Schritt auf dem Weg zur Erschließung einer Vielfalt an Industriedaten in Europa zum Wohle von Unternehmen, Verbrauchern, Behörden und der Gesellschaft insgesamt. Bisher wird nur ein geringer Teil der Industriedaten genutzt, und das Wachstums- und Innovationspotenzial ist enorm. Das Datengesetz gewährleistet, dass Industriedaten unter voller Einhaltung der europäischen Vorschriften weitergegeben, gespeichert und verarbeitet werden. Das Gesetz ist ein Eckpfeiler einer starken, innovativen und souveränen europäischen Digitalwirtschaft.“
Daten zeichnen sich ebenso wie Musikaufnahmen, Straßenbeleuchtung oder eine malerische Aussicht durch Nicht-Rivalität aus, was bedeutet, dass viele Menschen gleichzeitig Zugang dazu haben und sie immer wieder „konsumiert“ werden können, ohne dass ihre Qualität darunter leidet oder sie zur Neige gehen. Die Datenmenge nimmt kontinuierlich zu: Datengesetz – 2018 wurden 33 Zettabyte erzeugt und 2025 werden es voraussichtlich schon 175 Zettabyte sein. Ihr Potenzial wird nicht ausgeschöpft, denn 80 % der Industriedaten werden nie genutzt. Das Datengesetz geht die rechtlichen, wirtschaftlichen und technischen Hindernisse an, die der Datennutzung im Wege stehen. Mit den neuen Vorschriften stehen mehr Daten zur Weiterverwendung zur Verfügung und das BIP dürfte bis 2028 voraussichtlich um zusätzliche 270 Mrd. Euro gesteigert werden.
Der Vorschlag für das Datengesetz beinhaltet
Maßnahmen, damit Nutzer Zugang zu den von ihren vernetzten Geräten erzeugten Daten haben, die häufig ausschließlich von Herstellern gesammelt werden, und diese Daten an Dritte weitergeben können, die anschließende Dienste oder andere datengesteuerte innovative Dienste anbieten. Es bietet nach wie vor Anreize für Hersteller, in eine hochwertige Datenerzeugung zu investieren, weil es ihnen ermöglicht, die durch die Datenweitergabe entstehenden Kosten zu decken, und gleichzeitig ausschließt, dass die von ihnen bereitgestellten Daten verwendet werden, um damit in direkten Wettbewerb zu ihrem Produkt zu treten.
Maßnahmen zur Wiederherstellung einer ausgewogenen Verhandlungsmacht für KMU durch Verhinderung von Ungleichgewichten in Verträgen über die gemeinsame Datennutzung. Das Datengesetz schützt KMU vor missbräuchlichen Vertragsklauseln, die von einer Vertragspartei mit einer deutlich stärkeren Verhandlungsposition vorgegeben werden. Die Kommission wird auch Mustervertragsbedingungen entwickeln, um KMU dabei zu helfen, faire Verträge über die gemeinsame Datennutzung abzufassen und auszuhandeln.
Mittel für Behörden für den Zugang zu und die Nutzung von Daten im Besitz des Privatsektors, die unter besonderen Umständen und vor allem bei öffentlichen Notständen wie Überschwemmungen und Waldbränden benötigt werden oder aber zur Wahrnehmung eines rechtlichen Mandats, sofern Daten nicht anderweitig verfügbar sind. Der Datenzugang ist erforderlich, damit rasch und sicher reagiert werden kann und Unternehmen dabei möglichst wenig belastet werden.
Neue Vorschriften, damit Kunden effektiv wechseln könnenzwischen Anbietern von Cloud-Datenverarbeitungsdiensten, und führt Schutzmaßnahmen gegen unrechtmäßige Datenübermittlungen ein.
Zudem werden im Datengesetz bestimmte Aspekte der 1990 erlassenen Datenbankrichtlinie überarbeitet, um Investitionen in die strukturierte Darstellung von Daten zu schützen. So wird präzisiert, dass Datenbanken, die Daten von Geräten und Objekten des Internets der Dinge enthalten, keinem gesonderten Rechtsschutz unterliegen sollten. Dies garantiert, dass sie zugänglich sind und genutzt werden können.
Verbraucher und Unternehmen haben Zugang zu den von ihren Geräten erzeugten Daten und können sie für anschließende Dienste und Dienste mit Zusatznutzen wie vorausschauende Wartung verwenden. Dank zusätzlicher Informationen können Verbraucher und Nutzer wie landwirtschaftliche Betriebe, Fluggesellschaften und Bauunternehmen bessere Entscheidungen treffen und z. B. hochwertigere oder nachhaltigere Produkte und Dienste erwerben und damit zu den Zielen des Grünen Deals beitragen.
Unternehmen und Industrieakteure haben Zugang zu mehr Daten und profitieren von einem Wettbewerbsmarkt für Daten. Anbieter von anschließenden Diensten können ihre Dienste besser auf den jeweiligen Bedarf ihrer Kunden zuschneiden und so mit Herstellern konkurrieren, die vergleichbare Dienste anbieten. Außerdem können Daten zusammengeführt werden, um vollkommen neue digitale Dienste zu entwickeln.
Zur Unterstützung der europäischen Datenstrategie hat die Kommission heute auch einen Überblick über die gemeinsamen europäischen Datenräume vorgelegt, die gegenwärtig in verschiedenen Sektoren und Bereichen entwickelt werden.
Hintergrund
Das Datengesetz ist nach dem Daten-Governance-Gesetz die zweite große Gesetzgebungsinitiative, die als Folgemaßnahme zur europäischen Datenstrategie vom Februar 2020 ergriffen wird, um die EU an die Spitze der datengesteuerten Wirtschaft zu bringen.
Zusammen werden diese Initiativen das wirtschaftliche und gesellschaftliche Potenzial von Daten und Technologien im Einklang mit den Vorschriften und Werten der EU freisetzen. Sie werden einen Binnenmarkt schaffen, der einen ungehinderten Datenfluss in der EU und zwischen den Wirtschaftszweigen ermöglicht – zum Wohle von Unternehmen, Forschenden, Behörden und der Gesellschaft insgesamt.
Mit dem im November 2020 vorgelegten Daten-Governance-Gesetz, über das Rat und Europäisches Parlament im November 2021 Einigungerzielt haben, werden Verfahren und Strukturen geschaffen, die die gemeinsame Datennutzung von Unternehmen, Einzelpersonen und der öffentlichen Hand vereinfachen. Mit dem Datengesetz wird hingegen klargestellt, wer unter welchen Bedingungen aus Daten Wert schöpfen kann.
Im Rahmen einer öffentlichen Konsultation vom 3. Juni bis zum 3. September 2021 wurden Stellungnahmen zu den Maßnahmen für eine faire gemeinsame Datennutzung zugunsten von Verbrauchern und Unternehmen eingeholt. Die Ergebnisse wurden am 6. Dezember 2021 veröffentlicht.
Datenschutz – LfDI erwartet von Schulen, dass sie Schüler_innen bis zu den Sommerferien 2022 Alternativen zum Cloud-Dienst MS 365 für den Schulbetrieb anbieten
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Dr. Stefan Brink wird in Kürze auf ihm bekannte Schulen zugehen, die den Cloud-Dienst Microsoft 365 (MS 365) oder MS Teams vom Anbieter Microsoft verwenden, sie über seine rechtliche Bewertung zur Nutzung dieses Online-Dienstes informieren und um einen verbindlichen Zeitplan für den Umstieg auf Alternativen bitten. Als Überbrückung bis zu den Sommerferien 2022 erwartet der Landesbeauftragte, dass Lehrer_innen und Schüler_innen Alternativen angeboten werden.
Der Landesbeauftragte wird auf rund 40 Schulen zugehen und individuell den jeweiligen konkreten Einzelfall betrachten. Bei der Suche nach Alternativen berät der Landesbeauftragte die Schulen nicht nur, sondern wirkt gemeinsam mit dem Kultusministerium darauf hin, dass sie ihren Bedürfnissen entsprechend Alternativen nutzen können.
Der LfDI begleitete und beriet zuvor das Kultusministerium Baden-Württemberg über einen langen Zeitraum in einem intensiven und – 2 –
umfangreichen Verfahren zum eventuellen Einsatz von MS 365 an Schulen. Für einen Pilotbetrieb zwischen Herbst 2020 und Frühling 2021 wurde vom Kultusministerium in Zusammenarbeit mit den beteiligten Dienstleistern und hochrangigen Vertretern von Microsoft eine funktionell eingeschränkte und möglichst datenschutzkonforme Konfiguration von MS 365 gewählt.
Datenschutzrechtlich besonders bedenkliche Funktionen von MS 365 waren abgeschaltet beziehungsweise wurden soweit möglich deaktiviert, wie beispielsweise die Erfassung von Telemetrie- und Diagnosedaten. Weiterhin wurden zusätzliche Sicherheitsfunktionen implementiert und Accounts nur für Lehrkräfte vergeben, nicht jedoch für Schüler_innen.
Im April 2021 informierte der LfDI das Kultusministerium über die datenschutzrechtliche Bewertung dieses Pilotprojekts und empfahl, aufgrund hoher datenschutzrechtlicher Risiken von der Nutzung der geprüften Version von MS 365 an Schulen abzusehen und alternative Lösungen zu fördern. Es gelang beim Pilotprojekt trotz intensiver Prüfung und Zusammenarbeit mit den Beteiligten nicht, eine datenschutzkonforme Lösung zu finden. Das Kultusministerium kündigte anschließend an, künftig auf eine datenschutzkonforme digitale Bildungsplattform zu setzen.
Der Landesbeauftragte weist darauf hin, dass inzwischen auch alternative digitale Tools angeboten werden, die über einen längeren Zeitraum bereits vielfach genutzt wurden und auch weiterhin erfolgreich genutzt werden: Als Lernmanagementsystem können etwa Moodle oder itslearning, welche den Schulen vom Ministerium ohne weitere Kosten angeboten werden, verwendet werden. Die Einbindung des Web– 3 –
Konferenzsystems BigBlueButton ist jeweils integriert, so dass auch Videokonferenzen durchgeführt werden können.
Schulen, die der Ansicht sind, dass ihr Einsatz und ihre Konfiguration von MS 365 den rechtlichen Anforderungen genügt und die den Cloud-Dienst weiter nutzen möchten, müssen nun begründen, wie sie den datenschutzkonformen Betrieb sicherstellen und dies entsprechend ihrer Rechenschaftspflicht nach Artikel 5 Absatz 2 Datenschutz- Grundverordnung eindeutig nachweisen wollen.
Microsoft 365 (MS 365, früher: Office 365) ist ein Online- bzw. Cloud- Dienst des Anbieters Microsoft. Damit werden Dokumente, Bilder und andere Dateien grundsätzlich Online auf Computern des Anbieters gespeichert sowie E-Mails von diesem verwaltet, empfangen und gesendet. In der vom Landesbeauftragten im Rahmen eines Pilotprojektes geprüften speziell konfigurierten Version von MS 365 für den Schulbetrieb in Baden-Württemberg konnte kein datenschutzkonformer Betrieb sichergestellt werden.
Datenschutz – Facebook-Pages müssen abgeschaltet werden, wenn die Betreiber:innen nicht ihre Datenschutzrechtskonformität nachweisen können.
Das geht aus einem neuen Gutachten der Datenschutzkonferenz hervor, über das die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) die Senatsverwaltungen informiert.
Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI: „Facebook-Pages lassen sich derzeit nicht datenschutzkonform betreiben. Zu diesem Ergebnis kommen europäische und deutsche Gerichte sowie ein neues Gutachten der deutschen Datenschutzbehörden. Die Senatsverwaltungen sollten ihre Facebook-Pages deaktivieren, sofern sie die Einhaltung des Datenschutzrechts nicht sicherstellen können. Als öffentliche Stellen haben sie eine besondere Verantwortung und eine Vorbildfunktion.“
Datenschutz – Bereits im Jahr 2018 hatte der Europäische Gerichtshof (EuGH) entschieden, dass Betreiber:innen von Facebook‐Pages (früher „Fanpages“) gemeinsam mit Facebook datenschutzrechtlich verantwortlich sind. In Folge dessen müssen Betreiber:innen die Rechtmäßigkeit der gemeinsam zu verantwortenden Datenverarbeitung gewährleisten und nachweisen können. Das mit diesem EuGH- Urteil zusammenhängende deutsche Verfahren vor dem OVG Schleswig ist mit Urteil vom 25. November 2021 rechtskräftig entschieden und abgeschlossen (Az. 4 LB 20/13). Entsprechend den Vorgaben des EuGH und des Bundesverwaltungsgerichts bestätigte das OVG die Anordnung zur Abschaltung einer Facebook-Page.
Unter Berücksichtigung der aktuellen Rechtsprechung und der Regelungen im neuen Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) hat die „Task Force Fanpages“ der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) ein Gutachten über Facebook-Pages erstellt.
Das Gutachten kommt zu dem Schluss, dass die Verarbeitung von personenbezogenen Daten im Zusammenhang mit Facebook-Pages in ihrer aktuellen Gestaltung keine Rechtsgrundlage hat. Dies hat für Betreiber:innen von Facebook-Pages Folgen: Wenn sie die Datenschutzrechtskonformität ihrer Facebook-Nutzung nicht nachweisen können, müssen sie den Betrieb der Facebook-Page einstellen.
Aufgrund ihrer Vorbildfunktion stehen hier zunächst die öffentlichen Stellen im Fokus. Die Berliner Datenschutzbeauftragte hat bereits 2018 Verwaltungsverfahren gegen Berliner Senatsverwaltungen und andere Stellen begonnen. Im Rahmen dieser Verfahren konnten zwar einige Rechtsverstöße beim Betrieb von Facebook-Pages abgestellt werden. Es verbleiben jedoch schwerwiegende Mängel. Vor dem Ergreifen weiterer Schritte hat die Berliner Datenschutzbeauftragte zunächst den Abschluss anhängiger Gerichtsverfahren und das Ergebnis der gemeinsamen Prüfung der Datenschutzkonferenz abgewartet.
Datenschutz – Gemäß einer Beschlussfassung auf der 103. Datenschutzkonferenz wird die Berliner Beauftragte für Datenschutz und Informationsfreiheit die Senatsverwaltungen nun über das neue Gutachten informieren und darauf hinwirken, dass die Facebook-Pages deaktiviert werden, soweit die Senatsverwaltungen ihre Pflicht zum Nachweis der Datenschutzrechtskonformität ihrer Facebook- Page nicht erfüllen können.
Links: Beschluss der Datenschutzkonferenz zur Task Force Facebook-Fanpages Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook‐Fanpages
Quelle: Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI)
Datenschutz – Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, hat am Dienstag der Präsidentin des Deutschen Bundestages seinen Tätigkeitsbericht für das Jahr 2021 übergeben.
Die pandemische Lage hat auch im vergangenen Jahr die Themen Datenschutz und Informationsfreiheit bestimmt. Dazu sagte BfDI Professor Kelber: Das heißt aber nicht, dass die restliche Welt sich nicht weiter bewegt hätte. Im Gegenteil: Die alte Bundesregierung hat zum Ende der Legislaturperiode noch eine ganze Reihe an umfangreichen Gesetzen vorgelegt, zum Beispiel das IT-Sicherheitsgesetz oder die neuen Telekommunikationsgesetze TKG und TTDSG. Auch aus dem Bundesministerium für Gesundheit hat meine Behörde viele Regelungsentwürfe erhalten, fast immer mit deutlich zu kurzer Frist zur Stellungnahme.
Datenschutz
Neben Pandemiethemen wie den Fragen zur Abfrage von Test-, Impf- und Genesenenstatus am Arbeitsplatz oder den Aktualisierungen der Corona-Warn-App hat sich der BfDI auch mit der Regulierung von Künstlicher Intelligenz und dem Umgang mit Forschungsdaten beschäftigt. Außerdem erreichten den BfDI im vergangenen Jahr 10.106 Meldungen von Datenschutzverstößen und 622 Eingaben mit Bezug zum Informationsfreiheitsrecht. Bürgerinnen und Bürger wendeten sich mit 6.829 Beschwerden und Eingaben an den Bundesdatenschutzbeauftragten. Positiv sieht der BfDI insbesondere die 2021 beschlossene Einführung des Cell-Broadcasting in Deutschland. Mit dieser Technologie können Behörden im Ernstfall schnell und datenschutzfreundlich warnen.
Datenschutz – Eine Analyse von Usercentrics zeigt: 89% der beliebtesten Online-Apotheken in der EU verstoßen gegen die DSGVO
Online-Apotheken verarbeiten täglich sensible, persönliche Gesundheitsdaten ihrer Besucher und Kunden. Dazu gehören beispielsweise die Suche oder der Kauf von Produkten wie Antidepressiva, Medikamente für Herz-, Diabetes- oder Suchtbehandlungen, sexuellen Beschwerden oder Verhütungsmittel.
Usercentrics untersuchte die 150 meistgenutzten Apotheken-Webshops in der Europäischen Union und analysierte, inwieweit die Website-Betreiber die DSGVO einhalten.
89% der 150 beliebtesten Online-Apotheken in der EU verstoßen gegen die DSGVO, da sie mindestens ein (nicht notwendiges) Cookie ohne Einwilligung der Endnutzer setzen. In der DACH-Region sind es sogar 94%.
55% aller nicht notwendigen Cookies wurden nicht rechtskonform eingesetzt, d. h. bereits beim Besuch der Website ohne jegliche Zustimmung der Nutzer aktiviert.
62% der Cookies, die ohne Einwilligung der Nutzer gesetzt werden, sind Marketing-Cookies von Drittanbietern.
Gerade weil Verbraucher zunehmend mehr Datenschutz einfordern, sind diese Zahlen besonders brisant. So geben beispielsweise 75% der Kunden, die in den letzten 12 Monate bei einer Online-Apotheke eingekauft haben, an, dass ihnen das Thema Datenschutz beim Kauf dort besonders wichtig ist.
Vier Jahre nach Inkrafttreten der DSGVO im Jahr 2018 zeichnet diese Analyse ein beunruhigendes Bild eines der datenschutzsensibelsten Märkte, der mit einem erwarteten Wachstum von fast 9,5 Milliarden Euro (zwischen 2020 und 2024) zu den am stärksten wachsenden Branchen im europäischen E-Commerce zählt.
Datenschutzexperte Tilman Harmeling, Usercentrics, erklärt: „Unsere Scantechnologie hat in der datenschutzsensiblen Online-Apothekenbranche erhebliche Versäumnisse bei der Einhaltung der DSGVO aufgedeckt und die negativen Auswirkungen auf die Kundenbeziehungen aufgezeigt. Seit Inkrafttreten der DSGVO hat sich das Thema Datenschutz von einer lästigen rechtlichen Anforderung zu einem echten Maßstab für den Ruf der Marke entwickelt. Die Einwilligung der Endnutzer durch eine transparente und konforme Verwendung von Cookies und anderen Tracking-Technologien zu respektieren, ist daher für jedes Online-Unternehmen, welches das Vertrauen der Verbraucher gewinnen will, von entscheidender Bedeutung.“
Der vollständige Bericht kann hier abgerufen werden.
Sprachassistenten wie Amazon Alexa oder Google Assistent sind praktisch, doch Daten- und Verbraucherschützer kritisieren die Alltagshelfer
Sie sollen Benutzerdaten sammeln und in Clouds weiterleiten, die von Dritten transkribiert und ausgewertet werden können. Diese Problematik adressieren Forschende des Fraunhofer-Instituts für Angewandte Informationstechnik FIT: In einer Living Lab-Studie, an der 33 Haushalte teilnehmen, gehen sie der Frage nach, was ein Sprachassistent über einen Haushalt weiß und speichert. Mit einer neuen Plattform wollen sie die Studienteilnehmenden bei der Nutzung ihrer personenbezogenen Datenschutzrechte unterstützen.
Beim Einsatz von Alexa, Google Assistent und Co. scheiden sich die Geister – die einen sind von ihren Anwendungsmöglichkeiten im Smart Home begeistert, die anderen sehen in Sprachassistenten moderne Abhörgeräte. Denn die in Smart Speakern und Smartphones eingebauten Voice Assistants (VA) sammeln Daten über das tägliche Leben der Anwender, einschließlich Interaktionen mit anderen verbundenen Geräten, Musikpräferenzen und unbeabsichtigten Interaktionen. Im häuslichen Bereich werden die Lautsprecher mit den eingebauten Sprachassistenten an schützenswerten Orten aufgestellt, sie sind immer betriebsbereit und können potenziell alle Gespräche mithören – auch die Unterhaltungen von Kindern und des Besuchs. Dabei werden alle Interaktionen mit dem Gerät auf den Cloud-Systemen der Hersteller sowie den Servern von weiteren Diensteanbietern gespeichert. Zwar haben Verbraucherinnen und Verbraucher durch die Datenschutz-Grundverordnung (DSGVO) das Recht, Auskunft über ihre gesammelten Daten zu erhalten, diese zu ändern oder zu löschen. Der dazu notwendige Prozess ist den meisten jedoch nicht bekannt und nicht sofort ersichtlich – zumal die Auskunft, wenn überhaupt, nur eine Sammlung von für Laien unverständlichen Rohdaten zurückliefert. Im Projekt CheckMyVA will ein Forscherteam des Fraunhofer FIT daher die Datensouveränität von Nutzerinnen und Nutzern solcher Helfer stärken und sie dabei unterstützen, ihre Privatsphäre besser zu schützen. Dabei arbeiten die Forschenden eng mit der Universität Siegen und dem Start-up open.INC zusammen. Die Förderung des Vorhabens erfolgt aus Mitteln des Bundesministeriums für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz (BMUV) aufgrund eines Beschlusses des deutschen Bundestages. Die Projektträgerschaft erfolgt über die Bundesanstalt für Landwirtschaft und Ernährung (BLE) im Rahmen des Programms zur Innovationsförderung. Das Projekt fällt in den noch jungen Bereich der Verbraucherinformatik.
Am Projekt nehmen 33 Haushalte aus ganz Deutschland teil, darunter sowohl Familien als auch Paare und Singles. Knapp drei Jahre lang begleiten die Forscherinnen und Forscher die Teilnehmenden in einem Living Lab, einem experimentellen Lernumfeld, und tauschen sich regelmäßig mit ihnen über die Nutzung von Sprachassistenten und die dabei aufkommenden Bedenken aus. Wie wird der VA – im Fokus stehen Amazon Alexa und Google Assistant – verwendet? Werden Smart Home-Funktionen genutzt? Ist der Sprachassistent permanent im Betrieb oder wird er nur bei Bedarf aktiviert? Verändert sich die Nutzung über den Projektzeitraum? Sind sich die Haushalte bewusst darüber, was mit den Aufnahmen passiert? Welche Praktiken zum Datenschutz wenden die User an? Welche Probleme sind dabei aufgetaucht? All diese Fragen werden diskutiert, um auf dieser Grundlage nutzerzentriert Lösungen zu entwickeln.
Datenkompetenz durch Datenvisualisierung
Konkret entsteht eine nach dem Design for All-Prinzip gestaltete Plattform, die Menschen bei der Nutzung ihrer DSGVO-Rechte unterstützt. Mithilfe gängiger Data-Science- und KI-Methoden werden die Daten aufbereitet und nutzerzentriert visualisiert, um Verbraucherinnen und Verbraucher dafür zu sensibilisieren, welche Verhaltensmuster aus den Daten herausgelesen werden und für welche Zwecke diese Informationen durch Dritte genutzt werden können. Zudem sollen sie so ein einfaches Werkzeug erhalten, mit dem sie ihre DSGVO-Rechte umsetzen und einfordern können, beispielsweise Daten löschen zu lassen oder das Einverständnis zur Datennutzung zu widerrufen. »Bei der Plattform handelt es sich um ein Dashboard, das als Plug-in im Browser läuft. Die User haben hier auf unkomplizierte Weise die Möglichkeit, eine Kopie ihrer Daten zu beantragen. Der Link zu Datenschutzeinstellungen ist schnell auffindbar«, sagt Dominik Pins, Projektkoordinator und Wissenschaftler am Fraunhofer FIT, Abteilung Human-Centered Engineering and Design. Das Dashboard visualisiert die Gespräche mit den VAs auf einer Zeitleiste und macht die Transkriptionen transparent. So wird etwa dargestellt, welche Befehle gegeben wurden und wie häufig unbeabsichtigte Befehle ausgeführt wurden. Auch die Antworten des VA sind erkennbar. Zudem bietet das Dashboard Funktionen wie Filterung und Kategorisierung, um mit Daten umzugehen. »Die Nutzer können mithilfe der Plattform ihre Datenspuren reflektieren und somit ihre Datenkompetenz verbessern«, resümiert Pins.
Das Dashboard für Google Chrome und Mozilla Firefox lässt sich kostenfrei über die jeweiligen Browser-Einstellungen oder die Projektwebseite herunterladen.
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Dr. Stefan Brink hat eine neue Hilfestellung für Betreiber von Webseiten und Hersteller von Smartphone-Apps veröffentlicht. Die FAQ Cookies und Tracking durch Betreiber von Webseiten und Hersteller von Smartphone-Apps stehen auf der Homepage des Landesbeauftragten zum Download.
Datenschutz – LfDI Brink plädiert für den Verzicht von umfangreicher Überwachung im Netz und dafür, Tracking massiv zu reduzieren: „Cookies und Tracking haben das Internet und unsere Smartphones – früher mal Orte der Freiheit und Selbstbestimmung – inzwischen zu intensiv überwachten Räumen gemacht. Diese Überwachungsmaßnahmen werden heute als gewöhnlich wahrgenommen – gerade so, als gäbe es keine Alternativen dazu. Der Eingriff in die Bürgerrechte ist dabei teilweise so massiv, dass Menschen mit dem Wissen, das andere über sie haben, wirtschaftlich übervorteilt und sogar politisch manipuliert werden“, so Stefan Brink. Die klaren Vorteile der Digitalisierung würden so in Zweifel gezogen, wenn sie nur noch um den Preis einer Aufgabe unserer Bürgerrechte zu haben sind.
Datenschutz – Wer Cookies und andere Tracking-Techniken einsetzt, personenbezogene Daten von Bürger_innen sammelt, verarbeitet und verkauft, muss die rechtlichen Vorgaben beachten. In der Regel ist für Tracking eine vorherige, informierte und freiwillige Einwilligung der Nutzer_innen nötig, die häufig über „Cookie-Banner“ eingeholt wird. Die Anforderungen an diese gebotenen Hinweise sind aber hoch. Der Landesbeauftragte bietet mit der Aktualisierung der FAQ nun eine praxisnahe Übersicht, in der Standardfehler von typischen Cookie-Bannern dargestellt und Beispiele genannt werden, wie es datenschutzfreundlicher und ohne komplizierte Einwilligung geht. Denn: „Nervige Cookie-Banner werden von Tracking-Unternehmen eingesetzt, datenschutzfreundliche Internetseiten und Apps kommen ganz ohne Banner aus.“
Die FAQ des LfDI Baden-Württemberg knüpft dabei an die „Orientierungshilfe der Aufsichtsbehörden für die Anbieter_innen von Telemedien (OH Telemedien 2021)“ der Konferenz der unabhängigen Datenschutzaufsichtsbehörden der Länder und des Bundes (Datenschutzkonferenz, DSK) an. Sie benennt für die Praxis mögliche Risiken des Einsatzes von Überwachungstechniken und bietet konkrete Unterstützung wie etwa zur Reichweitenanalyse, die auch ohne den Einsatz von personenscharfen Kontrolltechniken möglich ist.
Der Landesbeauftragte Brink: „Wir sollten alle ein Interesse daran haben, dass Bürger_innen Vertrauen in die Digitalisierung entwickeln. Dazu müssen sie sich darauf verlassen können, dass ihre zum Teil intimen Informationen nicht nebenbei und für sie völlig unklar zu Überwachung und Kontrolle genutzt werden. Die Datenschutz-Grundverordnung gibt den Rahmen für die Wahrung unserer Bürger_innenrechte in der digitalen Welt vor – unsere FAQ zeigt dazu Möglichkeiten und Grenzen auf.“
Datenschutz – Die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) als datenschutzrechtliche Aufsichtsbehörde die BREBAU GmbH mit einer Geldbuße nach Artikel 83 Datenschutzgrundverordnung (DSGVO) belegt.
Die BREBAU GmbH hat mehr als 9.500 Daten über Mietinteressent:innen verarbeitet, ohne dass es hierfür eine Rechtsgrundlage gab. Beispielsweise Informationen über Haarfrisuren, den Körpergeruch und das persönliche Auftreten sind für den Abschluss von Mietverhältnissen nicht erforderlich. Bei mehr als der Hälfte der Fälle handelte es sich darüber hinaus um Daten, die nach der DSGVO besonders geschützt sind. Rechtswidrig verarbeitet wurden auch Informationen über die Hautfarbe, die ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung und über den Gesund-heitszustand. Auch hat die BREBAU GmbH Anträge Betroffener auf Transparenz über die Verarbeitung ihrer Daten bewusst konterkariert.
Die nach Artikel 83 DSGVO verhängte Geldbuße beläuft sich auf rund 1,9 Millionen Euro. Der au-ßerordentlichen Tiefe der Verletzung des Grundrechts auf Datenschutz wäre eine deutlich höhere Geldbuße angemessen gewesen. Weil die BREBAU GmbH im datenschutzrechtlichen Aufsichtsver-fahren umfassend kooperierte, sich um Schadensminderung, eigene Aufklärung des Sachverhalts und darum bemühte, dass entsprechende Verstöße sich nicht wiederholen, konnte die Höhe der Geldbuße erheblich reduziert werden.
Datenschutz – Anlässlich dieses Aufsichtsverfahrens äußerte die Landesbeauftragte für Datenschutz und Informationsfreiheit, Dr. Imke Sommer: „Im Zusammenhang mit der öffentlichen Diskussion über den Fall, der diesem datenschutzrechtlichen Aufsichtsverfahren zugrunde liegt, bin ich häufig gefragt worden, ob die DSGVO Diskriminierungen verbietet. Die Antwort auf diese Frage ist kompliziert, weil die DSGVO in spezifischer Weise auf Sachverhalte schaut. Nach der DSGVO ist es nur in wenigen Aus-nahmefällen überhaupt erlaubt, Daten über Hautfarbe, ethnische Herkunft, Religionszugehörigkeit, sexuelle Orientierung und über den Gesundheitszustand zu verarbeiten. Damit sorgt die DSGVO da-für, dass diese besonders geschützten Daten in den allermeisten Fällen gar nicht erst erhoben und gespeichert werden dürfen. Nicht erhobene Daten können nicht missbraucht werden. In diesem Sinne schützt die DSGVO auch vor Diskriminierungen.“
Datenschutz – Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hat ihren Tätigkeitsbericht für das Jahr 2021 vorgelegt
Der Bericht greift zahlreiche Themen des Datenschutzes und der Informationsfreiheit auf, mit denen sich das Unabhängige Landeszentrum für Datenschutz (ULD) im vergangenen Jahr beschäftigt hat. Wiederkehrende Probleme: Missbrauch vorhandener Daten, Rechtsverstöße aus Unachtsamkeit und viele Datenpannen.
Hansen blickt auf ein ereignisreiches Jahr zurück: „Wie schon im Vorjahr war unsere Tätigkeit in 2021 von der Pandemie geprägt: Corona und Datenschutz, Corona und Informationsfreiheit – aber wir bekamen auch wieder Anfragen und Beschwerden zu einer breiten Palette von Themen, die alle möglichen Formen der Verarbeitung von Daten betrafen.“ Das ULD erhielt 1.464 Beschwerden zu mutmaßlichen Datenschutzverstößen, weitere 712 Beratungsanfragen wurden bearbeitet. Dies entspricht etwa den Zahlen des Jahres 2020. Eine Zunahme um 50 % war im Bereich der Informationsfreiheit zu verzeichnen, in dem das ULD in 78 Fällen eingeschaltet wurde – und häufig erreichen konnte, dass mehr Informationen herausgeben wurden. Hansen sieht dies als Ansporn zur Verbesserung der Situation im Land, denn: „Auch nach 22 Jahren Informationsfreiheit in Schleswig-Holstein läuft noch nicht alles rund. Die Nachvollziehbarkeit des Behördenhandelns hat aber gerade in Pandemie-Zeiten an Wichtigkeit gewonnen.“
In einem anderen Bereich sieht man ebenfalls einen auffälligen Zuwachs, wie Hansen berichtet: „Im Vergleich zum Vorjahr stieg die Zahl der Datenpannen-Meldungen um etwa60 %. Dennoch zeigt sich in unseren Prüfungen, dass es noch immer Fälle gibt, in denen die Verantwortlichen ihrer Meldepflicht nicht nachgekommen sind.“ Die Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten – kurz: Datenpannen – ist eine rechtliche Anforderung und muss von den Verantwortlichen umgesetzt werden. Hansens Dienststelle wirbt aber auch dafür, dass man diese Pflicht als Chance begreift, damit alle Beteiligten aus den Fehlern lernen können. „Hinterher ist man immer schlauer“ gelte nur dann, wenn die Verantwortlichen feststellen, was schiefgelaufen ist, und wenn sie daraus abgeleitete Maßnahmen treffen, damit sich die Datenschutzverletzungen nicht wiederholen. Im Tätigkeitsbericht der Landesbeauftragten für Datenschutz finden sich viele Beispiele für Datenpannen. Hansen dazu: „Unser Bericht dient auch dazu, dass alleaus Fehlern lernen können, die passiert sind. Diese Beispiele können dabei helfen, das Risiko zu bewerten, das mit der Verarbeitung personenbezogener Daten in der eigenen Firma oder Behörde verbunden ist, und geeignete Gegenmaßnahmen zu treffen.“
Das Titelbild des Tätigkeitsberichts zeigt dieses Jahr ein Labyrinth, dessen Wände mit schwarz-weißen QR-Codes gepflastert sind – ein Sinnbild für die Komplexität unseres Lebens mit oft nur schwer durchschaubaren Regeln, in dem sich viele nur mit Mühe zurechtfinden. Ebenso komplex ist die Technikwelt mit dem sich dynamisch ändernden Zusammenspiel diverser Hard- und Softwarekomponenten. Technik kann helfen, Technik bringt aber auch neue Risiken mit sich. Selbst das simple Beispiel der QR-Codes verdeutlicht das Problem des Verstehens, denn Menschen können nicht direkt ersehen, welche Daten darin enthalten sind, sondern müssen das Muster erst per Smartphone scannen. Und: Wer bei einer Einlasskontrolle einen solchen QR-Code etwa als Impfnachweis vorzeigt, weiß nicht, ob dieser beim Scannen lediglich gelesen und die Gültigkeit geprüft wird oder ob der Code kopiert und die ausgelesenen Informationen gespeichert werden.
Auch die sich immer wieder verändernden Corona-Regelungen haben im Pandemie-Jahr 2021 zu einer Verunsicherung bei der Datenverarbeitung geführt: Wie muss mit Kontaktdaten umgegangen werden? Was ist aus Datenschutzsicht bei der Prüfung von Impf-, Genesen- und Testnachweisen zu beachten? Beim ULD gingen viele Beschwerden ein, wenn Verantwortliche personenbezogene Daten beispielsweise von Gästen oder Beschäftigten verlangten, die gar nicht erforderlich waren, oder wenn das Risiko bestand, dass unbefugt auf sensible Daten zugegriffen werden konnte.
Einige der eingetretenen Datenpannen bezogen sich auf Verarbeitungen rund um das Impfen oder Testen. Andere hingen mit dem Arbeiten im Homeoffice zusammen, z. B. die Fälle, in denen Akten oder Datenträger auf dem Transport zwischen Dienstort und dem Zuhause abhandenkamen. Offene E-Mail-Verteiler, Fehladressierungen oder verlorene unverschlüsselte USB-Sticks gehören zu den Dauerthemen bei den Datenpannen-Meldungen. Der große Anstieg der Meldezahlen ergab sich aber aus mehreren Wellen von Angriffen über das Internet auf Server von Firmen und Behörden, bei denen personenbezogene Daten betroffen waren.
Hansen kommentiert dies: „Mit Sorge blicke ich auf das Thema Informationssicherheit. Einerseits haben immer noch viele Organisationen ihre Hausaufgaben nicht gemacht, um bekannte Schwachstellen in IT-Systemen zu beseitigen – die Datenpannen-Meldungen zeigen uns, wie solche Sicherheitslücken immer wieder ausgenutzt werden und oft auch Daten abfließen können. Andererseits mehren sich auch die Angriffe auf IT-Systeme, die nicht mit Updates in den Griff zu bekommen sind. Einige Akteure haben ein Interesse daran, Sicherheitslücken zu kultivieren statt sie zu schließen – dies ermöglicht dann ein heimliches Infiltrieren von Smartphones und Ausspionieren von Menschen mit Überwachungssoftware wie ‚Pegasus‘, die in vielen Ländern zum Einsatz kommt.“ Die Landesbeauftragte für Datenschutz sieht darin einen Verstoß gegen das Grundrecht auf Gewährleistung der Vertraulichkeit und Integritätinformationstechnischer Systeme. Hansen fordert: „Datenschutz und Sicherheit müssen eine Selbstverständlichkeit bei jeder Verarbeitung personenbezogener Daten sein.“
Für die Verantwortlichen bedeutet dies, dass ihre eigenen Prozesse datenschutzgerecht zu gestalten sind. Bei der Auswahl von Produkten und Dienstleistern müssen sie sorgfältig vorgehen und Datenschutzkonformität einfordern. Wichtige Ansprechpartner sind die Datenschutzbeauftragten im Unternehmen oder in der Behörde.
Das bewusst missbräuchliche Verwenden von personenbezogenen Daten und das absichtliche Verstoßen gegen das Recht durch Verantwortliche und deren Dienstleister werden in der täglichen Arbeit des ULD, dessen Zuständigkeitsbereich auf Schleswig-Holstein beschränkt ist, vergleichsweise selten festgestellt. Sehr viel häufiger sind solche Fälle, in den die Verantwortlichen unachtsam waren oder die Datenschutzanforderungen grob fahrlässig ignoriert haben. Zu den am meisten nachgefragten Bereichen gehört die Videoüberwachung (179 Beschwerden, 36 Beratungsanfragen). Auch Datenschutz-Fehler bei der Website-Gestaltung – etwa durch ein unzulässiges Einbinden problematischer Tracking-Technik – sind mittlerweile stärker in den Fokus gelangt, beispielsweise im Rahmen der länderübergreifenden Branchenprüfung im Bereich Medien. Die rechtlichen Anforderungen und Hinweise zur korrekten Umsetzung lassen sich den Orientierungshilfen, Leitlinien und Informationsbroschüren entnehmen, die auf den Webseiten der Aufsichtsbehörden abrufbar sind und regelmäßig aktualisiert werden, wenn sich Gesetze ändern (im Jahr 2021 mit der Einführung des Telekommunikations-Telemedien-Datenschutzgesetz) oder gerichtliche Entscheidungen zu den Sachverhalten rechtskräftig werden.
Ein weiterer wichtiger Bereich des ULD im Jahr 2022 ist die Wissensvermittlung und Sensibilisierung zu den Themen Datenschutz und Informationsfreiheit über die Datenschutzakademie in Kursen, für Schulklassen und in Präsenzveranstaltungen wie der Sommerakademie. Nach dem der Pandemie geschuldeten Aussetzen in den letzten beiden Jahren soll diese Konferenz nun am 12. September 2022 unter dem Thema „Informationsfreiheit by Design – und der Datenschutz?!“ stattfinden.
Das diesjährige Thema ist passend dazu gewählt, dass die Landesbeauftragte für Datenschutz für das Jahr 2022 den Vorsitz der Konferenz der Informationsfreiheitsbeauftragten des Bundes und der Länder übernommen hat, der jährlich wechselt. Schleswig-Holstein leistet mit seinem Informationszugangsgesetz, dem Transparenzportal und den Open-Data-Initiativen einen bedeutenden Beitrag für eine bessere Nachvollziehbarkeit des Verwaltungshandelns und für Transparenz. Die häufigsten Fragen aus der Praxis beantwortet das ULD in einer neuen Informationsbroschüre. Hansen freut sich auf den kommenden Austausch mit Bund und Ländern sowie mit weiteren Initiativen und Akteuren. „Am besten werden Technik und Prozesse von Anfang an so gestaltet, dass sowohl Datenschutz- als auch Informationsfreiheitsanforderungen berücksichtigt werden“, sagt Hansen, die als Landesbeauftragte für Datenschutz für beide Bereiche zuständig ist. „Das Ziel sind praxistaugliche Umsetzungen, um die Wahrnehmung des Rechts auf Informationszugang sowohl für die Antragstellenden als auch für diejenigen, die die Informationen bereitstellen müssen, zu erleichtern. Klar: mit Datenschutz!“
