Forenblogtagebuch (oder so etwas in der Art) und Diskussion zu Politik, Medien, Urheberrecht, Gaming, Film, Satire uvm. Vormals auch Katzenfotos. Seit 2005
1. Art. 25 Abs. 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in der durch die Verordnung (EG) Nr. 1882/2003 des Europäischen Parlaments und des Rates vom 29. September 2003 geänderten Fassung ist im Licht der Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine aufgrund dieser Bestimmung ergangene Entscheidung wie die Entscheidung 2000/520/EG der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46 über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, in der die Europäische Kommission feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, eine Kontrollstelle eines Mitgliedstaats im Sinne von Art. 28 der Richtlinie in geänderter Fassung nicht daran hindert, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten, die aus einem Mitgliedstaat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisteten.
2. Die Entscheidung 2000/520 ist ungültig.
Legale Nutzung von WhatsApp in EU aufgrund Datenschutzregelung de facto nicht möglich. Interessiert aber eh niemanden.
Für Firmen wird's sogar noch eine Spur problematischer.
EU- Datenschutzverordnung tritt heute in Kraft - gilt erst ab Mai 2018.
http://eur-lex.europa.eu/legal-content/ ... 16:119:TOC
Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) wurde erlassen.
Sie regelt direkt anwendbar den Datenschutz in der gesamten EU.
Sie gilt ab dem 25. Mai 2018. In Kraft treten wird sie mit Ende heute, denn das ist der 20. Tag nach der Veröffentlichung.
Ich habe sie bis jetzt nur überflogen, in den nächsten 2 Jahren wird sich hoffentlich Gelegenheit bieten, sich mit den Detais mehr auseinanderzusetzen.
dejost wrote:EU- Datenschutzverordnung tritt heute in Kraft - gilt erst ab Mai 2018.
http://eur-lex.europa.eu/legal-content/ ... 16:119:TOC
Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) wurde erlassen.
Sie regelt direkt anwendbar den Datenschutz in der gesamten EU.
Sie gilt ab dem 25. Mai 2018. In Kraft treten wird sie mit Ende heute, denn das ist der 20. Tag nach der Veröffentlichung.
Ich habe sie bis jetzt nur überflogen, in den nächsten 2 Jahren wird sich hoffentlich Gelegenheit bieten, sich mit den Detais mehr auseinanderzusetzen.
Als nicht so großer Rechtstheoretiker, entschuldige die Frage, falls sie offensichtlich ungebildet ist, aber bist du dir sicher, dass du "Geltung" und "Inkrafttreten" nicht verkehrt herum verwendest?
harald wrote:Als nicht so großer Rechtstheoretiker, entschuldige die Frage, falls sie offensichtlich ungebildet ist, aber bist du dir sicher, dass du "Geltung" und "Inkrafttreten" nicht verkehrt herum verwendest?
ich gestehe, mir zu der frage überhaupt keine gedanken gemacht zu haben, ich habe nämlich einfach Art 99 paraphrasiert, der lautet im Original:
Art 99 wrote:(1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.
(2) Sie gilt ab dem 25. Mai 2018.
Ok, gesetzt den Fall, es ist nicht richtig übersetzt in der Verordnung, wie macht man auf Berichtigungspotenzial die richtige Stelle (Kontaktadresse?) aufmerksam?
Hast du ein Lehrbuch bei der Hand, wo du das mal auf Richtigkeit gegenprüfen kannst, vielleicht liege ich voll daneben?
Der Europäische Gerichtshof für Menschenrechte hat geurteilt, dass Ungarn mit einem Überwachungsgesetz gegen die Europäische Menschenrechtskonvention verstoßen hat. Das Anti-Terror-Gesetz war 2011 in Kraft getreten und hatte unter anderem heimliche Hausdurchsuchungen, Brieföffnungen und die Überwachung elektronischer Kommunikation ermöglicht. Weil davon jeder in Ungarn betroffen sein könnte, das Prozedere vollkommen in der Hand der Exekutive liege und keine Korrekturmöglichkeiten vorgesehen seien, habe das Land damit gegen Artikel 8 der Menschenrechtskonvention verstoßen.
harald wrote:Ok, gesetzt den Fall, es ist nicht richtig übersetzt in der Verordnung, wie macht man auf Berichtigungspotenzial die richtige Stelle (Kontaktadresse?) aufmerksam?
Hast du ein Lehrbuch bei der Hand, wo du das mal auf Richtigkeit gegenprüfen kannst, vielleicht liege ich voll daneben?
bevor ich Dir oben geantwortet habe, habe ich schon nachgeschaut und hatte keines zur hand.
ich weiß nicht, von welcher sprach ein welche anderen sie übersetzen, ist vielleicht auch unterschiedlich je nachdem wer was wann ausarbeitete oder so.
Im englischen heißt es jedenfalls:
1. This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union.
2. It shall apply from 25 May 2018.
Das entspricht dem Deutschen (oder vice versa).
In Österreich funktioniert das mit gelten und inkrafttreten in der tat für gewöhnlich anders.
Es ist aber sprachlich (zumindest in Deutsch und Englisch) klar, war gemeint sein soll.
ich habe jetzt auch stichprobenartig in ein paar andere EU-Verordnungen reingeschaut, und auch dort wird das teilweise wortgleich (nur anderes Datum) so festgelegt.
harald wrote:Ok, gesetzt den Fall, es ist nicht richtig übersetzt in der Verordnung, wie macht man auf Berichtigungspotenzial die richtige Stelle (Kontaktadresse?) aufmerksam?
Hast du ein Lehrbuch bei der Hand, wo du das mal auf Richtigkeit gegenprüfen kannst, vielleicht liege ich voll daneben?
bevor ich Dir oben geantwortet habe, habe ich schon nachgeschaut und hatte keines zur hand.
ich weiß nicht, von welcher sprach ein welche anderen sie übersetzen, ist vielleicht auch unterschiedlich je nachdem wer was wann ausarbeitete oder so.
Im englischen heißt es jedenfalls:
1. This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union.
2. It shall apply from 25 May 2018.
Das entspricht dem Deutschen (oder vice versa).
In Österreich funktioniert das mit gelten und inkrafttreten in der tat für gewöhnlich anders.
Es ist aber sprachlich (zumindest in Deutsch und Englisch) klar, war gemeint sein soll.
ich habe jetzt auch stichprobenartig in ein paar andere EU-Verordnungen reingeschaut, und auch dort wird das teilweise wortgleich (nur anderes Datum) so festgelegt.
Na gut, dann packe ich meine Überraschung wieder dorthin wo sie her kam und lege es unter "war schon immer so, haben wir nie anders gemacht" ab.
In einem laut Schrems „ungewöhnlichen Schritt“ hat die US-Regierung in dem Verfahren, das der Datenschutzaktivist in Irland gegen Facebook führt, den Status eines „amicus curiae“ beantragt. Das bedeutet, dass Vertreter der US-Regierung vor dem Irish High Court unter Eid aussagen müssen. Schrems bezeichnete dies in einer am Montag veröffentlichten Aussendung als „einmalige Gelegenheit“ und eine große Chance belastbare Antworten zur Massenüberwachung durch die US-Regierung zu erhalten. Neben der US-Regierung wollen sich auch die US-Handelskammer und die Branchenvereinigung Business Software Alliance in dem Rechtsstreit zu Wort melden.
Hier sieht man , was Max Schrems schon erreicht hat: Er hat so viel bewegt, dass sich gleiche mehrere US-Institutionen gezwungen sehen, eine aktive Rolle zu übernehmen.
In dem Verfahren geht es um die Übermittlung der Daten europäischer Facebook-Nutzer in die USA. Schrems hatte bereits vor dem EuGH die Aufhebung der Safe-Harbour-Vereinbarung erwirkt. Als rechtliche Basis für den transatlantischen Datenverkehr kommen seither bei Facebook sogenannte Standardvertragsklauseln zur Anwendung, die Unternehmen außerhalb der EU dazu verpflichten, sich an europäische Datenschutzstandards zu halten. Die Änderungen der rechtlichen Basis für den Datentransfer würden nichts daran ändern, dass die Daten europäischer Bürger von den US-Behörden weiterhin massenhaft überwacht würden, argumentiert Schrems.
Der irische Datenschutzbeauftragte hatte vor kurzem angekündigt, den Datentransfer durch Facebook in die USA erneut von einem Gericht prüfen zu lassen. Schrems geht davon aus, dass der EuGH auch in diesem Fall das letzte Wort haben wird.
Die EU-Kommission will die Datenübertragung in die USA mit dem „EU-US Privacy Shield“ neu regeln. Die im Februar präsentierte Vereinbarung mit der US-Regierung stößt bei den europäischen Datenschutzbehörden und beim EU-Parlament auf Bedenken. Mit einer Verabschiedung der Vereinbarung ist frühestens im Juni zu rechnen.
Es würde zwar auch in den Amazon und den Rechtspanorama Thread passen, und hat auch irgendwie Ähnlichkeit mit der im Copyright Thread erwähnten Entscheidung C‑572/14, ich poste es wegen des letzten Absatzes der Entscheidung aber hier:
Es geht um die Verwendung irreführender Vertragsklauseln und welcher Mitgliedsstaat tatsächlich zuständig ist.
1. Die Verordnung (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates vom 17. Juni 2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht (Rom I) und die Verordnung (EG) Nr. 864/2007 des Europäischen Parlaments und des Rates vom 11. Juli 2007 über das auf außervertragliche Schuldverhältnisse anzuwendende Recht (Rom II) sind dahin auszulegen, dass unbeschadet des Art. 1 Abs. 3 beider Verordnungen das auf eine Unterlassungsklage im Sinne der Richtlinie 2009/22/EG des Europäischen Parlaments und des Rates vom 23. April 2009 über Unterlassungsklagen zum Schutz der Verbraucherinteressen, die sich gegen die Verwendung vermeintlich unzulässiger Vertragsklauseln durch ein in einem Mitgliedstaat ansässiges Unternehmen richtet, das im elektronischen Geschäftsverkehr Verträge mit Verbrauchern abschließt, die in anderen Mitgliedstaaten, insbesondere im Staat des angerufenen Gerichts, ansässig sind, anzuwendende Recht nach Art. 6 Abs. 1 der Verordnung Nr. 864/2007 zu bestimmen ist, während das bei der Beurteilung einer bestimmten Vertragsklausel anzuwendende Recht stets anhand der Verordnung Nr. 593/2008 zu bestimmen ist, unabhängig davon, ob diese Beurteilung im Rahmen einer Individualklage oder einer Verbandsklage vorgenommen wird.
2. Art. 3 Abs. 1 der Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen ist dahin auszulegen, dass eine in allgemeinen Geschäftsbedingungen eines Gewerbetreibenden enthaltene Klausel, die nicht im Einzelnen ausgehandelt wurde und nach der auf einen auf elektronischem Weg mit einem Verbraucher geschlossenen Vertrag das Recht des Mitgliedstaats anzuwenden ist, in dem der Gewerbetreibende seinen Sitz hat, missbräuchlich ist, sofern sie den Verbraucher in die Irre führt, indem sie ihm den Eindruck vermittelt, auf den Vertrag sei nur das Recht dieses Mitgliedstaats anwendbar, ohne ihn darüber zu unterrichten, dass er nach Art. 6 Abs. 2 der Verordnung Nr. 593/2008 auch den Schutz der zwingenden Bestimmungen des Rechts genießt, das ohne diese Klausel anzuwenden wäre; dies hat das nationale Gericht im Licht aller relevanten Umstände zu prüfen.
3. Art. 4 Abs. 1 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass eine Verarbeitung personenbezogener Daten durch ein im elektronischen Geschäftsverkehr tätiges Unternehmen dem Recht jenes Mitgliedstaats unterliegt, auf den das Unternehmen seine Geschäftstätigkeit ausrichtet, wenn sich zeigt, dass das Unternehmen die fragliche Datenverarbeitung im Rahmen der Tätigkeiten einer Niederlassung vornimmt, die sich in diesem Mitgliedstaat befindet. Es ist Sache des nationalen Gerichts, zu beurteilen, ob dies der Fall ist.
Datenschutz kann man vielleicht vorwerfen, ein Firstworldproblem zu ein - die eigenen Daten müssen ja schon einen gewissen Wert haben, und dazu muss man als Konsument odgl interessant sein. Und im Vergleich zu China leben wir hier tatsächlich auf der Insel der Seligen:
Das kommunistische China testet derzeit neue Wege und Methoden der sozialen Kontrolle: Alle Staatsbürgerinnen und Staatsbürger sollen nach ihrem alltäglichen Verhalten in einem „sozialen Kreditsystem“ eingestuft werden - mit weitreichenden Konsequenzen.
Dass China darum bemüht ist, jeden Schritt seiner Bürgerinnen und Bürger zu verfolgen, ist nicht neu. Dass die Daten - von Schulnoten über psychologische, religiöse, politische bis zu sozialen Auffälligkeiten - gesammelt werden, ist ebenfalls bekannt
Am Ende des Prozesses steht ein Bürger, der nach seiner „sozialen Kreditfähigkeit“ eingestuft wird. Wird er bei etwas Unerlaubtem erwischt, wird ein Vergehen oder Abweichen geahndet, gibt es Abzüge: Die persönliche Bonität sinkt. Bei Rot über die Ampel gehen, schwarzfahren, Müll auf die Straße werfen, die Vorgaben zur Familienplanung missachten oder die „falschen“ Meldungen im Internet verbreiten: All das lasse die Bonität sinken
So gut wie alle Bereiche des persönlichen Lebens sind laut Bericht betroffen. Ist die Kreditwürdigkeit im Keller, wird es nicht nur schwierig, einen Kredit aufzunehmen. Jeder Behördengang ist mit langen Wartezeiten verbunden, die Wunschschule für die Kinder unerreichbar, eine Auslandsreise unmöglich. Bis hin zur Wahl des Hotels soll alles von der Bonität abhängen. Luxushotels etwa sollen nur noch jenen vorbehalten sein, die es aufgrund ihrer hohen Bonität auch verdienen - und es sich leisten können, wohlgemerkt.
Noch läuft das erst im regionalen Testbetrieb, 2020 geht's dann voll los.
Die Vorbereitungen laufen auf Hochtouren - vor allem auch in der chinesischen Justiz, die an einem System schwarzer Listen arbeitet. Wer darauf steht, wird von bestimmten Aktivitäten ausgeschlossen. Bestimmte Berufsgruppen wie Lehrer, Journalisten, Anwälte und Rechnungsprüfer würden besonders genau überprüft, heißt es.
Inwiefern private - etwa vom Onlinehändler Alibaba stammende - und öffentliche Daten miteinander kombiniert würden, werde noch ausgearbeitet, so der Wissenschaftler Zu Wei, der die chinesische Führung in ihren Bemühungen, das neue System zu entwickeln, beraten hat, gegenüber dem „WSJ“.
Zweifel herrschen auch an der Durchführbarkeit. Denn 1,4 Milliarden Menschen zu beobachten und all die Daten zu vernetzen stellt derzeit noch eine große Herausforderung dar. Lokalregierungen seien bisweilen nicht kooperativ, wenn es darum geht, Informationen weiterzugeben und vor allem die nicht kompatiblen Computersysteme zu vereinheitlichen, sagte der Politikwissenschaftler und Regierungsberater Meng Tianguang
Nachdem ich "The Big Short" gesehen habe, bin ich zwar auch für mehr Staatskontrolle bei Ratingagenturen, aber sowas meine ich damit sicher nicht.
Dieser Artikel vom ORF, auf dem mein Posting basiert (wobei "basiert" hier ein Euphemismus für copy-paste ist), basiert wiederum auf einem Artikel des Wall Street Jorunal: http://www.wsj.com/articles/chinas-new- ... 1480351590
Auf den habe ich aber keinen Zugriff, deswegen nur die ORF-Zitate.
Vor einiger Zeit lauschte ich einem Vortrag zu Zivilschutz. Ich hatte mich mit dem Thema schon etwas in der Vergangenheit zu tun, deswegen brachte mit der Vortrag nicht sehr viel neues, und ein paar der intressanten Zahlen (wieviele Anrufe und Einsätze Polizei, Feuerwehr und Rettung jeden Tag haben) habe ich leider schon wieder vergessen.
Eines blieb mir aber in Erinnerung:
Der Vortragende schilderte einen Fall, wo jemand vom Handy den Notruf wählt, aber nicht weiß, wo er ist. In so einem Fall, sagte er, sei es wegen des Datenschutzes nicht möglich, den Verletzten zu orten.
In diesem Zusammenhang möchte ich eines klarstellen:
Datenschutz schützt nicht Daten (das ist Datensicherheit). Datenschutz schützt Menschen. Und zwar vor allem die Privatsphäre - jetzt geht bitte jeder kurz in sich, und überlegt, ob er oder sie in den letzten 2 Wochen irgendwas gemacht hat, was er oder sie nicht will, das es alle wissen. (Das muss jetzt nichts besonders Verwerfliches sein, es kann auch einfach eine Peinlichkeit sein, wo man froh ist, dass es niemand gesehen hat.) Jetzt stellt sich jeder vor, wie es sich anfühlte, wenn dieses Erlebnis auf Youtube (oder Youporn oder orf.at oder was auch immer) veröffentlicht werden würde. Vor diesem Gefühl schützt einen der Datenschutz. Und natürlich davor, dass riesige, gesichtslose Konzerne die kaum Steuern zahlen mit den Daten von uns Milliarden scheffeln und wir es weder wissen noch etwas dagegen tun können.
Was hat das mit unserem Verletzten zu tun, der mit letzter Kraft 112 gewählt hat? Genau, gar nichts.
In so einem Fall kann sogar man mit übergesetzlichem Notstand argumentieren, muss man aber gar nicht. Das Datenschutzgesetz erlaubt die Verwendung von Daten für genau solche Fälle (§ 8 Abs 1 Z 3 DSG wenn lebenswichtige Interessen des Betroffenen die Verwendung erfordern, und die nächste Ziffer würde es auch erlauben, wenn der Verletzte mit einem fremden Handy anruft bzw ein Dritter mit dem Handy des Verletzen). Das gilt auch für sensible Daten (wie zB Gesundheitsdaten), aber bloße Standortdaten sind das nicht.
Ich muss zugeben, ich habe bei dem Vortrag nicht nachgefragt - es war eine recht beiläufige Erwähnung, und hatte sonst mit dem Thema nicht viel zu tun.
Vermutlich aber hat er gemeint, dass in so einem Fall eine Standortbestimmung nicht möglich ist, weil die Sicherheitsschranken, die wegen des Datenschutzes eingezogen wurden, zu viel Zeit brauchen, um abgeschaltet zu werden. Ich habe viel zu wenig Hintergrundwissen, um denen jetzt vorzuwerfen, das Kind mit dem Bade in den Brunnen geschüttet zu haben - ich finde Rettung, Polizei, Feuerwehr sollten vertrauenswürdige Leute beschäftigen, die in Notfällen ohne Bürokratie und Hürden so schnell wie technisch möglich den Standort von AnruferInnen etc bestimmen können. Die Kontrolle für solche Institutionen sollte nachträglich erfolgen, weil das Missbrauchspotential verhältnismäßig gering ist, es aber sonst zu Todesfällen kommen kann.
Abgesehen davon, Google, Apple, Niantic und zig Firmen mehr wissen auch dauernd, wer wo ist.
PS: Ich habe keine Ahnung, ob diese Standortbestimmungen überhaupt so genau und zuverlässig sind, dass sie für Rettung und Co überhaupt irgendwas bringen - aber wie gesagt, der Vortragende vom Fach hat gesagt, es geht wegen Datenschutz nicht, und nicht weil es nur selten irgendwas bringt.
Für den aktuellen Stand der Diskussion auf EU-Ebene zur neuen Datenschutzverordnung ("E-Privacy-Verordnung") darf ich auf diesen Artikel von FM4 verweisen:
Spoileralarm: Der Datenschutz ist auf EU-Ebene "allem Lobbying zum Trotz" noch nicht ganz tot, was mich - positiv - überrascht.
Aber noch ist nicht des Verordnungsgebungsprozess Ende erreicht, und die heutige Freude über Privacy by Design (also dem derzeit im Vorschlag noch enthaltenen Gebot, dass Software udgl nur mit datenschutzfreundlichen Grundeinstellungen ausgeliefert werden darf) kann noch Konsternierung - oder noch größerer Freude weichen.
Ansonsten noch ein lob an FM4, dass die an dem Thema Datenschutz immer konsequent und qualitativ hochwertig dran bleiben.
@Handypeilung im Notfall: Leider war es lange nicht so einfach, Stichwort Kommunikationsgeheimnis. Habe jetzt als ersten Treffer folgenden Ö24 Artikel gefunden:
Mir ist es bisher nicht gelungen alle Erwägungsgründe zu lesen, vom Text gar nicht erst zu reden.
Egal, die VO bedarf ja ohnehin einer Umsetzung (da lerne ich mal wieder, dass mein studientechnisches Grundwissen veraltet durch die Änderungen der Verträge der EU).
Diese Umsetzung ist nunmehr durchs Parlament gewunken worden, allerdings ohne Verfassungmehrheit, was einen Flickenteppich vermuten lässt. Entwurf habe ich aber auch nicht gelesen, naja, ich schau mir dann das fertige Gesetz an.
Österreich hat Übrigens gegen die VO gestimmt, wie diesem Artikel zu entnehmen ist:
1. Der Beschluss des Rates über den Abschluss des Abkommens zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen im Namen der Union ist auf Art. 16 Abs. 2 gemeinsam mit Art. 87 Abs. 2 Buchst. a AEUV zu stützen.
2. Das Abkommen zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen ist nicht mit Art. 7, Art. 8, Art. 21 und Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union vereinbar, soweit es die Übermittlung sensibler Daten aus der Europäischen Union nach Kanada und die Verwendung und Speicherung solcher Daten nicht ausschließt.
3. Das Abkommen zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen muss, um mit Art. 7, Art. 8 und Art. 52 Abs. 1 der Charta der Grundrechte vereinbar zu sein,
a) die aus der Europäischen Union nach Kanada zu übermittelnden Fluggastdatensätze klar und präzise definieren,
b) vorsehen, dass die im Rahmen der automatisierten Verarbeitung von Fluggastdatensätzen verwendeten Modelle und Kriterien spezifisch und zuverlässig sowie nicht diskriminierend sind und dass nur Datenbanken verwendet werden, die von Kanada im Zusammenhang mit der Bekämpfung des Terrorismus und grenzübergreifender schwerer Kriminalität betrieben werden,
c) außer im Rahmen der Überprüfungen der im Voraus festgelegten Modelle und Kriterien, auf denen die automatisierte Verarbeitung der Fluggastdatensätze beruht, die Verwendung von Fluggastdatensätzen durch die zuständige kanadische Behörde während des Aufenthalts der Fluggäste in Kanada und nach ihrer Ausreise aus diesem Land sowie jede Weitergabe der Daten an andere Behörden materiell- und verfahrensrechtlichen Voraussetzungen unterwerfen, die sich auf objektive Kriterien stützen, sowie diese Verwendung und Weitergabe – außer in hinreichend begründeten Eilfällen – einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsstelle unterwerfen, wobei die Entscheidung, mit der die Verwendung genehmigt wird, im Anschluss an einen mit Gründen versehenen Antrag ergeht, der von den zuständigen Behörden insbesondere im Rahmen von Verfahren zur Verhütung, Aufdeckung oder Verfolgung von Straftaten gestellt wird,
d) die Speicherung von Fluggastdatensätzen nach der Ausreise der Fluggäste auf die Daten von Fluggästen beschränken, für die objektive Anhaltspunkte dafür vorliegen, dass von ihnen eine Gefahr im Zusammenhang mit der Bekämpfung des Terrorismus und grenzübergreifender schwerer Kriminalität ausgehen könnte,
e) die Weitergabe von Fluggastdatensätzen durch die zuständige kanadische Behörde an Behörden eines Drittlands davon abhängig machen, dass es ein Abkommen zwischen der Europäischen Union und dem betreffenden Drittland, das dem Abkommen zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen äquivalent ist, oder einen Beschluss der Kommission gemäß Art. 25 Abs. 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr gibt, der sich auf die Behörden erstreckt, an die Fluggastdatensätze weitergegeben werden sollen,
f) ein Recht auf individuelle Information der Fluggäste im Fall der Verwendung der sie betreffenden Fluggastdatensätze während ihres Aufenthalts in Kanada und nach ihrer Ausreise aus diesem Land und im Fall der Weitergabe dieser Daten durch die zuständige kanadische Behörde an eine andere Behörde oder an Einzelpersonen vorsehen und
g) gewährleisten, dass die Kontrolle der Einhaltung der Regeln des Abkommens zwischen Kanada und der Europäischen Union über die Übermittlung und Verarbeitung von Fluggastdatensätzen für den Schutz der Fluggäste bei der Verarbeitung der sie betreffenden Fluggastdatensätze durch eine unabhängige Kontrollstelle sichergestellt wird.
Das Bundesverwaltungsgericht hat sich zum Thema #Datenschutz und #Dashcam geäußert:
BVwG 30.01.2015, W214 2011104-1
DatenschutzG; Bilddaten (aus einer in einem Auto installierten Videoüberwachung – „Dashcam“) sind als personenbezogene Daten zu werten; aufgrund des staatlichen Gewaltmonopols sind grundsätzlich nur die Sicherheitsbehörden zur Durchführung von Videoüberwachungen berechtigt; am Vorliegen einer Videoüberwachung ändert auch der Umstand nichts, dass die ggst Kamera nur bei starker Erschütterung des Autos oder bei Drücken des SOS-Buttons die Bilddaten, die innerhalb von 60 Sekunden verarbeitet wurden, leserlich auf der SD-Karte verarbeitet und anschließend den Sicher-heitsbehörden und Staatsanwaltschaften übermittelt
An sich wenig überraschend: Dashcams brauchen eine datenschutzbehördliche Bewilligung.
@obiges Post von harald und Recht auf Information:
Für's erste mache ich kein eigenes Topic dafür, aber falls es mehr Postings zum Thema gibt, dann schon. Ich persönlich würde ein entsprechendes Topic nur sehr sporadisch befüllen, aber wenn Du mehr dazu posten würdest, mache ich gerne eins auf, ist ja grundsätzlich ein lohnendes Thema.
Ergänzend muss ich noch festhalten, dass die Entscheidung vom VwGH am 12.09.2016, Zl Ro 2015/04/0011, bestätigt wurde.
1. Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung ist im Licht der Art. 7, 8 und 11 sowie des Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die für Zwecke der Bekämpfung von Straftaten eine allgemeine und unterschiedslose Vorratsspeicherung sämtlicher Verkehrs- und Standortdaten aller Teilnehmer und registrierten Nutzer in Bezug auf alle elektronischen Kommunikationsmittel vorsieht.
2. Art. 15 Abs. 1 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung ist im Licht der Art. 7, 8 und 11 sowie des Art. 52 Abs. 1 der Charta der Grundrechte dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die den Schutz und die Sicherheit der Verkehrs- und Standortdaten, insbesondere den Zugang der zuständigen nationalen Behörden zu den auf Vorrat gespeicherten Daten zum Gegenstand hat, ohne im Rahmen der Bekämpfung von Straftaten diesen Zugang ausschließlich auf die Zwecke einer Bekämpfung schwerer Straftaten zu beschränken, ohne den Zugang einer vorherigen Kontrolle durch ein Gericht oder eine unabhängige Verwaltungsbehörde zu unterwerfen und ohne vorzusehen, dass die betreffenden Daten im Gebiet der Union auf Vorrat zu speichern sind.
3. Die zweite Vorlagefrage des Court of Appeal (England & Wales) (Civil Division) (Berufungsgericht [England und Wales] [Abteilung für Zivilsachen], Vereinigtes Königreich) ist unzulässig.
Und diesmal geht's um Zugang zu Dokumenten, die die Vorratsdatenspeicherung betreffen und die die Kommission nicht rausrücken wollte. Der EuGH hat gesagt, die Kommission muss die Schriftsätze Österreichs, die zu diesem Verfahren im Besitz der Kommission sind, rausrücken.
Zugang zu Dokumenten Teil 2: Excel Tabellen betreffend Emissionszertifkate, die von einem Mitgliedsstaat übermittelt werden: Die Kommission will dies nicht bekannt geben, EuGH erklärt die Entscheidung für nichtig:
Und was Interessantes vom EGMR gibt's auch: 8806/12 vom 22.06.2017, Affaire Aycaguer c. France:
Ein Franzose geht im Rahmen einer politisch motivierten Versammlung auf die Gendarmerie los. In der Folge soll er erkennungsdienstlich behandelt werden und seine DNA in einer Datenbank erfasst werden. Er weigert sich und fasst für die Weigerung eine strafgerichtliche Strafe aus. Speicherdauer in der Datenbank ist 40 Jahre.
EGMR kommt zu einer Verletzung des Art. 8 EMRK, da diese Behandlung unverhältnismäßig ist. Da wurden doch glatt auch mal 3.000 € "Schadenersatz" zugesprochen!
Die Entscheidung ist nur auf Französisch nachlesbar und deshalb nicht verlinkt.
Zugang zu Datenbanken: Der Antragsteller wollte Zugang zu Daten aus der Bewerbungsdatenbank von EPSO nach einer Bewerbung. Der EuGH ist bei Datenbankzugang restriktiver. Einfache Suchabfragen sind ok, mehr nicht.
Der EuGH sagt Folgendes zur Auslegung der Datenschutzrichtlinie:
RS C‑13/16, vom 04.05.2017
Art. 7 Buchst. f der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass er nicht dazu verpflichtet, einem Dritten personenbezogene Daten zu übermitteln, damit er vor einem Zivilgericht Klage auf Ersatz eines durch die betreffende Person verursachten Schadens erheben kann. Jedoch steht er der Übermittlung solcher Daten auf der Grundlage des nationalen Rechts nicht entgegen.
Last edited by harald on 07 Sep 2017, 12:27, edited 1 time in total.
Datenschutz: VDR verschärft den Kurs gegen IATA und PRISM
Der Verband Deutsches Reisemanagement (VDR) hat beim deutschen Bundeskartellamt eine Eingabe gegen PRISM und IATA eingereicht. Es geht um die laut VDR „datenschutz- und wettbewerbsrechtlich heikle Praxis der Weitergabe von Unternehmensdaten an PRISM bei der Buchung von Flugreisen“.
„Unsere Eingabe gegen PRISM und die IATA beim Bundeskartellamt ist ein weiterer Schritt, um Unterstützung für unsere bisherige Arbeit gegen Marktabsprachen und für einen besseren grenzüberschreitenden Datenschutz zu erhalten“, erklärt VDR-Präsident Dirk Gerdom in einer Aussendung.
Aus Sicht des VDR entspreche der Umgang mit Informationen durch den US-amerikanischen Datenhändler PRISM Group nicht dem Bedürfnis der Mitglieder nach Schutz und Sicherheit ihrer Daten. „Zudem verfälscht die Weitergabe von Verkaufsdaten den Wettbewerb zwischen den Fluggesellschaften und schwächt die Verhandlungsposition unserer Mitgliedsunternehmen gegenüber den Airlines. Wir ermutigen das Kartellamt daher, Ermittlungen im Sinne eines fairen Wettbewerbs und der Einhaltung deutscher und europäischer Datenschutzbestimmungen aufzunehmen“, so Gerdom.
Monitoring der Firmenverträge bringt Wettbewerbsvorteil
Die PRISM Group wird von zahlreichen Airlines unter anderem dafür eingesetzt, das Monitoring der Firmenverträge durchzuführen. Durch Ankauf von Marktdaten bei PRISM können sich die Fluggesellschaften einen Wettbewerbsvorteil in Verhandlungen mit Unternehmen verschaffen. So ist es den Airlines möglich, mit dem Wissen über das Reiseverhalten von Geschäftsreisenden und Kenntnis der Wettbewerbssituation auf einer bestimmten Flugstrecke, nachfragebezogene Preisanpassungen zum Nachteil der Kunden vorzunehmen.
„Auf einer Flugverbindung wie etwa von Frankfurt nach Paris, die derzeit von nur zwei Airlines bedient wird, kann ein Wettbewerber durch Datenankauf an sensible Informationen wie Flugmengen, Durchschnittspreise und Nachfragesituation des jeweiligen Konkurrenten gelangen. Diese Praxis verstößt unserer Ansicht nach gegen den Geheimwettbewerb“, meint Gerdom. Zudem gehörten unternehmensbezogene Reisedaten „allein den jeweiligen Mitarbeitern und Unternehmen“.
In der Praxis sei es aber so, dass Fluggesellschaften die Zustimmung zur Weitergabe der Daten an PRISM zur Voraussetzung für einen Vertragsschluss machten. „Mit diesem Einwilligungszwang schränken die Airlines die Wahl- und Entscheidungsfreiheit ihrer Kunden massiv ein. Es ist nicht nachvollziehbar, warum Flugbuchungsdaten an einen weiteren Marktteilnehmer wie die PRISM Group geliefert werden sollten. Hier entsteht eine zusätzliche Stelle, wo Mitarbeiter- und Unternehmensdaten außerhalb des Unternehmens lagern – zudem in einem Drittland außerhalb der EU“, ergänzt Gerdom. (red)
1. Art. 2 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass eine dynamische Internetprotokoll-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.
2. Art. 7 Buchst. f der Richtlinie 95/46 ist dahin auszulegen, dass er einer Regelung eines Mitgliedstaats entgegensteht, nach der ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung nur erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die konkrete Inanspruchnahme der Dienste durch den betreffenden Nutzer zu ermöglichen und abzurechnen, ohne dass der Zweck, die generelle Funktionsfähigkeit der Dienste zu gewährleisten, die Verwendung der Daten über das Ende eines Nutzungsvorgangs hinaus rechtfertigen kann.
Der EGMR ist auch nicht zimperliche mit der Uminterpretation von Entscheidungen nationaler Gerichte. Das Ergebnis wird schon stimmen, aber der Weg dorthin ist teilweise ganz schön erstaunlich
05.09.2017, Beschwerde Nr 61496/08, Bărbulescu / Romania (GK)
Verletzung von Art 8 EMRK (Recht auf Achtung des Briefverkehrs); Entlassung des Bf infolge Nutzung des Internets der
Firma zu privaten Zwecken; konventionswidrige Überwachung der elektronischen Kommunikation des Bf durch den Arbeitgeber;
Nichtvornahme einer entsprechenden Interessenabwägung
Art. 2 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass unter Umständen wie denen des Ausgangsverfahrens die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung und etwaige Anmerkungen des Prüfers zu diesen Antworten „personenbezogene Daten“ im Sinne dieser Bestimmung darstellen.
EGMR vom 28.11.2017, Beschwerde Nr. 70838/13, Antovic und Mirkovic / Montenegro
Verletzung Art 8 EMRK (Recht auf Privat- und Familienleben); Videoüberwachung in Hörsälen einer Universität betrifft die Arbeitsplätze der bf Professoren, wo diese mit den Studenten interagieren; Eingriff in das Recht auf Privatleben; fehlende Einhaltung der innerstaatlichen datenschutzrechtlichen Anforderungen an Videoüberwachungen stellt eine Konventionswidrigkeit dar
Quelle: JKU Newsletter
Anscheinend waren vorher Langfinger in einem Labor am Werk, weshalb es zuerst zur Anstellung von Securitys kam und später zu besagter Videoüberwachung!
Der liefert einen guten Einstieg in das Thema, ua personenbasierte Werbung.
„Man kann sich das Machtungleichgewicht zwischen datensammelnden Firmen und Einzelpersonen vorstellen wie beim Pokerspiel. Die eine Seite hat die Karten verdeckt, die andere muss mit offenen Karten spielen. Es wird immer die Seite verlieren, deren Karten aufgedeckt liegen. Wie beim Pokern können Firmen das gesammelte Wissen gegen uns verwenden. Sie können die Handlungen von Internet-Nutzern besser beeinflussen, manipulieren, sie austricksen oder einfach das meiste aus ihnen herausholen“, sagt Christl im Gespräch mit der futurezone.
Auch um Dark Posts auf FB geht es (das sind Posts, die nur bei der Zielgruppe aufscheinen, aber nicht zB bei der FB-Seite der Partei, die sie beauftragt:
„Damit kann eine Partei bei politischen Kampagnen bestimmten Zielgruppen gewisse Versprechen machen und anderen genau das Gegenteil erzählen“, so Christl.
Die verurteilten Mörder des Schauspielers Walter Sedlmayr wollten vor dem Europäischen Gerichtshof für Menschenrechte erreichen, dass alte Pressetexte mit ihren vollständigen Namen online künftig nicht mehr für Leser zugänglich gemacht werden dürfen
Die beiden Männer sahen dadurch ihr Menschenrecht auf Achtung des Privatlebens verletzt. Mit Unterlassungsklagen gegen die Medien waren sie jedoch vor deutschen Gerichten gescheitert.
Auch in Straßburg wurde ihnen nun eine Absage erteilt. An einem solchen Mordfall bestehe großes öffentliches Interesse. Dass Journalisten hier selbst erwägen können, welche Details veröffentlicht werden, sei im Sinne der Pressefreiheit, sofern ethische Normen dabei eingehalten werden. Zudem gibt es keine Zweifel an der Wahrhaftigkeit der jeweiligen Artikel. Ein Teil sei zudem nicht für alle Besucher zugänglich, da mittlerweile hinter einer Paywall versteckt oder nur für Abonnenten zugänglich. Und die Täter hätten erst vor einigen Jahren selber um weitere Berichterstattung in der Sache gebeten.
Es könnte noch die Große Kammer (Grand Chamber) angerufen werden, soweit ich weiß ändert das aber zumeist nicht viel.
Aus der Presseerklärung des EGMR (leider nicht verlinkbar):
Entsprechend habe der Bundesgerichtshof hervorgehoben, dass das Risiko einer abschreckenden
Wirkung auf den Gebrauch der Meinungsfreiheit durch die Presse bestünde, würde den Anträgen
auf Löschung der individualisierenden Merkmalen in den Berichten stattgegeben werden. Eine stete
Verpflichtung, solche Artikel auf Anfrage der betroffenen Person auf ihre Rechtmäßigkeit zu prüfen,
berge die Gefahr, dass die Presse davon absähe, ihre Archive online zu stellen, oder dass sie
individuelle Informationen in Nachrichten auslassen würde, die später zu solchen Anfragen führen
könnten. Die Rechte einer Person, deren Daten im Internet veröffentlicht wurden, müssten gegen
das Recht der Öffentlichkeit, über vergangene Ereignisse und die Zeitgeschichte informiert zu
werden, insbesondere unter Verwendung von digitalen Pressearchiven, abgewogen werden. Soweit
M.L. und W.W. nicht die Löschung der streitigen Berichte, sondern nur deren Anonymisierung
forderten, hält der Gerichtshof fest, dass die Anonymisierung eine weniger eingriffsintensive
Maßnahme für die Meinungsfreiheit der Presse darstellt als die Entfernung eines ganzen Artikels. Er
gibt jedoch zu bedenken, dass die Art und Weise, wie mit einem Thema umgegangen werde, eine
Frage der journalistischen Freiheit ist und Artikel 10 der Konvention den Journalisten die
Entscheidung darüber lasse, welche Einzelheiten veröffentlicht werden sollten und welche nicht,
sofern diese Auswahl den ethischen Standards ihres Berufes und ihren Standesregeln entspreche.
Der Gerichtshof ist daher der Auffassung, dass die Aufnahme von individualisierenden Elementen in
einen Bericht, etwa des vollständigen Namens des Betroffenen, einen wichtigen Aspekt der
Pressearbeit darstelle, gerade im Falle von Strafverfahren, die ein beträchtliches Interesse der
Öffentlichkeit geweckt hätten.
Der Gerichtshof kommt daher zu dem Schluss, dass die verfügbaren, strittigen Berichte auf den
Internetseiten der Medien auch zum Zeitpunkt des Eingangs der Beschwerden von M. L. und W. W.
noch zu einer Debatte von allgemeinem Interesse beitrugen, welches selbst durch den Zeitablauf
nicht erloschen sei.
Hier noch der Link zum Erkenntnis, wenn er funktioniert - es ist aber auf französisch. https://hudoc.echr.coe.int/eng#{%22disp ... isocode%22:[%22FRE%22],%22documentcollectionid2%22:[%22JUDGMENTS%22],%22itemid%22:[%22001-184438%22]}
Bei der Post geht's rund und ist schon Mal in der ersten Runde ein schlechter Verlierer:
Die Datenschutzbehörde hatte Berichte, wonach die Österreichische Post Aktiengesellschaft (Post) Daten zur Parteiaffinität verarbeite, zum Anlass genommen, ein amtswegiges Prüfverfahren einzuleiten. Dieses habe hervorgebracht, dass das Unternehmen tatsächlich im Rahmen des Gewerbes "Adressverlage und Direktmarketingunternehmen" mittels statistischer Verfahren und ähnlichem die Parteiaffinitäten von Personen ermittelt.
Alle Daten müssen gelöscht werden
"Sofern im Einzelfall kein Grund für eine weitere Verarbeitung gegeben ist" müssen nun alle Daten – sollte dies noch nicht geschehen sein – von der Post gelöscht werden. Ausnahmen gibt es dann, wenn es um die Bearbeitung von Auskunftsersuchen geht oder tatsächlich eine Einwilligung zur Verarbeitung vorliegt.
Darüber hinaus stellte die Datenschutzbehörde auch fest, dass die Datenschutz-Folgenabschätzung für diese Datenverarbeitung und der Eintrag in das interne Verzeichnis der Verarbeitungstätigkeiten mangelhaft seien. Es wurde angeordnet, die Datenschutz-Folgenabschätzung zu wiederholen und den Eintrag richtigzustellen, hieß es vonseiten der Datenschutzbehörde.
Post wird Rechtsmittel einlegen
Die Österreichische Post nimmt die Kritik bezüglich ihrer Datensammlung zur Kenntnis, sieht sich aber weiter im Recht. Man habe keine individuellen Daten zur Parteizugehörigkeit erfasst, sondern ledigliche Hochrechnungen angestellt, erklärt man. Manwerde Rechtsmittel gegen die Anordnung der Behörde ergreifen.
"Wir vertreten nach wie vor eine andere Rechtsmeinung und planen daher Rechtsmittel zu ergreifen, um eine Klärung der rechtlichen Auslegung in dieser neuen Gesetzesmaterie auch für die Zukunft zu erwirken", hieß es aus dem Unternehmen.
Datenschutz: Zweites Verfahren gegen Post
Die Post muss sich nicht nur einem Prüfverfahren stellen, weil sie Daten zur Parteiaffinität sammelte, sondern auch, weil sie personalisierte Werbung an Menschen verschickte.
Der Datenschutz-Negativpreis wurde auch dieses Jahr vergeben.
Die Jury konnte diesmal aus dem Vollen schöpfen.
"Prämiert" wurde zum wiederholten Mal die österreichische Post für das Datensammeln insbesondere von angeblicher Parteiaffinität (siehe Posting darüber und hier)
"Gewonnen" hat weiters der Jö Bonusclub. Trotz Warnungen aller datenschutzrelevanter Player hat er schon fast 4 Mio Mitglieder, die freiwillig Rewe und Konsorten ihre Daten schenken für ab und zu mal 10% Nachlass, und das in einem komplizierten bis undurchblickbaren Bonuspunkte-System.
In der Kategorie "Politik" ging die "Ehrung" an das digitale Vermummungsverbot durch SIM-Registrierung (von dem kortz.at ausgenommen ist).
Beim "weltweiten Datenhunger" waren gleich mehrere Konzerne nominiert, die uns 24/7 abhören. Durchgesesetzt hat sich Microsoft mit Skype, nicht weil die die schlimmsten sind (ist nicht wirklich quanitifzierbar), sondern weil sich die am uneinsichtigsten (oder doch nur ehrlichsten?) verhalten haben.
Wenn es Reaktionen der Prämierten gibt, dann sollten die auf der HP sein, derzeit sind aber keine.
Air B'n'B, der Urlaubsdomizilvermittler, hat ein Patent erwirkt, mit dem sie die Gefährlichkeit von potentiellen Urlaubern (laut dem Artikel aber nicht der Gastgeber) erheben wollen.
Dem Patentantrag zufolge kann Airbnb mit der Software die Social-Media-Profile von potentiellen Gästen auf Merkmale wie „Offenheit“ oder „Gewissenhaftigkeit“ durchsuchen und diese Daten mit „sicheren Drittanbieter-Datenbanken“ abgleichen. Auch Strafregister sollen abgefragt werden und es gibt Abfragekategorien für die „Involvierung in Straftaten“ sowie „Neurotizismus“. Auch die Kriterien „Narzissmus, Psychopath oder Machiavellismus“ werden als „nicht vertrauenswürdig“ eingestuft.
Um festzustellen, ob potentielle Airbnb-Gäste falsche Social-Media-Profile angegeben haben, soll auch eine KI eingesetzt werden. Nutzer sollen außerdem Punkteabzug bekommen, wenn sie Bilder von Alkohol, Drogen oder Sex-Arbeit über Social-Media-Kanäle teilen. Auch Nutzer, die „in Pornografie involviert“ seien, sowie Menschen, die „negative Sprache“ benutzen und Hassnachrichten versenden, werden im Score schlecht bewertet.
Die Software soll außerdem online nach Artikeln über eine Person suchen, die im Zusammenhang mit Kriminalität und schweren Verbrechen stehen. Auch private Blogs von Menschen werden analysiert, um das „Persönlichkeitsprofil“ des potentiellen Gastes zu verfeinern. Um das Ganze abzurunden, werden Merkmale wie Beruf und „soziale Verbindungen“, also wer mit wem befreundet ist, in Verbindung gebracht. Danach werde die „Kompatibilität“ zwischen Gast und Host ermittelt, heißt es im Patentantrag.
Die Fuzo schlussfolgert, dass die Software auch schon verwendet wird.
Interessant wäre zu wissen, wie falsch die Ergebnisse sind.
Es zeigt aber einen schönen Blick in die Zukunft, globale Riesenplayer können sich leisten (ökonomisch, rechtlich etc), solche Sachen einzusetzen (egal wie falsch die Ergebnisse sind) und irgendwelche Leute einfach so auszuschließen. Der Einzelne hat natürlich kein Recht, bei Amazon einzukaufen oder sich von einem Uber abholen zu lassen. Die Frage ist natürlich, wenn solche angeblichen "Risikoanalysen" verbreitet werden und günstig für Dritte gemacht werden.
Würde eine Bank einem offenen Drogenabhängigen Kredit geben?
Würde ein Vermieter einem neurotischen Pornodarsteller eine Wohnung vermieten?
usw
Zu Ende gedacht führt das zu einer semi-digitalen Unberührbaren-Kaste, denn die Frage ist, wenn man mal als Psychopath "analysiert" wurde und der erste Bigplayer einem ablehnt, was werden dann die anderen machen?
Videoüberwachung in Gemeinschaftsbereichen eines Wohngebäudes grundsätzlich zulässig.
Im Ausgangsfall wurde der Aufzug mehrfach verwüstet und es kam zu Diebstählen und Einbrüchen im Gemeinschaftsbereich. Die Eigentümer haben den Kläger überstimmt und der Einrichtung von 3 Kameras im Foyer, Aufzug und an der Fassade des Gebäudes zugestimmt.
C-708/18 vom 11.12.2019
Art. 6 Abs. 1 Buchst. c und Art. 7 Buchst. f der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind im Licht der Art. 7 und 8 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass sie nationalen Vorschriften nicht entgegenstehen, wonach es zulässig ist, ohne Einwilligung der betroffenen Personen ein Videoüberwachungssystem wie das im Ausgangsverfahren in Rede stehende, in den Gemeinschaftsbereichen eines Wohngebäudes installierte einzurichten, um berechtigte Interessen wahrzunehmen, die darin bestehen, den Schutz und die Sicherheit von Personen und Eigentum zu gewährleisten, wenn die mittels dieses Videoüberwachungssystems erfolgende Verarbeitung personenbezogener Daten den Voraussetzungen des Art. 7 Buchst. f entspricht, was zu prüfen Sache des vorlegenden Gerichts ist.
In diesem Post geht es um das "datr" Cookie von Facebook. Rudimentär gesagt, ist das Cookie anhänglicher als ein "gewöhnliches" und wird durch Facebook Buttons auf den verschiedenen Homepages immer wieder ausgelesen.
Das Unangenehme an diesem Cookie ist die Verfolgung von ausgeloggten bzw. nicht registrierten Usern. Für weitere Details den Links folgen.
Belgische Gerichte wollten dem erstinstanzlich einen Riegel vorschieben, das Berufungsgericht hat jedoch die Unzuständigkeit wahrgenommen und auf die Zuständigkeit Irlands verwiesen. Das ganze spielte sich 2015/2016 ab.
Ergänzung: jetzt bin ich auch auf der Homepage des EuGH fündig geworden, das Verfahren hat die Zahl:
C-645/19
Laut EuGH Homepage wurden die Fragen am 30.08.2019 eingereicht. Das ist ein ziemlich langer weg, wenn im Artikel steht, dass am 08.05.2019 das Gericht beschlossen hat, dass es ein Vorabentscheidungsersuchen stellt.
Die Fragen sind durchaus spannend:
Sind die Art. [55 Abs. 1], 56 bis 58 und 60 bis 66 der Verordnung 2016/6791 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG [im Folgenden: DSGVO] in Verbindung mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine Aufsichtsbehörde, die nach den in Umsetzung von Art. [58 Abs. 5] dieser Verordnung erlassenen nationalen Rechtsvorschriften befugt ist, bei Verstößen gegen diese Verordnung eine Klage vor einem Gericht ihres Mitgliedstaats zu erheben, diese Befugnis im Rahmen einer grenzüberschreitenden Verarbeitung nicht ausüben kann, wenn sie nicht die federführende Aufsichtsbehörde für diese grenzüberschreitende Verarbeitung ist?
Macht es dabei einen Unterschied, wenn der für diese grenzüberschreitende Verarbeitung Verantwortliche seine Hauptniederlassung nicht in diesem Mitgliedstaat hat, wohl aber eine andere Niederlassung?
Macht es dabei einen Unterschied, ob die nationale Aufsichtsbehörde die Klage gegen die Hauptniederlassung des Verantwortlichen oder gegen die Niederlassung in ihrem eigenen Mitgliedstaat erhebt?
Macht es dabei einen Unterschied, dass die nationale Aufsichtsbehörde die Klage bereits vor dem Zeitpunkt des Inkrafttretens dieser Verordnung (25. Mai 2018) erhoben hat?
Falls die erste Frage bejaht wird: Entfaltet Art. [58 Abs. 5] der DSGVO unmittelbare Wirkung, so dass sich eine nationale Aufsichtsbehörde auf diese Vorschrift berufen kann, um ein Gerichtsverfahren gegen einzelne Parteien einzuleiten oder fortzusetzen, selbst wenn Art. [58 Abs. 5] dieser Verordnung nicht in nationales Recht umgesetzt worden ist, obwohl eine dahin gehende Verpflichtung besteht?
Falls die vorherigen Fragen bejaht werden: Kann das Ergebnis solcher Verfahren einer gegenteiligen Feststellung der federführenden Aufsichtsbehörde entgegenstehen, wenn diese federführende Aufsichtsbehörde dieselben oder ähnliche grenzüberschreitende Verarbeitungsvorgänge nach dem in den Art. 56 und 60 der DSGVO vorgesehenen Mechanismus untersucht?
Das "Datr" Cookie spielte auch Rolle bei der Einbindung eines Facebook Plugins auf einer Online Modehändlerseite. Das Ergebnis kurz zusammengefasst: Jeder ist Verantwortlicher für den Teil der Cookieverwendung, den er nutzt und hat dafür eine entsprechende Einwilligungserklärung einzuholen. Fazit: Cookie Problem in Zusammenhang mit Facebook nicht wirklich gelöst.
C‑40/17 vom 29.07.2019
1. Die Art. 22 bis 24 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind dahin auszulegen, dass sie einer nationalen Regelung, die es Verbänden zur Wahrung von Verbraucherinteressen erlaubt, gegen den mutmaßlichen Verletzer von Vorschriften zum Schutz personenbezogener Daten Klage zu erheben, nicht entgegenstehen.
2. Der Betreiber einer Website wie die Fashion ID GmbH & Co. KG, der in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, kann als für die Verarbeitung Verantwortlicher im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 angesehen werden. Diese Verantwortlichkeit ist jedoch auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten beschränkt, für den bzw. für die er tatsächlich über die Zwecke und Mittel entscheidet, d. h. das Erheben der in Rede stehenden Daten und deren Weitergabe durch Übermittlung.
3. In einer Situation wie der im Ausgangsverfahren in Rede stehenden, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, ist es erforderlich, dass der Betreiber und der Anbieter mit diesen Verarbeitungsvorgängen jeweils ein berechtigtes Interesse im Sinne von Art. 7 Buchst. f der Richtlinie 95/46 wahrnehmen, damit diese Vorgänge für jeden Einzelnen von ihnen gerechtfertigt sind.
4. Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 sind dahin auszulegen, dass in einer Situation wie der des Ausgangsverfahrens, in der der Betreiber einer Website in diese Website ein Social Plugin einbindet, das den Browser des Besuchers dieser Website veranlasst, Inhalte des Anbieters dieses Plugins anzufordern und hierzu personenbezogene Daten des Besuchers an diesen Anbieter zu übermitteln, die nach diesen Vorschriften zu erklärende Einwilligung von dem Betreiber nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten einzuholen ist, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet. Darüber hinaus ist Art. 10 dieser Richtlinie dahin auszulegen, dass in einer solchen Situation auch die in dieser Bestimmung vorgesehene Informationspflicht den Betreiber trifft, wobei dieser die betroffene Person jedoch nur in Bezug auf den Vorgang oder die Vorgänge der Verarbeitung personenbezogener Daten informieren muss, für den bzw. für die dieser Betreiber tatsächlich über die Zwecke und Mittel entscheidet.
Daher werfe ich mal wieder eine Blick auf Max Schrems.
Seit dem gloriosen Sieg beim EuGH in der RS C-362/14 war er weiter fleißig.
1.) Entscheidung des EuGH C‑498/16 vom 25.01.2018:
1. Art. 15 der Verordnung (EG) Nr. 44/2001 des Rates vom 22. Dezember 2000 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen ist dahin auszulegen, dass ein Nutzer eines privaten Facebook-Kontos die Verbrauchereigenschaft im Sinne dieses Artikels nicht verliert, wenn er Bücher publiziert, Vorträge hält, Websites betreibt, Spenden sammelt und sich die Ansprüche zahlreicher Verbraucher abtreten lässt, um sie gerichtlich geltend zu machen.
2. Art. 16 Abs. 1 der Verordnung Nr. 44/2001 ist dahin auszulegen, dass er keine Anwendung auf die Klage eines Verbrauchers findet, mit der dieser am Klägergerichtsstand nicht nur seine eigenen Ansprüche geltend macht, sondern auch Ansprüche, die von anderen Verbrauchern mit Wohnsitz im gleichen Mitgliedstaat, in anderen Mitgliedstaaten oder in Drittstaaten abgetreten wurden.
Fazit: selber Klagen als Verbraucher ist drin, Sammelklage nach amerikanischen Vorbild geht nicht. War aber keine schlechte Idee, sich die AGB und somit Anwendbarkeit amerikanischen Rechts betreffend Sammelklagen anzueignen zu versuchen und das mit Gerichtsstand Österreich.
Zuständig ist nun das LG für ZRS Wien. Erste Verhandlung gab es am 11.11.2019 (Faschingsbeginn! ).
Ein Vorabentscheidungsersuchen vom High Court in Irland ist auch noch anhängig, da geht es um die Standardvertragsklauseln und den Datenexport ins Drittland USA.
Schlussanträge vom 19.12.2019 sind da, allerdings nicht auf Deutsch übersetzt.
Der Generalanwalt sieht keine Probleme:
343. I propose that the Court answer the questions for a preliminary ruling referred by the High Court, Ireland, as follows:
Analysis of the questions for a preliminary ruling has disclosed nothing to affect the validity of Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council, as amended by Commission Implementing Decision (EU) 2016/2297 of 16 December 2016.
Eine voreingestellte Checkbox zur Zustimmung betreffend Verwendung von Cookies ist nicht ausreichend. Außerdem sind die Funktionen der Cookies anzugeben:
C-673/17 vom 01.10.2019
1. Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung) sind dahin auszulegen, dass keine wirksame Einwilligung im Sinne dieser Bestimmungen vorliegt, wenn die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers einer Website gespeichert sind, mittels Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss.
2. Art. 2 Buchst. f und Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung in Verbindung mit Art. 2 Buchst. h der Richtlinie 95/46 bzw. mit Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung 2016/679 sind nicht unterschiedlich auszulegen, je nachdem, ob es sich bei den im Endgerät des Nutzers einer Website gespeicherten oder abgerufenen Informationen um personenbezogene Daten im Sinne der Richtlinie 95/46 bzw. der Verordnung 2016/679 handelt oder nicht.
3. Art. 5 Abs. 3 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung ist dahin auszulegen, dass Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat.
Und eine grüne Politikerin aus Österreich hat auch etwas zur Rechtfortbildung der E-Commerce Rl durch ein Verfahren beigetragen (ich poste es mal hier unter Datenschutz, auch wenn es keine Kernentscheidung ist):
C-18/18 vom 03.10.2019
Die Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“), insbesondere ihr Art. 15 Abs. 1, ist dahin auszulegen, dass sie es einem Gericht eines Mitgliedstaats nicht verwehrt,
– einem Hosting-Anbieter aufzugeben, die von ihm gespeicherten Informationen, die den wortgleichen Inhalt haben wie Informationen, die zuvor für rechtswidrig erklärt worden sind, zu entfernen oder den Zugang zu ihnen zu sperren, unabhängig davon, wer den Auftrag für die Speicherung der Informationen gegeben hat;
– einem Hosting-Anbieter aufzugeben, die von ihm gespeicherten Informationen, die einen sinngleichen Inhalt haben wie Informationen, die zuvor für rechtswidrig erklärt worden sind, zu entfernen oder den Zugang zu ihnen zu sperren, sofern die Überwachung und das Nachforschen der von einer solchen Verfügung betroffenen Informationen auf solche beschränkt sind, die eine Aussage vermitteln, deren Inhalt im Vergleich zu dem Inhalt, der zur Feststellung der Rechtswidrigkeit geführt hat, im Wesentlichen unverändert geblieben ist, und die die Einzelheiten umfassen, die in der Verfügung genau bezeichnet worden sind, und sofern die Unterschiede in der Formulierung dieses sinngleichen Inhalts im Vergleich zu der Formulierung, die die zuvor für rechtswidrig erklärte Information ausmacht, nicht so geartet sind, dass sie den Hosting-Anbieter zwingen, eine autonome Beurteilung dieses Inhalts vorzunehmen;
– einem Hosting-Anbieter aufzugeben, im Rahmen des einschlägigen internationalen Rechts weltweit die von der Verfügung betroffenen Informationen zu entfernen oder den Zugang zu ihnen zu sperren.
Wurde jemand strafrechtlich verurteilt und wünscht das Delisting von Ergebnissen einer Suchmaschine, weil die Ergebnisse einen veralteten Verfahrensstand wiedergeben, so ist dies zulässig:
C-136/17 vom 24.09.2019
1. Die Bestimmungen von Art. 8 Abs. 1 und 5 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind dahin auszulegen, dass das darin enthaltene Verbot oder die darin enthaltenen Beschränkungen der Verarbeitung besonderer Kategorien personenbezogener Daten – vorbehaltlich der in dieser Richtlinie vorgesehenen Ausnahmen – auch auf den Betreiber einer Suchmaschine als den für die Datenverarbeitung bei der Tätigkeit dieser Suchmaschine Verantwortlichen in seinem Verantwortungsbereich im Rahmen seiner Befugnisse und Möglichkeiten bei Gelegenheit einer Prüfung anwendbar sind, die der Suchmaschinenbetreiber auf Antrag der betroffenen Person unter Aufsicht der zuständigen nationalen Behörden vornimmt.
2. Die Bestimmungen von Art. 8 Abs. 1 und 5 der Richtlinie 95/46 sind dahin auszulegen, dass der Suchmaschinenbetreiber auf ihrer Grundlage – vorbehaltlich der in dieser Richtlinie vorgesehenen Ausnahmen – grundsätzlich verpflichtet ist, Anträgen auf Auslistung von Links zu Websites stattzugeben, auf denen sich personenbezogene Daten der in dieser Bestimmung genannten besonderen Kategorien personenbezogener Daten befinden.
Art. 8 Abs. 2 Buchst. e der Richtlinie 95/46 ist dahin auszulegen, dass der Suchmaschinenbetreiber in Anwendung dieser Bestimmung einen Antrag auf Auslistung von Links ablehnen kann, wenn er feststellt, dass die Links zu Inhalten führen, die personenbezogene Daten der in Art. 8 Abs. 1 dieser Richtlinie genannten besonderen Kategorien enthalten, deren Verarbeitung aber unter eine der Ausnahmen in Art. 8 Abs. 2 Buchst. e der Richtlinie fällt, sofern die Verarbeitung alle sonstigen von der Richtlinie aufgestellten Voraussetzungen für die Zulässigkeit erfüllt und die betroffene Person nicht nach Art. 14 Abs. 1 Buchst. a der Richtlinie das Recht hat, aus überwiegenden, schutzwürdigen, sich aus ihrer besonderen Situation ergebenden Gründen gegen die Datenverarbeitung Widerspruch einzulegen.
Die Bestimmungen der Richtlinie 95/46 sind dahin auszulegen, dass der Suchmaschinenbetreiber, wenn er mit einem Antrag auf Auslistung eines Links zu einer Website befasst ist, auf der personenbezogene Daten der in Art. 8 Abs. 1 oder 5 dieser Richtlinie genannten besonderen Kategorien veröffentlicht sind, auf der Grundlage aller relevanten Umstände des Einzelfalls und unter Berücksichtigung der Schwere des Eingriffs in die Grundrechte der betroffenen Person auf Achtung des Privatlebens und auf Schutz personenbezogener Daten aus den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union anhand der in Art. 8 Abs. 4 der Richtlinie angeführten Gründe eines wichtigen öffentlichen Interesses nach Maßgabe der in dieser Bestimmung vorgesehenen Voraussetzungen prüfen muss, ob sich die Aufnahme dieses Links in die im Anschluss an eine Suche anhand des Namens dieser Person angezeigte Ergebnisliste als unbedingt erforderlich erweist, um die in Art. 11 der Charta verankerte Informationsfreiheit von Internetnutzern zu schützen, die potenziell daran interessiert sind, mittels einer solchen Suche Zugang zu der betreffenden Website zu erhalten.
3. Die Bestimmungen der Richtlinie 95/46 sind dahin auszulegen, dass
– zum einen Informationen über ein Gerichtsverfahren, das eine natürliche Person betraf, sowie gegebenenfalls Informationen über die sich daraus ergebende Verurteilung Daten zu „Straftaten“ und „strafrechtlichen Verurteilungen“ im Sinne von Art. 8 Abs. 5 dieser Richtlinie sind und
– zum anderen der Suchmaschinenbetreiber verpflichtet ist, einem Antrag auf Auslistung von Links zu Websites, auf denen sich solche Informationen befinden, stattzugeben, wenn sich diese Informationen auf einen früheren Abschnitt des Gerichtsverfahrens beziehen und angesichts des Verlaufs dieses Verfahrens nicht mehr der aktuellen Situation entsprechen, sofern im Rahmen der Prüfung der in Art. 8 Abs. 4 der Richtlinie 95/46 angeführten Gründe eines wichtigen öffentlichen Interesses festgestellt wird, dass unter Berücksichtigung sämtlicher Umstände des Einzelfalls die Grundrechte der betroffenen Person aus den Art. 7 und 8 der Charta der Grundrechte der Europäischen Union gegenüber den Grundrechten der potenziell interessierten Internetnutzer aus Art. 11 der Charta überwiegen.
Zur geografischen Reichweite wurde am selben Tag auch etwas gesagt, es gelten nur die Suchseiten der Mitgliedsstaaten und es ist nach Möglichkeit eine Umgehung zu verhindern:
C-507/17
Art. 12 Buchst. b und Art. 14 Abs. 1 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie Art. 17 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung) sind dahin auszulegen, dass der Betreiber einer Suchmaschine, wenn er in Anwendung dieser Bestimmungen einem Auslistungsantrag stattgibt, die Auslistung nicht in allen Versionen seiner Suchmaschine vorzunehmen hat, sondern nur in allen mitgliedstaatlichen Versionen, erforderlichenfalls in Verbindung mit Maßnahmen, die den gesetzlichen Anforderungen entsprechen und es tatsächlich erlauben, die Internetnutzer, die von einem Mitgliedstaat aus eine Suche anhand des Namens der betroffenen Person durchführen, daran zu hindern oder zumindest zuverlässig davon abzuhalten, über die im Anschluss an diese Suche angezeigte Ergebnisliste auf die Links zuzugreifen, die Gegenstand des Auslistungsantrags sind.
Wir lernen daraus: die Verwendung von VPN Verbindungen wird immer wichtiger! In der Praxis kann man die unterschiedlichen Ergebnisse sehr gut in einem heiß umkämpften Bereich des Urheberrechts, nämlich in der Pornoindustrie, erkennen, wenn man eine Reise ins Ausland tut und solche Suchabfragen tätigt.
Ein Fall von falschverstandenem Datenschutz ist Grundlage dieser Entscheidung. Vorsicht beim Lesen, das Ausgangsverfahren ist grauslich. Ich frage mich, wieso solch ein Verfahren es überhaupt zum EuGH schafft, aber auch dieses dient der Rechtsfortbildung.
Die grauslichen Details weglassend: es wird mehrfach die Notrufnummer 112 kontaktiert (in Litauen), es wird aber weder Nummer noch Standort mitgesandt. Das Verbrechen konnte nicht verhindert werden. Es ist nicht feststellbar, ob das Telefon eine Simkarte hatte oder nicht.
C-417/18 vom 05.09.2019
1. Art. 26 Abs. 5 der Richtlinie 2002/22/EG des Europäischen Parlaments und des Rates vom 7. März 2002 über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und ‑diensten (Universaldienstrichtlinie) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung ist dahin auszulegen, dass er den Mitgliedstaaten vorbehaltlich der technischen Durchführbarkeit die Verpflichtung auferlegt, sicherzustellen, dass die betreffenden Unternehmen den die Notrufe unter der einheitlichen europäischen Notrufnummer 112 bearbeitenden Stellen unmittelbar nach Eingang des Anrufs bei diesen Stellen gebührenfrei Informationen zum Anruferstandort übermitteln, auch wenn der Anruf von einem Mobiltelefon ohne SIM-Karte aus getätigt wird.
2. Art. 26 Abs. 5 der Richtlinie 2002/22 in der durch die Richtlinie 2009/136 geänderten Fassung ist dahin auszulegen, dass er den Mitgliedstaaten ein Ermessen bei der Festlegung der Kriterien für die Genauigkeit und Zuverlässigkeit der Angaben zum Standort des Anrufers der einheitlichen europäischen Notrufnummer 112 einräumt, wobei die von ihnen festgelegten Kriterien jedoch im Rahmen der technischen Machbarkeit gewährleisten müssen, dass der Standort des Anrufers so zuverlässig und genau bestimmt werden kann, wie es erforderlich ist, damit die Notdienste ihm wirksam helfen können; dies zu beurteilen ist Sache des vorlegenden Gerichts.
3. Das Unionsrecht ist dahin auszulegen, dass ein nach dem nationalen Recht eines Mitgliedstaats für den Eintritt der Haftung dieses Staates ausreichender mittelbarer Kausalzusammenhang zwischen einem Rechtsverstoß der nationalen Behörden und dem entstandenen Schaden auch als ausreichend dafür anzusehen ist, dass der Staat für einen ihm zuzurechnenden Verstoß gegen das Unionsrecht haftet.
Dass Facebook Probleme mit dem Datenschutz hat, wissen wir hier in Europa schon länger.
Aber auch in der Heimat, in den USA, ist Datenschutz mittlerweile ein wichtiger werdendes Thema.
Facebook steuert dort auch auf ein Verfahren zu:
Facebook droht neuer Datenschutzprozess
Online seit gestern, 7.33 Uhr
Auf Facebook teilen
Auf Twitter teilen
Das Soziale Netzwerk Facebook muss sich nach dem Beschluss eines US-Bundesgerichts erneut auf einen Rechtsstreit zum Thema Datenschutz einstellen. Facebook-Mitglieder könnten ihre Ansprüche nach kalifornischem sowie bundesweitem Datenschutzrecht geltend machen, entschied ein Berufungsgericht in San Francisco.
Nutzerinnen und Nutzer haben Facebook vorgeworfen, ihre Internetaktivitäten auch nach dem Ausloggen aus dem Sozialen Netzwerk stillschweigend über Cookies weiterzuverfolgen und die daraus gewonnenen Kundenprofile an die Werbeindustrie zu verkaufen. Ein Bezirksgericht im kalifornischen San Jose hatte eine entsprechende Klage 2017 noch abgewiesen.
Das Gericht in San Francisco erklärte nun indes, die Klägerinnen und Kläger hätten ausreichend Hinweise dafür erbracht, dass Facebook in ihre Privatsphäre eingedrungen sei. Facebook selbst teilte mit, man halte eine Klage für unbegründet und werde die eigene Position weiter verteidigen.
Der deutsche Zoll hatte sich auf die Deutsche Post eingeschossen und wollte die Steuernummer vieler Mitarbeiter der Deutschen Post. Das hat sich die Post, wie der EuGH festhielt, zurecht nicht gefallen lassen.
Aus meiner Sicht ist es bewundernswert, dass die Post sich gegen den Zoll aufgelehnt hat , den rein faktisch ist der Zoll für die Post sehr wichtig und wenn dort nix mehr geht, kann die Post zumindest das Auslandsversandgeschäft zusperren.
C-496/17 vom 16.01.2019
Art. 24 Abs. 1 Unterabs. 2 der Durchführungsverordnung (EU) 2015/2447 der Kommission vom 24. November 2015 mit Einzelheiten zur Umsetzung von Bestimmungen der Verordnung (EU) Nr. 952/2013 des Europäischen Parlaments und des Rates zur Festlegung des Zollkodex der Union ist im Licht der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) dahin auszulegen, dass die Zollbehörden von einem Unternehmen, das die Bewilligung des Status eines zugelassenen Wirtschaftsbeteiligten beantragt, allein in Bezug auf die natürlichen Personen, die für das antragstellende Unternehmen verantwortlich sind oder die Kontrolle über seine Leitung ausüben, und diejenigen, die für dessen Zollangelegenheiten zuständig sind, verlangen können, dass das Unternehmen die für die Erhebung der Einkommensteuer zugeteilten Steueridentifikationsnummern mitteilt sowie für alle diese Personen Angaben zu den zuständigen Finanzämtern macht, soweit diese Daten es den Zollbehörden ermöglichen, Informationen über schwerwiegende oder wiederholte Verstöße gegen zoll- oder steuerrechtliche Vorschriften oder schwere Straftaten zu erlangen, die von diesen natürlichen Personen im Zusammenhang mit ihrer Wirtschaftstätigkeit begangen wurden.
Ist es datenschutzrechtlich erlaubt, bei einer Einvernahme auf einer Polizeidienststelle mitzufilmen, dieses Video dann online zu stellen, wo es dann angesehen, versandt und geteilt werden kann? Der EuGH sagt, unter Einhaltung journalistischer Zwecke, ja, die genaueren Bedingungen finden sich im Zitat:
C-345/17 vom 14.02.2019
1. Art. 3 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass die Aufzeichnung von Polizeibeamten in einer Polizeidienststelle auf Video während der Aufnahme einer Aussage und die Veröffentlichung des so aufgezeichneten Videos auf einer Video-Website, auf der die Nutzer Videos versenden, anschauen und teilen können, in den Anwendungsbereich dieser Richtlinie fällt.
2. Art. 9 der Richtlinie 95/46 ist dahin auszulegen, dass ein Sachverhalt wie der des Ausgangsverfahrens, d. h. die Aufzeichnung von Polizeibeamten in einer Polizeidienststelle auf Video während der Aufnahme einer Aussage und die Veröffentlichung des so aufgezeichneten Videos auf einer Video-Website, auf der die Nutzer Videos versenden, anschauen und teilen können, eine Verarbeitung personenbezogener Daten allein zu journalistischen Zwecken im Sinne dieser Bestimmung darstellen kann, sofern aus diesem Video hervorgeht, dass diese Aufzeichnung und diese Veröffentlichung ausschließlich zum Ziel hatten, Informationen, Meinungen oder Ideen in der Öffentlichkeit zu verbreiten, was zu prüfen Sache des vorlegenden Gerichts ist.
Clearview: Berüchtigtes Start-Up für Gesichterkennung hat ein Problem mit IT-Security
Offener Server ließ Zugriff auf Quellcode und weitere sensible Daten zu
Datenschutz ja, aber nicht unbeschränkt, wie dieser Fall beweist:
C-207/16 vom 02.10.2018
Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung ist im Licht der Art. 7 und 8 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass der Zugang öffentlicher Stellen zu Daten, anhand deren die Identität der Inhaber von SIM-Karten, die mit einem gestohlenen Mobiltelefon aktiviert wurden, festgestellt werden soll, wie Name, Vorname und gegebenenfalls Adresse dieser Karteninhaber, einen Eingriff in deren in diesen Artikeln der Charta der Grundrechte verankerte Grundreche darstellt, der nicht so schwer ist, dass dieser Zugang im Bereich der Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten auf die Bekämpfung der schweren Kriminalität beschränkt werden müsste.
Die Zeugen Jehovas sind als Religionsgemeinschaft Verantwortliche im Sinne der Datenschutzrichtlinie, selbst wenn die Mitglieder die Daten dezentral sammeln und die Gemeinschaft selbst keinen Zugriff darauf hat, da die Verkündigungstätigkeit von der Gemeinschaft organisiert wird. Also Vorsicht, liebe Organisatoren!
C-25/17 vom 10.07.2018
1. Art. 3 Abs. 2 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist im Licht von Art. 10 Abs. 1 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass die Erhebung personenbezogener Daten, die durch Mitglieder einer Religionsgemeinschaft im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erfolgt, und die anschließenden Verarbeitungen dieser Daten weder Verarbeitungen personenbezogener Daten darstellen, die für die Ausübung von Tätigkeiten im Sinne von Art. 3 Abs. 2 erster Gedankenstrich dieser Richtlinie erfolgen, noch Verarbeitungen personenbezogener Daten, die von natürlichen Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen werden, wie in Art. 3 Abs. 2 zweiter Gedankenstrich dieser Richtlinie vorgesehen.
2. Art. 2 Buchst. c der Richtlinie 95/46 ist dahin auszulegen, dass der in dieser Bestimmung genannte Begriff „Datei“ eine Sammlung personenbezogener Daten, die im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erhoben wurden und zu denen Namen und Adressen sowie weitere Informationen über die aufgesuchten Personen gehören, umfasst, sofern diese Daten nach bestimmten Kriterien so strukturiert sind, dass sie in der Praxis zur späteren Verwendung leicht wiederauffindbar sind. Um unter diesen Begriff zu fallen, muss eine solche Sammlung nicht aus spezifischen Kartotheken oder Verzeichnissen oder anderen der Recherche dienenden Ordnungssystemen bestehen.
3. Art. 2 Buchst. d der Richtlinie 95/46 ist im Licht von Art. 10 Abs. 1 der Charta der Grundrechte dahin auszulegen, dass eine Religionsgemeinschaft gemeinsam mit ihren als Verkündiger tätigen Mitgliedern als Verantwortliche für die Verarbeitungen personenbezogener Datenangesehen werden kann, die durch diese Mitglieder im Rahmen einer Verkündigungstätigkeit von Tür zu Tür erfolgen, die von dieser Gemeinschaft organisiert und koordiniert wird und zu der sie ermuntert, ohne dass es hierfür erforderlich wäre, dass die Gemeinschaft Zugriff auf diese Daten hat oder ihren Mitgliedern nachweislich schriftliche Anleitungen oder Anweisungen zu diesen Datenverarbeitungen gegeben hat.
Hier geht es um Facebook Fanpages und die Frage, welche Behörde zuständig ist. Die Entscheidung ist noch zur Datenschutzrichtlinie ergangen, also vor der DSGVO:
C-210/16 vom 05.06.2018
1. Art. 2 Buchst. d der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.
2. Die Art. 4 und 28 der Richtlinie 95/46 sind dahin auszulegen, dass dann, wenn ein außerhalb der Europäischen Union ansässiges Unternehmen mehrere Niederlassungen in verschiedenen Mitgliedstaaten unterhält, die Kontrollstelle eines Mitgliedstaats zur Ausübung der ihr durch Art. 28 Abs. 3 dieser Richtlinie übertragenen Befugnisse gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats gelegenen Niederlassung dieses Unternehmens auch dann befugt ist, wenn nach der konzerninternen Aufgabenverteilung zum einen diese Niederlassung allein für den Verkauf von Werbeflächen und sonstige Marketingtätigkeiten im Hoheitsgebiet dieses Mitgliedstaats zuständig ist und zum anderen die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten für das gesamte Gebiet der Europäischen Union einer in einem anderen Mitgliedstaat gelegenen Niederlassung obliegt.
3. Art. 4 Abs. 1 Buchst. a und Art. 28 Abs. 3 und 6 der Richtlinie 95/46 sind dahin auszulegen, dass die Kontrollstelle eines Mitgliedstaats, wenn sie beabsichtigt, gegenüber einer im Hoheitsgebiet dieses Mitgliedstaats ansässigen Stelle wegen Verstößen gegen die Vorschriften über den Schutz personenbezogener Daten, die von einem Dritten begangen wurden, der für die Verarbeitung dieser Daten verantwortlich ist und seinen Sitz in einem anderen Mitgliedstaat hat, die Einwirkungsbefugnisse nach Art. 28 Abs. 3 dieser Richtlinie auszuüben, zuständig ist, die Rechtmäßigkeit einer solchen Datenverarbeitung unabhängig von der Kontrollstelle des letztgenannten Mitgliedstaats zu beurteilen und ihre Einwirkungsbefugnisse gegenüber der in ihrem Hoheitsgebiet ansässigen Stelle auszuüben, ohne zuvor die Kontrollstelle des anderen Mitgliedstaats um ein Eingreifen zu ersuchen.
Der britische Geheimdienst hat NGOs und Journalisten überwacht und wurde Großbritannien wegen dieser Massenüberwachung wegen Verletzung von Menschenrechten verurteilt:
EGMR vom 13.09.2018, 58170/13 ua, Big Brother Watch ua / Großbritannien
Abmahnungen sind in Österreich eher selten. Hier wird der Weg mal wieder versucht:
OGH erteilt Abmahnungen von Verstößen gegen die DSGVO eine Absage. Das Recht auf Datenschutz ist nach Ansicht des OGH ein Ausschließlichkeitsrecht; Verletzungen können daher nur vom Betroffenen selbst geltend gemacht werden.
Wenn Backdoor ein zu negativ besetzter Begriff ist, fordert man halt eine Vordertür. Sinn und Zweck ist der Gleiche, und sicherer wird dadurch auch nichts.
EU-Ministerrat diskutiert wieder Hintertüren in Verschlüsselung
Gilles de Kerchove, Anti-Terrorkoordinator der EU, reitet wieder gegen sichere Verschlüsselung per se. Da diese neuen Forderungen der Strafverfolger an den EU-Ministerrat nirgendwo einsehbar sind, wird dieses vertrauliche Ratsdokument im Volltext von FM4 veröffentlicht.
Die Coronavirus-Pandemie hat weltweit zu einem sprunghaften Anstieg bei Teleworking geführt. Statt hinter Firewalls in abgesicherten Firmennetzen arbeiten Millionen Beschäftigte weltweit in unsicheren Home Offices. Den einzigen wirkliche Schutz dabei bietet die Ende-zu-Ende-Verschlüsselung (E2E) des Datenverkehrs.
Mitten in dieses Szenario startet die „Five Eyes“-Geheimdienstallianz die nächste Phase ihrer globalen Kampagne gegen sichere Verschlüsselung. Als Vehikel wird auch diesmal die polizeiliche Strafverfolgung benutzt, nach den USA ist nun wieder der europäische Protagonist Gilles de Kerchove am Zug, der Anti-Terror-Koordinator der Union. Sein neuer Vorstoß wird bereits hinter den Polstertüren des EU-Ministerrats diskutiert, sein Grundlagenpapier vom 8. Mai wurde ORF.at zugespielt.
Anfang März kam EARN IT in den US-Senat, der den Einsatz von Ende-zu-Ende-Verschlüsselung durch Facebook, Apple & Co de facto unter Strafandrohung stellen wird.
Neusprech über „Vordertüren“
Das als „limite“ - Zugriff für einen eingeschränkten Personenkreis - eingestufte Papier ist das technische Addendum zum Brief de Kerchoves an die Mitgliedsstaaten, der am Donnerstag von Netzpolitik.org veröffentlicht worden war. De Kerchove fordert da unverblümt europäische Gesetze gegen E2E-Verschlüsselung nach dem Muster des amerikanischen EARN IT Act, der im März in den US-Senat eingebracht wurde. Im Wesentlichen sollen die Anbieter dazu gezwungen werden, verschlüsselte Services nur dann anzubieten, wenn sie für all diese Kommunikationen auch Nachschlüssel anfertigen, die sie den Strafverfolgern bei Bedarf aushändigen können.
De Kerchove nennt das in bewährter Neusprech-Manier „Vordertüren“, denn geheime „Hintertüren“ seien abzulehnen, da sie missbraucht werden könnten, heißt es in seinem Brandbrief an die Regierungen der Union. Alle Zugriffe würden streng nach den Gesetzen ablaufen, nämlich autorisiert durch den Beschluss eines ordentlichen Gerichts. Was dabei konsequent verschwiegen wird ist die Tatsache, dass diese „Vordertüren“ nur funktionieren können, wenn die existierenden Sicherheitsroutinen systematisch durch solche Nachschlüssel gebrochen werden. In diesem Fall spricht man von einer „Backdoor“, also einer Hintertür, die nicht nur die „gesetzesmäßig Überwachten“, sondern sämtliche Benutzer des jeweiligen Webservices kompromittiert.
Wie der Hebel in den USA angesetzt wird
Anfang Dezember 2018 wurde ein erstes solches Gesetz im australischen Parlament verabschiedet, das die Internetfirmen verpflichtet, verschlüsselte Kommunikationen aufzubrechen.
In seiner derzeit vorliegenden Form hält das kommende US-Gesetz EARN IT einen gewaltigen Hebel bereit, der die Internetkonzerne dazu zwingen soll, die Sicherheit ihrer Services zugunsten von Überwachbarkeit zu untergraben. Wie auch in Europa sind IT-Konzerne, die Webspace, Kommunikationsdienste etc. für eine breite Öffentlichkeit anbieten, für die von ihren Benutzern generierten Inhalte grundsätzlich haftungsfrei gestellt. In den USA gilt dieser Grundsatz bereits seit dem „Communications Decency Act“ von 1996, durch den EARN IT Act soll diese Haftungsfreiheit abgeschafft werden.
Das hätte man gern auch in Europa. Anhand der Hierarchie in den technischen Erläuterungen hat der Zugriff auf die Inhalte verschlüsselter Smartphones für die Strafverfolger offenbar weiterhin Priorität, obwohl die EU-Kommission hier bereits neben einem umfangreichen Maßnahmenkatolog fünf Millionen Euro an das European Cybercrime Centre von Europol zur Anschaffung von forensischen Toolkits bereitgestellt hat. Das sei zuwenig, befindet das Papier, zumal auch immer mehr Smartphones verschlüsselt würden.
Im Jänner 2017 hatten Europol und das FBI unter dem reißerischen Titel „Going Dark“ - „Wir werden blind“ eine Kampagne für polizeiliche Überwachung von Cloud-Services gestartet
Das Dokument im Volltext
Nicht erwähnt wird hingegen, dass ein wachsender Anteil von Logins bei Smartphones nicht über Passwörter, sondern über Fingerprint- und Gesichtserkennung passiert. Wenn die Strafverfolger nun das Smartphone bereits in Gewahrsam haben, haben sie höchstwahrscheinlich auch dessen Besitzer und damit auch Fingerprints und Gesicht. Während diese Forderungen an sich noch durchaus nachvollziehbar sind, weil sie die Sicherheit der Kommunikation Aller nicht gefährden, tun das alle vier folgenden Punkte allemal.
Danach geht es dann frontal gegen E2E-Verschlüsselung wie sie WhatsApp, Signal und alle anderen sicher verschlüsselten Services bieten. Das ist das wichtigste Ziel der Kampagne, die über EUROPOL 2016 gestartet wurde und in Folge in Australien und den USA bereits bis zu einem gewissen Grad erfolgreich war. Da wird argumentiert, dass eine Ausweitung der E2E-Verschlüsselung von WhatsApp auf den gesamten Facebook-Konzern dessen eigene Maßnahmen gegen „Kinderpornographie“ und Terrorismus gefährdet würden (Punkt 3). Auch die Transportverschlüsselung der Daten auf Protokollebene - die wichtigste Sicherheitsmaßnahme gegen Internetkriminelle überhaupt - wird ausschließlich unter dem Aspekt der polizeilichen Überwachbarkeit behandelt. In de Kerchoves gesamtem Konvolut wird überhaupt nichts gegeneinander abgewogen, die Sicherheit der Benutzer durch Verschlüsselung ihres Datenverkehrs ist überhaupt kein Thema. Vielmehr wird „Sicherheit“ nachgerade penetrant mit „polizeilicher Überwachbarkeit“ gleichgesetzt. Sämtliche Protokolle und Sicherungsmechanismen des Internets werden ausschließlich unter dem Aspekt ihrer Überwachbarkeit durch die Behörden bewertet.
Wie haben schon einige Posts hier im Forum zu Abhörskandalen, aber über das unbewusste Abgehörtwerden haben wir fast noch nichts geschrieben:
Siri lauscht mit: Apple-Mitarbeiter kritisiert Total-Überwachung
Einem Whistleblower zufolge zeichnete Siri massenhaft Gespräche mit äußerst sensiblen Inhalten auf.
Ein externer Apple-Mitarbeiter, der bis Sommer 2019 für den Konzern als Beschäftigter einer Subfirma Siri-Sprachaufnahmen auswertete, ging nun an die Öffentlichkeit. Er kritisierte, dass Apples Sprachassistent äußerst sensible Aufnahmen mitschnitt, von denen viele ohne direkte Anweisung der User ausgelöst wurden. Gespräche über Krebs, verstorbene Verwandte, Religion, Sexualität, Pornografie und Politik waren an der Tagesordnung. Oft wurden auch Namen und Adressen aufgezeichnet, teilte Thomas le Bonniec mit.
Gespräche über Sex, Religion und Politik
Er habe in seiner Zeit als externer Mitarbeiter Hunderte solcher Gespräche täglich hören und transkribieren müssen. Zudem seien nicht nur Gespräche von Apple-Nutzern, sondern auch ihrer Umgebung aufgezeichnet worden - darunter Kinder, aber auch völlig Unbeteiligte - die natürlich ebenfalls keine Ahnung hatten, dass die Gespräche nicht nur mitgeschnitten, sondern anschließend auch noch ausgewertet wurden.
Siri: Fremde hören beim Sex und bei Arztgesprächen mit
Nach Google und Amazon gerät nun auch Apple unter Druck. Ein externer Mitarbeiter warnt vor Missbrauch.
Im besagten Sommer des Vorjahres sei es ihm aus ethischen und moralischen Gründen dann zu viel geworden. "Sie handeln in einem moralischen und rechtlichen Graubereich und haben dies jahrelang in massivem Umfang gemacht. Man sollte sie in jeder erdenklichen Form zur Verantwortung ziehen", kritisiert le Bonniec.
So stoppt man die Siri-Auswertung
Nachdem im Juli des Vorjahres bekannt geworden war, dass neben Google und Amazon offenbar auch Apple äußerst sensible Gespräche - noch dazu von externen Firmen - auswerten lässt, stoppte der Konzern vorübergehend diese Praxis, um ab Herbst mit internen Auswertungen weiterzumachen. Immerhin kann man das Speichern und die Auswertung von Siri-Aufnahmen mittlerweile deaktivieren - unter dem Menüpunkt: "Einstellungen" - "Datenschutz" - "Analyse & Verbesserungen" - "Sir & Diktierfunktion verbessern".
Dass Apple mittlerweile selber dazu ausführlich Stellung genommen hat und immer wieder auf die Anonymität der Aufnahmen hinweist, ist dem Whistleblower aber nicht genug. Er kritisiert, dass die jahrelange Praxis allem widerspreche, was Apple hinsichtlich Datenschutz und Privatsphäre seiner User öffentlich vermarkte. Auch dass die Enthüllungen vor fast einem Jahr keine Untersuchung durch Datenschutzbehörden nach sich gezogen habe, sei erstaunlich, zumal sich gerade die EU rühme, die strengsten Bestimmungen der Welt zu haben.
Konsumentenschützer kritisieren Intransparenz
In Österreich hatten Konsumentenschützer ebenfalls Alarm geschlagen. Die Arbeiterkammer etwa kritisierte, dass der dass der Datenschutz bei allen Anbietern von Amazons Alexa, Apples Siri, Microsofts Cortana bis hin zum Google Assistant zu kurz komme. Datenschutzerklärungen seien viel zu vage und intransparent formuliert. Kunden würden kaum herausfinden können, welche Daten wozu genau verwendet werden, aber auch welche Services nicht genutzt werden können, wenn man den Bestimmungen nicht zustimme.
Jetzt ist es schon so, dass sich da wir den ersten Skandalen soviel getan hat, dass man diese Überwachung meist in den Einstellungen mehr oder weniger einschränken kann.
Der Artikel zeigt aber sehr gut auf, dass sich sonst kaum was getan hat.
Und die genannten Firmen sind auch nur als pars pro toto zu sehen, es gibt ja lauschende Fernseher, Babypuppen (Danke dejost, hast du einige Posts früher erwähnt), ...
Laut diesem Bericht der BBC wurde eine niederländische Großmutter vom Gericht dazu verurteilt, Bilder ihrer Enkel, die sie gegen den Willen der Tochter bzw Mutter (also der Obsorgeberechtigten der Kinder) auf FB veröffentlicht hat, zu entfernen.
Rechtsgrundlage ist primär die DSGVO.
Laut der BBC wurde der EuGH nicht angerufen, aber grundsätzlich überrascht an dem Fall nur, dass es ihn gibt, nicht wie er entschieden wurde.
Endlich mal wieder Neuigkeiten zu unserem Helden Max Schrems:
500 Euro von Facebook: Schrems über Urteil verärgert
Im Prozess des Datenschutzaktivisten Max Schrems gegen Facebook hat das Wiener Landesgericht für Zivilrechtssachen nun ein Urteil gefällt. Facebook muss einen Schadenersatz in Höhe von 500 Euro zahlen. Schrems reagierte verärgert und will berufen.
Schrems warf dem Online-Giganten in dem sechs Jahre dauernden Prozess vor, gegen die in der EU geltende Datenschutz-Grundverordnung (DSGVO) zu verstoßen. Die Richterin sieht das allerdings anders. Die Datenverarbeitung sei nicht rechtswidrig, urteilte sie.
Dennoch soll Schrems binnen 14 Tagen einen Schadenersatz in der Höhe von 500 Euro erhalten, weil Facebook die Auskunftspflicht über sämtliche personenbezogene Daten verletzt habe. Außerdem ist Facebook verpflichtet, Schrems binnen 14 Tagen vollständig Auskunft zu geben über all seine personenbezogenen Daten.
Entscheidung für Schrems grotesk
Der Datenschutzaktivist zeigte sich nach der Zustellung des nicht rechtskräftigen Urteils trotz des Schadenersatzes verärgert und sprach von einem „Non-Urteil“. Er kündigte Berufung an und ging davon aus, dass auch Facebook das tun werde. „Ich freue mich, dass wir nach sechs Jahren vor dem Wiener Landesgericht nun endlich zu den Gerichten kommen, wo wir die Punkte, die wirklich wichtig sind, klären können“, sagte er und übte Kritik an den Ausführungen der Richterin.
Die Datenverarbeitung durch Facebook ist laut der Richterin legal
„Die Richterin hat schon in der Verhandlung gesagt, dass sie sich auf die Fakten konzentriert, weil die kniffligen rechtlichen Fragen ohnehin von den höheren Gerichten geklärt werden“, teilte er mit. Dennoch sei die Entscheidung für ihn grotesk. „Die illegalen Datenverarbeitungen von Facebook werden auf 36 Seiten beschrieben – aber nur in gerade 19 Sätzen werden fast alle Klagepunkte pauschal abgewiesen“, beklagte er. „Mit den kniffligen Fragen, ob das was Facebook tut nach der DSGVO legal ist, wollte sich die Richterin wohl einfach nicht beschäftigen“, mutmaßte Schrems.
Oberlandesgericht als nächste Instanz
Werden tatsächlich Rechtsmittel eingelegt, wandert das Verfahren weiter an das Oberlandesgericht (OLG) Wien, bestätigte eine Sprecherin des Landesgerichts am Mittwoch. In weiterer Instanz ist es gut möglich, dass auch der Europäische Gerichtshof (EuGH) zur Klärung strittiger Datenschutzfragen angerufen wird.
Die Richterin ging in dem Urteil genau auf das Geschäftsmodell von Facebook ein. Dieses bestehe darin, „Einnahmen durch maßgeschneiderte Werbung und kommerzielle Inhalte zu generieren“, hieß es dort. Für die kostenlose Nutzung der Plattform würden viele Nutzer Werbung bewusst in Kauf nehmen. Die Personalisierung von Werbung auf Basis personenbezogener Daten sei Teil der Nutzungsbedingungen. Facebook „stellt ihren Nutzern ihre Dienste unentgeltlich zur Verfügung und erzielt Einkünfte, indem die Nutzerdaten verarbeitet werden, um Werbetreibenden die Möglichkeit der maßgeschneiderten und zielgerichteten Werbung zu verkaufen.“
Datenverarbeitung „in Übereinstimmung mit DSGVO“
Schrems habe bei der Erstellung eines privaten Accounts einen Vertrag mit Facebook abgeschlossen, „weshalb die Beklagte (Facebook, Anm.) die festgestellten Datenverarbeitungen, die damit in Übereinstimmung mit der DSGVO stehen, durchführen darf, solange der Kläger sein Konto nicht löscht und damit den Vertrag mit der Beklagten beendet“, führte die Richterin weiter aus.
Schrems nannte diese Argumentation „absurd“. „Datenschutzexperten schütteln hier wohl nur den Kopf“, war er überzeugt. „Diesen paar Sätzen wird es wohl so ergehen wie den zwei Urteilen davor: Die oberen Instanzen werden sie um 180 Grad umdrehen“, hofft der Aktivist.
Facebook entscheidet noch über Berufung
Facebook selbst äußerte sich am Mittwoch nur sehr knapp zu der Entscheidung des Wiener Gerichts. Man habe das Urteil erhalten und überprüfe nun den Inhalt, hieß es von einem Sprecher. „Wir halten uns an die Vorgaben der Europäischen Datenschutzgrundverordnung (DSGVO) und haben unsere Dienste im Rahmen unserer kontinuierlichen Bemühungen, Menschen mehr Transparenz und Kontrolle über ihre Daten zu geben, grundlegend verändert“, wurde betont. Über eine Berufung hat Facebook noch nicht entschieden.
Rechtlich spannende Dinge passieren manchmal auch bei Randthemen im Bereich Datenschutz:
Ein Petitionsausschuss eines Parlaments kann auch Verantwortlicher im Sinne der DSGVO sein.
C‑272/19 vom 09.07.2020
Art. 4 Nr. 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass der Petitionsausschuss eines Gliedstaats eines Mitgliedstaats insoweit, als dieser Ausschuss allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet, als „Verantwortlicher“ im Sinne dieser Bestimmung einzustufen ist, so dass die von einem solchen Ausschuss vorgenommene Verarbeitung personenbezogener Daten in den Anwendungsbereich dieser Verordnung, u. a. unter deren Art. 15, fällt.
Die belgische Datenschutzbehörde hat eine Geldstrafe in Höhe von 600.000 Euro gegen den Suchmaschinenanbieter Google wegen Verstoßes gegen das Recht auf Vergessenwerden verhängt.
Eine Person des öffentlichen Lebens hatte sich an die Behörde gewandt, nachdem Google Belgien sich geweigert hatte, „veraltete Artikel, die ihrem Ruf schaden“, aus der Ergebnisliste der Suchmaschine zu entfernen.
Dabei ging es den Angaben zufolge einerseits um eine „mögliche politische Etikettierung“, die der Beschwerdeführer „ablehnte“. Andererseits bezogen sich die strittigen Links auf einen Vorwurf der Belästigung, „der vor vielen Jahren“ als unbegründet abgewiesen wurde. Die Behörde sah in letzterem Fall ein „schwerwiegendes Versäumnis“ von Google, da die Beibehaltung der Links „ernsthafte Auswirkungen für den Beschwerdeführer haben könnte“.
Leider gibt es weder Links noch sonst weitere Informationen, es ist zB unklar, ob es noch einen belgischen Instanzezug gibt (oder ob das vielleicht schon die letzte belgische Instanz ist), was Google dazu sagt, ob die nach weitere Instanzen anrufen können oder dies gar angekündigt haben usw.
Die belgische Datenschutzbehörde hat eine Geldstrafe in Höhe von 600.000 Euro gegen den Suchmaschinenanbieter Google wegen Verstoßes gegen das Recht auf Vergessenwerden verhängt.
Eine Person des öffentlichen Lebens hatte sich an die Behörde gewandt, nachdem Google Belgien sich geweigert hatte, „veraltete Artikel, die ihrem Ruf schaden“, aus der Ergebnisliste der Suchmaschine zu entfernen.
Dabei ging es den Angaben zufolge einerseits um eine „mögliche politische Etikettierung“, die der Beschwerdeführer „ablehnte“. Andererseits bezogen sich die strittigen Links auf einen Vorwurf der Belästigung, „der vor vielen Jahren“ als unbegründet abgewiesen wurde. Die Behörde sah in letzterem Fall ein „schwerwiegendes Versäumnis“ von Google, da die Beibehaltung der Links „ernsthafte Auswirkungen für den Beschwerdeführer haben könnte“.
Leider gibt es weder Links noch sonst weitere Informationen, es ist zB unklar, ob es noch einen belgischen Instanzezug gibt (oder ob das vielleicht schon die letzte belgische Instanz ist), was Google dazu sagt, ob die nach weitere Instanzen anrufen können oder dies gar angekündigt haben usw.
Habe zwar direkt dazu nichts gefunden, aber es dürfte sich um das belgische Pendant zur Datenschutzbehörde handeln.
Fast hätte ich versäumt, die nächste Heldentat (eigentlich das nächste Entscheidungsergebnis, da die Beschwerde noch immer aus dem Jahre Schnee ist) von Max Schrems zu berichten:
EuGH kippt Datenabkommen zwischen EU und USA
Das EU-US-Privacy-Shield ist somit Geschichte. Für Unternehmen herrscht nun allerdings Rechtsunsicherheit
Der Europäische Gerichtshof (EuGH) hat das EU-US-Privacy-Shield gekippt. Dabei handelt es sich um ein Übereinkommen zwischen der Europäischen Union und den Vereinigten Staaten, das die Übertragung von Nutzerdaten ermöglicht. Das Urteil bezieht sich auf personenbezogene Informationen, wobei "notwendige" Datentransfers nicht beinhaltet sind – also beispielsweise E-Mails. Von dem Urteil betroffen sind demnach über 5.000 US-Unternehmen, die Daten zwischen den USA und der EU übertragen, etwa aus den Bereichen des Marketings, Cloud-Services und Datenhosting-Dienste.
Juristischer Konflikt
Der Hintergrund: Europäische Datenschutzgesetze stehen im Konflikt mit US-Judikatur – erstere schreiben einen sensiblen Umgang mit Daten vor, deren Weitergabe an einen Drittstaat ist nur gestattet, wenn auch dort ein bestimmtes Niveau erreicht wird.
Der Datenschützer Max Schrems hatte sich 2013 bei der irischen Datenschutzbehörde darüber beschwert, dass Facebook Nutzerdaten in den USA verarbeitet. Die Begründung: Die dortigen Überwachungsgesetze würden keinen ausreichenden Schutz bieten. Er hatte auch schon damals Erfolg, das ursprüngliche Safe-Harbor-Abkommen wurde gekippt. Daraufhin beschloss die EU 2015 die Nachfolgeregelung Privacy-Shield, die nun ebenso für unzulässig erklärt wurde.
Der EuGH hat über Standardvertragsklauseln die Möglichkeit offengelassen, weiterhin Daten auszutauschen, sagt der IT-Rechtsexperte Lukas Feiler zum STANDARD. Ob das halte, sei aber ungewiss – denn diese seien nur zulässig, weil sie die Vorgabe enthalten, dass beide Vertragsparteien vor jeder Datenübermittlung zu prüfen haben, ob der Datenimporteur – im konkreten Fall Facebook – juristisch den Vertrag erfüllen kann.
Ob das mit der Unzulässigkeit des Privacy-Shield-Abkommens gegeben ist, müsste noch von den nationalen Datenschutzbehörden beurteilt werden. "Sollten die nationalen Datenschutzbehörden auch die Standardvertragsklauseln mit den USA kippen, würde das einer Amputation der europäischen Datenwirtschaft gleichkommen", sagt Feiler.
Schrems fordert Änderung von US-Gesetzen
Laut Schrems‘ Datenschutz-NGO Noyb dürften diese Klauseln im Fall von Facebook und ähnlichen Unternehmen nicht verwendet werden, da die irische Datenschutzbehörde Datentransfers stoppen müsse. Der Datenschützer ist der Ansicht, dass nicht die europäische, sondern die US-amerikanische Judikatur einer Anpassung bedarf. "Es ist klar, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssen, wenn US-Unternehmen weiterhin eine wichtige Rolle auf dem EU-Markt spielen wollen", sagt Schrems. Das Gericht sei sich darüber im Klaren, dass die US-Regeln im Widerspruch zu EU-Grundrechten stehen.
USA schützen nur US-Bürger vor Überwachung
"Das Problem ist, dass die USA Datenschutz bei ausländischen Nutzern nicht sehr ernst nehmen", erklärt der IT-Rechtsanwalt Markus Dörfler im STANDARD-Gespräch. Facebook – und demnach auch andere Unternehmen – sind in den USA verpflichtet, der NSA und dem FBI Zugriff auf Nutzerdaten zu gestatten. US-Bürger sind von dieser Regelung geschützt, ausländische User allerdings nicht – weshalb ein Verstoß gegen EU-Regeln vorliegt. EU-Bürger können sich nicht vor diesem Zugriff schützen und auch nicht gerichtlich gegen die Behörden vorgehen.
"Es wird wohl zu massiven transatlantischen Spannungen kommen", prognostiziert Feiler. "Die Trump-Regierung wird darauf äußerst scharf reagieren."
Politische Reaktionen
Für die Neos ist das Urteil ein "Sieg für Datenschutz, digitale Grundrechte und Rechtsstaatlichkeit", sagte deren stellvertretender Klubobmann Nikolaus Scherak. "Schade ist nur, dass es dafür eine Klage von Max Schrems gebraucht hat und das Ende von Privacy Shield keine politische Entscheidung war."
Der SPÖ-Klubvorsitzende Jörg Leichtfried und SPÖ-Datenschutzsprecher Christian Drobits gratulieren Schrems zu dem Erfolg. "Es geht hier um den Schutz von Grundrechten. Mit der Übertragung von personenbezogenen Daten besteht die große Gefahr, dass insbesondere US-Behörden wie NSA und FBI zu leicht darauf zugreifen könnten. Das wird jetzt gestoppt", erklärten sie am Donnerstag.
Süleyman Zorba, Sprecher für Netzpolitik und Digitalisierung der Grünen, forderte eine Änderung der Überwachungsgesetze in den USA. Ziel müsse sein, dass "alle sensiblen persönlichen Daten in Europa und damit geschützt bleiben".
Ist irgendwie lustig, dass Trump einen Verkauf von TikTok an Microsoft wegen Datenschutzbedenken fordert. Bin auf seine Reaktion auf das EuGH Urteil gespannt!
Die Stellungnahme von Noyb, bei dem Schrems auch führendes Mitglied ist, gibt's hier:
Übrigens gibt es eine interessante Seite, die versucht datenschutzrechtliche Entscheidungen aus ganz Europa zu sammeln. Die Seite ist in englischer Sprache:
Der seit 2019 verfügbare Wächter- oder Sentry-Modus der Fahrzeuge ist eigentlich dazu gedacht, Vandal*innen oder Dieb*innen abzuschrecken. Er verstößt aber gegen den Datenschutz in Europa. Die Berliner Polizei sieht darin auch eine "sicherheitsrelevante Gefährdung für Mitarbeitende, Dritte sowie die Liegenschaften der Polizei Berlin", wie es in einem Rundschreiben heißt.
Sie sorgt sich unter anderem darüber, dass mit der Totalüberwachung der Umgebung durch die Fahrzeugkameras Sicherheitsbereiche, wie etwa Munitionsbunker oder Tarnkennzeichen, sowie Spezialkräfte und Zivilermittler aufgenommen werden könnten.
Die Aufnahmen würden auf einem Server in den Niederlanden dauerhaft gespeichert. Was mit ihnen passiere und wie die Daten weiterverarbeitet werden, würden die Autofahrer*innen nicht erfahren, heißt es in dem Rundschreiben weiter.
Max Schrems bringt Beschwerde gegen EU-Parlament ein
Die Datenschutz-Organisation NOYB („none of your business“) bringt heute eine Beschwerde gegen das Europäische Parlament ein, weil es sich nicht an die von ihm selbst beschlossenen Bestimmungen der Datenschutz-Grundverordnung halte. Illegalerweise würden Daten in die USA übermittelt und die Informationen über den Einsatz von Cookies seien unzureichend.
Die Beschwerde geht an den Europäischen Datenschutzbeauftragten. Nachdem geht es zumindest zum EuG oder gleich zum EuGH (hab ich jetzt nicht überprüft, ob die Angabe im Artikel mit EuGH richtig ist).
Gipfel EU-USA gegen sichere Verschlüsselung
Auf der Agenda des virtuellen Treffens auf hochrangiger Beamtenebene in zwei Wochen stehen so ziemlich alle datenschutzrelevanten Themen, die in Europa aktuell umstritten sind
In der EU gibt es Begehrlichkeiten betreffend Section Control, die einer Aufhebung des VfGH zum Thema Vorratsdatenspeicherung widersprechen.
EU-Kommission zu Mängeln in Österreichs Schengen-System
Der österreichische Teil des Schengen-Systems ist in Teilen offenbar nicht fertig ausprogrammiert. Rätselhafterweise empfiehlt die Kommission aber auch, die „Section Control“-Systeme wieder anzuschließen.
Ein extrem großer Cyberangriff mit Hauptziel USA soll hier nicht unerwähnt bleiben:
Cyberangriff auf die USA eskaliert immer weiter
Mittlerweile gelten de facto alle großen US-Netzwerke als potenziell kompromittiert. Momentan läuft die Suche nach einem zweiten Angriffsvektor neben den Systemen von SolarWinds.
Ich hatte bis zum Lesen des verlinkten Beitrags nichts davon gewusst.
Clearview AIs biometrische Fotodatenbank in der EU illegal, aber nur begrenzte Löschungsanordnung
Clearview AI ist ein US-Unternehmen, das Fotos von Websites sammelt und damit eine durchsuchbare Datenbank mit biometrischen Profilen erstellt. US Behörden können diese Daten nutzen um Personen in Fotos oder Videos zu erkennen. Nach Stellungnahmen von noyb hat die Hamburgische Datenschutzbehörde heute das Erstellen von biometrischen Profilen von EU-Bürgern vorläufig als rechtswidrig eingestuft und Clearview AI angewiesen, das Profil des Beschwerdeführers zu löschen.
Irgendwie haben sie sich einen Hardware Dongle samt Software von Cellebrite (israelische Firma, die dabei hilft, sich Zugang zu fremden Smartphones zu verschaffen) besorgt, und diese Software analysiert.
Wie frei eine Einwilligung zur Datenverarbeitung zustande gekommen sein sollte, legt der EuGH in einer Entscheidung deutlich dar. Wie weit die Realität in Österreich davon entfernt ist, darf jeder für sich selbst beurteilen.
Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie Art. 4 Nr. 11 und Art. 6 Abs. 1 Buchst. a der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass es dem für die Verarbeitung von Daten Verantwortlichen obliegt, nachzuweisen, dass die betroffene Person ihre Einwilligung in die Verarbeitung ihrer personenbezogenen Daten durch aktives Verhalten bekundet hat und dass sie vorher eine Information über alle Umstände im Zusammenhang mit dieser Verarbeitung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erhalten hat, die sie in die Lage versetzt, die Konsequenzen dieser Einwilligung leicht zu ermitteln, so dass gewährleistet ist, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. Ein Vertrag über die Erbringung von Telekommunikationsdiensten, der die Klausel enthält, dass die betroffene Person über die Sammlung und die Aufbewahrung einer Kopie ihres Ausweisdokuments mit Identifikationsfunktion informiert worden ist und darin eingewilligt hat, ist nicht als Nachweis dafür geeignet, dass diese Person ihre Einwilligung in die Sammlung und Aufbewahrung dieser Dokumente im Sinne dieser Bestimmungen gültig erteilt hat, wenn
– das Kästchen, das sich auf diese Klausel bezieht, von dem für die Verarbeitung der Daten Verantwortlichen vor Unterzeichnung dieses Vertrags angekreuzt worden ist oder wenn
– die Vertragsbestimmungen dieses Vertrags die betroffene Person über die Möglichkeit, den Vertrag abzuschließen, auch wenn sie sich weigert, in die Verarbeitung ihrer Daten einzuwilligen, irreführen können oder wenn
– die freie Entscheidung, sich dieser Sammlung und Aufbewahrung zu widersetzen, von diesem Verantwortlichen ungebührlich beeinträchtigt wird, indem verlangt wird, dass die betroffene Person zur Verweigerung ihrer Einwilligung ein zusätzliches Formular unterzeichnet, in dem diese Weigerung zum Ausdruck kommt.
Diese Entscheidung klingt sperrig, es geht aber um ein wichtiges Thema, welches indirekt auch mit den Schrems Verfahren zusammenhängt. Kann eine andere Datenschutzbehörde gegen Facebook vorgehen und darf es auch an einem anderen Niederlassung sein. Hier geht es im zugrundeliegenden nationalen Verfahren um DATR Cookies und die Idee war, Facebook in Belgien durch die dortige Aufsichtsbehörde zu klagen.
1. Art. 55 Abs. 1 und die Art. 56 bis 58 sowie 60 bis 66 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind in Verbindung mit den Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine Aufsichtsbehörde eines Mitgliedstaats, die nach den zur Durchführung von Art. 58 Abs. 5 der Verordnung erlassenen nationalen Rechtsvorschriften befugt ist, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, von dieser Befugnis, wenn eine grenzüberschreitende Datenverarbeitung in Rede steht, Gebrauch machen darf, obgleich sie für diese Datenverarbeitung nicht die „zuständige federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, sofern es sich um einen der Fälle handelt, in denen die Verordnung 2016/679 der Aufsichtsbehörde eine Zuständigkeit einräumt, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die fragliche Verarbeitung gegen die Vorschriften der Verordnung verstößt, und die in der Verordnung vorgesehen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden.
2. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die Ausübung der einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehenden Befugnis zur Klageerhebung bei einer grenzüberschreitenden Verarbeitung personenbezogener Daten nicht voraussetzt, dass der für die grenzüberschreitende Verarbeitung personenbezogener Daten Verantwortliche oder der Auftragsverarbeiter, gegen den die Klage erhoben wird, im Hoheitsgebiet des Mitgliedstaats der fraglichen Aufsichtsbehörde eine Hauptniederlassung oder eine andere Niederlassung hat.
3. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die federführende Aufsichtsbehörde ist, nach dieser Vorschrift zustehende Befugnis, vermeintliche Verstöße gegen die Verordnung einem Gericht dieses Mitgliedstaats zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben, sowohl gegenüber der Hauptniederlassung des Verantwortlichen, die sich in dem Mitgliedstaat der Aufsichtsbehörde befindet, als auch gegenüber einer anderen Niederlassung des Verantwortlichen ausgeübt werden kann, sofern Gegenstand der Klage eine Datenverarbeitung ist, die im Rahmen der Tätigkeiten der Niederlassung erfolgt, und die genannte Behörde nach den Ausführungen zu Vorlagefrage 1 dafür zuständig ist, die Befugnis auszuüben.
4. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass, wenn eine Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ im Sinne von Art. 56 Abs. 1 der Verordnung ist, vor dem 25. Mai 2018, also bevor die Verordnung galt, wegen einer grenzüberschreitenden Verarbeitung personenbezogener Daten eine Klage erhoben hat, diese Klage unionsrechtlich auf der Grundlage der Vorschriften der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr aufrechterhalten werden kann, die für Verstöße gegen die in ihr enthaltenen Vorschriften, die bis zu dem Zeitpunkt begangen worden sind, zu dem die Richtlinie aufgehoben wurde, weiter gilt. Darüber hinaus kann eine solche Klage von der Aufsichtsbehörde auf der Grundlage von Art. 58 Abs. 5 der Verordnung 2016/679 wegen nach diesem Zeitpunkt begangener Verstöße erhoben werden, sofern es sich um einen der Fälle handelt, in denen die Verordnung einer Aufsichtsbehörde eines Mitgliedstaats, die nicht die „federführende Aufsichtsbehörde“ ist, ausnahmsweise die Befugnis verleiht, einen Beschluss zu erlassen, mit dem festgestellt wird, dass die betreffende Datenverarbeitung gegen die in der Verordnung enthaltenen Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verstößt, und die in der Verordnung vorgesehenen Verfahren der Zusammenarbeit und der Kohärenz eingehalten werden, was zu prüfen Sache des vorlegenden Gerichts ist.
5. Art. 58 Abs. 5 der Verordnung 2016/679 ist dahin auszulegen, dass die Vorschrift unmittelbare Wirkung hat, so dass eine nationale Aufsichtsbehörde sich auf sie berufen kann, um gegen Private eine Klage zu erheben oder ein entsprechendes Verfahren fortzuführen, auch wenn die Vorschrift in der Rechtsordnung des betreffenden Mitgliedstaats nicht speziell umgesetzt worden ist.
Rückgriff auf Vorratsdaten betreffend leichter Delikte - no way sagt der EuGH. Und die Staatsanwaltschaft soll auch nicht die Daten einer Behörde freigeben dürfen. Beides war so vorgesehen im estnischen Recht.
1. Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung ist im Licht der Art. 7, 8 und 11 sowie von Art. 52 Abs. 1 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die es Behörden zur Verhütung, Ermittlung, Feststellung und Verfolgung von Straftaten ermöglicht, Zugang zu einem Satz von Verkehrs- oder Standortdaten zu erlangen, die geeignet sind, Informationen über die von einem Nutzer eines elektronischen Kommunikationsmittels getätigten Kommunikationen oder über den Standort der von ihm verwendeten Endgeräte zu liefern und genaue Schlüsse auf sein Privatleben zuzulassen, ohne dass sich dieser Zugang auf Verfahren zur Bekämpfung schwerer Kriminalität oder zur Verhütung ernster Bedrohungen der öffentlichen Sicherheit beschränken würde; dies gilt unabhängig davon, für welchen Zeitraum der Zugang zu den betreffenden Daten begehrt wird und welche Menge oder Art von Daten für einen solchen Zeitraum verfügbar ist.
2. Art. 15 Abs. 1 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung ist im Licht der Art. 7, 8 und 11 sowie von Art. 52 Abs. 1 der Charta der Grundrechte dahin auszulegen, dass er einer nationalen Regelung entgegensteht, wonach die Staatsanwaltschaft, deren Aufgabe darin besteht, das strafrechtliche Ermittlungsverfahren zu leiten und gegebenenfalls in einem späteren Verfahren die öffentliche Klage zu vertreten, dafür zuständig ist, einer Behörde für strafrechtliche Ermittlungen Zugang zu Verkehrs- und Standortdaten zu gewähren.
Verkehrs- und Standortdaten sind Sicherheits- und Nachrichtendiensten nicht allgemein und unterschiedslos Verkehrs- und Standortdaten zu schicken!
[url0https://curia.europa.eu/juris/document/document.jsf?text=&docid=232083&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=157581]EuGH vom 06.10.2020, C-623/17[/url]
1. Art. 1 Abs. 3, Art. 3 und Art. 15 Abs. 1 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) in der durch die Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates vom 25. November 2009 geänderten Fassung sind im Licht von Art. 4 Abs. 2 EUV dahin auszulegen, dass eine nationale Regelung, die es einer staatlichen Stelle gestattet, den Betreibern elektronischer Kommunikationsdienste vorzuschreiben, zur Wahrung der nationalen Sicherheit den Sicherheits- und Nachrichtendiensten Verkehrs- und Standortdaten zu übermitteln, in den Geltungsbereich dieser Richtlinie fällt.
2. Art. 15 Abs. 1 der Richtlinie 2002/58 in der durch die Richtlinie 2009/136 geänderten Fassung ist im Licht von Art. 4 Abs. 2 EUV sowie der Art. 7, 8 und 11 der Charta der Grundrechte der Europäischen Union und ihres Art. 52 Abs. 1 dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die es einer staatlichen Stelle gestattet, zur Wahrung der nationalen Sicherheit den Betreibern elektronischer Kommunikationsdienste vorzuschreiben, den Sicherheits- und Nachrichtendiensten allgemein und unterschiedslos Verkehrs- und Standortdaten zu übermitteln.
EGMR: Überwachung der Internetkommunikation (Schweden) Urteil der Großen Kammer des EGMR vom 25. 5. 2021 im Fall Centrum för rättvisa - schwedisches System massenhafter Überwachung der Internetkommunikation; abweichend vom Urteil der Kammer stellte die Große
Kammer eine Verletzung des Art 8 EMRK fest. Die wesentlichen Aussagen des Urteils lauten:
Angesichts der Existenz internationaler Akteure, die das Internet für ihre Kommunikation nutzen und eine Entdeckung oft durch aufwändige Technologie vermeiden, haben die Vertragsstaaten einen weiten Gestaltungsspielraum hinsichtlich der Frage, welches Überwachungssystem zum Schutz ihrer nationalen Sicherheit erforderlich sind. Der Einsatz einer Massenüberwachung der Internetkommunikation ist daher nicht grundsätzlich mit Art 8 unvereinbar. Im Hinblick auf die Veränderungen der modernen Kommunikationstechnologien muss die Beurteilung gezielter Überwachung im Hinblick auf Massenüberwachungen
angesichts der Gefahren eines Missbrauchs sowie die Notwendigkeiten der Geheimhaltung werden, adaptiert werden. Auf nationaler Ebene sollte in jedem Stadium des Vorgangs eine Beurteilung der Notwendigkeit und Verhältnismäßigkeit stattfinden; die Massenüberwachung sollte einer vorherigen unabhängigen Genehmigung bedürfen, wenn Gegenstand und Ausmaß der Überwachung festgelegt werden; die Operation sollte einer Überwachung und einer nachträglichen unabhängigen Kontrolle unterliegen. Das schwedische System der Massenüberwachung entspricht weitgehend dieser Anforderungen, weist aber drei Defekte auf: es fehlen Regelungen über die Vernichtung von nicht personenbezogenen Daten; das Fehlen einer expliziten Anordnung betreffend die Beachtung individueller Geheimhaltungsinteressen bei der Übermittlung von Informationen an ausländische Institutionen; und das Fehlen einer effektiven nachträglichen Kontrolle. Aus diesen Gründen verletzt das schwedische Regime der Massenüberwachung Art 8.
EGMR Centrum för rättvisa, 25. 5. 2021, 35.252/08 (Große Kammer)
Last edited by harald on 20 Jul 2022, 12:25, edited 1 time in total.
Das Urteil der Großen Kammer des EGMR vom 25. 5. 2021 im Fall Big Brother Watch ua, betrifft die Massenüberwachung der Internetkommunikation in UK. Die wesentlichen Aussagen des Urteils lauten:
Angesichts der Existenz internationaler Akteure, die das Internet für ihre Kommunikation nutzen und eine Entdeckung oft durch aufwändige Technologie vermeiden, haben die Vertragsstaaten einen weiten Gestaltungsspielraum hinsichtlich der Frage, welches Überwachungssystem zum Schutz ihrer nationalen Sicherheit erforderlich sind. Der Einsatz einer Massenüberwachung der Internetkommunikation ist daher nicht grundsätzlich mit Art 8 unvereinbar. Der Einsatz einer Massenüberwachung der Internetkommunikation ist daher nicht grundsätzlich mit Art 8 unvereinbar. Im Hinblick auf die Veränderungen der modernen Kommunikationstechnologien muss die Beurteilung gezielter Überwachung im Hinblick auf Massenüberwachungen angesichts der Gefahren eines Missbrauchs sowie die Notwendigkeiten der Geheimhaltung werden, adaptiert werden. Auf nationaler Ebene sollte in jedem Stadium des Vorgangs eine Beurteilung der Notwendigkeit und Verhältnismäßigkeit stattfinden; die Massenüberwachung sollte einer vorherigen unabhängigen Genehmigung bedürfen, wenn Gegenstand und Ausmaß der Überwachung festgelegt werden; die Operation sollte einer Überwachung und einer nachträglichen unabhängigen Kontrolle unterliegen. Vor diesem Hintergrund leidet das britische System der Massenüberwachung an drei Defekten: Es fehlt eine unabhängige Anordnung der Massenüberwachung vor ihrem Beginn; es fehlen Angaben zu den Suchbegriffen im Antrag auf Bewilligung der Überwachung; die Suchbegriffe für individualisierte Personen sind nicht Gegenstand der vorherigen Bewilligung. Die vorgesehenen Instrumente einer unabhängigen Kontrolle sind zwar anzuerkennen, vermögen die genannten Mängel aber nicht auszugleichen, sodass dieses System insgesamt unverhältnismäßig ist.
EGMR Big Brother Watch ua, 25. 5. 2021, 58.170/13 ua
Art. 19 Abs. 1 in Verbindung mit Art. 16 der Richtlinie 2011/95/EU des Europäischen Parlaments und des Rates vom 13. Dezember 2011 über Normen für die Anerkennung von Drittstaatsangehörigen oder Staatenlosen als Personen mit Anspruch auf internationalen Schutz, für einen einheitlichen Status für Flüchtlinge oder für Personen mit Anrecht auf subsidiären Schutz und für den Inhalt des zu gewährenden Schutzes ist dahin auszulegen, dass ein Mitgliedstaat den subsidiären Schutzstatus aberkennen muss, wenn er diesen Status zuerkannt hat, ohne dass die Voraussetzungen für die Zuerkennung erfüllt waren, indem er sich auf Tatsachen stützte, die sich in der Folge als unzutreffend erwiesen haben, und obgleich der betroffenen Person nicht vorgeworfen werden kann, sie habe den Mitgliedstaat bei dieser Gelegenheit irregeführt.
Die belgische Datenschutzbehörde hat eine Geldstrafe in Höhe von 600.000 Euro gegen den Suchmaschinenanbieter Google wegen Verstoßes gegen das Recht auf Vergessenwerden verhängt.
Eine Person des öffentlichen Lebens hatte sich an die Behörde gewandt, nachdem Google Belgien sich geweigert hatte, „veraltete Artikel, die ihrem Ruf schaden“, aus der Ergebnisliste der Suchmaschine zu entfernen.
Dabei ging es den Angaben zufolge einerseits um eine „mögliche politische Etikettierung“, die der Beschwerdeführer „ablehnte“. Andererseits bezogen sich die strittigen Links auf einen Vorwurf der Belästigung, „der vor vielen Jahren“ als unbegründet abgewiesen wurde. Die Behörde sah in letzterem Fall ein „schwerwiegendes Versäumnis“ von Google, da die Beibehaltung der Links „ernsthafte Auswirkungen für den Beschwerdeführer haben könnte“.
Leider gibt es weder Links noch sonst weitere Informationen, es ist zB unklar, ob es noch einen belgischen Instanzezug gibt (oder ob das vielleicht schon die letzte belgische Instanz ist), was Google dazu sagt, ob die nach weitere Instanzen anrufen können oder dies gar angekündigt haben usw.
Habe zwar direkt dazu nichts gefunden, aber es dürfte sich um das belgische Pendant zur Datenschutzbehörde handeln.
Ein ähnlicher Fall zum Recht auf Vergessenwerden war vom EGMR zu entscheiden (der Fall dürfte anscheinend aktuell dann noch bei der großen Kammer liegen!): Hurbain/Belgien, Nr. 57292/16 vom 22.06.2021
BF ist Arzt und bei der Google Suche erscheint bei seinem Namen der Zeitungsartikel zu einem von ihm verursachten Autounfall aus dem 1994, mit 2 Toten und 3 verletzten. 200 zu Haftstrafe verurteilt, 2006 rehabilitiert. 2010 hat er die Zeitschrift ersucht, den Artikel im elektronischen Zeitungsarchiv zu anonymisieren oder zu löschen. Die nationalen Gerichte bestanden auf Anonymisierung des Artikels, der EGMR sah keine Verletzung von Art. 10 EMRK.
Standortdaten von Handys können relativ unkompliziert käuflich erworben werden
ist der erste Satz eines ausführlichen Artikels von ORF.at, wo sich der der Ergebnisse von Netzpolitik.org und dem Bayerischen Rundfunk (BR) bedient.
Jeder einzelne Eintrag ist ein Punkt auf der Karte – und für sich selbst noch nicht aussagekräftig. Doch zu jedem Punkt wird auch eine eindeutige Kennung mitgeliefert, wie Netzpolitik schreibt. Es handelt sich um die Mobile Advertising ID, mit der Handys, egal ob solche mit Googles Betriebssystem Android oder von Apple, eindeutig identifiziert werden können.
Wege von Einzelpersonen lassen sich damit plötzlich genau nachverfolgen. So ist es etwa sehr wahrscheinlich, dass eine Person, die sich nachts immer am selben Ort aufhält, dort wohnt. Bewegt sich diese Person in der Früh, wird sie zu ihrem Arbeitgeber unterwegs sein. Mittels einfacher Google-Suchen lässt sich so schnell eine Person genau identifizieren.
Noch problematischer wird es aber, wenn man etwa die Daten auf dem Gelände von psychiatrischen Kliniken überprüft, allein in einer Klinik in Bayern fand Netzpolitik 64 verschiedene eindeutige Werbe-ID-Nummern. Auch in Bordellen, Swingerclubs und Gefängnissen gab es Datenpunkte, die man Menschen zuordnen konnte.
Der BR weist darauf hin, dass auch mutmaßlich „mehrere zehntausend Personen“ gefunden wurden, die in sicherheitsrelevanten Bereichen arbeiten. In Ministerien, Rüstungsunternehmen und selbst an Dienststellen des deutschen Verfassungsschutzes finden sich Einträge in dem Datensatz.
„Die Art, wie digitale Werbung heute funktioniert, führt zur permanenten unkontrollierten Weitergabe von personenbezogenen Verhaltensdaten über große Bevölkerungsgruppen an unzählige Firmen. Das ist keine Ausnahme, sondern die Regel. Niemand weiß wirklich, wo die Daten landen. Die Recherche zeigt, dass der kommerzielle Missbrauch persönlicher Daten völlig außer Kontrolle ist“, so [Forscher] Christl.
Noyb kritisiert, dass die Praxis darüber hinaus „auch dem geltenden Datenschutzrecht“ widerspreche. „Der Handel mit Standortdaten lässt sich wohl auf keine Rechtsgrundlage stützen. Der Datenhandel findet für die betroffenen Personen komplett intransparent statt“, so die NGO weiter.
Die US-Firma, von der das Rechercheteam die Daten erhalten hat, gibt sich bedeckt zur Herkunft. Netzpolitik verweist darauf, dass es womöglich gar nicht nachvollziehbar ist, woher die Daten ursprünglich gekommen sind, weil sie oft aus mehreren Quellen zusammengetragen und dazwischen auch wiederverkauft werden.
Im Artikel werden auch irgendwelche Politiker etc zitiert, die das ganze nicht so leiwand finden. Aber einen konrekten Vorschlag, was man dagegen machen könnte, entnehme ich dem Artikel nicht. Was das geltende EU-Datenschutzrecht anbelangt ist das sowieso weit jenseits, aber das hat keine Auswirkung.