Praxisbeispiel: TOLERANT Match

Datenqualität mit Datenschutz 

Die Qualitätssicherung von Kundendaten ist das Kerngeschäft von TOLERANT Software aus Stuttgart. Dazu gehören Tools für schnelle unscharfe Suchen, weltweite Adressprüfungen, die Dubletten-Erkennung, Namensvalidierungen, Umzugsprüfungen und Compliance-Lösungen für die europäische Datenschutzgrundverordnung (DSGVO) und internationale Datenschutzanforderungen.

Anwendungsfall WGV

Die Datenqualitätssoftware TOLERANT Match kommt zum Einsatz, wenn Adressdaten bereinigt und Dubletten selbst in großen Datenbeständen identifiziert werden sollen, so z.B. bei der Württembergischen Gemeinde-Versicherung (WGV).

Die WGV nutzt TOLERANT Match seit 2012 und setzt es beispielsweise beim Zusammenführen großer Datenbestände ein. Noch während die Daten zusammengeführt werden durchsucht TOLERANT Match den Datenbestand sekundenschnell und treffsicher nach Dubletten. Der fehlertolerante Suchalgorithmus berücksichtigt dabei Schreib- und Tippfehler bei Namen und Adressen und identifiziert Duplikate auch bei unterschiedlichen Schreibweisen. „Mit unserer fehlertoleranten Suchtechnologie werden zusammengehörende Datensätze auch dann sicher erkannt werden, wenn ein Name mit „t“ statt mit „th“ ins System eingegeben wird“, erläutert TOLERANT Software-Geschäftsführer Stefan Sedlacek.

Olaf Bechthold leitet das Key-Account-Management der WGV-Informatik und Media GmbH, einem Tochterunternehmen der WGV. Bei der Auswahl eines geeigneten Softwaretools zur Verbesserung der Datenqualität achtete Bechthold auf die Kompatibilität zum bestehenden IT-System des Versicherungsunternehmens. TOLERANT Software passte die Architektur des Datenqualitätstools daher bereits im Vorfeld an das ICIS, das Standardbestandsführungssystem für Versicherungen, an, so dass einer erfolgreichen Integration nichts im Wege stand. Neben der Kompatibilität und der reibungslosen Implementierung schätzt der Key-Account-Manager von WGV auch die räumliche Nähe seines Datenqualitätslieferanten. Hinzu kommt: fair.digital wird unterstützt! TOLERANT Match hilft dabei, die Vorgaben der Europäischen Datenschutz-Grundverordnung (DSGVO) umzusetzen. So können z.B. Datenschutzanfragen mit dem Tool lückenlos, korrekt und fristgerecht beantwortet werden.

 

“Ich sehe dich” – Biometrische Überwachung im Alltag

Es sind dystopische Szenen, die in manchen actionreichen Filmen eine bedeutende Rolle spielen: Zahlreiche private Aufnahmegeräte in Restaurants, Dutzende an Ampeln befestigte Straßenkameras, und zig 360°-Kameras an Straßenkreuzungen. Im Fokus solcher Filme ist beispielsweise ein Protagonist, der vor korrupten Polizeibeamten fliehen muss. Eine unmögliche Tat bei einer solchen biometrischen Überwachung. – Obwohl solch eine Allzeit-Beobachtung durch Kameras im öffentlichen Raum erst einmal nur eine fiktionale Szenerie darzustellen scheint, hat eine Untersuchung von Amnesty International ihre Realitätsnähe offenbart, die auch von anderen Organisationen Beachtung und Kritik findet.

Machen wir einen Abstecher nach New York City, der Weltstadt an der Ostküste der Vereinigten Staaten: Die Kreuzungen der Stadteile Manhattan, Bronx und Brooklyn machen dort fast die Hälfte der Kreuzungen in der gesamten Stadt aus. Und alleine in diesem Gebiet stehen der New Yorker Polizei (NYPD) mehr als 15.000 Kameras zur Verfügung, die zur Gesichtserkennung genutzt werden können. Aufgespürt wurden diese Kameras durch eine Untersuchung von Amnesty International im Mai 2021. Tausenden Freiwilligen wurden dabei Google Street View-Bilder gestellt, auf denen sie Kameras auf den New Yorker Kreuzungen kartografieren sollten, von denen manche hochaufgelöste Aufnahmen bis zu einer Entfernung von 200 Metern aufzeichnen können.1

Das NYPD behauptet, das Videomaterial nicht standardmäßig zur Erfassung von Personen zu nutzen2. Amnesty berichtet jedoch, dass das NYPD alleine im Jahr 2019 in 11.000 Fällen die Gesichtserkennungstechnologie eingesetzt haben soll1. Mutmaßlich soll beispielsweise auch bei den Protesten zu Black Lives Matter ein Demonstrant über das Kamera-Netzwerk identifiziert worden sein3. Nicht überraschend daher, dass die Non-Profit-Organisation die Nutzung der Gesichtserkennung als Bedrohung für die Menschenrechte ansieht und dabei inhaltlich auch von anderen Organisationen unterstützt wird:

  • In einem offenen Brief fordern unter anderem über 175 namhafte zivilgesellschaftliche Organisationen, Wissenschaftler und Aktivisten ein weltweites Verbot von biometrischer Überwachung im öffentlichen Raum. Zu der biometrischen Überwachung zählen die Verfasser alle Technologien, die anhand des Gesichtes, der Stimme, des persönlichen Auftretens oder anderer biometrischer Kennzeichen Identifikationen und somit eine gezielte Massenüberwachung ermöglichen. Im Brief kommt deutlich hervor, dass diese Technologien ein Risiko für die Menschenrechte darstellen, einschließlich der Rechte auf Privatsphäre und Datenschutz, sowie das Recht auf freie Meinungsäußerung und Versammlungsfreiheit.4
  • Auch in Europa wird die Kritik auf politischer Ebene laut: Der Europäische Datenschutzbeauftragte (EDPS) und der Europäische Datenschutzausschuss (EDPB) fordern in einer gemeinsamen Stellungnahme ein generelles Verbot des Einsatzes von künstlichen Intelligenzen zur automatisierten Erkennung menschlicher Merkmale in öffentlich zugänglichen Räumen.5 Andrea Jelinek, die Voritzende des EDPB, und Wojciech Wiewiórowski vom EDPS heben hervor:

“Der Einsatz von biometrischer Fernidentifikation in öffentlich zugänglichen Räumen bedeutet das Ende der Anonymität an diesen Orten.”

Andrea Jelinek & Wojciech Wiewiórowski (aus dem Englischen übersetzt) 5
  • Grundsätzlich will auch die Europäische Kommission “alle Arten biometrischer Fernidentifizierungssysteme” im öffentlichen Raum bis auf wenige Ausnahmen für die Zwecke der Strafverfolgung verbieten. Die Ausnahmen sieht die Kommission in Anwendungen, die “unbedingt erforderlich” sind, um potenzielle Opfer von Straftaten zu finden oder eine terroristische Bedrohung abzuwenden. Auch die Verfolgung schwerer Straftaten nach einem nötigen Beschluss einer zuständigen Justizbehörde soll möglich sein.6

Es lässt sich also festhalten, dass eine standardmäßige biometrische Überwachung im Alltag einen Angriff auf die Datenschutz- und Freiheitsrechte eines jeden Individuums darstellt. Entscheidend ist in dem Falle daher ein festgeschriebenes Verbot der generellen Überwachung – mit Ausnahme von juristisch festgelegten Suchen im Zuge von Strafverfolgungen. Und das am besten so schnell wie möglich.

Zustimmungs-Pop-ups verstoßen gegen Datenschutzgrundverordnung / Google Fonts auf Webseiten rechtswidrig

fair.digital e.V. begrüßt aktuelle Entscheidungen für mehr Transparenz und das Recht auf informationelle Selbstbestimmung

Karlsruhe 10.02.2022. Das als „Transparency & Consent Framework” (TCF) bekannte Zustimmungs-Popup-System ist auf über 80 Prozent der Webseiten in Europa nicht DSGVO-konform. Zu dieser Entscheidung kommen aktuell die Datenschutzbehörden der Europäischen Union. Auch die Einbindung von dynamischen Webinhalten von Google Fonts ist ohne Einwilligung der Besucher nach einem jüngsten Urteil des Landgerichts München rechtswidrig.

„Große Internetkonzerne bedrohen nach wie vor die digitale Souveränität von Bürgern und Unternehmen in Europa. Als Verein, der sich für den Erhalt der digitalen Grundrechte in Europa einsetzt, begrüßen wir sowohl die Entscheidung der europäischen Datenschutzbehörden als auch das jüngste Gerichtsurteil aus München ganz ausdrücklich, weil es die Grundrechte und -freiheiten von Millionen Bürgern in Europa und Deutschland schützen möchte”, so Martin Hubschneider, Vorsitzender des Vereins fair.digital aus Karlsruhe und Vorstand der CAS Software AG.

„Es kann nicht sein, dass große Internetkonzerne ohne eine wirkliche Zustimmung des Internetnutzers in großem Umfang personenbezogene Daten sammeln können, die womöglich in Profiling-Aktivitäten, Verhaltensprognosen und in eine daraus resultierende Überwachung der Bevölkerung münden. Wir fordern stattdessen Transparenz, Vertrauenswürdigkeit und Fairness beim Umgang mit sensiblen Daten der Bürgerinnen und Bürger”, so Martin Hubschneider weiter.

EU-Datenschutzbehörden stoppen Pop-up-Plage
In der Entscheidung vom 2. Februar 2022 stellen 28 EU-Datenschutzbehörden, angeführt von der belgischen Datenschutzbehörde als führende Aufsichtsbehörde, fest, dass der Branchenverband der Online-Werbebranche “IAB Europe” bei der Verarbeitung personenbezogener Daten im Zusammenhang mit seinem „Transparency and Consent Framework” (TCF) mehrfach gegen die DSGVO verstößt. Demnach sei nicht sichergestellt, dass personenbezogene Daten sicher und vertraulich behandelt werden. So etwa werde die Einwilligung nicht ordnungsgemäß eingeholt und keine Transparenz darüber hergestellt, was mit den Daten der jeweiligen Internetnutzer geschieht. Insgesamt wurden keine Maßnahmen ergriffen, die sicherstellen, dass die Datenverarbeitung im Einklang mit der DSGVO erfolgt.

Landgericht München: Übermittlung der IP-Adresse ohne explizite Zustimmung an Google rechtswidrig
Nach dem Urteil des Gerichts muss eine Webseiten-Betreiberin 100 Euro Schadensersatz entrichten, weil die IP-Adresse eines Nutzers ohne dessen Zustimmung über die Font-Library an Google übermittelt wurde. Die Entscheidung bezieht sich nicht auf Google Fonts, die vom eigenen Server ausgeliefert werden, sondern nur auf jene, die extern über Google-Server bereitgestellt werden. Der Verstoß führe dazu, so das Urteil des Landgerichts, dass der Kläger die Kontrolle über seine persönlichen Daten verliere.

Google Analytics verstößt gegen DSGVO
Sowohl die Entscheidung der europäischen Datenschützer als auch das Urteil des Münchner Landgerichts reiht sich ein in weitere Entscheidungen der jüngsten Vergangenheit. In einer wegweisenden Entscheidung hat die österreichische Datenschutzbehörde nun entschieden, dass die Nutzung von Google Analytics gegen die DSGVO verstößt. Bereits im Jahr 2020 entschied der Europäische Gerichtshof (EuGH), dass die Nutzung von US-Anbietern gegen die DSGVO verstößt, da US-Überwachungsgesetze US-Anbieter wie Google oder Facebook dazu verpflichten, persönliche Daten an US-Behörden zu übermitteln.

Google Analytics als DSGVO-widrig erklärt

 

Mit der Grundlage des Schrems-II-Urteils aus dem Jahr 2020 reichte das Europäische Zentrum für digitale Rechte (noyb) eine Musterbeschwerde bei der österreichischen Datenschutzbehörde (DSB) ein. Die DSB erklärte Ende Dezember 2021 die Nutzung des Statistikprogramms Google Analytics nun für rechtswidrig, da die Daten-Übermittlung an US-Provider gegen die DSGVO verstößt.

Durch das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) im Juli 2020 verstößt die Nutzung von US-Anbietern gegen die DSGVO, da das US-Überwachungsgesetz bekannte US-amerikanische Unternehmen wie Google und Facebook nämlich zur Übermittlung persönlicher Daten an US-Behörden verpflichtet. Das Europäische Zentrum für digitale Rechte (noyb) teilt jedoch mit, dass US-Anbieter und EU-Unternehmen die Entscheidung weitgehend ignoriert haben.

Mit der Entscheidung der österreichischen Datenschutzbehörde (DSB) steigt nun jedoch der Druck auf die Anbieter und Unternehmen. Der Kern des Urteils besagt, dass EU-Unternehmen keine US-Cloud-Dienste mehr nutzen dürfen. Für EU-Unternehmen wird also ein Wechsel auf legale Alternativen zu Google Analytics notwendig, die in Europa gehostet werden. Wahlweise müssen US-Gesetze einen besseren Datenschutz bieten oder US-Anbieter ihre Daten außerhalb der Vereinigten Staaten verarbeiten, so das Europäische Zentrum für digitale Rechte (noyb).

Unternehmen, die gegen die DSGVO verstoßen, erwartet normalerweise eine Strafe von bis zu 20 Millionen Euro oder 4 % ihres weltweiten Umsatzes. Da bei dem amtlichen Durchsetzungsverfahren der DSB jedoch keine Anhörung des Beschwerdeführers erfolgte, gibt es keine Informationen darüber, ob eine Strafe verhängt wurde.

In unserem Beitrag “US-Cloud-Dienste: Fehlende Rechtsgrundlage in der EU” erfahren Sie mehr über die historische Entwicklung der Gesetzeslage. Weiterführendes Infos gibt es unter: https://noyb.eu/de/oesterr-dsb-eu-us-datenuebermittlung-google-analytics-illegal

US-Cloud-Dienste: Fehlende Rechtsgrundlage in der EU

Der Beschluss der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) wurde im Juli 2020 von dem Europäischen Gerichtshof (EuGH) für unwirksam erklärt. Jetzt stehen Unternehmen ohne eine Rechtsgrundlage da, wenn sie US-Cloud-Dienste wie Amazon und Microsoft nutzen. 

Ein Blick in die Historie des Privacy Shield

 

Der österreichische Jurist Maximilian Schrems hat es sich zur Aufgabe gemacht, Datenschutzrechte durchzusetzen. Deswegen beantragte er vor der irischen Datenschutzbehörde, alle Datenübermittlungen von der nationalen Facebook-Tochter an den Mutterkonzern in den USA auszusetzen. Der Erfolg zeigte sich in Form eines Beschlusses des Europäischen Gerichtshofs (EuGH) im Jahr 2020: Der transatlantische “Privacy Shield”, der als Rechtsgrundlage für den Transfer personenbezogener Daten europäischer Bürger in die USA galt, wurde für nichtig erklärt und erhielt den Beinamen “Schrems II-Urteil”. Begründet wurde diese Entscheidung mit den datenschutzrechtlich ungenügenden US-amerikanischen Gesetzen, die beispielweise ihren Sicherheitsbehörden die Überwachung ausländischer Kommunikation gestatten.1

Mit dem Schrems II-Urteil soll der Datentransfer in die USA und andere Drittländer also unterbunden werden. Konkret bedeutet das, dass z.B. Dienstleistungen von Microsoft, Zoom etc. nicht mehr genutzt werden dürfen, wenn diese die Daten auf Servern in den EU-Mitgliedstaaten nicht wirksam vor dem Zugriff der US-Behörden schützen. Zusätzlich wurde vonseiten des Europäischen Gerichthofs festgelegt, dass bei Datenübermittlungen in die USA Standardvertragsklauseln grundsätzlich nicht ausreichen und mit zusätzlich verbindlichen Datenschutzvorschriften gesichert werden müssen. Damit soll für die übermittelten Daten ein gleichwertiges Datenschutzniveau wie in der EU garantieren werden.2

 

 

Die Schlüsselrolle für die Durchsetzung des Beschlusses des Europäischen Gerichtshofs (EuGH) tragen die Aufsichtsbehörden. Der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann kündigte schon Mitte 2021 ein schärferes Vorgehen an, um Verstöße in Unternehmen und öffentliche Stellen vorzubeugen und gegebenenfalls mit Bußgeldern zu rügen. Das “Schrems II-Urteil” betreffe als Grundsatzentscheidung nämlich “fast jedes Unternehmen, jede Behörde, Kommune, Schule, Organisation oder Arztpraxis”3. Diese übermitteln die personenbezogenen Daten oftmals unbewusst in Länder außerhalb der EU und müssen daher verstärkt über das Schrems II-Urteil informiert werden, damit sich etwas ändert. 

Quellen:

Grundrechte für Digitale Selbstbestimmung

Die Initiative JEDER MENSCH der Stiftung Jeder Mensch e.V. hat sich zum Ziel gesetzt, die Charta der Grundrechte der Europäischen Union mit sechs Grundrechten zu erweitern und erneuern.

Die Gründung der Stiftung wurde angetrieben durch das Buch „Jeder Mensch“ von Ferdinand von Schirach, der spätestens nach seinem millionenfach verkauften Roman „Der Fall Collini“ Berühmtheit erlangte. “Die alten Verfassungen Europas kennen auf die enormen Umwälzungen der letzten Jahre keine klaren Antworten.” – Deswegen fokussiert die Initiative Forderungen für eine geschützte Umwelt, Wahrheit in den Äußerungen von Amtsträgern und die Wahrung der universellen Menschenrechte im Kontext der Globalisierung. Dazu kommen neben der Möglichkeit der Erhebung einer Grundrechtsklage bei Verletzung der Charta besonders Themen aus der Digitalen Welt:

In Artikel 2 und 3 wird nach Digitaler Selbstbestimmung und transparenten Algorithmen gefordert, um Entscheidungen selbstständig zu treffen und der Manipulation durch die Ausnutzung von personenbezogenen Daten für personalisierte Werbung zu entgehen.

Die Ergänzung der Grundrechtecharta um diese zeitgemäßen Grundrechte kann nur durch einen Grundrechtekonvent umgesetzt werden, der wiederum von der einfachen Mehrheit der EU-Mitgliedsstaaten einberufen werden kann. Da dies nicht mit der Europäischen Bürgerinitiative möglich ist, hat sich die Initiative das Ziel gesetzt, politischen Druck auf die Mitgliedsstaaten auszuüben – und das mit mindestens einer Million Unterschriften.

Um die Grundsteine unserer Gesellschaft zu modernisieren und Digitale Souveränität zu erlangen, ist jede/r dazu aufgerufen, sich an der Umsetzung dieses Ziels zu beteiligen. Hier können alle Bürgerinnen und Bürger der Europäischen Union die Initiative unterstützen und den Impuls für einen Verfassungskonvent geben.

Quellen:

fair.digital begrüßt TOLERANT Software als neues Mitglied

Seit September 2021 ist die TOLERANT Software GmbH & Co. KG aus Stuttgart Mitglied bei fair.digital. Wir freuen uns über die Entscheidung der drei Geschäftsführer Dr. Markus Eberspächer, Stefan Sedlacek und Jörg Vogler, die Initiative zu unterstützen.

Die Qualitätssicherung von Kundendaten ist das Kerngeschäft von TOLERANT Software. Sie bildet den Schlüssel für die meisten IT-Systeme sowie für Big Data, Cloud Computing und digitale Geschäftsprozesse. Die Kunden von TOLERANT Software profitieren von Tools, Referenzdaten, Beratung und Dienstleistungen rund um das Thema Datenqualitätsmanagement. Zu den Leistungen des Unternehmens gehören die schnelle unscharfe Suche, weltweite Adressprüfungen, die Dublettenerkennung, Namensvalidierungen, Umzugsprüfungen und Compliance-Lösungen für die europäische Datenschutzgrundverordnung (DSGVO) und internationale Datenschutzanforderungen. Das Unternehmen hat seinen Sitz in Stuttgart und wurde im Jahr 2009 von den drei oben genannten Geschäftsführern gegründet.

„Unser zertifiziertes Tool TOLERANT Match hilft unseren Kunden dabei, die Vorgaben der Europäischen Datenschutz-Grundverordnung (DSGVO) konsequent umzusetzen. Datenschutzanfragen können mit dem Tool lückenlos, korrekt und fristgerecht beantwortet werden“, stellt Jörg Vogler fest.

Zusammen mit Stefan Sedlacek und Dr. Markus Eberspächer leitet Vogler die TOLERANT Software GmbH & Co. KG in Stuttgart.
„Mit unserem Werkzeug erleichtern wir unseren Kunden die Datensuche. Möglich macht dies ein zentraler Index, in dem die Daten systemübergreifend gesammelt und durchsucht werden“, fügt Stefan Sedlacek erläuternd hinzu.

„Über die Mitgliedschaft im Verein fair.digital e.V. und über die Zertifizierung mit dem Gütesiegel freuen wir uns sehr“, ergänzt Dr. Markus Eberspächer. „Das Gütesiegel zeigt, dass unser zertifiziertes Produkt TOLERANT Match die Prinzipien Transparenz, Fairness und Datenschutz vereint.“

Weitere Informationen zu TOLERANT finden Sie auf der Webseite des Unternehmens.

Die neuen Gewinner im Spotlight: “BigBrotherAwards” für Google & Co.

Die BigBrotherAwards setzen Firmen, Organisationen und Personen in das Scheinwerferlicht der Öffentlichkeit – und das eher wider Willens. Die Preisträger zeichnen sich nämlich dadurch aus, dass sie “in besonderer Weise und nachhaltig die Privatsphäre von Menschen beeinträchtigen sowie persönliche Daten verkaufen oder gegen ursprüngliche Interessen verwenden” und somit Schlagzeilen über sich selbst ungerne sehen.1 

Die deutsche Jury, bestehend aus Vertretern von unabhängigen Organisationen wie der “Deutschen Vereinigung für Datenschutz (DVD)” und dem “Chaos Computer Club (CCC)”, hat Mitte Juni die BigBrotherAwards 2021 verliehen. Hier ein Überblick über einige der Preisträger:

  • In der Kategorie Hochschulen bekam die KI-basierte Prüfungssoftware und das gleichnamige Unternehmen “Proctorio” den Award. Die Software kann unter anderem durch den notwendigen Zugriff auf die Videokamera die Blicke von Prüflingen erkennen, die auf einen Täuschungsversuch hindeuten, und dann automatisch Alarm schlagen. In der Erklärung heißt es unter anderem, dass mit dieser Software nicht nur ein Eingriff in die Integrität der privaten Geräte der Studierenden erfolgt, sondern auch der Stresspegel erhöht wird, da das Verhalten von einer KI bewertet wird.
  • Den BigBrotherAward in der Kategorie Gesundheit bekam die Firma “Doctolib” in Berlin, die sich auf die Vermittlung von Arztterminen über ihre Plattform spezialisiert hat – wofür unter anderem der Zugriff auf den gesamten im Arztinformationssystem gespeicherten Patientenstammdatensatz gewährt werden muss. Diese Daten werden von “Doctolib” laut der Ausführung unter Missachtung der Vertraulichkeitsverpflichtung verarbeitet und auch im Rahmen kommerzieller Marketingzwecke genutzt, was in Anbetracht der sensiblen Gesundheitsdaten besonders bedenklich ist.
  • Das Technologieunternehmen “Google” erhielt den BigBrotherAward in der neuen Kategorie “Was mich wirklich wütend macht”. Kritisiert werden unter anderem die allseits bekannten Cookie-Banner, die Nutzer auf Webseiten über die Art der Speicherung von Daten hinweisen und ihre Zustimmung oder Ablehnung einholen müssen. Durch irreführende Designs geben diese Cookie-Banner die Möglichkeit zur Ablehnung jedoch erst nach einem frustrierenden Klick-Marathon preis und verleiten somit zu einem Klick auf den “Akzeptieren”-Button.  

Das Problem mit den Cookie-Bannern

Durch diese irreführenden Banner verstoßen viele Unternehmen gegen die DSGVO, die eine einfache Auswahl zwischen “Ja” und “Nein” verlangt. Der Verein noyb, der sich der Durchsetzung des Datenschutzes innerhalb der Europäischen Union verschrieben hat, möchte nun aktiv dagegen vorgehen. Gemeinsam mit dem “Sustainable Computig Lab (CSL)” der Wirtschaftsuniversität Wien haben sie das “Advanced Data Protection Control (ADPC)” genannte Konzept entwickelt, das ein einheitliches und simples Pop-Up im Browser für die Datenschutz-Anfragen der einzelnen Webseiten generieren soll.  

Zusätzlich prüft das juristische Team von noyb mithilfe einer Software verschiedene Arten von rechtswidrigen Cookie-Bannern. Das System generiert automatisch eine DSGVO-Beschwerde und leitet das Unternehmen zu einer Änderung des Cookie-Banners an. “Wenn ein Unternehmen seine Einstellungen nicht innerhalb eines Monats ändert, wird noyb die Beschwerde bei der zuständigen Behörde einbringen, die ein Bußgeld von bis zu 20 Millionen Euro verhängen kann”, so berichtet der Verein.

Durch die Schaffung von Öffentlichkeit und einem aktiven Vorgehen kann eine Umänderung von Unternehmenskonzepten angestoßen werden, die die Digitale Souveränität des Einzelnen und der Gesellschaft verletzten. Der Verein “fair.digital” möchte als Orientierungshilfe dabei unterstützen, Risiken und Möglichkeiten aufzuzeigen, um eine selbstbestimmte Lebensweise innerhalb der digitalen Welt zu etablieren.

Fehlender Datenschutz bei Social-Media- und Cloud-Anbietern

Die Folgen des Falls des “Privacy Shield”: Wie sich nun Cloud-Dienste von Amazon und Microsoft einer Untersuchung unterziehen müssen und Bundesministerien kein Facebook mehr nutzen dürfen.

Das Schrems-II-Urteil des Europäischen Gerichtshofes hat das “Privacy Shield” im Juli 2020 für ungültig erklärt. Demnach bietet die USA kein der Europäischen Datenschutzgrundverordnung (DSGVO) angemessenes Schutzniveau für personenbezogene Daten und muss unter strengere Anforderungen gestellt werden.  

  • Der Europäische Datenschutzbeauftragte (EDSB) Wojciech Wiewiórowski hat in diesem Zuge eine Untersuchung gegen die in der USA ansässigen Cloud-Dienste AWS von Amazon und Azure von Microsoft eingeleitet. Zusätzlich soll die Konformität von Microsoft Office 365 mit den Datenschutzgesetzen geprüft werden. Im Hintergrund der Untersuchung steht das Wissen über die rechtliche Befugnis der US-Behörden, Zugang zu ausländischen Serverinformationen von nationalen Speicheranbietern zu bekommen. Um dem Risiko einer Überwachung durch die US-amerikanischen Behörden zu entgehen, müssen also DSGVO-konforme Schutzmaßnahmen für den Datentransfer zu den Cloud-Anbietern getroffen werden.1
  • Eine Forderung des Bundesbeauftragten für den Datenschutz, Ulrich Kelber, liegt im gleichen Interessensbereich wie die des Europäischen Datenschutzbeauftragten. An einem Rundschreiben an die Bundesministerien und -Behörden appelliert er für das Abschalten von den für die Öffentlichkeitsarbeit genutzten Facebook-Fanpages, da diese keinen datenschutzkonformen Betrieb möglich machen. Ebenfalls wird den Ministerien und Behörden die Empfehlung ausgesprochen, datenschutzrechtlich defizitäre Apps wie Instagram, TikTok und Clubhouse nicht auf dienstlichen Geräten zu nutzen.2

LinkedIn: 700 Millionen Nutzerdaten stehen zum Verkauf

Seit dem 22. Juni werden Daten von fast 93 Prozent aller LinkedIn-Nutzer in einem Hackerforum zum Verkauf angeboten. Der Blog Restoreprivacy bestätigt nach einer Prüfung einer veröffentlichten Stichprobe der 700 Millionen Nutzerdaten die Authentizität der Daten.  

Die angebotenen Nutzerprofile enthalten Informationen wie vollständige Namen, Geschlecht, E-Mail-Adressen, Telefonnummern, Anschriften, persönliche und berufliche Erfahrungen sowie die Benutzernamen anderer Social-Media-Konten. Obwohl in der Stichprobe bisher keine Zugangs- oder Finanzdaten gefunden wurden, können die verfügbaren Informationen für den Zugriffserhalt zu anderen Konten ausgenutzt werden.

Während der Konzern LinkedIn sich selbst noch nicht zu dem Vorfall geäußert hat, warnt Restoreprivacy unter anderem vor Identitätsdiebstählen und Phishing-Angriffen.