Datenschutz-News im April:

+++Facebook plant engeren Datenaustausch mit WhatsApp und Instagram +++ Bundespolizei speichert Bodycam-Daten auf Amazon-Servern +++ Uploadfilter auch datenschutzrechtlich ein Problem +++ DSGVO: Löschung von Daten ist wohl auch durch Anonymisierung möglich +++ regelmäßiger Passwortwechsel ist nicht mehr unbedingt zeitgemäß+++

In den letzten Wochen gab es im Bereich Datenschutz einige bemerkenswerte – selten gute – Nachrichten, die ich heute einmal kurz für Sie zusammenfassen möchte:

1) Facebook plant engeren Datenaustausch mit WhatsApp und Instagram

Facebook-Chef Mark Zuckerberg möchte der Washington Post zufolge seine beiden hinzugekauften Plattformen WhatsApp und Instagram und den Facebook-Messenger miteinander in den nächsten Monaten miteinander verbinden. Noch sind die drei weitgehend unabhängig voneinander, bald soll man aber auch Nachrichten quer über die drei Apps austauschen können, auch wenn jede App als solche erhalten bleiben soll. Facebook sagt, es wolle damit seine Messaging-Infrastruktur vereinheitlichen. So soll zum Beispiel auch Instagram mit einer Ende-zu-Ende-Verschlüsselung ausgestattet werden. Facebook wolle an einer Zukunft mitarbeiten, „in denen die Menschen sich darauf verlassen können, dass das, was sie einander mitteilen, sicher (also vertraulich und verschlüsselt) bleibt.“

Vorteil der Verzahnung: Viele Nutzer haben nicht bei allen drei Diensten ein Konto, sodass die Kommunikation nun auch app-übergreifend möglich wäre. So kann dann jeder weiterhin über seine Lieblings-App kommunizieren. Das ist zwar praktisch, damit ist aber auch ein datenschutzrechtlich äußerst fragwürdiger Datenaustausch zwischen den drei Schwester-Firmen notwendig. Für WhatsApp braucht man ja nur eine Telefonnummer. Für Facebook und seinen Messenger sind hingegen eine E-Mail-Adresse und die Angabe des echten Namens Pflicht. Es droht ein weiterer Verlust der Privatsphäre und noch mehr Marktmacht für Facebook.

In diesem Zusammenhang hat das Bundeskartellamt eine in Deutschland marktbeherrschende Stellung von Facebook festgestellt – und dass es diese missbraucht: Deshalb will das Amt Facebooks Datensammelwut den Riegel vorschieben: Bis Anfang 2020 muss Facebook es seinen Nutzern gestatten, selbst zu entscheiden, ob Facebook Daten auch mithilfe von  Instagram und WhatsApp sowie über dritte Websites und Apps zentral sammeln darf. Sie kennen das sicherlich, z.B. wenn Sie sich auf einschlägigen Webseiten nach beliebigen Produkten, nach Hotels, Zug- oder Flugtickets suchen, und kurz darauf zeigt Facebook Ihnen -scheinbar zufällig – Werbung genau für das an, wonach sie gesucht haben.

Bisher gibt es nur die Option: Entweder Sie stimmen dem Datensammeln zu – oder Sie können Facebook nicht nutzen. Unabhängig von ihrer Entscheidung für oder gegen die Datenverknüpfung müssen die Nutzer aber Facebook nutzen dürfen, so das Bundeskartellamt. Damit wird die geplante plattformübergreifende Datensammlung nicht generell untersagt, es wird nur der Anspruch der DSGVO bekräftigt, dass jeder Nutzer selbst „Herr über seine Daten“ sein soll.

2) Die Bundespolizei speichert Bodycam-Daten auf Amazon-Servern

Einsatzaufnahmen der neuen Bodycams der Polizei werden – zumindest vorerst – auf Servern von Amazon gespeichert, weil es an entsprechender staatlicher Infrastruktur mangelt und Amazon momentan die einzig mögliche Cloud-Lösung anbiete, die vom Bundesamt für Sicherheit in der Informationstechnik zertifiziert seien, erklärte das Bundespolizeipräsidium. Dabei sei unklar, inwiefern auch US-Behörden auf die Daten der deutschen Polizei zugreifen können. Wohl nicht ganz zu Unrecht: In den USA nutzt die Polizei auch Gesichtserkennungs-Software von Amazon, die bei Aufnahmen von Bodycams genutzt würden. Das Bundesinnenministerium erklärte zwar, dass „die deutschen Datenschutzstandards eingehalten“ würden: Die Daten würden verschlüsselt und ausschließlich auf Servern in Deutschland gespeichert. Aber dennoch bleibt ein ungutes Gefühl.

Erst kürzlich kritisierte auch der Bundesdatenschutzbeauftragte Ulrich Kelber die wahnsinnige Datensammelwut des deutschen Staates: „Es vergeht kein Tag, an dem nicht jemand die Öffnung existierender Daten für weitere Zwecke oder die Verknüpfung bisher getrennter Daten fordert. Andere Daten werden teilweise jahrzehntelang nicht gelöscht. Es gibt eine wahnsinnige Datensammelwut.“ Insbesondere an Sicherheitsbehörden müsse man immer wieder herantreten, dass das Speichern möglichst vieler Daten „für den Fall der Fälle“ datenschutzrechtlich nicht in Ordnung sei.

3) Uploadfilter – derzeit in aller Munde und auch datenschutzrechtlich ein Problem

Die EU möchte das Urheberrecht reformieren. So soll sichergestellt werden, dass Künstler auch für ihre im Internet hochgeladenen Werke angemessen entlohnt werden. Künftig soll bei Verstößen gegen das Urheberrecht nicht mehr der Uploader allein haften, sondern auch die Plattform, also z.B. YouTube.

Das Ziel, Künstler für ihre Arbeit zu entlohnen, ist eigentlich kein schlechtes. Strittig sind aber die Mittel: Pro Minute werden allein auf YouTube fast 500 Stunden Video-Material hochgeladen. Eine manuelle Prüfung aller Inhalte ist damit praktisch unmöglich und kann nur durch technische Hilfe erfolgen. Hier kommen – auch wenn sie gesetzlich nicht vorgeschrieben sein sollen – die Uploadfilter ins Spiel, die bereits beim Hochladen prüfen, ob Bilder, Videos oder Musik urheberrechtlich geschützt sind.

Das Problem: Kleinere Plattformen werden sich solche komplexen Filter und nachfolgende Lizenzverträge mit Künstlern nicht leisten können und müssen dann entweder Uploadfilter großer externer Anbieter anwenden oder ganz offline gehen. So erhalten die wenigen großen Anbieter Zugriff auf noch mehr Daten.

Der Bundesdatenschutzbeauftragte Ulrich Kelber warnt daher: „Die aktuellen EU-Pläne bergen (…) die akute Gefahr, als Nebeneffekt eine weitere Konzentration von Daten bei einem Oligopol von Anbietern zu fördern.“ Eigentlich „sollte der Fokus (…) darauf gelegt werden, genau das Gegenteil zu erreichen.“ Zwar sei ein modernes, dem Internet angepasstes, Leistungsschutzrecht natürlich notwendig, aber Kelber fordert, dies nicht auf dem Rücken und zu Lasten des Datenschutzes der Internetnutzer zu erzwingen.

4) DSGVO: Löschung von Daten ist wohl auch durch Anonymisierung möglich

Die Österreichische Datenschutzbehörde (DSB) hat mit Bescheid vom 5. Dezember 2018 eine äußerst relevante Praxisfrage für die Anwendung der DSGVO entschieden. Demnach kann die Anonymisierung von personenbezogenen Daten grundsätzlich ein mögliches Mittel zur Löschung im Sinne der DSGVO sein, auch wenn die DSGVO den Begriff „Anonymisierung“ nicht explizit erwähnt. Hier können Sie den konkreten Sachverhalt nachlesen und welche Maßnahmen nach Einschätzung der österreichischen Datenschutzbehörde eine Anonymisierung darstellen.

5) Und zu guter Letzt: Ein regelmäßiger Passwortwechsel ist nicht mehr unbedingt zeitgemäß

Das hat nun auch erstmals eine Aufsichtsbehörde eingesehen: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat neue Hinweise zu sicheren Passwörtern veröffentlicht. Demnach ist eine „erzwungene regelmäßige Änderung von Passwörtern (…) überholt“, denn wir kennen das: Wenn man sein Passwort alle 2-3 Monate ändern muss, wählt man leicht einprägbare Passwörter und schreibt sie zur Sicherheit auch noch auf, schlimmstenfalls mit einem Klebezettel direkt am Monitor. Daher heißt es nun: „Administratoren sollten (…) ihre Nutzer nicht regelmäßig auffordern oder zwingen, die Passwörter zu ändern. Stattdessen sollten die Nutzer für sichere Passwörter sensibilisiert werden.“ Aus haftungsrechtlicher Sicht reicht die Äußerung einer einzigen Aufsichtsbehörde noch nicht aus; aber es ist ein erster wichtiger und guter Schritt.

Ich halte weiter meine Augen und Ohren für Sie offen.

Bei konkreten Fragen treten Sie gern mit mir in Kontakt!