Hilft die Technik? Schützt uns das Gesetz? Vorschläge aus Schleswig-Holstein am Beispiel facebook

Transkript

1 Hilft die Technik? Schützt uns das Gesetz? Vorschläge aus Schleswig-Holstein am Beispiel facebook Henry Krasemann Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

2 Die 7 Säulen des ULD Prüfung Beratung Schulung inkl. DATEN- SCHUTZ- AKADEMIE IT-Labor Modellprojekte Gütesiegel Audit Primäre Adressaten: Verwaltung Wirtschaft Bürger Wirtschaft, Wissenschaft, Verwaltung Titel über "Ansicht", "Kopf- und Fußzeile" anpassen... 2

3 Identitätsmanagement PrimeLife, PRIME und FIDIS Europäisches Datenschutz-Gütesiegl - EuroPriSe Anonymität im Internet - AN.ON Datenschutz in Online-Spielen DOS Audit für Biobanken bdc-audit Datenschutz in Bürgerportalen Europäische Melderegisterauskunft - RISER Verbraucherdatenschutz und Datenschutzrecht im Scoring Datenschutzanforderungen für die Forschung PRISE Virtuelles Datenschutzbüro Projekte

4 Faszination facebook Alles sozial?

5 Können über Menschen irren? Facebook: Über 850 Millionen aktive Nutzer weltweit 100 Millionen Zuwachs in 5 Monaten Ca. 500 Millionen aktiv pro Tag Ca. 25 Millionen Nutzer in Deutschland StudiVZ: Ca. 48% Männer / 52% Frauen Ca. 15,5 Millionen Nutzer Google+ 6 Millionen StudiVZ, 5,5 Millionen SchülerVZ, 4 Millionen MeinVZ) Ca. 90 Millionen weltweit?!

6

7

8

9

10

11 facebook und die Datenschutzprobleme

12

13 Sieben Goldene Regeln des Datenschutzes Rechtmäßigkeit Gesetz, Einwilligung, Vertrag, Dienst- oder Betriebsvereinbarung Einwilligung Informiert und freiwillig Zweckbindung Verwendung nur für Erhebungszweck Erforderlichkeit Verarbeitung nur soweit für Erhebungszweck erforderlich Transparenz Unterrichtung über Verwendung Datensicherheit Organisatorische und technische Vorkehrungen Kontrolle Interner / externer Datenbeschutzbeauftragter. Audit

14 Problem: Datenschutzeinstellungen und Einwilligung

15 Ca. 170 Millionen Datensätze öffentlich Öffentliche Profile

16 Ist-Zustand

17

18 Empfohlener Datenschutz von facebook

19 Soll-Zustand 13 Abs. 2 TMG: Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass 1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, 2. die Einwilligung protokolliert wird, 3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und 4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. 4a BDSG: Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. (informierte Einwilligung)

20 Ausreichende Information Lesbare Datenschutzerklärung Restriktive Voreinstellungen Kann-Zustand Nur Freigabe, wenn echte Einwilligung gegeben wurde (inkl. Aufklärung über die Folgen) Bei besonders sensiblen Einstellungen ggf. (regelmäßige) Nachfrage

21 Keine Technische / organisatorische Lösungen Sofortige Änderung der Datenschutzeinstellungen Nutzung unter Pseudonym (entgegen Nutzungsbedingungen)

22 Problem: Betroffenheit Dritter

23 Ist-Zustand

24 Soll-Zustand 4 Abs. 2 BDSG: Personenbezogene Daten sind beim Betroffenen zu erheben. Oder der Betroffene hat eingewilligt.

25 Deaktivierung Friendsfinder? Keine Speicherung der -Adressen Keine weitere Verwendung der -Adressen Kann-Zustand

26 Technische / organisatorische Lösungen Hash-Verfahren schon auf Endgerät und nur für Abgleich? Nicht-Nutzung

27 Problem: Gefällt-Mir-Button

28 Ist-Zustand

29 Problem: Gefällt-mir-Buttons / +1 Übermittlung von IP-Adresse und ggf. Cookie-ID an facebook / Google Auch von nicht angemeldeten / registrierten Personen datr-cookie wird bei Besuch von facebook.com gesetzt Bleibt auch nach Logout Aussage facebook: wird aus Sicherheitsgründen benötigt

30 Soll-Zustand 15 Abs. 1 TMG: Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten).

31 Zwei-Klick-Lösung? Problem: informierte Einwilligung Technische Lösung Nutzung Anonymisierungsdienst (AN.ON/Jondos/Tor etc.) Löst nur ggf. IP-Adressen-Problem des Nutzers, nicht jedoch Cookie-Problem Regelmäßige Löschung der Cookies

32 Problem: Fanpages

33 Ist-Zustand

34 Soll-Zustand Fanpagebetreiber sind ggf. Mediendiensteanbieter (vgl. auch LG Aschaffenburg Az.: 2 HK O 54/11 - Impressumspflicht) Mediendiensteanbieter müssen sich an 15 Abs. 3 TMG halten Nutzungsprofile zulässig wenn: Unter Pseudonym Widerspruchsrecht Hinweis auf Widerspruchsrecht Keine Zusammenführung von Pseudonym und Echtdaten

35 Kann-Zustand Implementierung einer Funktion, die das Logging des Besuchs einer Fanpage auf Wunsch des Nutzers abschaltet Implementierung einer Funktion, die dem Fanpage- Betreiber ermöglicht, das Logging zu deaktivieren Echte informierte Einwilligung

36 Problem: Kontakte von Firmengeheimnissen

37 Ist-Zustand

38 Soll-Zustand Arbeitsvertrag 203 StGB: Verletzung von Privatgeheimnissen

39 Kann-Zustand Aufklärung der Nutzer Implementierung der Geheimhaltung von neuen Freunden / Kontakten

40 Problem: Apps

41 Ist-Zustand

42

43 Wer will schon asozial sein?

44 Soll-Zustand Transparenz Zweck? Erforderlichkeit? Echte informierte Einwilligung Kontrolle über Dritte und deren Datenverwendung Inkl. Auskunftsrecht

45 Kann-Zustand

46 Problem: Gesichtserkennung

47 Ist-Zustand 47

48 Notwendig: Aktive und bewusste Einwilligung Soll-Zustand Untätigkeit ist nach dt. Recht keine Einwilligung. (Hamburger Beauftragter für Datenschutz hat Verwaltungsverfahren hiergegen eingeleitet.)

49 Problem: Löschung

50 Ist-Zustand

51 Soll-Zustand 35 Abs. 2 BDSG: Personenbezogene Daten können außer in den Fällen des Absatzes 3 Nr. 1 und 2 jederzeit gelöscht werden. Personenbezogene Daten sind zu löschen, wenn 1. ihre Speicherung unzulässig ist [ ]

52 Kann-Zustand Leicht erreichbare Löschfunktion Bestätigung der Löschung Unabhängige Auditierung der Löschfunktion

53 Problem: Anonymisierung / Pseudonymisierung

54 Ist-Zustand Facebook-Nutzungsbedingungen Nr. 4: Facebook-Nutzer geben ihre tatsächlichen Namen und Daten an und damit das auch in Zukunft so bleibt, benötigen wir deine Hilfe. Im Folgenden werden einige Verpflichtungen aufgeführt, die du bezüglich der Registrierung und der Wahrung der Sicherheit deines Kontos uns gegenüber eingehst: Du wirst keine falschen persönlichen Informationen auf Facebook bereitstellen oder ohne Erlaubnis ein Profil für jemand anderes erstellen. Du wirst nur ein persönliches Profil erstellen. Deine Kontaktinformationen sind korrekt und du wirst sie auf dem neuesten Stand halten.

55 Soll-Zustand 13 Abs. 6 TMG: Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.

56 Kann-Zustand Zulassen von Pseudonymen Möglichkeit der Verwaltung mehrerer Profile (Identitätsmanagement)

57 Technische / organisatorische Lösungen Verstoß gegen die Nutzungsbedingungen Nutzung Anonymisierungsdienst Relevant jedoch eher die Cookies Regelmäßige Löschung der Cookies

58 Weitere Probleme Rechteübertragung an Fotos und Videos an facebook Mangelnde Löschung von Fotos / Videos Fakeprofile und deren Meldung (Beschwerden)

59 Alternativen?

60 Wichtig für Datenschutzbeauftragte Fan-Pages bei Facebook sind nach Meinung der meisten Datenschutzaufsichtsbehörden unzulässig. Präsenz in Sozialen Netzwerken mit Datenschutzaufsichtsbehörden absprechen. Soical-Media Guidelines aufstellen. Mitarbeiter sensibilisieren. Auch Kontaktanbahnung kann problematisch sein. Regelmäßige Löschung von Cookies.

61 Vielen Dank für Ihre Aufmerksamkeit! Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Henry Krasemann Telefon: Titel über "Ansicht", "Kopf- und Fußzeile" anpassen... 61