Social Media und egovernment am Beispiel facebook

Transkript

1 Social Media und egovernment am Beispiel facebook Henry Krasemann Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

2 Die 7 Säulen des ULD Prüfung Beratung Schulung inkl. DATEN- SCHUTZ- AKADEMIE IT-Labor Modellprojekte Gütesiegel Audit Primäre Adressaten: Verwaltung Wirtschaft Bürger Wirtschaft, Wissenschaft, Verwaltung Titel über "Ansicht", "Kopf- und Fußzeile" anpassen... 2

3 Identitätsmanagement PrimeLife, PRIME und FIDIS Europäisches Datenschutz-Gütesiegl - EuroPriSe Anonymität im Internet - AN.ON Datenschutz in Online-Spielen DOS Audit für Biobanken bdc-audit Datenschutz in Bürgerportalen Europäische Melderegisterauskunft - RISER Verbraucherdatenschutz und Datenschutzrecht im Scoring Datenschutzanforderungen für die Forschung PRISE Virtuelles Datenschutzbüro Projekte

4 Faszination facebook Alles sozial?

5 Können über Menschen irren? Facebook: Über 850 Millionen aktive Nutzer weltweit 100 Millionen Zuwachs in 5 Monaten Ca. 500 Millionen aktiv pro Tag Ca. 25 Millionen Nutzer in Deutschland StudiVZ: Ca. 48% Männer / 52% Frauen Ca. 15,5 Millionen Nutzer Google+ 6 Millionen StudiVZ, 5,5 Millionen SchülerVZ, 4 Millionen MeinVZ) Ca. 90 Millionen weltweit?!

6

7

8

9

10

11 facebook und die Datenschutzprobleme

12

13 Sieben Goldene Regeln des Datenschutzes Rechtmäßigkeit Gesetz, Einwilligung, Vertrag, Dienst- oder Betriebsvereinbarung Einwilligung Informiert und freiwillig Zweckbindung Verwendung nur für Erhebungszweck Erforderlichkeit Verarbeitung nur soweit für Erhebungszweck erforderlich Transparenz Unterrichtung über Verwendung Datensicherheit Organisatorische und technische Vorkehrungen Kontrolle Interner / externer Datenbeschutzbeauftragter. Audit

14 Problem: Datenschutzeinstellungen und Einwilligung

15 Ca. 1/3 der Datensätze öffentlich? Öffentliche Profile

16 Ist-Zustand

17

18 Empfohlener Datenschutz von facebook

19 Soll-Zustand 13 Abs. 2 TMG: Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass 1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, 2. die Einwilligung protokolliert wird, 3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und 4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. 4a BDSG: Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. (informierte Einwilligung)

20 Ausreichende Information Lesbare Datenschutzerklärung Restriktive Voreinstellungen Kann-Zustand Nur Freigabe, wenn echte Einwilligung gegeben wurde (inkl. Aufklärung über die Folgen) Bei besonders sensiblen Einstellungen ggf. (regelmäßige) Nachfrage

21 Keine Technische / organisatorische Lösungen Sofortige Änderung der Datenschutzeinstellungen Nutzung unter Pseudonym (entgegen Nutzungsbedingungen)

22 Problem: Betroffenheit Dritter

23 Ist-Zustand

24 Soll-Zustand 4 Abs. 2 BDSG: Personenbezogene Daten sind beim Betroffenen zu erheben. Oder der Betroffene hat eingewilligt.

25 Deaktivierung Friendsfinder? Keine Speicherung der -Adressen Keine weitere Verwendung der -Adressen Kann-Zustand

26 Technische / organisatorische Lösungen Hash-Verfahren schon auf Endgerät und nur für Abgleich? Nicht-Nutzung

27 Problem: Gefällt-Mir-Button

28 Ist-Zustand

29 Problem: Gefällt-mir-Buttons / +1 Übermittlung von IP-Adresse und ggf. Cookie-ID an facebook / Google Auch von nicht angemeldeten / registrierten Personen datr-cookie wird bei Besuch von facebook.com gesetzt Bleibt auch nach Logout Aussage facebook: wird aus Sicherheitsgründen benötigt

30 Soll-Zustand 15 Abs. 1 TMG: Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten).

31 Zwei-Klick-Lösung? Problem: informierte Einwilligung Technische Lösung Nutzung Anonymisierungsdienst (AN.ON/Jondos/Tor etc.) Löst nur ggf. IP-Adressen-Problem des Nutzers, nicht jedoch Cookie-Problem Regelmäßige Löschung der Cookies

32 Problem: Fanpages

33 Ist-Zustand

34 Soll-Zustand Fanpagebetreiber sind ggf. Mediendiensteanbieter (vgl. auch LG Aschaffenburg Az.: 2 HK O 54/11 - Impressumspflicht) Mediendiensteanbieter müssen sich an 15 Abs. 3 TMG halten Nutzungsprofile zulässig wenn: Unter Pseudonym Widerspruchsrecht Hinweis auf Widerspruchsrecht Keine Zusammenführung von Pseudonym und Echtdaten

35 Kann-Zustand Implementierung einer Funktion, die das Logging des Besuchs einer Fanpage auf Wunsch des Nutzers abschaltet Implementierung einer Funktion, die dem Fanpage- Betreiber ermöglicht, das Logging zu deaktivieren Echte informierte Einwilligung

36 Problem: Kontakte von Firmengeheimnissen

37 Ist-Zustand

38 Soll-Zustand Arbeitsvertrag 203 StGB: Verletzung von Privatgeheimnissen

39 Kann-Zustand Aufklärung der Nutzer Implementierung der Geheimhaltung von neuen Freunden / Kontakten

40 Problem: Apps

41 Ist-Zustand

42

43 Wer will schon asozial sein?

44 Soll-Zustand Transparenz Zweck? Erforderlichkeit? Echte informierte Einwilligung Kontrolle über Dritte und deren Datenverwendung Inkl. Auskunftsrecht

45 Kann-Zustand

46 Problem: Fotos

47 Foto-Verlinkung Meine Fotos Max Tina Meine Gruppen Sport macht fit Wochenende ist Party

48 Foto-Verlinkung

49 Recht am eigenen Bild Für die Veröffentlichung eines Bildes ist die Einwilligung der Betroffenen notwendig. Ausnahmen, z.b.: Person ist Beiwerk (nicht Zweck der Aufnahme) Aufnahmen von Veranstaltungen Personen der Zeitgeschichte (Prominente) Problem: Löschung von Fotos und Videos

50 Problem: Gesichtserkennung

51 Ist-Zustand 51

52 Notwendig: Aktive und bewusste Einwilligung Soll-Zustand Untätigkeit ist nach dt. Recht keine Einwilligung. (Hamburger Beauftragter für Datenschutz hat Verwaltungsverfahren hiergegen eingeleitet.)

53 Problem: Löschung

54 Ist-Zustand

55 Soll-Zustand 35 Abs. 2 BDSG: Personenbezogene Daten können außer in den Fällen des Absatzes 3 Nr. 1 und 2 jederzeit gelöscht werden. Personenbezogene Daten sind zu löschen, wenn 1. ihre Speicherung unzulässig ist [ ]

56 Kann-Zustand Leicht erreichbare Löschfunktion Bestätigung der Löschung Unabhängige Auditierung der Löschfunktion

57 Problem: Anonymisierung / Pseudonymisierung

58 Ist-Zustand Facebook-Nutzungsbedingungen Nr. 4: Facebook-Nutzer geben ihre tatsächlichen Namen und Daten an und damit das auch in Zukunft so bleibt, benötigen wir deine Hilfe. Im Folgenden werden einige Verpflichtungen aufgeführt, die du bezüglich der Registrierung und der Wahrung der Sicherheit deines Kontos uns gegenüber eingehst: Du wirst keine falschen persönlichen Informationen auf Facebook bereitstellen oder ohne Erlaubnis ein Profil für jemand anderes erstellen. Du wirst nur ein persönliches Profil erstellen. Deine Kontaktinformationen sind korrekt und du wirst sie auf dem neuesten Stand halten.

59 Soll-Zustand 13 Abs. 6 TMG: Der Diensteanbieter hat die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer ist über diese Möglichkeit zu informieren.

60 Kann-Zustand Zulassen von Pseudonymen Möglichkeit der Verwaltung mehrerer Profile (Identitätsmanagement)

61 Technische / organisatorische Lösungen Verstoß gegen die Nutzungsbedingungen Nutzung Anonymisierungsdienst Relevant jedoch eher die Cookies Regelmäßige Löschung der Cookies

62 Weitere Problembereiche Mangelnde Identifizierung vs. Pflicht zur anonymen Nutzung 13 Abs. 6 TMG: Nutzung des Diensten anonym bzw. unter Pseudonym ermöglichen Fakeprofile und deren Meldung (Beschwerden) Zuständigkeit der Aufsicht Niederlassung von Facebook in Irland?! Niederlassung Google? Datenübermittlung in die USA

63 Alternativen?

64 Sonderprobleme bei Öffentlichen Einrichtungen

65 Art. 20 Abs. 3 Grundgesetz Rechtmäßigkeit der Verwaltung Die Gesetzgebung ist an die verfassungsmäßige Ordnung, die vollziehende Gewalt und die Rechtsprechung sind an Gesetz und Recht gebunden. Nutzung eines rechtswidrigen Dienstes? Inkaufnahme von Bußgeldern / Beanstandungen? Keine ausschließliche Nutzung Alternativen bieten

66 11 BDSG / Landesgesetze Problem: Kein Vertrag Problem: Weisungsmöglichkeit Problem: Transparenz Problem: Einbindung als Auftragsdatenverarbeitung? Problem: Keine Infos über technisch-organisatorische Maßnahmen Problem: keine Kontrollmöglichkeiten

67 Arbeitnehmerdatenschutz Regeln zur Nutzung Sozialer Netzwerke (Twitter, YouTube, Facebook, Blogs etc.) Offizieller Account vs. Private Nutzung Loyalität vs. Meinungsfreiheit Gefahren: Veröffentlichung von Interna Übernahme von Geo-Daten Schon Nennung der Arbeitsstelle kann problematisch sein Neue Kontakte ggf. nachvollziehbar Hausmeinung vs. Private Meinung

68 Unterrichtung vs. Warnung Behörden dürfen über Risiken informieren Möglichst schon an Schulen Hinweise geben Ziel: der mündige Bürger

69 Wichtig für Datenschutzbeauftragte Fan-Pages bei Facebook sind nach Meinung der meisten Datenschutzaufsichtsbehörden unzulässig. Präsenz in Sozialen Netzwerken mit Datenschutzaufsichtsbehörden absprechen. Soical-Media Guidelines aufstellen. Mitarbeiter sensibilisieren. Auch Kontaktanbahnung kann problematisch sein. Regelmäßige Löschung von Cookies.

70 Vorgehen der Datenschutzbehörden Irischer Datenschutzbeauftragter: Facebook-Audit Gemeinsamer Beschluss der Aufsichtsbehörden (Düsseldorfer Kreis) Beauftragter Hamburg: Vorgehen gegen Gesichtserkennung gegen Facebook Inc. ULD: Beseitigungsverfügungen gegen ausgewählte private Stellen in SH (nach 38 Abs. 5 BDSG) Drei Klagen vor Verwaltungsgericht ULD: Beanstandungen gegen öffentliche Stellen ( 42 Abs. 2 LDSG-SH)

71 Vielen Dank für Ihre Aufmerksamkeit! Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Henry Krasemann Telefon: Titel über "Ansicht", "Kopf- und Fußzeile" anpassen... 71