Schlagwort-Archive: Datenschutz

Telefónica/O2: Von Smart Steps zu Advanced Data Analytics: Neuer Versuch der Verwertung von Standortdaten

Heise-Online hat gestern gemeldet, dass Telefónica nun auch in Deutschland (wieder) Daten und Standortdaten seiner Kunden verwerten möchte. Bereits im Jahr 2012 hatte Telefónica ein solches Vorhaben als „Smart Steps“ angekündigt, nach heftigem Protest aber wieder zurückgezogen.

Nun kommt mit „Advanced Data Analytics“ ein neuer Anlauf.

Ich hatte damals in einer ersten kurzen Analyse darauf hingewiesen, dass die Verwertung von Daten der Kunden von Telekommunikationsunternehmen und insbesondere Standortdaten hoch problematisch ist. Anschließend hatte ich die Rechtslage tiefer für einen Artikel in der K&R analysiert (Mantz, K&R 2013, 7 – PDF). Mein Fazit lautete damals (basierend auf den damals verfügbaren Informationen):

„Die Monetarisierung von Standortdaten, zumal in Kombination mit Bestandsdaten, ist nach derzeitigem Stand telekommunikations- und datenschutzrechtlich praktisch nur u?ber eine klare, deutliche und ggf. schriftliche Einwilligung zu rechtfertigen.“

Telefónica scheint aus dem Vorfall aus dem Jahr 2012 gelernt zu haben. Denn Datenschutz hat bei der Planung offensichtlich eine deutlich größere Rolle gespielt als damals. Heise-Online meldet, dass die  weitergereichten Daten vor der Weitergabe durch ein dreistuftiges Anonymisierungsverfahren gelaufen sein sollen, das keine Rückschlüsse auf Einzelpersonen zulasse. Außerdem könnten Nutzer jederzeit widersprechen:

„Nutzer können diesem Datenverkauf zwar jederzeit widersprechen – gesetzlich vorgeschrieben ist hier aber nur ein Opt-out-Verfahren, wie ein Telefónica-Sprecher ausführte. Was heißt: Wer nicht von sich aus aktiv wird, ist Teil der Datenverwertungskette. Kunden können über eine eigens eingerichtete Website widersprechen.“

Außerdem soll das Projekt durch den TÜV Saarland geprüft sein. Auf der Webseite wird dann auch das Anonymisierungsverfahren näher besprochen. Insbesondere sollen Daten aggregiert und modifiziert werden. Insbesondere Schlüssel sollen offenbar von den übrigen Daten separat gespeichert werden, was bereits jetzt an die Pseudonymisierungsvorgaben der DSGVO erinnert.

Tatsächlich können Daten durch Aggregation und leichte Modifizierungen, die statistische Nutzungen noch möglich machen, anonymisiert werden. Ob das hier der Fall ist – wofür wohl der TÜV Saarland Pate steht – kann ich von außen nicht sagen.

Zusätzlich hat Telefónica das Projekt wohl mit der zuständigen Datenschutzaufsichtsbehörde abgestimmt. So heißt es auf der Webseite von Telefónica:

„In Abstimmung mit den deutschen Datenschutzbehörden entwickelte Telefónica Deutschland die Data Anonymization Platform (DAP). Sie bietet einen umfassenden und nachhaltigen Schutz der Privatsphäre.“

Ich kann – auch mangels vorliegender weiterer Informationen – das ganze leider nicht näher beleuchten. Mich würde allerdings interessieren, ob die Vorgaben des § 98 TKG tatsächlich eingehalten wurden. Danach reicht die Anonymisierung nämlich nicht aus. Erforderlich ist, dass die Daten für einen „Zusatznutzen für den Kunden“ verwendet werden (dazu mit Nachweisen Mantz, K&R 2013, 7, 8 f. – PDF). Für Direktwerbung (z.B. SMS des Ladens, in dem ich mich gerade befinde) will Telefónica denn auch eine Einwilligung einholen. Für den Rest allerdings nicht:

„Geplant sind aber auch andere ortsbezogene Dienste. So sollen Händler etwa die „O2 More Local“ getaufte Möglichkeit bekommen, Mobilfunkkunden Angebote auf dem Smartphone zu präsentieren, wenn diese sich in oder bei ihren Standorten befinden. Für solche Dienste reicht aber kein Opt-out: Telefónica müsste zuvor explizit die Einwilligung des Kunden einholen.“

Ich würde es jedenfalls begrüßen, wenn Telefónica die Stellungnahme der Datenschutzaufsichtsbehörden veröffentlichen würde.

Ankündigung: Vortrag „Privacy by Design – Chancen, Risiken und Nebenwirkungen“

In eigener Sache:

Am 17.5.2016 (18:30h) werde ich am Zentrum für angewandte Rechtswissenschaft (ZAR) der Universität Karlsruhe in der Reihe „Karlsruher Dialog zum Informationsrecht“ von Prof. Bäcker einen Vortrag mit dem Titel „Privacy by Design – Chancen, Risiken und Nebenwirkungen“ halten, in dem ich mich mit Art. 23 der EU-Datenschutzgrundverordnung (DS-GVO) befassen werde. Art. 23 DS-GVO ist eine wie ich finde hochspannende Norm, die ganz wesentlich die Schnittstelle zwischen Datenschutz und Technik (nämlich durch „Datenschutz durch Technik“) betrifft.

Aus der Ankündigung:

„Datenschutzrecht wirkt in der Regel nur nachträglich. Jedoch kann Datenschutz in laufenden Produkten kaum nachgerüstet werden. Datenschutzbelange müssen darum bereits bei der Produktentwicklung einbezogen werden. Seit längerem wird daher auch aus juristischer Perspektive über das Konzept eines Datenschutzes durch Technik (Privacy by Design, Privacy by Default) diskutiert. Die neue EU-Datenschutzgrundverordnung wird dieses Konzept erstmals rechtlich verbindlich machen. Der Vortrag erläutert die neue Regelung und zeigt ihre Folgen für die Produktgestaltung anhand ausgewählter technischer Konzepte für Privacy by Design auf.“

Nähere Informationen hier.

(Dynamische) IP-Adresse als personenbezogenes Datum – Von der Fehlinterpretation der Meldung des hessischen Datenschutzbeauftragten

Vor wenigen Tagen hat der Hessische Landesdatenschutzbeauftragte, Prof. Ronellenfitsch, seinen Tätigkeitsbericht für das Jahr 2014 vorgestellt. Auf Twitter ist (in meiner Timeline) insbesondere Punkt 5.4.1 „Personenortung für die Fraport App durch die Fraport AG“ aufgetaucht und zwar unter Headlines wie „Hessischer #Datenschutzbeauftragter: Dynamische IP-Adresse ist nicht per se ein personenbezogenes Datum“ (Telemedicus).

Berichtet hat hierüber auch Dr. Piltz in seinem Blog „De lege data“ und schreibt dort insbesondere:

„Die Erfassung der dynamischen IP-Adresse stellt nach Auffassung des hessischen Datenschutzbeauftragten

“kein datenschutzrechtliches Problem dar.“

Dr. Piltz erläutert anschließend wie folgt:

„Diese Ansicht dürfte einige Beobachter zumindest überraschen. Denn eigentlich gehen die deutschen Datenschutzbehörden schon lange und beständig davon aus, dass IP-Adressen grundsätzlich einen Personenbezug aufweisen … Die Auffassung des hessischen Landesdatenschützers scheint (erfreulicherweise) nun zumindest aber von einer pauschalen „Vorverurteilung“ einer IP-Adresse als personenbezogenes oder personenbeziehbares Datum abzurücken.“

Er weist anschließend auch auf das Fazit des Hessischen Landesdatenschutzbeauftragten hin:

„Eine Identifikation ist nur möglich, wenn die Nutzer während einer Sitzung selbst personenbezogene oder personenbeziehbare Daten hinterlassen. Dies ist nach den vorliegenden Dokumenten nicht der Fall. Deshalb sind dynamische IP-Adressen in diesem Szenario keine personenbeziehbaren Daten.“

Die Einschätzung auf Twitter und im genannten Blog halte ich jedoch für problematisch – nicht ohne Grund könnte die Formulierung von Dr. Piltz auch bewusst vorsichtig gewählt worden sein.

Zum Hintergrund muss man sich vergewärtigen, dass seit Jahren ein Streit um die Personenbeziehbarkeit dynamischer IP-Adressen herrscht (dazu Mantz, ZD 2013, 625 sowie hier  und hier mit weiteren Nachweisen; zu IP-Adressen bei WLANs konkret Sassenberg/Mantz, WLAN und Recht, 2014, Rn. 125, 200). Der BGH hat diese Frage nun auch dem EuGH zur Entscheidung vorgelegt.

Der Streit dreht sich um ein grundsätzliches Problem im Datenschutzrecht, insofern ist die IP-Adresse nur ein einziges Datum, um das sich der Streit quasi als Stellvertreterkrieg dreht: Es geht um die Frage, ob der Begriff der Personenbeziehbarkeit „absolut“ oder „relativ“ zu sehen ist, also ob Daten schon dann als personenbeziehbar anzusehen sind, wenn irgendjemand einen Personenbezug herstellen kann (absoluter Personenbezug) oder nur dann, wenn die konkrete verantwortliche Stelle diesen Personenbezug herstellen kann (relativer Personenbezug).

Wer nun diese beiden Theorien auf den vom Hessischen Landesdatenschutzbeauftragten analysierten Fall anwendet, wird feststellen, dass im konkreten Fall nach beiden Theorien kein Personenbezug vorlag. Denn nach dem beschriebenen Szenario teilt Fraport dem Nutzer eine (wohlgemerkt lokale) dynamische IP-Adresse zu, ohne jemals Daten wie Name und Anschrift zu erhalten. Die dort zugeteilte lokale dynamische IP-Adresse ist also weder für Fraport (relativ) noch für sonst jemanden (absolut) auf eine Person beziehbar.

Anders wäre dies, wenn Fraport bei der Zuteilung der lokalen dynamischen IP-Adresse Name und Anschrift erheben würde (wie es die meisten klassischen Access Provider u.a. zum Zwecke der Abrechnung tun): Dann wäre für den Access Provider die dynamische IP-Adresse personenbeziehbar (relativ), für alle anderen jedoch nicht ohne weiteres (absolut).

Der Tätigkeitsbericht 2014 des Hessischen Landesdatenschutzbeauftragten ergreift daher gerade nicht Stellung in die eine oder andere Richtung, sondern geht vollkommen zu Recht hier von einem fehlenden Personenbezug aus.

Meine Bitte daher an alle: Nicht den Tätigkeitsbericht 2014 als Stimme für die Theorie des relativen Personenbezugs und Abweichung von der Meinung der Landesdatenschutzbeauftragten nennen!

 

Erwähnenswert ist übrigens noch, dass der Hessischen Landesdatenschutzbeauftragte und die Firma Fraport von einem Personenbezug von MAC-Adressen ausgehen. Denn diese werden vor der weiteren Verwendung gekürzt und verändert:

„5.4.1.3

Lösung

Deshalb wurde von mir der Fraport AG ein Konzept vorgeschlagen, mit dem das System nach wie vor noch seine Funktionen erfüllen kann, jedoch die Personenbeziehbarkeit entfällt. Die Personenbeziehbarkeit soll durch die Anwendung eines Algorithmus umgangen werden. Zuerst wird die MAC-Adresse gekürzt, dann ein SALT-Wert angehängt, darauf eine Hashfunktion angewendet und das Ergebnis wieder so gekürzt, dass es wie eine reguläre MAC-Adresse aufgebaut ist. Das Ergebnis ist ein Identifikator.

Der SALT-Wert wird in bestimmten Intervallen, mindestens täglich, neu generiert. Dadurch wird gewährleistet, dass die aus den MAC-Adressen gebildeten Identifikatoren nach Ablauf des Intervalls unterschiedlich sind. Eine Wiedererkennung über den Wechsel ist nahezu unmöglich. Der Identifikator soll gebildet werden, bevor eine Verarbeitung zur Standortbestimmung erfolgt und der SALT-Wert muss eine Zufallszahl sein, die nicht   persistent, das heißt nur im Hauptspeicher, gespeichert wird.

Die serverbasierte Ortung wurde daraufhin von der Fraport AG wie folgt umgesetzt:

Die MAC-Adressen werden von den Access-Points erfasst und über die sogenannte Mobility Solution Engine (MSE) an einen Server übertragen, wo sie durch „Salzen“, „Hashen“ und „Kürzen“ zu einem anonymen Identifikator transformiert werden. Dabei werden die MAC-Adressen nur im Arbeitsspeicher zum Bilden des Identifikators vorgehalten, danach werden sie sofort gelöscht. Der SALT-Wert erfüllt die oben genannten Anforderungen. Der Identifikator und die Access-Point-Daten werden an den Lokalisierungsserver übertragen, der den Standort errechnet. Die MAC-Adresse befindet sich nur kurzzeitig im Arbeitsspeicher, so dass sie für keinen anderen Anwendungsfall genutzt werden kann. Smartphones können nun per FraApp mit ihrer MAC-Adresse am Lokalisierungsserver ihre Position anfragen. Dazu wird die MAC-Adresse des Smartphones von dem vorgeschalteten Server ebenfalls in den Identifikator umgewandelt, dieser dann an den Lokalisierungsserver übertragen und anschließend die MAC-Adresse gelöscht.

Zum Lokalisierungsserver gehört eine Datenbank mit den Datensätzen „letzter erfasster Standort“ und „Identifikator“. Findet der Lokalisierungsserver einen Datensatz mit dem Identifikator des anfragenden Smartphones, kann er dem Smartphone den Standort zusenden, so dass die App dem Nutzer diesen visualisieren kann. Die Standortdaten werden vom Lokalisierungsserver zum Analyseserver übertragen, damit entsprechende Untersuchungen möglich sind.

Mit den dargestellten Anpassungen habe ich keine Vorbehalte mehr gegen die implementierte Ortungsfunktion der Fraport App.“

Lesetipp: von Zimmermann, Die Einwilligung im Internet

Ein Lesetipp für Datenschutzrechtler und -interessierte: Die Dissertation von von Zimmermann mit dem Titel „Die Einwilligung im Internet“ ist als PDF vollständig und durchsuchbar im Internet verfügbar (Direktlink, PDF, 1,9 MB).

Die Thematik der Einwilligung ist im Datenschutzrecht in den meisten Fällen wohl die Weichenstellung schlechthin, da sich in den allermeisten Fällen nicht alle Nutzungsarten und -formen über gesetzliche Erlaubnistatbestände (insbesondere § 28 BDSG) lösen lassen. Unter welchen Voraussetzungen eine Einwilligung überhaupt und wirksam erteilt werden kann, ist Gegenstand der Dissertation (Universität Göttingen bei Prof. Spindler) von von Zimmermann.

Die Arbeit ist absolut lesenswert und tiefgründig. Sehr erfreulich ist, dass die Arbeit, die im epubli-Verlag erschienen ist, im Volltext im Internet verfügbar ist, auch wenn das Werk nicht unter einer offenen Lizenz steht. Hier nur ein paar persönliche Hinweise auf einzelne Themen:

Von Zimmermann geht auf den „risk-based approach“ ein, der insbesondere im Zusammenhang mit der Datenschutzgrundverordnung diskutiert wird (S. 52 ff.).

Ferner befasst er sich intensiv (und kritisch) mit den BGH-Entscheidungen „Vorschaubilder“ I + II, die eine bestimmte Form der „konkludenten Einwilligung“ konstruieren (S. 76 ff.):

Die Auswirkungen der Vorschaubilder-Entscheidungen sind gro?ßer als ein erster kurzer Blick vermuten la?sst. Wenn etwa der Bundesgerichtshof ‚nur‘ von „schlichten Einwilligungen“ spricht, begrenzt er damit nicht etwa den Anwendungsbereich seiner Ausfu?hrungen: Alle in dieser Arbeit untersuchten Einwilligungen sind „schlichte Einwilligungen“.

Ab S. 227 geht die Doktorarbeit auf die (nach meiner Auffassung) besonders kritischen Koppelungsverbote ein:

Unter einem Koppelungsverbot ist zu verstehen, dass die Leistung nicht von einer Einwilligung abha?ngig gemacht werden darf. Ansonsten ist die Einwilligung unwirksam und gegebenenfalls bereits das Angebot eine Ordnungswidrigkeit nach § 43 BDSG. …

Neben dem wettbewerbsrechtlichen Koppelungsverbot bestehen die Koppelungsverbote aus § 28 Abs. 3b BDSG und § 95 TKG1261. Sowohl BDSG als auch TKG verbieten die Kopplung der erbrach- ten Leistung mit einer datenschutzrechtlichen Einwilligung fu?r andere Zwecke. Ein Unterschied ko?nnte aber darin gesehen wer- den, dass nach BDSG dem Einwilligenden „ein anderer Zugang zu gleichwertigen vertraglichen Leistungen“ verwehrt sein muss, wa?hrend nach dem TKG auf einen „Zugang zu diesen Tele- kommunikationsdiensten“ abgestellt wird. Aus dieser Differenz im Wortlaut ko?nnte man ablesen, dass im TKG der Anbieter selbst genau diesen Dienst auch ohne Einwilligung anbieten muss, etwa zu einem ho?heren Preis. Dafu?r spricht eine datenschutzfreundliche Auslegung, die durchaus vom Wortlaut gedeckt ist, dagegen jedoch die Intention des Gesetzgebers, TKG und BDSG insoweit gleichlaufend zu behandeln, weshalb das Koppelungsverbot im TKG entsprechend dem des BDSG auszulegen ist. …

Auch auf die Frage der Freiwilligkeit der Einwilligung geht von Zimmermann eingehend ein (S. 238 ff.).

Störerhaftung für Datenschutzverstöße Dritter (ZD 2014, 62) – online

In eigener Sache:

Mittlerweile ist mein in Heft 2/2014 der Zeitschrift für Datenschutz (ZD) auf S. 62-66 erschiener  Aufsatz mit dem Titel “Störerhaftung für Datenschutzverstöße Dritter – Sperre durch DS-RL und DS-GVO?” auch online abrufbar (PDF, 0,25 MB).

Der Aufsatz befasst sich mit der Frage, ob z.B. der Betreiber einer Webseite als Störer für Datenschutzverstöße bspw. von Google haften kann. Ausgangspunkt des Aufsatzes sind zwei Entscheidungen: Zum einen die Google Fanpages-Entscheidung des VG Schleswig vom 9.10.2013 (dazu die Meldung des Unabhängigen Datenschutzzentrums Schleswig-Holstein), zum anderen die Entscheidung des LG Potsdam zur Störerhaftung des Admin-C einer Domain für die Datenschutzverstöße des tatsächlichen Domaininhabers.

Aus dem Beitrag:

Soweit ersichtlich ist die Haftung für Datenschutzverstöße Dritter nach den Grundsätzen der Störerhaftung bisher kaum thematisiert worden. Mit einer Entscheidung des LG Potsdam auf der einen und des VG Schleswig auf der anderen Seite ist die Frage im Jahr 2013 in der Zivil- und der Verwaltungsgerichtsbarkeit unterschiedlich beurteilt worden. Der folgende Beitrag geht der Frage einer (zivilrechtlichen) Störerhaftung für die Datenschutzverstöße Dritter vor dem Hintergrund der EG-Datenschutzrichtlinie und der geplanten EU-Datenschutzgrundverordnung nach und beleuchtet die möglichen Folgen einer solchen Haftung für Internet Service Provider.

  1. Einleitung

Die Störerhaftung für Inhalte und Handlungen Dritter ist seit einigen Jahren immer wieder Gegenstand von gerichtlichen Verfahren im Zusammenhang mit Inhalten im Internet. Meist standen dabei aber Verletzungen von gewerblichen Schutzrechten, des Namensrechts oder des allgemeinen Persönlichkeitsrechts im Vordergrund.[1] Die Frage einer Störerhaftung für Datenschutzverstöße Dritter hingegen ist bisher in Rechtsprechung und Literatur eher stiefmütterlich behandelt worden. Die Entscheidungen des LG Potsdam[2] und des VG Schleswig[3] haben diese Frage nun aufgeworfen. In der Literatur wird – jeweils ohne tiefergehende Begründung – eine Störerhaftung für Datenschutzverstöße teils bejaht,[4] teils – für die öffentlich-rechtliche Haftung als Zweckveranlasser – verneint.[5]

  1. Urteil des LG Potsdam

Das LG Potsdam hat mit Urteil vom 31.7.2013 den Admin-C einer Domain als Störer verurteilt. …

Download des Beitrags (PDF, 0,25 MB)

S. auch

(Un-)zulässigkeit der Deep Packet Injection, Aufsatz „Freund oder Feind auf meiner Leitung?“ in MMR 1/2015

Im aktuellen Heft 1/2015 der Zeitschrift Multimedia und Recht (MMR) ist ein Aufsatz von mir zur Frage der Zulässigkeit der Deep Packet Injection, also des (schreibenden) Eingriffs in den Datenstrom der Nutzer durch den TK-Anbieter erschienen (MMR 2015, 8 ff.). Der volle Titel lautet „Freund oder Feind auf meiner Leitung? – (Un-)Zulässigkeit des Eingriffs in den Datenstrom durch TK-Anbieter mittels Deep Packet Injection“.

Der Beitrag befasst sich mit dem Umstand, dass manche TK-Anbieter in den HTTP-Datenstrom ihrer Kunden zusätzliche HTML-Tags einfügen bzw. einfügten (z.B. Comcast), die Werbung einblenden oder Tracking ermöglichen können, also statt Deep Packet Inspection „Deep Packet Injection“. Dieses Vorgehen verschiedener Anbieter schon mehrfach bekannt geworden, „Stichworte“ dazu sind Comcast X-Finity, Phorm und Nebuad, wenn auch (noch?) nicht in Deutschland. Erst kürzlich wurde berichtet, dass Verizon und AT&T eine eindeutige ID in den HTTP-Header einfügen. Ich bin in meinem Aufsatz der Frage nachgegangen, ob das Einspeisen von Code vor dem Hintergrund des Fernmeldegeheimnisses, des TK-Datenschutzes sowie wettbewerbsrechtlich zulässig ist und welche Ansprüche die Beteiligten (Endnutzer, Wettbewerber, Webseitenbetreiber, Verbraucherschutzverbände) haben.

Auszug aus dem Beitrag:

(Internet-)Zugangsanbieter versorgen ihre Kunden mit dem Zugang ins Internet. Der Datenstrom der Nutzer fließt daher zwangsläufig durch ihre Anlagen und Netzwerke. Diese strategisch günstige Stellung wollen manche Anbieter für neue Geschäftsmodelle nutzen. Eine Möglichkeit ist der Eingriff in den Datenstrom der Kunden, u.a. um hier Werbung zu platzieren.

Der folgende Beitrag betrachtet die (zivil- und strafrechtliche) Zulässigkeit sowie Rechtsfolgen solcher Eingriffe in den Datenstrom. Dabei sollen zunächst der technische Hintergrund solcher Eingriffe (II.) und die wegen dieses Vorgehens angestrengten Verfahren gegen die Anbieter (III.) dargestellt werden. Daran schließt sich die rechtliche Analyse insbesondere zur Frage der Haftung des TK-Anbieters (IV.) an.
I. Einleitung
TK-Diensteanbieter, die ihren Kunden den Zugang zum Internet verschaffen (im Folgenden: TK-Anbieter bzw. Access-Provider), sind Vermittler zwischen ihren Kunden und dem Internet. Als Folge der technologischen und ökonomischen Entwicklungen der letzten Jahre bieten sich TK-Anbietern durch ihre Mittlerrolle neue Geschäftsfelder, die ihnen quasi als Nebenprodukt zum Internetzugang zufallen.

So wurde Ende 2012 bekannt, dass der TK-Anbieter Telefónica plante, in Deutschland Standortdaten der eigenen Kunden zu sammeln, zu aggregieren und für Werbezwecke an Dritte zu verkaufen. Während dieses Modell in England bereits in die Tat umgesetzt wurde, nahm Telefónica auf Grund der öffentlichen Entrüstung – und wohl auch, weil dieses Vorgehen wahrscheinlich unzulässig ist – hiervon Abstand.

Ein weiteres Beispiel ist die Praxis einiger TK-Anbieter in den USA, Brasilien und möglicherweise auch Großbritannien, mittels „Deep Packet Injection” in den Datenstrom ihrer Kunden aktiv einzugreifen und dadurch bei ihren Kunden Werbung zu schalten oder Cookies zu platzieren und nebenbei das Surfverhalten ihrer Kunden zu analysieren. Dabei schalteten die TK-Anbieter die Werbung nicht zwangsläufig selbst, sondern arbeiteten hierfür mit Werbenetzwerken oder anderen Unternehmen zusammen. Erst 2014 wurde bekannt, dass auch der amerikanische Access-Provider ComCast Hinweise und Werbung in den Datenstrom der Nutzer seiner „XFinity”-WLAN-Hotspots einspeist. Im Zusammenhang mit diesen Eingriffen in den Datenstrom kam es in den USA, Großbritannien und Brasilien zu Verfahren gegen die betroffenen TK-Anbieter. Nicht bekannt ist bisher, ob deutsche TK-Anbieter bereits heute ähnlich vorgehen, oder ob sie dies planen. I.E. kann davon allerdings nur abgeraten werden.

USA: Daten über Einkommen von TK-Kunden frei im Internet verfügbar – FCC schlägt 10 Mio $ Strafe vor.

Die FCC hat am 24.10.2014 ihren Vorschlag bekannt gegeben, den Firmen TerraCom und YourTel America jeweils Bußgelder i.H.v. $US 10 Millionen aufzuerlegen (Download als PDF hier).

Die beiden TK-Firmen bieten Telefon und Internet für ihre Kunden an. Arme Kunden konnten einen verbilligten Tarif buchen, wenn sie nachwiesen, dass sie ein Einkommen von 135% der Armutsgrenze der USA oder weniger hatten. Hierfür mussten sie online ihre Daten eingeben und Unterlagen einreichen (u.a. Steuerbescheide).

Diese Daten speicherten die Firmen auf den Servern eines Vertragspartners, wo sie sowohl im Volltext als auch als gescannte Dateien für jedermann frei verfügbar waren.

Der Reporter Isaac Wolf von Scripps News lud einen Teil der Dateien herunter und wies die TK-Firmen am 26.4.2013 auf die Sicherheitslücke hin. Vier Tage später sandten die Firmen eine Abmahnung (cease and desist letter), in der sie Wolf als Hacker bezeichneten. Am 7.5.2014 meldeten die TK-Firmen das Abhandenkommen von Daten an das „Enforcement Bureau“ und 10 Tage später an die FCC.

Die FCC begründet die hohe Strafe wie folgt:

  • Die TK-Firmen haben gegen Datenschutzstandards verstoßen, indem sie die Daten ungesichert über das Internet verfügbar machten.

They failed to use even the most basic and readily available technologies and security features and thus created an unreasonable risk of unauthorized access. …

The Companies exposed over 300,000 consumers to potential data security breaches through their lax and virtually non-existent security practices.

  • Die TK-Firmen haben gegen ihre eigenen Datenschutzbedingungen verstoßen, in denen sie ihren Kunden den Schutz der Daten versprochen hatten.

 

  • Die TK-Firmen unterließen es, ihre Kunden über das Abhandenkommen der Daten zu informieren.

When learning that a security breach had occurred, the Companies failed to notify all potentially affected consumers and thereby deprived them of any opportunity to take steps to protect their PI from misappropriation by third parties

Die FCC begründet ihre Ansicht auf den nachfolgenden Seiten des immerhin 30-Seiten langen Vorschlages. Wer sich für amerikanisches Datenschutzrecht interessiert, wird daran seine Freude haben.

Die Höhe des Bußgeldes erläutert die FCC u.a. wie folgt (Rn. 45 ff.):

Section 503(b)(2)(B) of the Act empowers the Commission to assess a forfeiture of up to $150,000 against a common carrier for each willful or repeated violation of the Act or of any rule, regulation, or order issued by the Commission under the Act.99 For a violation to be willful, it need not be intentional. In exercising our forfeiture authority, we are required to take into account “the nature, circumstances, extent, and gravity of the violation and, with respect to the violator, the degree of culpability, any history of prior offenses, ability to pay, and such other matters as justice may require.”

In determining the proper forfeiture in this case, we are guided by the principle that the protection of consumer PI is a fundamental obligation of all telecommunications carriers. Consumers are increasingly concerned about their privacy and the security of the sensitive, personal data that they must entrust to service providers of all stripes. Given the increasing concern about the security of personal data, we must take aggressive, substantial steps to ensure that carriers implement necessary and adequate measures to protect consumers’ PI. In this case, the evidence shows that TerraCom and YourTel have not taken those obligations seriously. For the reasons articulated below, we propose a total forfeiture of $10,000,000 for the apparent violations in this case. ….

Spannend sind im Anschluss daran noch die Einzelvoten (teilweise abweichend).

Chairman Tom Wheeler schreibt z.B.:

But rather than safeguarding the information, the companies outsourced this responsibility to a vendor that collected and stored customers’ Social Security numbers, names, addresses, driver’s licenses, and other sensitive information on unprotected Internet servers. In other words, the most sensitive, personal information of up to 305,000 Americans was available to anyone with an Internet connection anywhere in the world. We do not need detailed ex ante rules and regulations to know that this is simply unacceptable.

 

Auch die abweichende Meinung von Commissioner Ajit Pai ist interessant (S. 25 ff.). Nach seiner Auffassung bestand nämlich gar keine durchsetzbare Pflicht der TK-Anbieter hier, die Daten ihrer Kunden zu schützen:

… Thus, an agency cannot at once invent and enforce a legal obligation.

Yet this is precisely what has happened here. In this case, there is no pre-existing legal obligation to protect personally identifiable information (also known as PII) or notify customers of a PII data breach to enforce. The Commission has never interpreted the Communications Act to impose an enforceable duty on carriers to “employ reasonable data security practices to protect” PII. The Commission has never expounded a duty that carriers notify all consumers of a data breach of PII. The Commission has never adopted rules regarding the misappropriation, breach, or unlawful disclosure of PII. The Commission never identifies in the entire Notice of Apparent Liability a single rule that has been violated.

Nevertheless, the Commission asserts that these companies violated novel legal interpretations and never-adopted rules. And it seeks to impose a substantial financial penalty. In so doing, the Commission runs afoul of the fair warning rule. I cannot support such “sentence first, verdict afterward” decision-making. …

Consumer protection is a critical component of the agency’s charge to promote the public interest. But any enforcement action we take in that regard must comport with the law. For the reasons stated above, I dissent.

Ähnliche Bedenken äußert dann noch Commissioner O’Reilly (S. 27 ff.).

(via @fborgesius)

Lesetipp: Breyer, Personenbezug von IP-Adressen – Internetnutzung und Datenschutz, ZD 2014, 400

Patrick Breyer (@patrickbreyer) hat in Heft 8/2014 der Zeitschrift für Datenschutz (ZD) einen sehr lesenswerten Aufsatz zum seit Jahren streitigen Thema des Personenbezuges von IP-Adressen mit dem Titel „Personenbezug von IP-Adressen – Internetnutzung und Datenschutz“ veröffentlicht (ZD 2014, 400). Die Thematik habe ich hier im Blog und in Zeitschriften ebenfalls bereits aufgegriffen (z.B. in der ZD 2013, 605; hier; hier; s. auch Tag „Personenbezug“).

Die mittlerweile wohl h.M. tendiert in diesem Zusammenhang zum sog. Begriff des relativen Personenbezuges. Patrick Breyer geht in seinem Beitrag nun ganz grundsätzlich an die Frage des Personenbezuges heran:

Umstritten ist, ob uns die Datenschutzgesetze vor einer solchen „Surf-Protokollierung“ schützen. Einen Schutz gewähren Datenschutzgesetze grundsätzlich nur für personenbezogene Daten, also Daten, die einer bestimmten oder bestimmbaren Person zugeordnet werden können (§ 3 Abs. 1 BDSG). Ist die IP-Adresse ein personenbezogenes Datum, das unmittelbar nach Ende der Nutzung einer Website wieder zu löschen ist (§§ 13 Abs. 4, 15 Abs. 4 TMG)?

Spannend ist in diesem Zusammenhang insbesondere die Frage, ob bei der Bewertung auch Zusatzwissen einzubeziehen ist, das die verantwortliche Stelle unzulässigerweise erworben hat bzw. erwerben kann. Mit der Menge an Daten, die Unternehmen über ihre Nutzer sammeln (Stichwort „Big Data“) und der Vielzahl an Datenbrokern, bei denen weitere Mengen von Daten erlangt werden können, ist es – eine ausreichend große Datenmenge vorausgesetzt – in vielen Fällen nicht schwer, an Zusatzwissen zu gelangen, das eine Identifizierung von einzelnen Personen ermöglicht (vgl. auch Narayanan/Felten, No silver bullet: De-identification still doesn’t work – zur Frage der effektiven Anonymisierung von Daten). Das LG Berlin, Urt. v. 31.1.2013 – 57 S 87/08 (Volltext) hatte dazu tendiert, unzulässig erworbenes Wissen nicht zu beachten und so den Personenbezug eher eng zu verstehen.

Breyer nimmt nun in seinem Beitrag eine intensive und spannende dogmatische Auslegung von § 3 BDSG vor dem Hintergrund der europäischen Datenschutzrichtlinie 95/46/EG vor und geht anschließend auf Widersprüche der Theorie des relativen Personenbezugs ein.

Lesetipp: Narayanan/Felten, No silver bullet: De-identification still doesn’t work – zur Frage der effektiven Anonymisierung von Daten

Im Juli 2014 haben Arvind Narayanan (@random_walker) und Edward Felten (@EdFelten) (beide Princeton University) ein Paper mit dem Titel „No silver bullet: De-identification still doesn’t work“ veröffentlicht, das im Wesentlichen eine Replik auf ein Paper von Cavoukian/Castro (Big Data and Innovation, Setting the Record Straight: Deidentification Does Work) darstellt. Cavoukian und Castro hatten in ihrem Paper im Kern dargestellt, dass es wirksame Techniken gibt, die eine Anonymisierung von Datensätzen ermöglichen. Narayanan und Felten wenden sich sehr überzeugend gegen diese Theorie.

1. Hintergrund

Zunächst kurz zum Hintergrund:

Wir befinden uns vermutlich noch am Anfang des Big Data-Zeitalters. Über jede einzelne Person werden immer mehr und immer genauere Daten erhoben und gespeichert (näher z.B. Kurz/Rieger, Die Datenfresser, 2012). Wer sich die Daten von/über Malte Spitz ansieht, die im Zuge der Kritik an der (deutschen und europäischen) Vorratsdatenspeicherung erhoben wurden, erhält eine leichte Idee davon. Man stelle sich zusätzlich vor, dass auch alle anderen Tätigkeiten von uns digital erfasst werden. Wenn sich alle diese Daten zusammenführen ließen und dann auch noch jeweils einer einzelnen Person zugeordnet werden kann, entsteht ein sehr genaues Bild über diese eine Person. Diesen Zustand soll unser Datenschutzrecht verhindern bzw. die Kontrolle über den Vorgang zumindest teilweise der jeweiligen Person erhalten.

Sollen nun Daten ohne konkrete Einwilligung oder gesetzlichen Erlaubnistatbestand erhoben und genutzt werden, bleibt dem Verarbeitungswilligen nur die Variante, die Daten dem Schutz des Datenschutzrechts vollständig zu entziehen. Das ist – möchte man meinen – eigentlich ganz einfach: Die Daten müssen ja „einfach nur“ anonymisiert werden. Wie das geht, sagt uns (in der Theorie) z.B. § 3 Abs. 6 BDSG:

Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Es gibt eine Menge Literatur dazu (s. nur Simitis-Scholz, BDSG, 8. Aufl. 2014, § 3 Rn. 205 ff.), wie § 3 Abs. 6 BDSG zu verstehen ist. In dieser wird u.a. darauf hingewiesen, dass man klar zwischen Anonymisierung und Pseudonymisierung unterscheiden muss. Und Daten, die – wie es hier Narayanan und Felten darstellen de-anonymisiert werden können, sind schlicht nur pseudonymisierte und damit personenbezogene Daten.

2. Broken Promises of Privacy

Im Jahr 2009 hat Paul Ohm (@paulohm) in einem denkwürdigen Aufsatz namens „Broken promises of privacy: Responding to the surprising failure of anonymization” dargestellt, dass sich (eigentlich anonymisierte) Daten immer häufiger “de-anonymisieren” lassen – und zwar ohne so erheblichen Aufwand, dass von einer effektiven Anonymisierung nach § 3 Abs. 6 BDSG gesprochen werden kann. Die Frage und Möglichkeit der De-Anonymisierung ist daher eine tatsächliche Frage, die unmittelbar erhebliche rechtliche Konsequenzen nach sich zieht.

Vermutlich weil ein großes Interesse daran besteht, mit solche „anonymisierten“ Daten weiter zu arbeiten, gibt es auch Stimmen, die die Effektivität der Anonymisierung bzw. die Ineffektivität von Angriffen hiergegen hervorheben – wie z.B. den von Narayanan und Felten kritisierten Aufsatz von Cavoukian und Castro.

Narayanan und Felten zeigen in ihrem Aufsatz nun eindrucksvoll auf, dass die Ergebnisse von Cavoukian und Castro nicht nur auf Sand gebaut, sondern vermutlich einfach schlicht falsch sind. Hier nur ein paar Zitate aus dem Paper:

Let’s be clear about why the authors of the study didn’t actually re-identify anyone: because they didn’t set out to. …

The [Netflix]-study shows in detail that if someone knows just a little bit about the movie preferences of a user in the Netflix dataset (say, from Facebook or a water-cooler conversation), there’s an upwards of 80% chance of identifying that user’s record in the dataset. …

They mostly ignore the possibility of re-identification by a spouse, friend, nosey neighbor, or investigator based on specific knowledge about the victim, as well as a data-broker applying re-identification based on their existing datasets to enrich their dossiers …

The authors claim that data brokers’ databases “are often incomplete, making it difficult to positively identify someone with a high degree of confidence.” This is cold comfort to a person who is re-identified because they do appear in the database. And it doesn’t consider that a realistic adversary often can just buy access to another database if the first one doesn’t meet their needs. …

It is very tempting to look for an assurance that (say) only 1% of individuals in a dataset can be re-identified. But there is simply no scientific basis for interpreting re-identification probabilities of de-identified high-dimensional datasets as anything more than (weak) lower bounds, and we urge the reader to be wary of false promises of security.

Was kann man also Personen und Unternehmen, die große Datenmengen erheben, nutzen und weitergeben möchten, raten? Die einzig (noch?) effektive Methode scheint eine Aggregation von Daten: Wenn Daten so zusammengewürfelt werden, dass sie immer eine Gruppe von Personen betreffen, entzieht sie des Personenbezugs. Allerdings darf die Gruppe nicht zu klein geraten – und dadurch wird natürlich die Nützlichkeit der Daten stark eingeschränkt (s. näher zu Anonymisierungstechniken Simitis-Scholz, BDSG, 8. Aufl. 2014, § 3 Rn. 205 ff.). Sehr interessant fand ich in diesem Zusammenhang, dass Narayanan und Felten auch zeigen, dass die Technik , die bisher als halbwegs effektiv angesehen wurde, nämlich die Veränderung von Daten, so dass sie ungenauer werden (z.B. statt eines Datums nur das Jahr) angesichts der zunehmenden Datenmengen von Angreifern ebenfalls versagt.

Indeed, a key finding of the de Montjoye et al. study is that the main technique one might hope to use — making the data more coarse-grained — has only a minimal impact on uniqueness. …

making the adversary’s auxiliary dataset more specific has the equal and opposite impact! Of course, with high-dimensional datasets, there are strong limits to how much the data can be generalized without destroying utility, whereas auxiliary information has the tendency to get more specific, accurate, and complete with each passing year.

Wer sich mit Anonymisierungstechniken beschäftigt und selbst Daten anonymisieren möchte, oder mit anonymisierten Daten arbeiten will (oder jemanden berät, der das tut), sollte sich im Übrigen darüber klar sein, dass es (rechtlich) völlig unbeachtlich ist, ob sich nur ein kleiner Teil der Daten einer bestimmten Person zuordnen lässt. Denn für jeden einzelnen dieser Fälle liegt aller Voraussicht nach eine unzulässige Datenverarbeitung vor. Dementsprechend kann man eigentlich nur empfehlen, „anonymisierte“ Daten, bei denen man nicht ganz und absolut sicher ist, ob sie wirklich anonym sind, als personenbezogene Daten zu behandeln.

3. Fazit

Obwohl der Aufsatz von Narayanan und Felten nur eine „Replik“ darstellt, ist er absolut lesenswert. Er enthält zudem eine Reihe von weiterführenden Links und Hinweisen. Es empfieht sich auch, das Paper von Cavoukian und Castro zu lesen. Im Übrigen hat auch Cory Doctorow die Diskussion zusammengefasst.
(Bild: Chris HartmanCC BY 2.0)

 

VAF-Gutachten: „Das Unternehmen als Internet Access Provider“

Der VAF Bundesverband Telekommunikation e.V. hat bereits im Sommer 2013 eine Zusammenfassung eines Gutachtens „Das Unternehmen als Internet Access Provider – Rechtliche Aspekte des Angebots von Internetzuga?ngen in Hotels, Cafe?s, Krankenha?usern, Universita?ten, Flugha?fen und a?hnlichen Einrichtungen“ (Zusammenfassung, PDF, 300kb) veröffentlicht (Pressemitteilung dazu hier). Es handelt sich um ein Gutachten, das von Fachanwalt für IT-Recht Wolfgang Müller verfasst wurde.

Auf der Seite des VAF steht eine 8-seitige Zusammenfassung des Gutachtens zum Download zur Verfügung. Das Gutachten selbst in der Gesamtfassung liegt mir leider nicht vor. Dennoch möchte ich kurz darstellen, was sich aus der online verfügbaren Zusammenfassung ergibt.

Inhaltlich geht es generell um die Frage der Bereitstellung von Internet-Zugang. Deutlich wird aber, dass es im Wesentlichen um den Betrieb von WLANs geht. Die Zusammenfassung hat folgendes Inhaltsverzeichnis:

  1. Einleitung
  2. ?Begriffe
  3. Keine Haftung für fremde Informationen
  4. Sicherheit ja, Überwachung nein
  5. Enge Grenzen für Speicherung und Weitergabe von Daten
  6. Abschlusskommentar
  7. Praxishinweise
  8. Anhang

Zu den Aussagen des Gutachtens:

Wichtig (und richtig) ist bereits die Feststellung, wer Access Provider ist:

Unternehmen wie Hotels, Krankenhäuser usw. können ihren Gästen, Patienten usw. Internetzugänge anbieten. Sie sind dann Internet Access Provider.

Anschließend nimmt das Gutachten bereits in der Einleitung das wesentliche Ergebnis der Untersuchung vorweg:

Vor dem Hintergrund der gegebenen Gesetzeslage, der einschlägigen und höchstrichterlichen Rechtsprechung sowie Kommentierung in der juristischen Fachliteratur erbringt das Gutachten als wesentliches Ergebnis die Klarstellung, dass das bloße Angebot des Zugangs zum Internet keine Haftung des gewerblichen Zugangsanbieters für eventuelle Rechtsverletzungen durch Nutzer verursacht.

Unter Punkt 4 wird dieser Punkt allerdings wieder etwas eingeschränkt. Die Zusammenfassung empfiehlt nämlich die Verschlüsselung des WLANs. Diese Empfehlung geht vermutlich auf das Urteil des BGH – Sommer unseres Lebens (dazu hier, hier, hier und hier) und ggf. auf das Urteil des LG Frankfurt (LG Frankfurt, Urt. v. 18.8.2010 – 2-6 S 19/09: Ersatz für Rechtsanwaltskosten zur Verteidigung gegen Filesharing-Abmahnung – PDF) zurück, die beide die Verschlüsselung angesprochen hatten. Ähnlich hatte sich das LG Frankfurt auch im Jahr 2013 nochmal geäußert (LG Frankfurt am Main, Urt. v. 28.06.2013 – 2-06 O 304/12 – Ferienwohnung; dazu auch Mantz, GRUR-RR 2013, 497). Aus der Zusammenfassung ist aber nicht ersichtlich, ob das Gutachten die Frage behandelt, ob dies auch bei öffentlich zugänglichen WLANs gilt. Bei solchen öffentlichen WLANs gilt es nämlich zu berücksichtigen, dass sie ganz bewusst offen gelassen werden, und dies auch Teil eines Geschäftsmodells ist. Wer verschlüsselt, verbaut nämlich potentiellen Kunden den Zugang – und sich das Geschäft. Im Ergebnis kann eine Verschlüsselung des WLANs daher grundsätzlich nicht verlangt werden (eingehend dazu Sassenberg/Mantz, WLAN und Recht, Rn. 228 mit weiteren Nachweisen und Argumenten).

Richtig ist dann allerdings die Schlussfolgerung im Gutachten (hier zitiert ohne den vorangestellten, einschränkenden Zusatz):

der Versuch, einen Access Provider über den Weg der »Störerhaftung« in Anspruch zu nehmen, [wird] regelmäßig an folgender Tatsache scheitern: Das einzig effektive Mittel, um entsprechende Störungen zu unterlassen bzw. von vornherein zu verhindern, würde darauf hinauslaufen, dass der Provider den Geschäftsbetrieb einstellen müsste.

Zur Frage der Sicherheit des Betriebes führt die Zusammenfassung aus:

Dazu zählen etwa Authentifizierung, Verschlüsselung und technische Isolierung der Nutzer.

Dabei wird nicht ganz klar, ob es sich hierbei um eine Frage im Rahmen der Störerhaftung, oder im Rahmen der Sicherheit des Netzwerks nach § 109 TKG handelt. Eine der regulatorischen Pflichten des Betreibers eines WLANs ergibt sich nämlich aus § 109 TKG. Abhängig von Größe und Struktur des Netzwerks sind dabei möglicherweise verschiedene Maßnahmen erforderlich (ausführlich mit Checklisten und Übersichten Sassenberg/Mantz, WLAN und Recht, Rn. 156 ff.).

Zur Frage der Beauskunftung von Daten verweist die Zusammenfassung unter Punkt 5 darauf, dass die datenschutzrechtlichen Bestimmungen von TKG, TMG und BDSG penibel einzuhalten sind. Wenn dadurch keine Daten vorhanden sind, können diese auch bei Auskunftsverlangen nicht herausgegeben werden. Daten, die für Abrechnungszwecke nicht erforderlich seien, müssten zudem unverzüglich gelöscht werden. Für technische Zwecke könnten z.B. dynamische IP-Adressen maximal 7 Tage aufbewahrt werden. Dies ist jedenfalls die Auffassung des BGH (BGH, Urt. v. 13. 01. 2011 – III ZR 146/10, NJW 2011, 1509 (1510); ebenso OLG Frankfurt, Urt. v. 28. 08. 2013 – 13 U 105/07, ZD 2013, 614). Diese Darstellung ist grundsätzlich richtig. Im Aufbau und Betrieb eines WLANs stellen sich aber auch an ganz anderen Stellen datenschutzrechtliche Fragen (z.B. im Zusammenhang mit einer Splash-Page, mit Registrierungen, Kundenschutz, Zahlungsverkehr etc., auch Standortdaten können durchaus anfallen). Ob das Gutachten in der Gesamtfassung darauf eingeht, ist nicht bekannt. Die Zusammenfassung lässt dies nicht vermuten. Eingehend werden die Datenschutzfragen beim Betrieb eines WLANs übrigens (Achtung, Werbung!) dargestellt bei Sassenberg/Mantz, WLAN und Recht, Rn. 112 ff.

Insgesamt reißt die Zusammenfassung einige der Fragestellungen beim WLAN an. Die Spezialitäten beim Betrieb von WLANs in Krankenhäusern oder Flugzeugen werden leider (in der Zusammenfassung) nicht weiter dargestellt. Fragen zum Vertragsschluss, zum Aufbau durch die öffentliche Hand und durch Privatpersonen sind offenbar außen vor geblieben. Als Fazit bleibt für mich, dass sich aus der Zusammenfassung nicht genug ersehen lässt, dass aber vermutlich auch das Gesamtgutachten nicht auf alle relevanten Fragen eingeht. Ich persönlich würde jedenfalls gerne einmal das gesamte Gutachten lesen …