Die DSGVO aus Betroffenensicht - Ein trauriger Praxisbericht wie Unternehmen und Aufsichtsbehörden auf Anfragen reagieren
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Die DSGVO aus Betroffenensicht Ein trauriger Praxisbericht wie Unternehmen und Aufsichtsbehörden auf Anfragen reagieren © 2019 Christian Bennefeld, Hamburg 1
Über mich
Christian Bennefeld (50), Dipl.-Math.
Hintergrund
Security Nerd, Hacker & Programmierer seit der Kindheit
IT-Security Beratung und Management in internationalen Softwarehäusern
Internet Unternehmer
Gründer etracker, 2000 – Datenschutzkonforme Alternative zu Google Analytics
Gründer eBlocker, 2014 – Gerät für Endkonsumenten zum Schutz vor Profilbildung im Netz
Investments und Beratung bei Startups im Internet-Umfeld
Seit 2005 engagierter Datenschutz-Aktivist
Aktiv u.a. in der Hamburger Datenschutzgesellschaft (HDG)
Referent und Keynote Speaker für Datenschutz-Praxis und Gefahren von Tracking
© 2019 Christian Bennefeld, Hamburg 2
Mein Anliegen
Unsere Demokratie ist in Gefahr
Ich habe Angst vor
Diskriminierung
Manipulation
Freiheitsverlust
Das Internet ist das größte Problem
Profilbildung durch Datengiganten
Illegaler Zugriff durch Dritte garantiert
Edward Snowden hat nur den Anfang gezeigt; Nachrichten über Datendiebstahl sind „normal“
Chinas „Social Scoring“ / der Überwachungsstaat sind mein größter Albtraum
Damit dieser Albtraum nicht eintritt, engagiere ich mich
© 2019 Christian Bennefeld, Hamburg 3
Überblick & Herangehensweise
Qualitativer „Erster Hand“-Bericht über Datenschutzanfragen und Ergebnisse
Selbst gestellte Anzahl Anfragen: ca. 25 – auch bereits vor DSGVO
Herangehen
Kritischer Blick auf Datenverarbeitung bei Vertragspartnern – stets im realen Kontext
Ausgewählte Fälle und Reaktionen werden hier exemplarisch gezeigt
Zusätzlich: Sammlung von Datenschutzfällen aus persönlichem Netzwerk,
um statistische Häufungen zu erkennen
Insgesamt zusammengetragene Fälle: 200+
Alle Fälle in Kürze auch im Internet: Transparenz für alle Interessierten
© 2019 Christian Bennefeld, Hamburg 4
Deutsche Datenschutz Consult (DDSC) Interessante E-Mail Werbung zur Kundengewinnung © 2019 Christian Bennefeld, Hamburg 5
SPAM für Datenschützer Unaufgeforderte E-Mail Werbung am 14.05.18 Unternehmen AD 2.0 wirbt für DDSC Provokanter Titel: „DSGVO – Sind Sie bereit?“ Hinweis: „Die Behörden können empfindliche Bußgelder verhängen, wenn sich Ihr Unter- nehmen nicht an die Vorgaben der DSGVO hält.“ Die Lösung von DDSC: „Externer Datenschutz- beauftragter bereits ab 150 Euro pro Monat“ Ungünstig dabei: Ich hatte niemals Kontakt zu den beiden Unternehmen und hake nach… © 2019 Christian Bennefeld, Hamburg 6
Antwort auf Auskunftsanfrage (1/2) Datenschutzbeauftragter des E-Mail Versenders ist die beworbene DDSC Bemerkenswert: DDSC und AD 2.0 haben dieselbe Geschäftsadresse © 2019 Christian Bennefeld, Hamburg 7
Antwort auf Auskunftsanfrage (2/2)
Ungünstig
Leider den Honeypot getroffen
E-Mail Adresse wurde nur zum Zweck der Fake Adresse
Identifikation von Spammern eingerichtet und
dazu im Internet platziert
Erfasste Daten stammen eindeutig aus dFake Daten
Honeypot und sind bewusst verfälscht
Postalisch von DDSC versendete Auskunfts-
antwort konnte daher nicht zugestellt werden
© 2019 Christian Bennefeld, Hamburg 8
Nachfrage zum Erlaubnistatbestand
Datenschutzbeauftragter der AD 2.0 & DDSC antwortet zunächst
„Erlaubnistatbestand für den Verarbeitungsvorgang der Auskunftserteilung ist Art. 6 Abs. 1
lit. c DSGVO, da wir zu der Erteilung der Auskunft rechtlich verpflichtet sind.
Erlaubnistatbestand für die Speicherung ist Art. 6 Abs. 1 lit. f DSGVO, wobei unser
berechtigtes Interesse darin liegt, die Erfüllung unserer Auskunftspflichten Ihnen
gegenüber nachweisen zu können.“ Nebelkerze
Nach mehrfacher Nachfrage zur Erlaubnis der Zusendung von E-Mail Werbung
„Die interne Untersuchung hat weiter ergeben, dass Ihr Datensatz durch einen
menschlichen Fehler dem Adressatenkreis des Rundschreibens zugeordnet wurde.“
Nach weiteren Nachfragen zur Datenherkunft (3 Wochen nach Erstantwort)
„Am 03.03.2016 um 16:45 Uhr kontaktierte Sie der Mitarbeiter [..] der Ad2.0 Internet GmbH
und bot Ihnen die Dienstleistungen des Unternehmens an. Sie forderten ein Angebot an [...].“
Ich hake nach und frage nach dem Angebot…
© 2019 Christian Bennefeld, Hamburg 9
„Interessantes“ Angebot der AD 2.0
Ungewöhnlich dabei
Mir war das Angebot völlig unbekannt
Der vermutlich zu bewerbende eBlocker wurde erst ab 10/2016 produziert
Vielleicht ein schöner Fall für die Aufsichtsbehörde?
Nach Rücksprache mit Hamburger Behördenvertretern
Offizielle Beschwerde und Weiterleitung der gesamten Korrespondenz
© 2019 Christian Bennefeld, Hamburg 10Die Aufsichtsbehörde: Ein schwarzes Loch © 2019 Christian Bennefeld, Hamburg 11
Grünwelt / Stromio und der Zählerstand Die etwas unerwartete „Auskunft“ © 2019 Christian Bennefeld, Hamburg 12
Stromanbieter Grünwelt lädt zur Ablesung ein
Hintergrund
E-Mail vom Stromanbieter zur
Ablesung Zählerstand
Angabe soll über Website erfolgen
Cookie Banner mit Hinweis auf
Widerspruchmöglichkeit
Datenschutzerklärung weist auf
Verwendung von Google Analytics hin
Widerspruch gegen Google-
Datenerfassung gelingt nicht, da
angebotene Plugin-Installation auf
verwendetem iPad nicht möglich
Ein Grund nachzuhaken…
© 2019 Christian Bennefeld, Hamburg 13Auskunftsanfrage (1/3)
Ich bitte den Datenschutzbeauftragten von Grünwelt um postalische Auskunft
zu meinen Daten und gebe meine Vertragsnummer sowie Zählernummer an
Antwort des Datenschutzbeauftragten
„Auf der Grundlage der von Ihnen zu Ihrer Person mitgeteilten Informationen sind wir leider
nicht in der Lage, Sie eindeutig zu identifizieren. […] Gerne prüfen wir Ihre Anfrage
nochmals und […] bitten, uns folgende Informationen über Sie mitzuteilen:
Name, Vorname, Straße/Hausnummer, PLZ/Ort, Vertragskontonummer, Zählernummer, E-Mail
Diese Informationen können Sie an datenschutz@gruenwelt.net senden oder postalisch an
unserer Postadresse mit dem Zusatz „Der Datenschutzbeauftragte“.
Ergo: Vollständige Adressdaten sind zur Identifikation notwendig
Komisch: Der Vertragsabteilung hatte ich zuvor nur Vertrags- und
Zählernummer sowie Zählerstand per E-Mail mitgeteilt
© 2019 Christian Bennefeld, Hamburg 14Vertragsabteilung kann mich sofort identifizieren
Vollständige Anschrift
© 2019 Christian Bennefeld, Hamburg 15Auskunftsanfrage (2/3)
Ich zeige mich irritiert, dass die Vertragsabteilung mich ohne weitere
Angaben identifizieren konnte und bitte erneut um Auskunft
14 Tage später die Antwort des Datenschutzbeauftragten
„Ihren Antrag auf Auskunft nach Art 15 DSGVO Abs. 1 haben wir am 12.06.2018 erhalten.
Sie haben darin Ihre Identität ausreichend nachgewiesen.“
„Derzeit wird eine große Anzahl von Anfragen an uns herangetragen, welche [...]
nicht innerhalb eines Monates beantwortet werden können. [...]“
„Wir bitten daher um Ihr Verständnis, dass wir von der in Art. 12 Abs. 3 DSGVO vorgesehen
Möglichkeit Gebrauch machen und die Frist zur Beantwortung Ihres Ersuchens auf
drei Monate verlängern.“
Ich habe Verständnis und warte gerne…
© 2019 Christian Bennefeld, Hamburg 16Auskunftsanfrage (3/3): Kündigung statt Auskunft
Aufgrund meiner „Beschwerde“
Angebot: Vertragsbeendigung
innerhalb von 14 Tagen
In jedem Fall: ordentliche Kündigung zum
Laufzeitende durch Stromio
Das Angebot nehme ich nicht an
Am 24.08.18 erhalte ich dann doch
postalische Auskunft
Die Website wurde mittlerweile
verändert, so dass ein Widerspruch
auch auf iPad möglich ist
Google Analytics bleibt im Einsatz
ohne Vorgaben der DSK zu beachten
© 2019 Christian Bennefeld, Hamburg 17Beschwerde beim LDI NRW
Direkte Beschwerde bei der zuständigen Aufsichtsbehörde am 25.08.18
Umgehende Eingangsbestätigung per E-Mail
Behörde hält mich über den Stand des Verfahrens postalisch informiert
19.09.18: Grünwelt wurde um Stellungnahme gebeten
05.02.19: Stellungnahme erfolgt, Auskunftsanfrage erfüllt, Prüfung der Website hält an
05.08.19: Website-übergreifende Profilbildung durch Google ist abgestellt
Positiver Abschluss nach „nur“ rund 12 Monaten!
© 2019 Christian Bennefeld, Hamburg 18HASPA und Google Analytics Einsatz Vom langen Arm der Behörde und ihren Kompetenzen © 2019 Christian Bennefeld, Hamburg 19
Hamburger Sparkasse & die Aufsichtsbehörde
HASPA Kunde beschwert sich bei Hamburger Aufsichtsbehörde
Google Analytics wird ohne offensichtlichen Hinweis eingesetzt
Hintergrund: Missachtung des DSK-Papiers und „sensible“ Daten im Bankenproduktumfeld
Schreiben der Aufsichtsbehörde nach 3 ½ Monaten an den Betroffenen mit
Bitte um Belege zum Google Analytics Einsatz
Exkurs: Eingabe der URL in „privacyscore.org“ od. FF mit PrivacyBadger genügt
Betroffener wendet sich enttäuscht über „Inkompetenz“ der Behörde an mich
© 2019 Christian Bennefeld, Hamburg 20Die HASPA Datenschutzerklärung Ganz ohne Technik: Lesen genügt © 2019 Christian Bennefeld, Hamburg 21
Beschwerde bei Prof. Dr. Caspar (HmbBfDI)
Ich wende mich per E-Mail direkt an Prof. Caspar
Beschwere mich über die „(technische) Inkompetenz“ der Kollegen
Bedauere, dass Betroffener am langen Arm in einen „Behörden-Loop“ geschickt wird
Antwort von Prof. Caspar am selben Tag
„Soweit Sie von „technischer Inkompetenz“ meiner Kollegen sprechen, weise ich dieses
nachdrücklich zurück [...]“
„Unabhängig von den zusätzlich angeforderten Belegen [...] haben wir selbstverständlich
eigene Ermittlungen durchgeführt und das beanstandete Verhalten bereits geprüft.“
„[...] befinden wir uns derzeit in der Anhörung der Verantwortlichen.“
Erstaunlich: Die Behörde schafft es plötzlich in weniger als einer Woche nach
Versand des Schreibens, die Beanstandung selbst zu prüfen
Nachfrage: „Sind Belege durch den Betroffenen damit obsolet?“; Bearbeiter: „Ja.“
© 2019 Christian Bennefeld, Hamburg 22© 2019 Christian Bennefeld, Hamburg 23
Update nach Nachfrage © 2019 Christian Bennefeld, Hamburg 24
SONOS 8 will mehr Daten Wie die Aufsichtsbehörde als „One-Stop-Shop“ in der EU agiert © 2019 Christian Bennefeld, Hamburg 25
Bericht auf heise.de
23.08.17: Heise Artikel über SONOS
Neues Update auf SONOS 8 erzwingt
Zustimmung zu mehr Daten
Neue „funktionale Daten“ sollen auch
in Vorbereitung für Alexa erfasst werden
Darunter: „Nutzungsdaten, Standort,
Tonquelle, Informationen über WLAN-
Antennen, Benennung der Räume,
Bedienungsgeräte-Typ und
Betriebssystem, Audioeinstellungen…“
„Opt-Out ist ebenso wenig möglich
wie eine Löschung der Daten.“
Als SONOS Nutzer hake ich nach…
Quelle (Screenshot): https://www.heise.de/newsticker/meldung/
Sonos-fordert-mehr-Daten-sonst-droht-Sendeschluss-3810249.html
© 2019 Christian Bennefeld, Hamburg 26SONOS Support: Teil 1
Ich wende mich an den SONOS Support,
widerspreche der Datenverarbeitung
Nach 22 E-Mails und 6 Wochen später
SONOS System wird auf 7.3 eingefroren
Updates sind nicht mehr möglich
SONOS Geräte können nicht ergänzt werden
Spezielle iOS App muss installiert werden
Eine zufriedenstellende Lösung
Leider nur bis Juni 2018
Seitdem stürzt die App immer ab
Ich hake nach…
© 2019 Christian Bennefeld, Hamburg 27SONOS Support: Teil 2
Nach einigen E-Mails die klare Antwort
Ohne Akzeptanz der neuen Datenschutz-
bestimmungen keine funktionierende App
Damit ist SONOS nutzloser „Technikschrott“
Zum Glück gilt jetzt DSGVO Art. 7
Kopplungsverbot / Freiwilligkeit
Gewonnene Daten sind ganz offensichtlich
nicht für den Betrieb notwendig
Ich wende mich mit einer Beschwerde
an die Hamburger Aufsichtsbehörde
Mit Hinweis: SONOS sitzt in Niederlanden
© 2019 Christian Bennefeld, Hamburg 28Ein One-Stop-Shop für EU: Die Aufsichtsbehörde
Beschwerde am 27.06.18
Keinerlei Reaktion
Nochmalige Nachfrage am 28.08.18
Keine Antwort
Nur rund 7 Monate später ist die
Zuständigkeit geklärt
Die Niederländer verfolgen den Fall
© 2019 Christian Bennefeld, Hamburg 29© 2019 Christian Bennefeld, Hamburg 30
Prof. Dr. Caspar spricht zum One-Stop-Shop
Hamburger Datenschutzgesellschaft lädt Prof. Caspar ein
„Umgang der Hamburger Aufsichtsbehörde mit Datenschutz-
verstößen – insbesondere mit Blick auf grenzüberschreitende
und nicht-grenzüberschreitende Datenverarbeitung“, 07.06.2019
Lobt Errungenschaft des One-Stop-Shop in der EU
„Großer Vorteil für Betroffene…“
Mein kritischer Kommentar
One-Stop-Shop kommt bei Betroffenen leider nicht an
Verweis auf SONOS Fall – und Dauer seit 12 Monaten
Bedauern über „schwarzes Loch“ Aufsichtsbehörde
Quelle: datenschutz-hamburg.de/pages/pressematerial/
Foto: HmbBfDI
© 2019 Christian Bennefeld, Hamburg 3112 Tage später: E-Mail der Aufsichtsbehörde © 2019 Christian Bennefeld, Hamburg 32
? © 2019 Christian Bennefeld, Hamburg 33
Vodafone und der Rechnungsversand Der „One-Stop-Shop“ und wie die Bundesbehörde agiert © 2019 Christian Bennefeld, Hamburg 34
Das bisherige Verfahren für Rechnungen
Ich bin Kunde bei Kabeldeutschland (heute Vodafone)
Bis Mitte 2017 erfolgt Rechnungsversand stets per Post (gegen Kostenersatz)
Einseitige Umstellung seitens Vodafone auf rein elektronische Zustellung
Hinweis per E-Mail, dass neue Rechnung im Kunden-Portal vorliegt
Portaldaten werden per HTTPS transportgesichert (gegen Einsichtnahme Dritter)
Rechnung kann als PDF geladen werden
Ein datenschutztechnisch gutes Verfahren
Denn die Rechnung enthält unter Umständen
bezogene Videos (aus Vodafone „Videothek“)
Einzelverbindungsnachweise
Angaben zu (mobilen) Rufnummern
Ergo: Potentiell sehr sensible Daten
© 2019 Christian Bennefeld, Hamburg 35Vodafone stellt das Verfahren um
Mitte 2018 stellt Vodafone das Verfahren um
Per E-Mail wird die Rechnung einfach angehängt
Alle Daten werden unverschlüsselt übertragen
Ich hake bei Vodafone nach…
Bitte um Umstellung auf bisheriges Verfahren (Download über das Portal)
Frage nach Erlaubnistatbestand für unverschlüsselte Zusendung
Vodafone antwortet
Zur Umstellung: „Wir haben unternehmensweit entschieden unsere Rechnungen
umzustellen. Haben Sie bitte Verständnis, dass wir keine Ausnahmen machen.“
Zum Erlaubnistatbestand: „Das schont die Umwelt und es geht sogar noch schneller.“
Ich beschwere mich bei der Hamburger Aufsichtsbehörde – One-Stop-Shop…
© 2019 Christian Bennefeld, Hamburg 36One-Stop-Shop: Leider „unzuständig“ © 2019 Christian Bennefeld, Hamburg 37
Transparenz bei der Bundesbehörde
05.07.18: Beschwerde bei Bundesbeauftragter Frau Voßhoff
Bundesbeauftragte informiert über Stand des Verfahrens per E-Mail
11.07.18: Eingangsbestätigung durch Bundesbeauftragte
25.07.18: Bundesbeauftragte hat Vodafone um Stellungnahme gebeten
18.09.18: Bundesbeauftragte hat Vodafone erneut an Stellungnahme erinnert
09/2018: Vodafone stellt das beanstandete Verfahren ein: nur 2 Monate!
Stillschweigende Rückkehr zum bisherigen „Portal-Verfahren“
© 2019 Christian Bennefeld, Hamburg 38! © 2019 Christian Bennefeld, Hamburg 39
Antwort Bundesbeauftragter
28.08.19: 14 Monate nach Beschwerde
Briefpost, in der das alte „Portalverfahren“
beschrieben und datenschutzrechtlich als
unbedenklich beurteilt wird: stimmt
Zum beanstandeten Verfahren: kein Wort
Eine Nebelkerze
© 2019 Christian Bennefeld, Hamburg 40„Wer hat Angst vor den Aufsichtsbehörden?“ „Niemand!“ „Und wenn sie aber kommen?“ „Dann verhalten wir uns eben ab dann konform.“ © 2019 Christian Bennefeld, Hamburg 41
Weitere Fälle Quantitative Auswertung – nicht repräsentativ © 2019 Christian Bennefeld, Hamburg 42
Überblick
224 5 2% Ø 12 Monate
Fälle Lösungen Erfolgsrate Wartezeit
Eindruck: „Datenschutz ist zwecklos!“
© 2019 Christian Bennefeld, Hamburg 43Fazit Eindruck aus Betroffenensicht © 2019 Christian Bennefeld, Hamburg 44
Betroffene werden alleine gelassen © 2019 Christian Bennefeld, Hamburg 45
Verfahren dauern viel zu lange
Quelle: http://www.eatmedaily.com/wordpress/wp-content/uploads/2010/04/coffeecups.jpg
Quelle: http://4.bp.blogspot.com/-XceoIhXpUMU/UGh11WNpe7I/AAAAAAAAB_k/iB7m86hS4bU/s1600/guy-eating-paper-in-frustration-small.jpg
© 2019 Christian Bennefeld, Hamburg 46Unternehmen ignorieren die Anforderungen
Screenshot: Red Dead Redemption II
Quelle: http://rojnuamdavad.files.wordpress.com/2010/12/photo-0343.jpg
© 2019 Christian Bennefeld, Hamburg 47Aufsichtsbehörden greifen nicht durch
BayLDA Erfolge 2018
0
Warnungen:
Verwarnungen:
Geldbußen:
Widerruf Zertifizierungen:
Was das BayLDA beschäftigt
Vorgaben nach Art. 83 Abs. 1
„Jede Aufsichtsbehörde stellt sicher, dass
Geldbuße [...] in jedem Einzelfall wirksam,
verhältnismäßig und abschreckend ist.“
© 2019 Christian Bennefeld, Hamburg 48DSGVO kommt beim Bürger nicht an –
und bietet hohes Frustrationspotential
© 2019 Christian Bennefeld, Hamburg 49
Bildquelle: http://4.bp.blogspot.com/-XceoIhXpUMU/UGh11WNpe7I/AAAAAAAAB_k/iB7m86hS4bU/s1600/guy-eating-paper-in-frustration-small.jpgMeine Wünsche
Unternehmen
Datenschutz muss ein positives Erlebnis für die Betroffenen werden
Aufsichtsbehörden
Datenschutzverstöße müssen besser priorisiert werden: „Große“ Verstöße vorziehen!
Datenschutzverstöße müssen sanktioniert und Sanktionen öffentlich werden
Politik
Bewusstsein für den gesellschaftlichen Schaden durch Datenmissbrauch
„Make Privacy Great Again“
© 2019 Christian Bennefeld, Hamburg 50“
"Wir müssen die massenhafte Datensammlung stoppen", forderte der Ex-Spion
[Edward Snowden] [...]. Das gelte aber nicht nur für Geheimdienste, sondern
auch für Daten-Konzerne wie Facebook und Google.
SPIEGEL online, 13.09.19
https://www.spiegel.de/netzwelt/netzpolitik/edward-snowden-wir-muessen-die-massenhafte-datensammlung-stoppen-a-1286691.html
© 2019 Christian Bennefeld, Hamburg 51Noch nicht genug?
Vielen Dank!
www.datenschutz-zwecklos.de
Datenschutzverfahren transparent gemacht: Jetzt mitmachen und mitdiskutieren!
Offizieller Start: 15.10.2019
© 2019 Christian Bennefeld, Hamburg 52
Nicht gekennzeichnete Bilder: wikimedia.org unter Open Content LicenseSie können auch lesen
