Jobcenter

Personenbezogene Daten dürfen aber zur Abwehr von Straftaten an die Polizei oder die Staatsanwaltschaft weitergegeben werden, wenn bei Beantragung von Leistungen offensichtlich falsche Angaben gemacht werden. Liegt dagegen nur ein Bußgeldtatbestand vor, dürfen die Informationen nur an die ARGE, also an die für Ordnungswidrigkeiten zuständige Verwaltungsbehörde, und nicht an die Jobcenter übermittelt werden. Das ist etwa dann der Fall, wenn die Leistungsempfängerin oder der Leistungsempfänger Änderungen hinsichtlich der Leistungsberechtigung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig mitgeteilt hat.

13. Telekommunikation und Medien

Soziale Netzwerke AUS DER PRAXIS Große Aufmerksamkeit erregte der unberechtigte Download von Daten hunderttausender Nutzerinnen und Nutzer aus dem SchülerVZ. Mehreren Eindringlingen war es unabhängig voneinander gelungen, riesige Datenbestände wegen unzureichender Sicherungen gegen solche automatisierten Downloads, aber auch wegen einer fehlerhaft implementierten Suchfunktion herunterzuladen. In einem Einzelfall gab es ca. 1,6 Millionen Betroffene. Bemerkenswert ist, dass es sich nicht um Hacker-Angriffe von außen handelte. Die Täter machten als angemeldete Nutzerinnen und Nutzer lediglich von den in der Plattform zur Verfügung gestellten Funktionen Gebrauch.

Das Unternehmen hat uns frühzeitig informiert und uns regelmäßig über die getroffenen Maßnahmen auf dem Laufenden gehalten. Insgesamt ist festzustellen, dass die durch die VZ Netzwerke Ltd. getroffenen Gegenmaßnahmen inzwischen ausreichend sind. Zwar waren keine besonders schutzwürdigen Daten betroffen, aber nur deshalb, weil die von den Tätern eingesetzten technischen Werkzeuge nur einen beschränkten Bestand an Datenfeldern „abgegriffen" haben. Versiertere Täter hätten zumindest bis Mitte 2009 weitere Daten aus den Profilen zahlreicher Nutzender des SchülerVZ herunterladen können.

In einem Einzelfall sind allerdings auch Daten in großem Umfang massenhaft heruntergeladen worden, die aufgrund der Privatsphäre-Einstellungen der Nutzenden für die Täter überhaupt nicht hätten sichtbar sein dürfen. Dies beruhte auf einer fehlerhaft implementierten Suchfunktion. Auf diese Fehler hatten wir im Anschluss an eine Studie163 bereits im Herbst 2008 hingewiesen. Das Unternehmen hat uns zwar berichtet, diesen Fehler beseitigt zu haben, allerdings ­ wie sich nun herausgestellt hat ­ nicht vollständig. Dies geschah erst nach Bekanntwerden 163 Fraunhofer-Institut für Sichere Informationstechnologie SIT: Privatsphärenschutz in des oben geschilderten Vorfalls. Aufgrund der unklaren Sach- und Rechtslage haben wir in diesem Fall davon abgesehen, ein Bußgeld zu verhängen. Wir erwarten allerdings von dem Unternehmen, dass derartige Fehler zukünftig umgehend und sorgfältiger behoben werden.

Unabhängig davon haben wir den Anbieter darauf hingewiesen, dass dieser Vorfall zum Anlass genommen werden muss, den Schutz der Privatsphäre der Nutzerinnen und Nutzer bei den verschiedenen Plattformen des Unternehmens weiter zu stärken. Im Einzelnen betrifft dies folgende Bereiche: Empfehlung an die Nutzenden, die Profile unter Pseudonym (Spitznamen) statt unter ihrem Klarnamen zu führen, restriktivere Standardeinstellungen für die Privatsphäre in neu angelegten Nutzerprofilen (dies war bei SchülerVZ schon umgesetzt, unterdessen sind aufgrund unserer Intervention auch die Einstellungen bei StudiVZ und MeinVZ entsprechend verändert worden), deutlicheren Hinweis auf verbleibende Sicherheitsrisiken im Rahmen der Nutzerinformation.

Bei den Betroffenen (insbesondere Jugendlichen) besteht nach wie vor großer Beratungsbedarf im Hinblick auf den Schutz der Privatsphäre in sozialen Netzwerken. Wir haben daher mit dem Berliner Landesprogramm Jugendnetz-Berlin eine Broschüre herausgegeben, die Tipps für Jugendliche zum Datenschutz in sozialen Netzwerken enthält164.

FAZIT

Bei der Veröffentlichung personenbezogener Daten in sozialen Netzwerken besteht immer die Gefahr der zweckfremden Nutzung dieser Daten durch Dritte.

Nutzende sollten den Umfang der Daten in sozialen Netzwerken deshalb auf ein Minimum beschränken und anstelle des wirklichen Namens ein Pseudonym verwenden.

Europäische Union: Novellierung der Telekommunikations-Datenschutzrichtlinie

Die Überarbeitung des Regulierungsrahmens für elektronische Kommunikationsnetze und -dienste in der Europäischen Union ist abgeschlossen165. Das Richtlinien-Paket166 enthält u.a. Änderungen der 164 http://www.datenschutz-berlin.de/content/themen-a-z/internet/soziale-netzwerke-unddatenschutz 165 Zuletzt JB 2008, 14.1

166 Richtlinie 2009/136/EG des Europäischen Parlaments und des Rates zur Änderung der Richtlinie 2002/22/EG über den Universaldienst und Nutzerrechte bei elektronischen Kommunikationsnetzen und -diensten, der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und der Verordnung (EG) Nr. 2006/2004 über die Zusammenarbeit im „Telekommunikations-Datenschutzrichtlinie". Es gibt im Wesentlichen folgende Neuerungen, die zu einer Verbesserung des Datenschutzes führen können:

Bei einer Verletzung des Schutzes personenbezogener Daten sind Betreiber von öffentlich zugänglichen elektronischen Kommunikationsdiensten verpflichtet, unverzüglich die zuständige nationale Behörde zu unterrichten. Ist anzunehmen, dass durch die Verletzung des Schutzes personenbezogener Daten diese selbst oder Teilnehmende oder andere Personen in ihrer Privatsphäre beeinträchtigt werden, muss der Betreiber auch die Betroffenen unverzüglich über die Verletzung benachrichtigen167.a. auch Cookies), die bereits im Endgerät einer oder eines Teilnehmenden oder Nutzenden gespeichert sind, ist nur mit deren oder dessen Einwilligung gestattet169. Ein Widerspruch ist nicht mehr ausreichend.

Die Mitgliedstaaten sollen sicherstellen, dass bei Verstößen gegen die Regelungen über unerbetene Nachrichten natürliche oder juristische Personen, aber auch die Anbieter elektronischer Kommunikationsdienste gegen solche Verstöße gerichtlich vorgehen können170.

Generell werden die Mitgliedstaaten zur Festlegung von (ggf. auch strafrechtlichen) Sanktionen verpflichtet, die bei einem Verstoß gegen die innerstaatlichen Vorschriften zur Umsetzung der Richtlinie zu verhängen sind. Diese müssen wirksam, verhältnismäßig und abschreckend sein171.

Die Art. 29-Datenschutzgruppe hatte im Februar eine erneute Stellungnahme zu den damaligen Vorschlägen zur Änderung der TelekommunikationsDatenschutzrichtlinie abgegeben.