China: Einführung eines „Sozialkreditsystems“

23. August 2017

Der chinesische Staat möchte bis 2020 ein „Sozialkreditsystem“ einsetzen. Es soll auf einer Erhebung der personenbezogenen Daten chinesischer Bürger beruhen, und als Rating-System gestaltet werden, das ihre „Ehrenhaftigkeit“ bewertet. Mehrere Pilotprojekte sollen derzeit schon existieren. Außerdem verwenden bereits manche große chinesische Unternehmen wie Alibaba eigene ähnliche Systeme zur Berechnung der Kreditwürdigkeit ihrer Kunden.

Das staatliche Projekt wird u.a. von dem chinesischen Softwareunternehmen Kingdee programmiert. Kingdee entwickelt die Plattformen, die von den Lokalregierungen zu Zwecken der Durchführung des Rating-Systems genutzt werden können. Die bereits beteiligten Behörden speichern über die Plattformen die personenbezogenen Daten, die sie online oder in staatlichen Registern über die Bürger sammeln konnten. Die eingesetzte Software bewertet sie anschließend mittels eines Algorithmus. Die chinesischen Machthaber planen dabei eine Bewertung der Bürger anhand von vier Hauptkriterien: Ihr Verhalten gegenüber der Verwaltung, ihre Einhaltung der Gesetze, ihre finanzielle Aktivität und ihr soziales Verhalten.

Diese Bewertung ermöglicht anschließend eine Belohnung oder Bestrafung der Betroffenen. Die Lokalregierungen, die das Sozialkreditsystem bereits eingeführt haben, verwenden eine Bewertungsskala mit den Noten A, B, C und D. Die unter A eingestuften Bürger werden in vieler Hinsichten bevorzugt behandelt: Sie erhalten leichter Visen, bekommen mehr Sozialleistungen, und ihre Kinder werden ggf. für Schulzulassungen privilegiert. Dagegen werden die „C- und D-Bürger“ bestraft: Sie dürfen teilweise keine Flug- oder Zugtickets mehr buchen, ihre Visa-Anträge werden abgelehnt, ihre Sozialleistungen werden gekürzt oder sogar gestrichen.

Dies besorgt vor allem Regierungskritiker, die eine noch weitere Einschränkung ihrer Meinungsfreiheit im Netz durch die Androhung dieser Strafen befürchten.

Hamburgischer Beauftragter für den Datenschutz setzt Recht auf Vergessenwerden durch

17. August 2017

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) konnte dieser Tage durchsetzen, dass die Google Inc. mehrere Internetangebote, auf denen personenbezogene Daten aus Insolvenzverfahren unzulässig veröffentlicht werden, generell nicht mehr als Suchergebnisse verlinkt.

Vorausgegangen waren zahlreiche Beschwerden von Bürgerinnen und Bürgern über die Auffindbarkeit ihrer Insolvenzdaten über die Google-Suchmaschine. Nach Einschätzung des HmbBfDI stellt die Auffindbarkeit von Informationen über die Insolvenzverfahren der Betroffenen bei bloßer Namenssuche einen erheblichen Eingriff in deren Recht auf informationelle Selbstbestimmung dar. Diese Informationspreisgabe könne erhebliche Auswirkungen auf die Teilnahme der Betroffenen am geschäftlichen Verkehr haben, zudem mangele es bei den Nutzern der Suchmaschine häufig am diesbezüglichen Informationsinteresse, wenn sie bei bloßer Namenssuche über die Suchmaschine Informationen aus Insolvenzverfahren erhalten.

Dazu äußerte sich der HmbBfDI, Prof. Dr. Johannes Caspar, erfreut: „In Fällen wie diesem (…) hat das Recht auf Vergessenwerden gegenüber Suchmaschinen eine besondere Bedeutung für die Betroffenen.“

Cyber-Attacken bei der Bundestagswahl

Aus dem letzten Verfassungsschutzbericht des Bundesamts für Verfassungsschutz geht hervor, dass das Risiko, Opfer von Cyber-Attacken ausländischer Dienste zu werden, stetig steigt. Dabei registriert der Verfassungsschutz unter anderem vermehrt auch Attacken auf die Politik und die Verwaltung. Bei früheren Cyber-Attacken auf verschiedene Parteien und den Bundestag ist es dabei bereits zu größeren Datenabflüssen gekommen.

Im Wahljahr gerät nun auch die im September 2017 anstehende Bundestagswahl in den Fokus. Die Möglichkeit gezielter Cyber-Attacken auf das Verwaltungsnetz sieht auch der Bundeswahlleiter Dieter Sarreither. Man bereite sich auf verschieden Szenarien vor und spiele diese durch. Um einen bestmöglichen Schutz zu gewährleisten sei die Infrastruktur des Rechenzentrums verdreifacht worden. Darüber hinaus sei man nach Sarreither auch in der Lage, die Standorte und die Rechner zu wechseln. Im Ernstfall könne man außerdem auch auf das Cyber-Abwehrzentrum der Bundesregierung zurückgreifen. Des Weiteren würde das Datennetz der Wahlleitung von Experten des Bundesamtes für Sicherheit in der Informationstechnik überprüft und auf mögliche Schwachstellen hin untersucht. Rund eine Woche vor der Bundestagswahl sollen schließlich noch einmal alle Systeme in einer ausführlichen Generalprobe getestet werden.

Aufgrund all dieser Sicherheitsmaßnahmen sieht sich Sarreither für die Bundestagswahl gut gewappnet: „Eine Attacke könnte die Veröffentlichung des vorläufigen Wahlergebnisses schlimmstenfalls verzögern“.

Facebook: Die eigenen Nutzerdaten sind nicht genug

16. August 2017

Getarnt als Sicherheits-App, analysiert Onavo Nutzerdaten für das Mutterunternehmen Facebook.

2013 hat Facebook das Unternehmen Onavo Inc. aufgekauft und sich dadurch einen Wettbewerbsvorteil eigener Art verschafft. Die Onavo Protect – App verspricht Sicherheit in WLAN – Hotspots oder anderen öffentlich zugänglichen Netzwerken wie zum Beispiel in Cafés oder in ICE-Zügen. Hacker-Angriffe oder sog. Sniffer-Programme können die verwendeten Apps, besuchte Internetseiten, Nachrichten oder teilweise sogar eingegebene Zugangsdaten des eingeloggten Nutzers ausspionieren.

VPN-Tunnel (virtual private networks) sind eine Möglichkeit sich davor durch eine verschlüsselte Verbindung zum Server zu schützen. Der VPN-Betreiber ist hierbei in der Lage alles einzusehen, was durch seinen VPN-Kanal durchgeht. In diesem Fall ist es die Onavo Inc., die die Daten der Nutzer sehr genau analysiert und die Ergebnisse an Facebook weiterleitet.

So kommt Facebook an Unmengen von Daten – auch von Nicht-Facebookmitgliedern – über das Verhalten von Nutzern von anderen Seiten oder Apps wie z.B Snapchat. Dadurch gewinnt Facebook frühzeitig Einblicke in neue Angebote oder Funktionen von anderen Anbietern und wie diese bei den Nutzern ankommen.

In den Nutzungsbedingungen der Onavo-App wird dies mit keinem Wort erwähnt, lediglich in der Datenschutzerklärung findet sich ein Hinweis auf die Datenübermittlung.

Kategorien: Allgemein
Schlagwörter: , ,

Studie: Für Pizza geben Studenten personenbezogene Daten gerne preis!

15. August 2017

Datenschutz hat für Studenten keinen hohen Stellenwert – zu diesem Ergebnis kamen Medienberichten zufolge Forscher der Universitäten Stanford und Cambridge.

Im Rahmen einer Studie wurde mehr als 3000 Studenten angeboten, die E-Mail-Adressen von drei Freunden gegen eine Pizza einzutauschen. Überraschend viele Befragte seien auf diese Angebot eingegangen. Bei den Antworten habe es keine Rolle gespielt, ob sich die Studenten vorher als eher unbesorgt im Umgang mit personenbezogenen Daten oder als vorsichtig bezeichnet hatten. Auch beim Geschlecht habe es keine Auffälligkeiten gegeben. Vielmehr habe die „Gier nach der Pizza“ die große Mehrheit zusammengeschweißt.

Datenvorratsspeicherung steht weiterhin zur Debatte

14. August 2017

Aus einem von der britischen Bürgerrechtsorganisation Statewatch veröffentlichten und als vertraulich eingestuften Papier der estnischen Präsidentschaft des EU-Ministerrates geht hervor, dass neue Wege gesucht werden, um zukünftig bereits bestehende Daten längerfristig für die Bekämpfung schwerer Straftaten speichern zu können.

Zuvor hatte der Europäische Gerichtshof bereits 2014 die EU-Richtlinie zur Datenvorratsspeicherung für mit der EU-Grundrechtecharta nicht vereinbar erklärt und diese Entscheidung im Jahr 2016 bestätigt. Auch das Bundesverfassungsgericht hat entschieden, dass die anlasslose Vorratsdatenspeicherung gegen die Grundrechte verstößt.

Aus dem Papier geht hervor, dass die Mitgliedsstaaten alle Möglichkeiten ausloten sollen, unter denen die Speicherung erhobener Verbindungsdaten möglich ist und welche mit der neuen ePrivacy Verordnung in Einklang stehen.

Insbesondere soll dabei geprüft werden, ob Behörden zur Bekämpfung von schweren Straftaten auf die von Providern und IT-Dienstleistern gespeicherten Daten zurückgreifen dürfen. Providern ist die Speicherung bestimmter Daten erlaubt, um beispielsweise gegen Betrugsfälle vorzugehen oder um sie zu Abrechnungszwecken zu nutzen. Auch die Möglichkeit eines Rückgriffs auf die von Messenger Diensten wie WhatsApp, die die Einwilligung ihrer Nutzer in die Speicherung derer Daten haben, soll erwogen werden.

Eine weitere Überlegung betrifft die Einführung eines Systems, über das die Rückgängigmachung bereits pseudonymisierter Daten möglich sein soll und die Überprüfung ob ein solches mit geltendem EU-Recht vereinbar wäre. Durch eine Pseudonymisierung könnte die Privatsphäre der betroffenen Personen grundsätzlich gewahrt werden und nur im Ermittlungsfall die Daten de-pseudonymisiert werden.

Es bleibt abzuwarten, wie sich das Thema weiterentwickelt. Die Mitgliedsstaaten sollen ihre Vorschläge bis zum 04. September 2017 einreichen. Jedoch bestehen angesichts der Grundsatzurteile des EuGH hohe Anforderungen hinsichtlich datenschutzrechtlicher Gesichtspunkte, die es bei der Umsetzung zu beachten gäbe.

GFF reicht Verfassungsbeschwerde gegen das Bayerische Verfassungsschutzgesetz ein

11. August 2017

Die Gesellschaft für Freiheitsrechte e.V. (GFF) hat letzte Woche eine Verfassungsbeschwerde gegen das neue Bayerische Verfassungsschutzgesetz eingereicht.

In der am 2. August 2017 veröffentlichten Pressemitteilung begründete die GFF ihre Klage durch die Hervorhebung „uferloser Befugnisse des Bayerischen Inlandsgeheimdienstes“.

Das umstrittene Gesetz ist am 1. August 2016 in Kraft getreten und erlaubt dem bayerischen Landesamt für Verfassungsschutz auf die Vorratsdatenspeicherung zuzugreifen, ein Zugriffsrecht das von der GFF in ihrer Pressemitteilung als „unkontrolliert“ bezeichnet wurde. Es ermöglicht des Weiteren die Anordnung von Online-Durchsuchungen mittels „Staatstrojaner“ gegen bloße Kontakt- und Begleitpersonen. Die GFF sieht darin einen Grundrechtseingriff. Auch bemängelt die GFF fehlende Kontrollen der Überwachungstätigkeit der bayerischen Geheimdienste durch unabhängige Stellen.

BAG Urteil zum Beschäftigtendatenschutz

Das Bundesarbeitsgericht (BAG) hat kürzlich ein mit Spannung erwartetes Urteil (Az.: 2 AZR 681/16) zum Beschäftigtendatenschutz gefällt.

Das BAG musste sich mit der Kündigung eines Web-Entwicklers befassen, dem wegen eines vermuteten Arbeitszeitbetrugs durch seinen Arbeitgeber gekündigt wurde.

Die Vermutung beruhte auf einer Keylogger-Software die auf dem Dienst-PC des Gekündigten installiert war und dauerhaft sämtliche Tastatureingaben aufzeichnete und in regelmäßigen Abständen Screenshots von dem Bildschirm gemacht hat. Dadurch kam nach einer Auswertung der erstellten Daten der Verdacht auf, ein Gespräch mit dem Arbeitnehmer folgte und bestätigte die Daten. Daraufhin wurde der Web-Entwickler außerordentlich fristlos, hilfsweise ordentlich gekündigt.

Gegen die auf dieser Grundlage ausgesprochene Kündigung ging der Arbeitnehmer vor Gericht. In dem Kündigungsschutzverfahren konnte der Arbeitgeber die Pflichtverletzung des Arbeitszeitbetrugs dann allerdings nicht mehr nachweisen. Das BAG erklärte die aufgezeichneten Daten von der Keylogger-Software, wegen Verstoßes gegen das Datenschutzrecht, für unverwertbar. Es liegt ein Verstoß gegen § 32 Bundesdatenschutzgesetz (BDSG) vor. Die Software wurde ohne Verdacht auf Arbeitszeitbetrug ins Blaue hinein auf dem PC des Arbeitnehmers installiert.

Das BAG bestätigt damit die vorinstanzlichen Entscheidungen. Datenschutzwidrige Beweise sind vor den Gerichten nicht verwertbar.

Grundsätzlich lässt sich festhalten, dass der Einsatz einer solchen Keylogger-Software nicht illegal ist, allerdings braucht es zumindest bereits einen begründeten Verdacht einer Straftat oder sonstigen schwerwiegenden Pflichtverletzung. Somit ist die Verwendung nur in Ausnahmefällen datenschutzrechtlich unbedenklich.

Passwort-Vorgaben im Unternehmen: Der Vorreiter bereut sein Werk

Bill Burr ist 72 Jahre alt, mittlerweile im Ruhestand und arbeitete beim National Institute of Standards and Technology, das unter anderem für Technlogiestandards zuständig ist. Er ist auch derjenige, der die Vorgaben für Passwörter verfasst hat, die mehr als ein Jahrzent als das Nonplusultra galten. Im Rahmen seines 2008 verfassten Dokumentes „NIST Special Publication 800-63. Appendix A“ empfahl er, welche Passwort-Richtlinien Behörden, Unternehmen und Webseitenbetreiber für ihre Nutzer und Mitarbeiter einführen sollten.

Konkret regte Burr an, dass Passwörter alle 90 Tage gewechselt werden sowie stets nicht nur kleine und große Buchstaben, sondern auch eine Nummer und ein Sonderzeichen enthalten sollten. Der Schutz, der durch solche Maßnahmen tatsächlich erreicht wird, ist allerdings schon seit längerem fraglich. So schätzte Microsoft-Analyst Cornac Herley schon vor Jahren, dass die Pflicht, das Passwort in regelmäßigen Abständen zu wechseln, mehr koste als eventuelle Angriffe von IT-Kriminellen, vor denen der Wechsel des Kennwortes schützen soll. Auch die Varation zwischen normalen Buchstaben, Zahlen und Sonderzeichen bringt oftmals nicht den gewünschten Effekt der höheren Sicherheit, da Nutzer in vielen Fällen einfach nur einen Begriff variieren und die einzelnen Buchstaben eines Wortes mit Sonderzeichen – wie etwa dem „$“ für ein „S“ – ersetzen. Algorithmen, die dafür genutzt werden, Passwörter erraten zu können, können diese Varationen leicht erraten.

Wie Burr in einem Interview mit dem Wall Street Journal erklärte, bereue er seine Empfehlungen mittlerweile: „Vieles von dem, was ich getan habe, bereue ich.“ Sein Problem war vor allem, dass 2003 der Kenntnisstand über den effektiven Schutz von Passwörtern sehr gering war und er sich daher laut seinen Angaben im Interview auf ein Paper aus den 1980er Jahren stützte. Einem Jahrzent, in dem nur Wenige überhaupt ein Computerpasswort benutzten.

Nicht nur deswegen hat der NIST in diesem Sommer Burrs Empfehlungen komplett überarbeitet. Dabei konnten sie auf die Auswertung von einer Vielzahl von Passwörtern zurückgreifen, die Hacker in den letzten Jahren nach Angriffen auf beliebte Webseiten geknackt und ins Netz gestellt hatten. Dies half dem NIST, zu verstehen, wie Nutzer ihre Kennwörter auswählen und wie leicht sie für Hacker zu knacken sind. Nach Ansicht des NIST empfiehlt es sich daher, Passwörter aus möglichst mehreren Wörter zu bilden, sodass ein langes Passwort entsteht. Die Nutzung von Sonderzeichen und Zahlen ist dabei nicht mehr erforderlich.

Höchstmögliches Bußgeld wegen unerlaubter Telefonwerbung

9. August 2017

Nachdem sich bei der Bundesnetzagentur rund 2.500 Verbraucher über Werbeanrufe der Energy2day GmbH  über rechtswidrige Werbeanrufe für Energielieferverträge beschwert hatten, verhängte die Behörde in der vergangenen Woche ein Bußgeld in Höhe von 300.00 Euro gegenüber dem Unternehmen. Dies ist das nach Gesetz gegen den Unlauteren Wettbewerb (UWG) höchstmögliche Bußgeld.

Energy2day hatte sich in den Anrufen als örtlicher Energieversorger ausgegeben oder behauptet, es würde mit diesem zusammenarbeiten. Ziel war es, die Verbraucher zum Wechsel ihres Stromlieferanten zu bewegen. Das Unternehmen hatte dazu in der Vergangenheit eine komplexe Vertriebsstruktur aufgebaut und mit einer Vielzahl an Untervertriebspartnern u.a. auch im Ausland zusammengearbeitet, die als Subunternehmer derartige Anrufe getätigt haben.

Inwiefern Energy2day ihrer Aussage nachkommt, kein Telefonmarketing gegenüber Verbrauchern mehr betreiben zu wollen, wird die Bundesnetzagentur beobachten.

1 2 3 146