Harvard-Student experimentiert – und stalkt seine Freunde via Facebook Messenger

29. Mai 2015

„When I came to college Facebook Messenger became an integral part of my digital life. I quickly found that it was the easiest way to keep in touch with old high school friends, contact people I had just met, organize impromptu poker games with people I hardly knew, and everything in between“. Diese Aussage eines Havard-Studenten spiegelt wohl die allgemeine Verwendungsweise der App Facebook Messenger – vor allem unter jüngeren Anwendern – wider. Was der Informatikstudent dann aber auch herausgefunden hat, schildert er in seinem Blog auf der Plattform Medium.com.

Wie auch die FAZ-Online berichtet, gelang es ihm im Rahmen eines Experiments, umfangreiche Profile seiner Kommilitonen allein durch die Auswertung der Standortangeben der Chat-Teilnehmer zu erstellen. Diese regelmäßig voreingestellte Funktion teilt anderen Gesprächspartnern permanent den jeweiligen Aufenthaltsort mit. Anhand dieser Daten gelang es dem angehenden Informatiker u.a. herauszufinden, in welchem Zimmer auf dem Campus der Universität diese wohnten und welche Kurse sie besuchten. Dazu konnten weitreichende Bewegungsprofile kartenartig erstellt werden.

Ob man diese Funktion aktiviert lassen sollte, kann man da schon mal überdenken. Eine Anleitung zur Deaktivierung findet sich hier.

Der Student hat übrigens gerade eine Praktikumszusage bekommen. Von Facebook.

Peter Schaar als UN-Sonderberichterstatter für Datenschutz

27. Mai 2015

Ende März dieses Jahres hat der Menschenrechtsrat der Vereinten Nationen eine Resolution angenommen, die die Ernennung eines in seiner Amtsausführung unabhängigen Sonderberichterstatters für das Recht auf Privatheit vorsieht. Dieser soll einen jährlichen Bericht verfassen und darin unter anderem über Verstöße gegen das Recht auf Privatheit berichten, das in der Allgemeinen Erklärung der Menschenrechte und im Internationalen Pakts über Bürgerliche und Politische Rechte der Vereinten Nationen (UN-Zivilpakt) verbrieft ist. Außerdem soll der Sonderberichterstatter die internationale Debatte zu Fragen des Rechts auf Privatsphäre begleiten.

Medienberichten zufolge befindet sich unter den Bewerbern für den Posten des Sonderberichterstatters auch der vormalige Bundesbeauftragte für den Datenschutz Peter Schaar. Im Juni sollen die Wahlen für diesen Posten stattfinden.

Android-Handys: Gelöschte Daten wieder herstellbar

25. Mai 2015

Wie eine Studie der Camebridge University jetzt ergab, können sich Nutzer älterer Android-Handys nicht auf die sog. Factory Reset Funktion verlassen und davon ausgehen, dass sich ihr Gerät nach Durchführen dieser Funktion wieder im ursprünglichen Werkszustand befindet. Den Forschern zufolge wird der Löschvorgang nur unvollständig durchgeführt, persönliche Login-Angaben und andere personenbezogene Daten, inklusive Textnachrichten und Fotos sowie Kontaktdaten für Facebook und WhatsApp, werden nicht vollständig entfernt.

Darüber hinaus konnten auch Tokens von Google-Diensten wieder hergestellt werden, es konnte also eine Art Hauptschlüssel extrahiert werden und so etwa Zugriff auf Gmail und den Google-Kalender der ehemaligen Nutzer genommen werden.

Den Schätzungen der Wissenschaftler zufolge können rund 500 Million Geräte der Versionen Android 4.3 und älter betroffen sein. Eine vollständige Datenverschlüsselung kann helfen, das Problem jedenfalls abzumildern.

Luxemburgische Regierung erstattet Anzeige in BND-Spähaffäre

21. Mai 2015

Die Praktiken der BND-NSA-Späh-Affäre hat nun die Regierung Luxemburgs dazu bewogen, Anzeige gegen Unbekannt zu stellen. Zuvor hatte der Abgeordenete des österreichischen Parlaments Peter Pilz auf seiner Facebookseite ein Schreiben der deutschen Telekom veröffentlicht, in der vier Transitleitungen zu Überwachungszwecken offen gelegt worden waren. Da in diesen Luxemburg als Zielstaat offenbart wurde, sah sich die Regierung des Nachbaarstaates dazu veranlasst juristisch gegen die unbekannten Verantwortlichen vorzugehen. “Deutsche Sicherheitskreise” wiesen die Vorwürfe zurück, mit der Erklärung, dass Anfangs- und Endpunkte einer angezapften Strecke nichts über Anfang und Ende der durchgeleiteten Telekommunikationsverbindungen verrieten.

Klinikträger muss Privatanschrift eines Arztes nicht herausgeben

In einem Urteil von Anfang diesen Jahres hat der BGH geurteilt (vgl. BGH vom 20.01.2015 VI ZR 137/14), dass ein Klinikträger die Privatanschrift eines bei ihm beschäftigten Arztes nicht herausgeben muss.

Grundlage dieser Entscheidung war, dass der Kläger, ein Patient im Krankenhaus des beklagten Klinikträgers, beabsichtigte, den Klinikträger sowie einen bei diesem angestellten Arzt auf Schadensersatz und Schmerzensgeld wegen eines Behandlungsfehlers zu verklagen.

Um die Klage dem Arzt zuzustellen, forderte der Kläger den Klinikträger auf, ihm die Privatanschrift des Arztes zu nennen. Dies verweigerte der Beklagte. Daraufhin verklagte der Kläger den Klinikträger auf Auskunft.

Nachdem die Klage den Instanzenzug durchlief, urteilte der BGH schließlich, dass ein solcher Auskunftsanspruch nicht besteht.

Die Anspruchsgrundlage für den Auskunftsanspruch des Patienten gegen den Klinikträger ergibt sich aus den Grundsätzen von Treu und Glauben, § 242 BGB. Danach ist derjenige zur Auskunft verpflichtet, der in zumutbarer Weise Auskünfte beschaffen kann und der Anspruchsteller diese Auskünfte zur Vorbereitung oder Durchführung seines Rechts nicht selber beschaffen kann.

Die Privatanschrift des Arztes ist hier jedoch nicht zur Vorbereitung oder Durchführung der Rechte des klagenden Patienten notwendig, so der BGH in seiner Urteilsbegründung.

Zunächst ist für eine wirksame Zustellung einer Klage nicht erforderlich, dass die Klageschrift dem Beklagten an dessen Privatanschrift zugestellt wird. Daneben stehen auch datenschutzrechtliche Grundsätze der Weitergabe der Privatadresse entgegen.

Gemäß § 32 BDSG durfte der Klinikträger als Arbeitgeber des Arztes dessen Privatanschrift – ein personenbezogenes Datum – zur Durchführung des Beschäftigungsverhältnisses erheben und nutzen. In diesem Umfang ist eine Datenverarbeitung der Privatanschrift zulässig. Die Weitergabe der Privatanschrift ist von dem Zweck der Durchführung des Beschäftigungsverhältnisses jedoch nicht mehr gedeckt. Die Auskunft an den klagenden Patienten würde mithin gegen den im Datenschutzrecht geltenden Zweckbindungsgrundsatz verstoßen. Dieser besagt, dass Daten nur für den vorweg festgelegten Zweck verarbeitet werden dürfen.

Da die Weitergabe zum Zwecke der Rechtsverfolgung nicht mehr in den Umfang der Durchführung des Beschäftigungsverhältnisses fällt, kann der Klinikträger auch nicht zur Weitergabe verpflichtet werden. Auch die Voraussetzungen einer nachträglichen Zweckänderung der Datenverarbeitung waren im vorliegenden Fall nicht gegeben.

In diesem Fall überwog das Interesse des Arztes an seiner Privatsphäre dem Auskunftsersuchen des Patienten. Dieser kann seine Klage dem Arzt allerdings auch wirksam an dessen Arbeitsplatz zustellen und nicht zwingend an dessen Privatanschrift.

Vorratsdatenspeicherung: Gesetz soll nun im Eilverfahren verabschiedet werden!

18. Mai 2015

Am 15. April 2015 stellten Bundesjustizminister Heiko Maas und Innenminister Thomas de Maizère erst die Leitlinien zum neuen Gesetz zur Vorratsdatenspeicherung vor. Seit dem wird im Eiltempo an einem Gesetzesentwurf gearbeitet. Der in diesem Zusammenhang am 15. Mai 2015 auf netzpolitik.org  veröffentlichte Referentenentwurf zeigt nun, dass das Bundesjustizministerium noch weit über die bisherigen Leitlinien hinausgehen möchte. Dem Entwurf ist zu entnehmen, dass Ermittler und andere auf die Gefahrenabwehr spezialisierten Behörden Verbindungs- und Standortdaten nicht nur abrufen dürfen, wenn sie Terrorismus bekämpfen oder höchstpersönliche Rechtsgüter schützen wollen, sondern ein Zugriff auch dann möglich sein soll, um beim Verdacht auf “mittels Telekommunikation begangene” Straftaten tätig werden zu können.

Zwar hatte das Bundesverfassungsgericht vor fünf Jahren in seinem Urteil das verdachtsunabhängige Protokollieren von Netzspuren mit der Begründung für unzulässig erklärt. Die Formulierung sei so ungenau, dass Polizei und auch Geheimdienste bei jedem Delikt im Netz in den Datenbeständen der Provider nachforschen dürften. Dem versucht das Bundesjustizministerium nun insofern entgegenzuwirken, als dass der Zugang zu den Informationen bei Internetstraftaten wie bei Urheberrechtsverstößen nur zulässig sein werde, wenn die Erforschung des Sachverhalts auf andere Weise aussichtslos wäre. Über im Internet begangene Straftaten hinaus, legt das Ministerium in einem neu gefassten § 100 g Abs. 2 StPO einen Straftatenkatalog fest, um ausufernden Datenabfragen entgegen zu wirken. Dieser scheint jedoch recht weit gefasst. So sieht er vor, dass sofern “bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder Teilnehmer einer […] besonders schweren Straftaten begangen hat oder in Fällen, in denen der Versuch strafbar ist, eine solche Straftat zu begehen versucht hat, und die Tat auch im Einzelfall besonders schwer wiegt, dürfen die […] gespeicherten Verkehrsdaten erhoben werden, soweit die Erforschung des Sachverhalts oder die Ermittlung des Aufenthaltsortes des Beschuldigten auf andere Weise wesentlich erschwert oder aussichtslos wäre und die Erhebung der Daten in einem angemessenen Verhältnis zur Bedeutung der Sache steht”. Als besonders schwere Straftaten in diesem Zusammenhang werden Delikte wie Mord und Totschlag, die Verbreitung, der Erwerb oder der Besitz von kinder- und jugendpornografischen Schriften oder Verstöße gegen das Betäubungsmittelgesetz qualifiziert.

Weitere Eckpunkte des Referentenentwurf sind beispielsweise ausdrückliche Regelungen zur Erhebung von Standortdaten – sofern dies zum Zwecke der Erforschung des Sachverhalts oder der Ermittlung des Aufenthaltsortes erforderlich ist –  zur Verhinderung der Erstellung von Bewegungsprofilen von unbescholtenen Bürgern (Profilbildung) oder zur Direktabfrage durch Gefahrenabwehrbehörden von Nutzerinformationen über die manuelle Bestandsdatenauskunft bei Providern ohne Richtergenehmigung (Adresserfassung).

Der Seite netzpolitik.org zufolge, solle binnen der nächsten zwei Wochen diese Gesetzesinitiative nun im Eilverfahren von der Bundesregierung in der Kabinettssitzung am 27. Mai 2015 beschlossen und anschließend im Juni erstmals im Bundestag beraten werden. Noch vor der Sommerpause solle das Verfahren zum Abschluss gebracht werden. Es bleibt angesichts der Eile der großen Koalition, der Mehrheitsverhältnisse im Bundestag und der von mehreren Seiten geäußerten heftigen Kritik abzuwarten, ob das nun neu angedachte Gesetz tatsächlich in Kraft treten wird. Auch eine erneute Prüfung durch das Bundesverfassungsgericht kann deshalb nicht ausgeschlossen werden.

 

22. Bericht des Landesdatenschutzbeauftragten NRW zu Datenschutz und Informationsfreiheit veröffentlicht

13. Mai 2015

Alle zwei Jahre legt der Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen den Datenschutz- und Informationsfreiheitsbericht vor. Der 22. Bericht, der den Zeitraum vom 1. Januar 2013 bis 31. Dezember 2014 berücksichtigt, ist heute vom Landesdatenschutzbeauftragten NRW, Ulrich Lepper, veröffentlicht worden.

In dem 156 Seiten starken Dokument setzt sich die Behörde mit zahlreichen Fragen des Datenschutzes auseinander, deren Problematik nicht nur Fachleute jüngst beschäftig hat und noch weiterhin beschäftigen wird, sondern auch in der breiten Masse intensiv und medial diskutiert wird und wurde.

Folgerichtig zieht der Bericht auch gleich zu Beginn Lehren aus den Snowden-Enthüllungen und warnt eindringlich vor einem zunehmenden Überwachungsstaat, der für die öffentliche Sicherheit Freiheitsrechte opfert. In diesem Kontext leitet der Bericht über zu den viel diskutierten Themen Vorratsdatenspeicherung, Funkzellenabfragen und öffentlicher wie privater Videoüberwachung, die auf öffentlichen Plätzen Lepper selbst kürzlich als „No-Go“ bezeichnete. Einer Diskussion zum novellierten Verfassungsschutzgesetz NRW schließt sich die generelle Frage nach der Datensicherheit in der öffentlichen Landesverwaltung an, welcher die Landesdatenschützer nicht zuletzt Versäumnisse im Datenschutz hinsichtlich der Nutzung von sozialen Medien für Bürgeranfragen vorwerfen.

Im Bereich neuer Entwicklungen im Dienstleistungs- und Warensektor stehen verhaltensbezogene Versicherungstarife am Beispiel von Kfz- und Krankenversicherungen, die nach vorteilhafter Bewertung von persönlichen Verhaltensdaten der Versicherungsnehmer günstigere Beiträge gewähren, ebenso in der Kritik der Landesdatenschützer wie automatische Funktionen in modernen Kraftfahrzeugen, bei denen personenbezogene Aussagen über das Fahrverhalten erhoben werden können, und zuletzt modernen „Smart-TVs“, welche Daten über die Mediennutzung des Rezipienten zu erheben und übermitteln in der Lage sind.

Auch dem europäischen Datenschutz wird ein eigenes Kapitel gewidmet. So wird die Entscheidung des Europäischen Gerichtshofs zu Internet-Suchmaschinen, nach der Bürger ein Recht auf Unsichtbarkeit haben, reflektiert. Wie schon im Bericht von 2013 wird insbesondere auch die immer noch ausstehende europäische Datenschutzreform, allem voran die EU-Grundverordnung, thematisiert. Auch die Düsseldorfer Behörde begegnet der EU-Initiative nach wie vor mit Skepsis.

Eine „Abfuhr“ für das herkömmliche System der Datenschutzkontrolle sieht Lepper durch die geplante Änderung des Unterlassungsklagegesetzes, wonach u.a. künftig auch Verbraucherschutzverbände bei Datenschutzverstößen durch Unternehmen Klagebefugnis erhalten sollen.

Wichtige Instrumente für Datenschutz in der Fläche sieht Lepper einerseits in freiwilligen Zertifizierungen von Unternehmen, welche die Behörde ausdrücklich begrüßt, aber auch in der Information und Aufklärung von Bürgern, die so für eigene Rechtewahrnehmung sensibilisiert werden.

Den vollständigen 22. Datenschutz- und Informationssicherheitsbericht des Landesdatenschutzbeauftragten des Landes Nordrhein-Westfalen finden Sie hier.

Europäische Strategien für den digitalen Binnenmarkt: Kommt die europäische Cloud?

Die EU-Kommission hat in der vergangenen Woche ein 16 Initiativen umfassendes Strategiepapier vorgestellt, mit denen den Veränderungen in der digitalen Welt Rechnung getragen und vor allem die Vorteile eines gemeinsamen Europäischen Marktes in Zukunft besser genutzt werden sollen.

Eine dieser Initiativen bezieht sich auf den Aufbau von eigenen, europäischen Cloud-Diensten. Es soll innerhalb dieser Maßnahme vor allem um die Zertifizierung von Cloud-Diensten, die Möglichkeit des schnellen Wechsels des Cloud-Diensteanbieters und um eine Forschungs-Cloud gehen. Bislang lohne sich die dezentraler Speicherung von Daten und Nutzung externer Rechenzentren in Europa noch nicht, weil der europäische Markt nach Ansicht der Kommission zu zersplittert sei. Dies liege beispielsweise in den abweichenden Datenschutzstandards in den EU-Mitgliedstaaten begründet. Wie einem dem Strategiepapier beigefügten Fahrplan zu entnehmen ist, ist die Umsetzung dieser “Initiative für einen freien Datenfluss” für das Jahr 2016 geplant.

Mit der Schaffung eines Gütesiegels für Cloud-Provider sollen zukünftig die Anbieter hervorgehoben werden, die in besonders hohem Maße bestimmte Sicherheitsstandards erfüllen.

Verbraucherschützer wollen gegen Facebook klagen

7. Mai 2015

Deutsche Verbraucherschützer beabsichtigen nach einstimmigen Medienberichten, den US-amerikanischen Marktführer im Bereich Social-Networks Facebook zu verklagen. Streitpunkt sind die von Facebook zuletzt in Kraft gesetzten neuen Nutzungregeln, die nach Ansicht der Datenschützer gegen nationales Recht verstoßen und somit die Nutzer des Netzwerks benachteiligen. Insbesondere die Auswertung von Nutzerdaten zur Verknüpfung von Werbung steht in der Kritik. Zuvor war von Facebook eine Unterlassungserklärung verlangt worden. Nachdem diese wie erwartet ausblieb, sehen die Verbraucherschützer den Weg vor die ordentlichen Gerichte als zwingende Notwendigkeit an. Verbraucherschutzminister Heiko Maas befürwortet die Pläne und sieht die Kritik an Facebook als berechtigt an.

Kategorien: Online-Datenschutz · Social Media
Schlagwörter: ,

USA: Weiterer Schritt Richtung Totalüberwachung

Wie Medien berichten, will das US-Ministerium für Heimatschutz sämtliche Kfz-Kennzeichen in den USA überwachen lassen.

Um dies zu ermöglichen, hat das Ministerium in einer Art Ausschreibung um konkrete Angebote von privaten Firmen gebeten, die technisch und logistisch in der Lage sind, täglich Millionen von Kennzeichen zu scannen und die Daten zu speichern. Das Ministerium erwägt, Lizenzen für rund 3.000 Rechner zu erwerben, von denen auf die erfassten Daten überall im Land zugegriffen werden kann. Wie heise online mitteilt, sollen die privaten Überwachungsfirmen die erfassten Daten nahezu ohne Löschungsfristen, also für immer, speichern dürfen. Wenige Ausnahmen beschränken sich auf Daten im Zusammenhang mit Straftaten. Hier sollen die Daten „nur“ bis zur Verjährung der Tat gespeichert werden dürfen. Bei anderen, nicht näher beschriebenen, „Untersuchungen“ solle die Vorhaltefrist fünf Jahre betragen dürfen.

Eine Rechtfertigung für ein solch umfangreiches Vorgehen und tiefes Eingreifen in die Privatsphäre seiner Bürger sieht die Behörde in der – jedenfalls in den USA scheinbar stets greifenden – Bedrohung der nationalen Sicherheit. Natürlich verfolgt das Ministerium ausschließlich Zwecke zum Vorgehen gegen Waffenschmuggel, Drogenschmuggel und illegale Einwanderung. Aber auch Kinderpornographie, Kindermissbrauch, Betrug und Finanzverbrechen – also eigentlich nahezu alle Verbrechen – sollen durch das Erfassen, Speichern und Auswerten von Fahrzeugdaten bekämpft und eingedämmt werden, wie heise online weiter mitteilt.

Nachrichten wie diese werfen die Frage auf, ob es in den USA denn überhaupt keine Interessenabwägungen gibt und ob der Zweck wirklich alle Mittel heiligt.

1 2 3 107