Ermittlungsverfahren gegen Blogger von Netzpolitik.org wegen Landesverrat gestoppt

31. Juli 2015

Einem Bericht der Frankfurter Allgemeine Zeitung (FAZ) zufolge, wird der Generalsbundesanwalt Harald Range die Ermittlungen gegen zwei Journalisten und Blogger von Netzpolitik.org vorerst ruhen lassen. Range teilte der FAZ mit, dass er „mit Blick auf das hohe Gut der Presse- und Meinungsfreiheit“ von nach der Strafprozessordnung möglichen Exekutivemaßnahmen absehen werde. Es müsse zunächst ein externes Sachverständigengutachten eingeholt werden, um die Frage zu klären, ob es sich bei den Veröffentlichungen um die Bekanntgabe eines Staatsgeheimnisses handele. Dies hätte nur in einem förmlichen Ermittlungsverfahren eingeholt werden können. Bis zum Erhalt dieses Gutachtens sollen keine weiteren Schritte eingeleitet werden.

Am Donnerstagabend war bekannt geworden, dass ein Ermittlungsverfahren gegen die Blogger Markus Beckedahl und Andre Meister von Netzpolitik.org wegen des Verdachts auf Landesverrat eingeleitet worden war. Grund für die Einleitung dieses Ermittlungsverfahrens war das Bekanntwerden eines als geheim eingestuften Budjetplans für das Bundesamt für Verfassungsschutz, den Netzpolitik.org vollständig veröffentlicht und in zwei unterschiedlichen Artikeln erläuert hat. Das vertrauliche Dokument beinhaltete insbesondere das Budjet, welches dem Verfassungsschutz für Massendatenerfassungen in sozialen Netzwerken zur Verfügung steht. Einem Bericht der Süddeutsche Zeitung zufolge, stellte Georg Maaßen, Chef des Verfassungsschutzes, nach der Veröffentlichung Strafanzeige beim Landeskriminalamt in Berlin. Dieses habe den Fall an die Bundesanwaltschaft übergeben.

Die Einleitung des Ermittlungsverfahrens durch den Generalbundesanwalt habe in den sozialen Medien zu einer Solidaritätswelle geführt. Viele Nutzer in den sozialen Netzwerken würden den Blog unterstützen, so die FAZ. Des weiteren schreibt die Zeitung, dass auch in der Politik heftige Kritik zu dem Vorgehen des Generalbundesanwalts geäußert worden sei. Der stellvertretende Bundesvorsitzende der FDP, Wolfgang Kubicki, sehe beispielsweise in den Ermittlungen einen Angriff auf den Rechtsstaat. Gleichzeitig habe er aber auch seine Empörung darüber geäußert, dass gegen das massenhafte Ausspähen der NSA nicht vorgegangen werde.

Hamburgischer Datenschutzbeauftragter geht gegen Facebook vor

30. Juli 2015

Erneut gerät das Soziale Netzwerk Facebook in das Visier von Datenschützern. In Kritik gerät Facebook diesmal wegen der Sperrung eines Nutzerkontos. Eine Nutzerin von Facebook hatte ihr Nutzerprofil unter einem Pseudonym eingerichtet, um unter ihrem bürgerlichen Namen nicht gefunden zu werden, wie der Der Hamburgische Datenschutzbeauftragte: Profilnamen bei Facebook frei wählbar mitteilt.
Facebook veranlasste die Sperrung des Nutzerkontos und forderte die Nutzerin auf, ihren richtigen Namen in ihrem Profil anzugeben. Ihre wahre Identität sollte die Nutzerin mit einem amtlichen Lichtbild nachweisen. Darüber hinaus änderte Facebook den Profilnamen der Nutzerin in deren richtigen Namen und forderte die Nutzerin auf dieser Änderung zuzustimmen, um das Konto wieder freizuschalten. Dieses Vorgehen von Facebook veranlasste die Nutzerin dazu die Aufsichtsbehörde einzuschalten.
Der zuständige hamburgische Beauftragte für den Datenschutz und Informationsfreiheit, Prof. Caspar, hat inzwischen eine Anordnung gegen Facebook erlassen, in der Facebook dazu verpflichtet wird, die anonyme Nutzung seines Dienstes zuzulassen. Sowohl die Verwehrung der Möglichkeit ein Profil unter einem Pseudonym zu führen als auch die Aufforderung, sich digital mit einem amtlichen Lichtbildausweis zu identifizieren, verstoße gegen geltendes Recht.
Gemäß § 13 Abs. 6 Telemediengesetz  sind Diensteanbieter wie Facebook dazu verpflichtet, ihren Nutzern die Nutzung ihrer Dienste entweder anonym oder unter einem Pseudonym zu ermöglichen. Dieser Verpflichtung kommt Facebook im vorliegenden Falle jedoch nicht nach.
Ein weiterer Gesetzesverstoß stellt die Aufforderung der Identifizierung mit einem amtlichen Lichtbildausweis dar. Die Erhebung und Nutzung der Daten des Personalausweises darf gemäß § 14 Personalausweisgesetz nur unter bestimmten Voraussetzungen verlangt werden. Die elektronische Identifizierungsfunktion des Personalausweises darf aus Gründen der Datensicherheit nur unter Verwendung eines gültigen Berechtigungszertifikats von dem Diensteanbieter eingesetzt werden.
Auch die Änderung des Namens der Nutzerin von dem Pseudonym in ihren richtigen Namen stellt einen Gesetzesverstoß. Das Grundgesetz garantiert – abgeleitet aus der Würde des Menschen und dem allgemeinen Persönlichkeitsrecht – das Recht auf informationelle Selbstbestimmung. Dieses Grundrecht wird im Bundesdatenschutzgesetz konkretisiert. Danach hat jeder Einzelne das Recht frei zu entscheiden, ob, wann, in welchem Umfang und wem gegenüber er seine personenbezogenen Daten veröffentlicht.
Wie Facebook auf die Anordnung des Hamburgischen Datenschutzbeauftragten reagiert, bleibt abzuwarten.

Gesundheits-Apps unter Studierenden: Leistungsoptimierung geht über Datenschutz

24. Juli 2015

Im Rahmen eines deutschlandweiten Forschungsprojekts der Universität Bielefeld zur Techniknutzung im Gesundheitssektor, für welches 675 Studierende befragt wurden, bestätigt sich nicht nur, dass das Angebot an Gesundheits-und Fitness-Apps für Smartphone und Smartwatch immer umfangreicher wird, sondern auch, dass die Nutzung in Kreisen der Entscheider von morgen schon längst im Alltag angekommen ist.

Was aus Perspektive der Datenschützer erst mal positiv klingt: Wie die Universität bestätigt, ist die Sensibilität für das Thema Datenschutz unter den Studierenden durchaus vorhanden. Ernüchternd aber: In Zeiten der Selbst- und Leistungsoptimierung fällt die Abwägung der Studierenden zwischen dem Nutzwert dieser Anwendungen und den (berechtigten) Datenschutzbedenken regelmäßig pro Nutzung der Apps aus – und damit pro Preisgabe zahlreicher sensibler Gesundheitsdaten, von denen Versicherer und andere potentielle Interessenten sonst nur hätten träumen können.

„Gerade mit Blick auf Risiken wie den Datenmissbrauch zeigt sich hier ein bemerkenswerter Verdrängungsprozess, der allerdings auch damit einhergeht, dass das bisherige Wissen der Nutzerinnen und Nutzer zu gering ist, zitiert die Universität den Gesundheitswissenschaftler Christoph Dockweiler. „Gerade mal jeder Dritte fühlt sich ausreichend informiert über die potenziellen Risiken der Nutzung“.

Unter 675 Befragten gab mehr als ein Drittel der befragten Studentinnen und Studenten an, täglich Gesundheits- oder Medizin-Apps zu nutzen. Mehr als zwei Drittel dieser Gruppe nutzt dabei Apps zur Gesundheitsüberwachung, beispielsweise hinsichtlich Bewegungspensum oder Schlafverhalten. Immerhin die Hälfte der Befragten nutzt Sport-Apps, welche zurückgelegte Lauf- oder Radstrecken speichern, und dabei auch die Herzfrequenz und den Kalorienverbrauch messen. Ziel dieser Nutzungen ist demnach neben der eigenen Gesundheitskontrolle gerade die Steigerung der individuellen Leistungsfähigkeit – nicht nur ein Nebenaspekt in einer Zeit, in der sich junge Akademiker immer komplexeren Anforderungen ausgesetzt sehen und schon in frühen Semestern um ihre Credits bemüht sein müssen. Der allgemeine Fitnesstrend trägt den Rest dazu bei, einen digitalen Geschäftszweig zu nähren, der nur eines zum Ziel hat: den massenhaften Ertrag von aussagekräftigen personenbezogenen Daten.

Es braucht nicht viel Fantasie um zu erahnen, welche Möglichkeiten und welches Missbrauchspotential diese Datensätze den Interessenten aus der Wirtschaft offerieren – nicht zuletzt im Zeitalter der Big-Data-Technologie, dessen Beginn wir gerade erst erleben.

Facebooks Ausweiskontrolle

23. Juli 2015

Ausweis zeigen oder Profil wird gesperrt. Klingt hart, aber in etwa so kann man Facebooks radikales Vorgehen auf den Punkt bringen. Wie chip online mitteilt, sollen Profile in dem sozialen Netzwerk nur noch echte Namen beinhalten. Stimmt der im Profil angegebene Name nicht mit dem echten Namen des Profilinhabers überein, wird der Account gesperrt.

In den AGB von Facebook ist bereits seit längerer Zeit ein Passus enthalten, der die Nutzer dazu auffordert, ihre wahren Daten anzugeben. Neu ist nun, dass die Betreiber des Netzwerks verstärkt nach falschen Profilen fahnden und diese bei Verdacht sperrt. Der Nutzer kann die Sperre aufheben, indem er eine Kopie seines Personalausweises vorlegt, um die Echtheit seiner Daten zu bestätigen, schreibt chip online weiter. Hat der Nutzer tatsächlich unrichtige Daten angegeben, kann er diese nach Aufhebung der Sperrung in seinem Account berichtigen. Da in den AGB vorgeschrieben ist, dass nur echte Daten verwendet werden dürfen, ist das Vorgehen von Facebook, Profile zu sperren, durchaus legal.

Was viele Nutzer, die eine Sperrung aufheben wollen jedoch nicht wissen: Das Kopieren und Weitergeben des Personalausweises ist nach dem Personalausweisgesetz nicht erlaubt. Nicht nur was die Authentisierung bei Facebook betrifft, auch das oft praktizierte Kopieren oder Einscannen des Ausweises zum Beispiel in oder für Personalakten oder das Hinterlegen des Ausweises als Pfand ist nach dem Gesetz nicht erlaubt. Dies ist natürlich ganz im Sinne des Schutzes persönlicher Daten.

Facebook gibt sich allerdings auch mit alternativen Authentifizierungen zufrieden. So kann, um eine Sperrung des Accounts aufzuheben, auch ein anderes nicht amtliches Dokument wie beispielsweise ein Bibliotheksausweis oder eine Stromrechnung eingereicht werden, heißt es bei chip online weiter. Dringend davon abzuraten ist, solche Dokumente zu fälschen, um das eigene Profil wieder freigeschaltet zu bekommen. Denn in diesem Fall kann unter Umständen der Tatbestand der Urkundenfälschung erfüllt sein.

Auch wenn das Vorgehen von Facebook – konkret das Sperren von Accounts wegen falscher Identität – nicht gegen geltendes Recht verstößt, so ist dies doch tief in einem deutlich größeren Kontext verwurzelt, nämlich in dem Thema Schutz der persönlichen Daten und Anonymität im Internet. Ohne Frage ist es sinnvoll zum Schutz des Geschäfts- und Rechtsverkehrs im Internet echte Daten anzugeben, zum Beispiel bei rechtsverbindlichen Online-Käufen und ähnlichem. So schreiben es auch diverse Gesetze vor. Wie aber verhält es sich in Fällen, in denen niemand zu Schaden kommt? Soziale Netzwerke wie Facebook sind frei verfügbar und werden jedermann kostenlos zugänglich angeboten. Auf der anderen Seite ist unlängst bekannt, dass Internetgiganten – besonders jene, aus den datenschutzschwachen USA – über erschreckende Möglichkeiten verfügen, allgemeine und personenbezogene Daten ihrer Nutzer zu sammeln, zu speichern, zu verarbeiten und – dies darf zumindest vermutet werden – weiterzugeben. Umfängliche Profile können auf diese Weise erstellt werden, um zum Beispiel individuelle Werbung zu generieren oder digitale Verbindungen zum Privatleben zu erstellen.

Nicknames erlauben jedenfalls eine gewisse Pseudonymität. Man kann unterstellen, dass die allermeisten Verwender von Nicknames diese nicht für schädigende Handlungen im Netz verwenden. Den meisten ist wohl eher daran gelegen, sich ein klein wenig Anonymität zu verschaffen und während eines Bewerbungsverfahrens vom potentiellen neuen Arbeitgeber nicht auf Anhieb durch wenige Klicks „gefunden“ zu werden. Die Diskussion zur Anonymität im Internet ist alt. 2011 äußerte sich die Internetforscherin Danah Boyd im Spiegel ablehnend zu einem Klarnamenzwang im Internet, weil sie dadurch einen „Schaden für die Kultur im Netz“ befürchte. Nicht nur von datenschutzrechtlicher Seite stellt sich daher die Frage: Warum drängt das weltweit größte soziale Netzwerk darauf, dass seine Mitglieder ausschließlich wahre personenbezogene Daten angeben? Erlaubt seien diverse Vermutungen auf diese Frage, angesichts der anhaltenden Berichterstattung zu den oft eigentümlichen Vorgehensweisen von Facebook. Was bleibt, ist die alte Erkenntnis: Jeder muss für sich selber abwägen, Mitglied in einer der beliebtesten Community der Welt zu sein, oder seine persönlichen Daten nicht preiszugeben.

Aus 1000 km Entfernung den Scheibenwischer aktivieren oder gleich den Motor ausschalten – Datensicherheit in modernen PKWs

22. Juli 2015

Den white-hat Hackern Charlie Miller und Chris Valasek, die bereits im letzten Jahr mit PKW-Hacks auf sich aufmerksam gemacht haben, ist es gelungen, einen Jeep Cherokee kabellos und ohne Kontakt zum Auto, aus großer Ferne zu hacken. Zunutze machten sich die beiden dabei das sogennante Uconnect System von Jeep, durch welches das Infotainment gesteuert wird. Da über dieses auch ein WLAN-Hotspot eingerichtet werden kann, verfügt das System über eine IP-Adresse, durch welche eine Online-Zugriffsmöglichkeit vorhanden ist. Den beiden „guten“ Hackern gelang es durch eine Sicherheitslücke im System auch auf die Fahrzeugsteuerung zuzugreifen. Damit konnten sie aus beinahe 1000 km Entfernung die Scheibenwischer ihres Cherokee aktivieren. Auch ein Zugriff auf Sitzheizung und andere elektronische Systeme war möglich – bis hin zum Ausschalten des Motors bei voller Fahrt.

Im Selbstversuch schlug dem Journalisten Andy Greenberg während der Fahrt plötzlich laute Heavy-Metal Musik entgegen und andere elektronische Systeme aktivierten sich wie von Geisterhand. Dann wurde sein Wagen komplett lahmgelegt, das Gaspedal funktionierte nicht mehr. Er beschreibt seine Machtlosigkeit, als ihm die Kontrolle über den Wagen entrissen wurde. Während er auf der Interstate fuhr, saßen die Hacker in 15 km Entfernung in Keller von Charlie Miller, einem ehemaligen Apple-Programmierer, und hatten ihren Spaß mit dem eingeweihten Opfer.

Charlie Miller und Chris Valasek haben es sich zur Aufgabe gemacht, Sicherheitslücken in modernen PKWs ausfindig zu machen und die Industrie zu warnen. Die genaue Schwachstelle im System wollen sie erst noch bekannt geben. Klar scheint allerdings zu sein, dass sie Zugriff auf den CAN-Bus hatten, durch den auch mechanische Komponenten des Autos gesteuert werden.

Neben grundsätzlichen Fragen zur Sicherheit stellt sich in diesem Zusammenhang auch die Frage, ob Automobilhersteller bei einem „echten“ Hack unter Umständen schadensersatzpflichtig werden, wenn aufgrund laxer Sicherheitsvorkehrungen ein Hack ermöglicht wird, der zu einem Unfall führt.

Auch der ADAC hat kürzlich enthüllt, dass es mit relativ einfachen Mitteln möglich ist, das ConnectedDrive System von BMW zu hacken.

Private Nutzung dienstlicher IT-Resourcen kann zur Kündigung führen

20. Juli 2015

Wie das Bundesarbeitsgericht (BAG) mit Urteil vom 16.07.2015 (AZ: 2 AZR 85/15) entschied, kann das unbefugte Kopieren von privat beschafften Daten unter Verwendung des dienstlich zur Verfügung gestellten PCs zu einer außerordentlichen Kündigung führen.

Der Kläger war IT-Verantwortlicher bei einem Oberlandesgericht in Sachsen-Anhalt. Auf seinen Festplatten wurden mehr als 6.400 E-Book-, Bild-, Audio- und Videodateien vorgefunden, über einen 2 1/2-jährigen Prüfungszeitraum hinweg wurden über 1.100 DVDs bearbeitet. Zudem war ein Programm installiert, das geeignet war, den Kopierschutz der Hersteller von Videodateien zu umgehen.

Die Tatsache, dass die private Nutzung des dienstlichen Rechners für bestimmte andere Zwecke durch den Arbeitgeber gestattet war, führte nach Überzeugung der Richter nicht zu einer anderen Bewertung der Sach- und Rechtslage.

Durch das Urteil wird deutlich, dass der Arbeitnehmer auch dann, wenn der private Gebrauch sowohl der dienstlich zur Vefügung gestellten Hardware sowie des Internets erlaubt ist, die Grenzen der Rechtmäßigkeit und vor allem auch der Verhältnismäßigkeit einhalten muss:

Grundsätzlich verboten sind Verletzungen des Urheberrechts, wie beispielsweise durch das Herunterladen illegaler Filme. Ebenso verhält es sich, wenn Schadsoftware durch den Arbeitnehmer eingeschleust wird, wie etwa Viren oder Spam. Schließlich ist auch die (im Verhältnis zur Arbeitszeit) exzessive Nutzung des Internets zum privaten Surfen verboten und kann arbeitsrechtliche Konsequenzen nach sich führen. Als „exzessiv“ betrachtet die Rechtsprechung in der Regel das Surfen für eine Dauer von über 60-90 Minuten.

 

Praxisstudie zum Cloud-Computing: Datenschutz und -sicherheit besorgniserregend

Cloud-Computing wird immer populärer und ist mittlerweile fester Bestandteil des Business-Alltags. Trotz alledem haben 87 Prozent der IT-Verantwortlichen Bedenken, wenn es um Datenschutz und Datensicherheit in Zusammenhang mit Geschäftsinformationen und Cloud-Anwendungen geht, wie nun Ergebnisse einer Praxisstudie („Preparing for next-generation cloud: Lessons learned and insights shared“), für die Anfang dieses Jahres weltweit 232 IT-Führungskräfte bezüglich ihrer Erfahrungen mit Cloud-Anwendungen befragt wurden, verdeutlichen.

So gaben 67 Prozent der Befragten an, dass ihre Unternehmen bereits unter Zwischenfällen oder Problemen in Verbindung mit Cloud-Anwendungen zu leiden hatten. Wiederum 9 Prozent der Befragten, die bereits Zwischenfälle erlebt haben, sprachen dabei von „hohen Schäden”, 55 Prozent von „begrenzten” und 34 Prozent von „geringen” Auswirkungen.

Von knapp der Hälfte der Befragten wurde der „Verlust von Kundendaten” infolge einer fehlerhaften Cloud-Anwendung als größtes Risiko für ihr Unternehmen angesehen, danach folgen Umsatzverluste (40 Prozent) und Verletzungen des Kundendatenschutzes (36 Prozent).

Bei Public-Cloud-Anwendungen sollen Ausfälle und Störungen doppelt so häufig vorkommen wie bei Private Clouds.

Die Studie empfiehlt fünf Best Practices, die Unternehmen bei der optimalen und kosteneffizienten Nutzung von Cloud-Ressourcen helfen sollen:

  • Sicherstellen, dass die Cloud-Anbieter die Anforderungen der gesamten unternehmerischen Tätigkeit und der IT-Organisation erfüllen können.
  • Einen geeigneten Cloud-Service auswählen, um Sicherheit und Datenschutz besser überwachen zu können.
  • Cloud-Architekturen nutzen, die Verbindungen zwischen dem Cloud-Service und der vorhandenen IT-Infrastruktur ermöglichen.
  • Über die Kosten hinaus weitere Faktoren berücksichtigen, etwa das Potenzial der Cloud zur Optimierung von Geschäftsprozessen, zur Stärkung der Innovationskraft und der Mitarbeitereffizienz.
  • Geschäftsanforderungen an die IT festlegen, um Cloud-Services anzubieten und als Cloud-Vermittler tätig zu werden.

 

Kategorien: Allgemein
Schlagwörter: ,

LIBE-Ausschluss stimmt für Richtlinien-Entwurf zur Vorratsspeicherung von Flugpassagierdaten

17. Juli 2015

Diesen Mittwoch hat der Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres (LIBE-Ausschuss) des Europäischen Parlaments dem Vorschlag der EU-Kommission zur Vorratsdatenspeicherung von Flugpassagierdaten zugestimmt.

Der Richtlinien-Entwurf der EU-Kommission regelt den Umgang mit Flugpassagierdaten (sogenannte „Passenger Name Record“, PNR) von Personen, welche über den Luftweg in die EU ein- und ausreisen. Entsprechend dem Vorschlag der EU-Kommission dürfen die Daten zur Prävention und Verfolgen von schweren Verbrechen wie unter anderem Terrorismus, Menschenhandel, Waffenhandel oder Cyberkriminalität verwendet werden.

Mit einer europaweiten Regelung zum Umgang mit Flugpassagierdaten soll ein einheitliches Sicherheitsniveau für den Flugverkehr aber auch ein einheitliches Sicherheitsniveau hinsichtlich der erhobenen Passagierdaten sichergestellt werden.

Der Entwurf sieht vor, dass Fluggesellschaften die zu den Reisenden vorliegenden PNR an sogenannte „Passenger Information Units“ (PIU) des jeweiligen EU-Mitgliedstaats übermitteln. Die nationalen PIU dürfen die Daten zur Gefahrenabwehr und Strafverfolgung verarbeiten. Dabei sollen die PNR mit nationalen Datenbanken abgeglichen werden und mit anderen Staaten ausgetauscht werden können. Eine Übertragung der Flugdaten an private Unternehmen sowie die Speicherung von besonderen Arten personenbezogener Daten sind nach dem Richtlinien-Entwurf unzulässig.

Die Daten werden zunächst für einen Zeitraum von 30 Tagen vorgehalten. Im Anschluss werden sie zwar „maskiert. Ein Personenbezug lässt sich jedoch für den Zeitraum der Speicherung von 5 Jahren ohne Weiteres herstellen.

Nachdem der LIEBE-Ausschuss mit 32 zu 27 Stimmen für den Richtlinien-Entwurf gestimmt hat, ist der Weg zu den Trilog-Verhandlungen zwischen EU-Parlament, EU-Kommission und Europäischen Rat geebnet, in dem weitere Einzelheiten verhandelt werden.

Die anlasslose Vorratsdatenspeicherung rückt damit ein Stück näher.

Mindestlohnkontrolle versus Datenschutz – Erfahrungen aus der Beratungspraxis

16. Juli 2015

Das im August 2014 in Kraft getretene Mindestlohngesetz (MiLoG) verpflichtet seit 1.1.2015 Arbeitgeber in Deutschland, einen flächendeckenden, branchenunabhängigen gesetzlichen Mindestlohn zu zahlen. Diese kontrovers diskutierte Neuerung hat sich auch in der täglichen Beratung zum Datenschutz bemerkbar gemacht. Durch § 13 MiLoG i.V.m. § 14 Arbeitnehmer-Entsendegesetz (AEntG) ergibt sich nun nämlich eine Pflicht des Auftraggebers, die Einhaltung des Mindestlohns auch bei seinen Dienstleistern und deren Subunternehmern zu überwachen und für deren Einhaltung letztlich auch im Rahmen der Generalunternehmerhaftung zu haften. In der Praxis geschieht dies z.T. dadurch, dass Auftraggeber ihre Auftragnehmer auffordern, ihre komplette Lohnbuchhaltung offenzulegen.

Diese Praxis dürfte über das Ziel von § 13 MiLog, § 14 AEntG hinausschießen und aus datenschutzrechtlicher Sicht jedenfalls zu beanstanden sein. Aus dem Gesetz ergibt sich nämlich weder die Pflicht des Auftragegbers in die Lohnbuchhaltung Einsicht zu nehmen noch die Pflicht des Auftraggebers, diese offen zu legen. Ein Auftragnehmer, der einer enstprechenden Aufforderung folgt, setzt sich hier dem Risiko eines Datenschutzverstoßes aus. Diese Problematik ist mittlerweile auch durch die Landesdatenschutzbeauftragten erkannt worden, welche auf ihrer 89. Jahrestagung in Wiesbaden bereits den Bundesgesetzgeber aufgefordert haben, die datenschutzrechtlichen Belange bei der Überwachung des Mindestlohnes stärker als bisher zu beachten. Auch das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein warnt davor, Informationen zu Familienstand, Steuerklasse, Geburtsdatum, Privatanschrift von Beschäftigten oder gar deren Konfessionzugehörigkeit zu offenbaren (bei letzterer handelt es sich sogar um ein sog. besonderes personenbezogenes Datum i.S.v. § 3 Abs. 9 BDSG).

Unternehmen die sich derartigen Forderungen ihrer Auftraggeber ausgesetzt sehen, tun gut daran, nicht auf diese einzugehen. Das Gesetz fordert bei genauer Betrachtung derartige Offenbarungen auch nicht. Vielmehr dürfte ein Unternehmer seiner Überwachungspflicht in der Regel dadurch gerecht werden, dass er sich von seinem Auftragnehmer vertraglich unter Aufnahme einer Vertragsstrafenregelung zusichern lässt, dass der Mindestlohn gezahlt wird. Hinsichtlich etwaiger Subunternehmer ist laut einem Urteil des BAG auch eine Haftungsfreistellung möglich.

Sollten doch Teile der Lohnbuchhaltung offenbart werden, so sollten jedenfalls nur anonymisierte Daten herausgegeben werden, die nicht mehr einem einzelnen Arbeitnehmer zugeordnet werden können. Den Grundsätzen der Datensparsmkeit sowie der Zweckbindung folgend, sollten nur insoweit Daten offenbart werden, als dies zur Erfüllung des Zwecks (Überwachung der Einhaltung des MiLoG) unbedingt erforderlich ist. Unternehmer die an dieser Stelle zu freigiebig Daten herausgeben setzen sich ansonsten nicht nur Haftungsansprüchen ihrer Mitarbeiter aus, sondern auch möglichen Sanktionen von Aufsichtsbehörden. Darüber hinaus sollte auch das Risiko eines publikumswirksamen „Datenlecks“ zu Vorsicht im Umgang mit Beschäftigtendaten mahnen.

Kategorien: Beschäftigtendatenschutz
Schlagwörter: ,

Hackerangriff: Massiver Datendiebstahl in den USA betrifft persönliche Daten von über 20 Millionen Regierungsangestellten

10. Juli 2015

Die US-Regierungsbehörde United States Office of Personnel Management (OPM) ist jüngst wiederholt Opfer von Cyberattacken geworden. Die Behörde ist für die Verwaltung des Öffentlichen Dienstes in den Vereinigten Staaten verantwortlich.

Bei den Attacken dürfte es sich nach offiziellen Angaben um die bisher größte Cyberattacke auf eine amerikanische Regierungseinrichtung handeln. Betroffen sind personenbezogene Daten von ca. 21,5 Millionen Angestellten des Öffentlichen Dienstes; darunter neben aktuellen auch ehemalige Angestellte sowie eventuell Bewerber und Anwärter für Regierungsorganisationen. Auch solchen nahestehende Verwandte und Freunde, welche im Rahmen sogenannter Background-Analysen durchleuchtet wurden, zählen wohl zu den Opfern. Von den Betroffenen wurden neben Adressen, Sozialversicherungsnummern und Finanzangaben auch besonders sensible Gesundheitsdaten erbeutet – besonders brisant darunter wohl die über eine Million Fingerabdrücke. Die OPM verwaltet auch Zugangsberechtigungen und Sicherheitsscreenings.

Die Angriffe erfolgten wohl bereits im letzten Jahr in zwei Fällen, wurden seitens der OPM aber erst im April dieses Jahres erstmals entdeckt. Im Juni bestätigte sich dann die nun veröffentlichte Zahl der Betroffenen.

Darüber, inwieweit diese Daten vor Angriffen von außen gesichert waren, schweigt die Behörde. Sie hat inzwischen eine Informationsseite für Betroffene eingerichtet. Darauf findet sich kein Hinweis auf den Urheber der Attacken – bereits nach den ersten Meldungen über die Cyberattacke berief sich die Washington Post auf Regierungsvertreter, die hinter den Hackern die chinesische Regierung vermuten. Das chinesiche Dementi folgte wenig überraschend.

1 2 3 110