SONY: Neue Sicherheitslücken bei PSN und Qriocity

19. Mai 2011

Nachdem Sony erst vor einem Monat durch einen Hacking-Angriff auf mehr als 100 Millionen Kundendaten im Zentrum des öffentlichen Interesses gestanden hat, wurde nun nach dem Neustart des PlayStation Network und des Qriocity-Dienstes eine neue Sicherheitslücke publik. Diese betrifft die Internetseite, die für die Zurücksetzung der Passwörter für die Sony-Dienste genutzt wird. Es ist möglich gewesen, Passwörter allein mit der Kenntnis von E-Mail-Adresse und Geburtsdatum des berechtigten Account-Inhabers zu ändern. Die Möglichkeit der Änderung des Passworts eröffnet wiederum potentiellen Angreifern die Möglichkeit, alle weiteren Daten zu ändern und sich sonst zu eigen zu machen. Sony hat die Internetseite zur Passwortänderung umgehend offline gestellt.

Internationale Datenverarbeitung- Maßnahmenkatalog für in Indien tätige Unternehmen

18. Mai 2011

Wie schon im Beitrag vom 5.Mai 2011 berichtet, wurde in Indien am 13. April neue, sehr restriktive Bestimmungen für den Datenschutz vorgestellt, nachdem der Bereich des Schutzes persönlicher Daten dort für nahezu 100 Jahre unverändert blieb. Diese Neuerungen sind dabei insbesondere für Firmen, die ihre Datenverarbeitung nach  Indien ausgelagert haben, von Relevanz.

Auch wenn sich insoweit naturgemäß pauschal noch keine präzisen Maßnahmen empfehlen lassen, so sind hier zumindest erst einmal einige Tipps und Hinweise für Firmen, die aufgrund ihrer Kontakte und Beziehungen zu indischen Firmen von den neuen Regeln betroffen sein können

1. Überprüfung der aktuell bestehenden Datenschutzregeln und Maßnahmen
Untersuchung und Dokumentierung beispielsweise welche Daten bislang in Indien erhoben und gelagert werden oder welche opt-in oder opt-out Regelungen momentan zur Anwendung gelangen.

2. Einsetzen eines “Update-Teams”
Dieses Team ist für die Entwicklung und Umsetzung der nun erforderlich werdenden Maßnahmen verantwortlich. Je nach Größe der Firma können solche Mitglieder beispielsweise CIO, legal counsel, externe Berater oder bisher mit der Überwachung der Outsource- Tätigkeit befasste Personen sein.

3. Überprüfung des Kundenkontakts
Ergänzend zu 1. kann dies speziell für Firmen, die dort im Handelsbereich z.B. online-Handel tätig sind von Relevanz sein. Insbesondere im Hinblick auf telefonischen Kontakt und das schriftliche Einverständnis zu Sammlung personenbezogener Daten ist hier Vorsicht geboten.

4. Berücksichtigung der Arbeitnehmer
Auch die bei den betroffenen Firmen beschäftigten Arbeitnehmer sind zu berücksichtigen, da auch sie schließlich in nicht unerheblichem Ausmaß personenbezogene Daten zur Verfügung stellen. Insoweit ist zu prüfen, ob und in welchem Maße die neuen Regeln in diesem Bereich zu neuen Maßnahmen führen.

5. Abstimmung mit anderen Beteiligten
Auch andere Firmen können in verschiedener Form direkt oder mittelbar durch die neuen Bestimmungen betroffen sein. Zum einen ist eine Abstimmung im Hinblick auf Maßnahmen beispielsweise beim Outsourcing bestimmter Geschäftsfelder an weitere Firmen erforderlich, zum anderen kann z.B. auch die aktuelle Internetkommunikation mit dem entsprechenden Provider und seinen eventuell kollidierenden Bestimmungen betroffen sein und es können sich insoweit Konfliktfelder auftun.

Mindestens 25 Schadenersatzklagen gegen SONY

15. Mai 2011

Nach dem im vergangenen Monat bei dem Hack des von dem Elektronikkonzern Sony weltweit betriebenen Playstation-Netzwerks bis zu 100 Mio. Daten von Nutzers des Netzwerks von unbekannten Tätern kopiert worden sind, sind nach Angaben des von Thomson Reuters betriebenen internationalen Legal-Services-Anbieters Westlaw vor US-Gerichten bereits mindestens 25 Sammelklagen gegen das Unternehmen eingereicht worden. Zudem ist auch das FBI sowie die New Yorker Staatsanwaltschaft an Ermittlungen gegen den Konzern beteiligt.

Ziel der Kläger ist es, gemeinsam eine Schadensersatzzahlung von dem Elektronik-Reisen zu erhalten. Die von Sony getroffenen Sicherheitsmaßnahmen zur Zugriffskontrolle seien ungenügend gewesen, heißt es in den eingereichten Klageschriften. Schwerpunkt der erhobenen Vorwürfe ist aber die Tatsache, dass Sony – nachdem die Täter nach eigenen Angaben des Unternehmens Zugriff auf bis zu 12,3 Mio. Kreditkarten Zugriff genommen haben – noch etwa eine Woche zugewartet habe, bevor der Vorfall öffentlich gemacht wurde. Bei einem schnelleren Handeln hätte der Schaden deutlich reduziert werden können.

Die Herausforderung für die Kläger in den bisher angestrengten (und noch zu erwartenden) Verfahren dürfte aber nach wie vor der Nachweis eines konkreten Schadens für die Betroffenen sein, nachdem erst im letzten Monat eine vergleichbare Sammelklage gegen RockYou, einen Entwickler von Applikationen für Facebook und andere soziale Netzwerke von den zuständigen Bundesrichtern in Oakland, Kalifornien, zurückgewiesen würde.

Einstellung von Google Street View in der Schweiz?

12. Mai 2011
Das Bundesverwaltungsgericht Zürich hat im März dieses Jahres entschieden, dass Google für seinen Online-Dienst Street View alle gezeigten Personen automatisch unkenntlich zu machen habe. Darüber hinaus sollen im Umkreis besonders sensibler Einrichtungen – z.B. Kranken- und Frauenhäusern, Gerichten, Schulen und Gefängnissen –nicht nur die Gesichter der abgebildeten Personen, sondern auch weitere individuelle Merkmale der Personen – beispielsweise die Hautfarbe oder Kleidung – verpixelt werden. Die Bevölkerung solle zudem über die Lokalpresse auf Kamerafahrten und das Freischalten von Bildern informiert werden. Google teilte nun mit, dass gegen dieses Urteil Beschwerde bei dem Bundesgericht in Lausanne eingelegt werde. Eine gänzliche Unkenntlichmachung sei schlichtweg technisch nicht realisierbar, die Forderungen zudem unverhältnismäßig. Sollte die Beschwerde keinen Erfolg haben, droht Google, den Online-Dienst für die Schweiz einzustellen.

Ermittlungen via Social Network

10. Mai 2011

Auch die staatlichen Ermittlungsbehörden entdecken die Möglichkeiten von Social Networks, wie Facebook und XING und machen im Rahmen ihrer Ermittlungen zunehmend von dort verfügbaren Informationen Gebrauch.

Zur datenschutzrechtlichen Zulässigkeit eines derartigen Vorgehens und den sich hier für die Strafverfolgungsbehörden bietenden Möglichkeiten und Grenzen nimmt Rechtsanwalt Stephan Krämer von Kinast & Partner Rechtsanwälte innerhalb des Artikels „Polizei jagt Raser via Facebook“ auf RTL.de Stellung.

Volkszählung 2011: Zensus

Am 09.05.2011 erfolgt die erste gesamtdeutsche Volkszählung. Die letzte Volkszählung der alten Bundesrepublik fand im Jahre 1987 statt und war Gegenstand des „Volkszählungsurteils“ des Bundesverfassungsgerichts, das erstmalig das Grundrecht auf informationelle Selbstbestimmung benannte.

Es wird nun ein neues Verfahren zur Volkszählung angewandt („registergestützter Zensus“): Die statistischen Ämter des Bundes und der Länder erheben in erster Linie registergestützt Daten. Es werden vorwiegend die bei den öffentlichen Registern der Verwaltung vorhandenen Daten der Einwohner verwendet. Es sollen aber auch rund 8 Millionen Einwohner per Zufallsprinzip ausgewählt  und einer direkten Befragung unterzogen werden. Gefragt wird unter anderem nach Familienstand, Wohnsituation, Bildung/Schulabschluss, Erwerbstätigkeit und Migrationshintergrund. Darüber hinaus werden die Daten von Eigentümern von Immobilien und Menschen, die in Gemeinschaftsunterkünften leben, erhoben, verarbeitet und genutzt. Die zur Befragung Auserwählten sind nach dem Zensusgesetz, welches wiederum aufgrund einer Verordnung des Europäischen Parlaments und des Rates über Volks- und Wohnungszählungen vom 09.07.2008 erlassen worden ist, zur Auskunft verpflichtet.

Ein zentrales Ergebnis des Zensus 2011 soll die amtliche Einwohnerzahl sein, die wiederum für viele Entscheidungen und Planungsprozesse in Bund, Ländern und Gemeinden – beispielsweise für die Festlegung finanzieller Zuweisungen an die Kommunen, die Bestimmung des Länderfinanzausgleichs und die Festlegung von Wahlkreisen – herangezogen werden wird. Die Ergebnisse der Auswertungen werden für Herbst 2012 erwartet.

 

Kategorien: Allgemein

Beschluss des Kammergericht zum Facebook-„Gefällt-mir“-Button

9. Mai 2011

Ebenso wie die Vorinstanz Landgericht Berlin (dortiges Aktenzeichen 91 O 25/11) hat nun auch das Kammergericht in seinem Beschluss vom 29.04.2011, Az. 5 W 88/11 eine Verletzung wettbewerbsrechtlicher Vorschriften durch einen“Vorsprung durch Rechtsbruch“ nach § 4 Nr. 11 des Gesetzes gegen den unlauteren Wettbewerb (UWG) nicht angenommen.

In seiner Begründung führt das Gericht aus, dass zwar einiges dafür spreche, dass die Verwendung des „Gefällt-mir“-Buttons ohne entsprechenden Hinweis in der Datenschutzerklärung gegen Unterrichtungspflichten nach § 13 des Telemediengesetzes (TMG) verstoße. So sei davon auszugehen, dass Facebook als Empfänger der Daten infolge der Verwendung des Buttons seine Mitglieder bei Nutzung der Seite unschwer über eine Kennnummer identifizieren könne. Ferner würden die Daten der Seitennutzer auch erfasst, wenn sie zum Zeitpunkt ihres Besuches nicht bei Facebook eingeloggt seien, sodass auch dann eine Identifizierbarkeit durch Facebook anhand der übermittelten IP-Adresse denkbar sei. Über diese Vorgänge müsse der Nutzer daher informiert werden. Ein Wettbewerbsverstoß folge aus dem naheliegenden Datenschutzverstoß gleichwohl nicht, da es insoweit an der erforderlichen Beeinträchtigung von Mitbewerber-Interessen fehle. Die Datenschutzvorschriften des TMG und insbesondere die Verpflichtung, eine den Anforderungen des § 13 Abs. 1 TMG genügende, umfassende und verständliche Datenschutzerklärung vorzuhalten, dienen vielmehr alleine dem Ziel, dass der Nutzer „sich einen umfassenden Überblick über die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten verschaffen kann“ und somit ausschließlich dem Schutz der Persönlichkeitsrechte der Nutzer, nicht aber Interessen einzelner Wettbewerber.

Auch wenn das Kammergericht eine erfolgreiche Geltendmachung der Rechtsverstöße durch Verbraucher und/oder Verbraucherzentralen mit seinem Beschluss ausdrücklich nicht ausschließt, weist es mit der gegebenen Begründung den Unterlassungsanspruch eines Wettbewerbers zurück. Letztere sind damit – zumindest nach Ansicht der Berliner Justiz – nicht berechtigt, den Verstoß gegen die Informationsvorschriften des TMG gerichtlich oder per Abmahnung geltend zu machen.

Es fragt sich jedoch, ob der vorliegende Beschluss als „Grundsatzurteil“ gewertet werden darf, mit der Folge, dass der Verletzung der Informationspflichten des TMG grundsätzlich jede wettbewerbsrechtliche Relevanz zu versagen wäre. Zu seinem Verdikt kam das Kammergericht hier wohl auch deshalb, weil der „Wettbewerbsvorteil“, den der Verwender des „Gefällt-mir“-Buttons durch seinen Rechtsbruch zog, nicht unbedingt auf der Hand liegt. So fragt sich, ob die Erhebung und Weitergabe der Daten an Facebook Besucher der Website von der Nutzung anderer Angebote von Mitbewerbern abhalten könnte. Gerade in Bezug auf Facebook-Nutzer erörtert dies auch das Kammergericht und meint offenbar, dass diese durch ihre Bestätigung der (insoweit zitierten) Facebook-Datenschutzerklärung einer entsprechenden Datennutzung zustimmen. Interessen von nicht bei Facebook registrierten Nutzern prüft das Gericht jedoch nicht.

Ganz grundsätzlich erscheint es jedoch durchaus naheliegend, Verbraucher durch Fehlinformationen hinsichtlich der Nutzung ihrer personenbezogener Daten zumindest nicht vom Vertragsschluss oder von der Nutzung einer Website abzuhalten. In Zeiten eines zunehmenden öffentlichen Bewusstseins für den Datenschutz handelt es sich hierbei durchaus um für jeden Verbraucher relevante Informationen, die ohne weiteres zum Zuspruch zu anderen Anbietern führen kann, wenn mit einem Vertragsschluss oder der Nutzung einer Website übergebührliche Nutzungen der Nutzerdaten einhergehen. Auch die vorliegend nicht festgestellte Wettbewerbsrelevanz dürfte daher in Fällen, in denen Anbieter die Nutzung von personenbezogener Daten ihrer Nutzer durch unrichtige und/oder unklare Datenschutzerklärungen verschleiern, kaum zu verneinen sein. So geht mit dem Verbraucherinteresse an wahrheitsgemäßer und vollständiger Information zur Nutzung personenbezogener Daten durch einen Anbieter zweifelsohne auch ein wettbewerbsrechtlichen Interesse der Konkurrenz einher. Wie dessen jüngste Auszeichnung mit dem BigBrotherAward zeigt, muss sich gerade auch Facebook selbst den Vorwurf, seine Nutzer nicht ausreichend über die Nutzung seiner personenbezogenen Daten zu informieren und davon zu profitieren, immer wieder gefallen lassen. Gerade deshalb dürfte mit dem nun vorliegenden Beschluss das letzte Wort zur wettbewerbsrechtlichen Relevanz der TMG-Vorschriften noch nicht gesprochen sein.

Apple und Facebook mit dem BigBrotherAward 2011 „ausgezeichnet“

6. Mai 2011

Bei der Verleihung der deutschen BigBrotherAwards 2011 am 1. April 2011 in Bielefeld wurden von dem Organisator FoeBuD e.V. die Apple GmbH sowie die Facebook Deutschland GmbH mit dem „Oscar für Datenkraken“ in der Kategorie „Kommunikation“ ausgezeichnet.

Apple „verdiente“ sich den Preis zwar nicht vordergründig aufgrund der in den letzten Tagen in Öffentlichkeit und Medien breit diskutierten Erhebung und Nutzung von Standortdaten seiner iPhone- und iPad-Kunden. Grund für die Preisverleihung ist nach der Begründung der Organisatoren vielmehr „die Geiselnahme ihrer Kunden mittels teurer Hardware und die darauf folgende Erpressung, den firmeneigenen zweifelhaften Datenschutzbedingungen zuzustimmen“. Hiernach sei es dem Nutzer im Falle einer Nichtzustimmung mit den 117-iPhone-Display-Seiten langen Regelwerken maximal möglich, dass teure und technisch potente Gerät gerade einmal zum Telefonieren zu nutzen.

Facebook wurde mit der Auszeichnung einmal mehr für seinen immensen Datenhunger und für die „gezielte Ausforschung von Menschen und ihrer persönlichen Beziehungen hinter der netten Fassade eines vorgeblichen Gratisangebots“ kritisiert. Das Unternehmen schaffe mit seinen vielfältigen zahlreichen Features und Applikationen wie „Freundefinder“, „Handy-App“ oder dem „Gefällt-mir“-Button eine „„Gated Community“ im Netz, in der Menschen auf Schritt und Tritt beobachtet werden“ und verdiene auf diese Weise mit systematischen Datenschutzverstößen Milliarden, heißt es hier weiter in der Begründung.

Beschluss des Düsseldorfer Kreises vom 06.05.2011: Mehr Datenschutz bei Smartphones

Wohl anlässlich der jüngst bekannt gewordenen heimlichen Erhebung von Standortdaten über iPhones forderten die deutschen Datenschutzaufsichtsbehörden die Hersteller von Betriebssystemen und Software von Smartphones auf, ihren Fokus verstärkt und bereits bei der Konzeption der Hard- und Software auf die Einhaltung von Datenschutzstandards zu legen („Privacy by Design“).

Es müsse den Nutzern leichter gemacht werden ihre Persönlichkeitsrechte zu wahren. Außerdem müsse der Grundsatz der Datensparsamkeit ernst genommen und umgesetzt werden. Dies umschließe die Schaffung von Transparenz über eine etwaige Offenbarung personenbezogener Daten, die Steuerungsmöglichkeit von Nutzern für eine Offenbarung, Einflussmöglichkeiten der Nutzer, Datenspuren zu löschen sowie die anonyme, zumindest pseudonyme Nutzung von Smartphones und über Smartphones vermittelte Dienste.

Internationale Datenverarbeitung – Vorstellung neuer Datenschutzbestimmungen in Indien

5. Mai 2011

Am 13. April 2011 hat die indische Regierung neue Bestimmungen insbesondere zum Schutz „sensitiver“ personenbezogener Informationen im IT-Umfeld vorgestellt, denen bereits jetzt eine erhebliche Bedeutung für die internationale Datenverarbeitung weltweit operierender Organisationen und Konzerne zugeschrieben wird.

Die vorgestellten Neuregelungen, deren zügiges Inkrafttreten nun zu erwarten steht, stellen eine erhebliche Verschärfung gegenüber der bestehenden Gesetzgebung dar und gelten umfassend für alle Organisationen, die in Indien Daten (auch von außerhalb Indiens befindlichen) Personen verarbeiten. Auch die Datenverarbeitung im Auftrag durch indische Auftragnehmer ist dabei wesentlichen Neuregelungen und Verschärfungen unterworfen.

Der Begriff der sensitiven personenbezogenen Informationen erfasst neben Gesundheitsdaten, Daten zur sexuellen Orientierung insbesondere auch biometrische Daten sowie Daten zu Bank- und Kreditkartenkonten, als auch Passwörter.

Danach soll die Erhebung und Verarbeitung entsprechender Daten zukünftig generell die vorherige freiwillige Einwilligung des Betroffenen erfordern, die schriftlich oder auch per E-Mail erteilt werden kann. Zusätzlich ist die Erhebung derartiger Informationen nur dann zulässig, wenn diese zu legalen Verarbeitungszwecken der verantwortlichen Stelle erforderlich ist. Weiterhin sehen die Bestimmungen für den Betroffenen die Möglichkeit eines jederzeitigen Widerrufs der gegebenen Einwilligung vor. Ergänzend ist die betroffene Person im Moment der Datenerhebung über die wesentlichen Datenverarbeitungsvorgänge und deren Zwecke zu informieren. Dies wird weiter flankiert von der Verpflichtung, eine detaillierte und verständliche Privacy Policy auf der Webseite der verantwortlichen Stelle verfügbar zu halten. Eine Datenübermittlung in Drittstaaten soll nach den Neuregelungen schließlich grundsätzlich nur dann zulässig sein, wenn im Empfängerland ein gleichwertiges Datenschutzniveau besteht und die Daten zur Durchführung eines Vertrags erforderlich sind oder wenn die betroffene Person in die Übermittlung ebenfalls eingewilligt hat.

Nach Inkrafttreten der neuen Gesetzgebung gilt es für Organisationen, die in Indien personenbezogene Daten verarbeiten, ihre Compliance mit den neuen Vorschriften grundsätzlich zu überprüfen. Dies betrifft sowohl ansässige Unternehmen, als auch solche, die die Verarbeitung personenbezogener Daten von Europäischen Standorten aus im Wege des Outsourcing an indische Dienstleister oder Datenverarbeitungscenter übertragen haben, da die neuen Regelungen zum Teil strengere Einschränkungen vorsehen, als dies nach hierzulande der einschlägigen EU-Gesetzgebung der Fall ist.Verstöße sollen in Indien fortan mit Freiheitsstrafe von bis zu zwei Jahren und/oder Geldstrafen von umgerechnet ca. 1.550,- € pro Datensatz belegt werden können, die insbesondere auch die Unternehmensführung treffen können, sofern der verantwortlichen Person der Beweis der Unkenntnis von dem Verstoß nicht gelingt. Soweit Verstöße von Auftragsdatenverarbeitern vorliegen, können sogar Freiheitsstrafen von zu drei Jahren und/oder umgerechnet ca. 3.100,- € verhängt werden.

Die Folgen der beabsichtigten Neuregelungen für betroffene Unternehmen und deren IT- und Backoffice-Zentren sind derzeit noch völlig unklar, sodass allgemein mit Spezifizierungen und Klarstellungen innerhalb der nächsten Wochen gerechnet wird.

1 139 140 141 142