Bundesdatenschutzbeauftragter fordert datenschutzfreundlichen ELENA-Nachfolger

10. Oktober 2011

Gerade erst wurde der elektronischen Entgeltnachweis (ELENA) zu Grabe getragen, schon wird über den Nachfolger diskutiert. Der Bundesdatenschutzbeauftragte, Peter Schaar, forderte den Gesetzgeber dazu auf, bei dem von der Bundesregierung angestrebten einfacheren und unbürokratischen Meldeverfahren in der Sozialversicherung den Datenschutz zu gewährleisten. Dabei dürfe es keine Abstriche geben, der Umfang der personenbezogenen Daten müsse so gering wie möglich gehalten werden und es müsste den Betroffenen möglich sein, von Anfang an Auskunfts- und Berichtigungsansprüche geltend zu machen. Bereits die Vereinheitlichung der vielen im Sozialrecht verwendeten Einkommensbegriffe könne auf dem Gebiet des Datenschutzes zu Fortschritten führen. (se)

 

Zwang zu Klarnamen bei Google+ unter deutschen Politikern umstritten

29. September 2011

Google sorgte jüngst mit seinem Facebook-Konkurrenten Google+ für ein starkes mediales Echo, als einige Profile gelöscht wurden, deren Ersteller Pseudonyme anstelle der von Google geforderten Klarnamen verwendet hatten. Die Löschung wurde mit Punkt 13 der Inhalts- und Verhaltensrichtlinien für Nutzer begründet. Dort gibt Google Folgendes vor: „Verwenden Sie den Namen, mit dem Sie normalerweise von Freunden, Familie und Kollegen angesprochen werden. Dies dient der Bekämpfung von Spam und beugt gefälschten Profilen vor. Wenn Ihr voller Name beispielsweise Sebastian Michael Müller ist, Sie normalerweise aber Bastian Müller oder Michi Müller verwenden, sind diese Namen auch in Ordnung.

Mit einem offenen Brief an Google reagierte ein Bündnis aus Bloggern, Internetaktivisten, Journalisten und einigen Bundestagsabgeordneten aller Fraktionen (außer der Linken) auf diese Praxis und fordert Google auf, Pseudonyme zu gestatten.

Der stellvertretende Vorsitzende der CDU/CSU-Bundestagsfraktion, Günter Krings, und deren innenpolitische Sprecher Hans-Peter Uhl sehen in einer Stellungnahme für einen derartigen „politischen Aufschrei mehrerer Abgeordneter… dagegen keinen Grund„. Ihre Erwägungen leiten sie dabei mit mit folgender Aussage ein: „Es kann im Internet ebenso wie in der realen Welt kein grundsätzliches Recht auf Anonymität geben.“ Auffällig ist, dass auch im weiteren Text immer wieder von Anonymität gesprochen wird. Uhl und Krings scheinen insofern dem Fehler aufgesessen zu sein, nicht zwischen einem Pseudonym und dem Konzept der Anonymität zu unterscheiden.

Diese indifferente Verwendung der beiden Begriffe ist derart verbreitet, dass sich in der Wikipedia ein eigener Artikel zur Unterscheidung zwischen Anonymisierung und Pseudonymisierung findet. Der maßgebliche Unterschied besteht darin, dass nach einer Anonymisierung keine Rückschlüsse auf die Person mehr möglich sind. Bei einer Pseudonymisierung wird die „wirkliche“ Identität zwar zunächst durch die Wahl eines fingierten Namens auch verschleiert, der Bezug zwischen den pseudonymisierten Daten und der dahinterstehenden Person kann jedoch wieder hergestellt werden, wenn das verbindende Element – der Schlüssel – bekannt ist. Wer also weiß, dass Kurt Tucholsky auch Texte als Theobald Tiger und Peter Panter veröffentlicht hat, kann jederzeit die so veröffentlichten Beiträge der Person Tucholskys zuordnen. Im Internet ist die Pseudonymisierung recht häufig anzutreffen: Fast jeder selbst gewählte Benutzer- oder Forenname stellt ein Pseudonym dar.

Schlußendlich kommen Krings und Uhl, der in der Diskussion um Street View noch an vorderster Front gegen Googles Begehrlichkeiten kämpfte, zu der Einschätzung, dass die Entscheidung, ob eine Pflicht zur Offenlegung des Klarnamens bestehe, letztlich auf Seiten der Betreiber läge. Schließlich gäbe es auch keine allgemeine Rechtspflicht für Nutzer, sich zu identifizieren. Dabei verkennen Sie jedoch den § 13 Abs. 6 TMG, der vorschreibt, dass ein Diensteanbieter die Nutzung von Telemedien anonym oder unter Pseudonym zu ermöglichen hat, soweit dies technisch möglich und zumutbar ist. Auch der BGH führt im Spickmich-Urteil explizit aus, dass die anonyme Nutzung dem Internet immanent sei. Dies muss dann erst recht für eine zumindest pseudonyme Nutzung gelten. (se)

Stromzähler verrät Fernsehgewohnheiten

26. September 2011

Wie der Online-Dienst H-Security berichtet, haben Forscher der Fachhochschule Münster einen technischen Report zum Thema Smart-Meter und Datenschutz vorgelegt. Überraschendes Ergebnis: Schon eine Messung des Stromverbrauchs im Zwei-Sekunden-Takt lässt auf das gelaufene Fernsehprogramm schließen. Aktuelle LCD-TVs schwanken in der Stromaufnahme, Grund sind unterschiedlich helle oder dunkle Bilder bzw. variierende Lautstärken. Verglichen mit einer Referenz ist dann ein Rückschluss auf das eingeschaltete Programm möglich.

Zwar sinke die Wahrscheinlichkeit, einen Spielfilm oder das Programm zu erkennen, wenn mehrere Verbraucher aktiv seien. Ein Spielfilm von 90 Minuten Länge biete aber genug Sequenzen zur Feststellung, auch wenn zwischendurch andere Geräte liefen.

In dem Report erwähnen die Forscher auch die grundsätzlich mögliche, aber als missbräuchlich anzusehende Nutzung der Stromverbrauchsdaten, um Konsumenten von urheberrechtlich geschütztem Material aufzuspüren. Diese Nutzung sei denkbar, weil nachträglich festgestellt werden könnte, welche Haushalte beispielsweise einen Film abgespielt hätten, der zu diesem Zeitpunkt noch nicht auf DVD erschienen war.

Als Gegenmaßnahme schlägt das Team der FH Münster vor, Ablese-Intervalle zu vergrößern oder nur statistische Zusammenfassungen der Verbrauchsdaten zu übertragen. (ssc)

Google Analytics nun datenschutzkonform einsetzbar

19. September 2011

Fast zwei Jahre wurde verhandelt, jetzt die Einigung: Der Hamburgische Beauftragte für Datenschutz, Johannes Caspar, verkündete am Donnerstag vergangene Woche, dass Google die Bedingungen für das Statistik-Tool Google Analytics geändert hat.

Im Kern waren für die Datenschützer drei Punkte entscheidend, um Google Analytics den Segen zu erteilen:

  • Künftig haben Nutzer über eine Browser-Erweiterung die Möglichkeit, Google Analytics persönlich zu deaktivieren. Dieses Add-on wird Google für alle gängigen Browser anbieten.
  • Seitenbetreiber können die so genannte IP-Maskierung aktivieren. Dann wird Google Analytics die IP-Adresse der Nutzer nur anonymisiert speichern. Anonymisierung bedeutet dabei, dass der letzte Zahlenblock der IP-Adresse nicht mitgespeichert wird. Eine Zuordnung der Adresse zu einem Nutzer ist dann nicht mehr möglich.
  • Außerdem wird Google mit den Seitenbetreibern einen Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes (§ 11 BDSG) abschließen.

Die Datenschutzbehörde bietet auf ihrer Website eine Checkliste (pdf) für Seitenbetreiber an, die Google Analytics datenschutzkonform verwenden möchten. Neben den Änderungen müssten vor allem die alten Daten ohne IP-Maskierung gelöscht werden.

Caspar erinnerte auch daran, dass letztendlich die Seitenbetreiber für den Datenschutz verantwortlich seien – und nicht Google. Hamburgs oberster Datenschützer wies darauf hin, dass die jetzige Abstimmung mit Google nur der Anfang sei. Technische Fortschritte und die Umsetzung der E-Privacy-Richtlinie machten auch in Zukunft Gespräche notwendig. (ssc)

Cybercrime Report 2011

15. September 2011

Der Sicherheitssoftwarehersteller Symantec hat seinen Cybercrime Report 2011 vorgestellt. Dieser listet u.a. diejenigen Kosten auf, die nach eigenen Erhebungen in den vergangenen 12 Monaten durch Cybercrime entstanden sind. In Deutschland sollen sich die Kosten während dieses Zeitraumes auf einen Gesamtschaden von 33,7 Milliarden US-Dollar (USD) belaufen, wobei 10,9 Milliarden USD als Zeitkosten und 22,8 Milliarden USD als direkter finanzieller Schaden – wozu u.a. die Investitionen in die Folgenbeseitigung und erbeutete Geldbeträge gehören – zu verbuchen seien. Weltweit belaufe sich dieser direkte Schaden auf 114 Milliarden USD. Berücksichtigt man zusätzlich den Arbeitszeitverlust, so wären es weltweit 388 Milliarden USD Gesamtschaden. Damit übersteigt der ermittelte Schaden den geschätzten Wert des weltweiten Schwarzmarktes für Marihuana, Kokain und Heroin, so Symantec. (sa)

 

Kategorien: Allgemein
Schlagwörter: ,

LDI NRW: 60.000 Euro Bußgeld für die Easycash GmbH

13. September 2011

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Lepper hat bekannt gegeben, gegen die Easycash GmbH – ein Dienstleistungsunternehmen, das Lastschriftverfahren im Rahmen der EC-Kartenzahlung für Einzelhändler abwickelt – ein Bußgeld in Höhe von 60.000 Euro verhängt und damit die unzulässige Weitergabe von rund 400.000 Kontodaten und Daten über Ort, Zeitpunkt und Höhe von Zahlungsvorgängen sanktioniert zu haben. Diese Daten wurden einem Schwesterunternehmen der Easycash GmbH, das Kunden- und Bonusprogramme anbietet, zur statistischen Auswertung übermittelt.

„Wer Zahlungsvorgänge quasi als Treuhänder für Einzelhandelsunternehmen abwickelt, muss besonders sorgfältig mit diesen Daten umgehen. Er darf so sensible Daten über Zahlungsverhalten und Kontoverbindungen, die durchaus auch Profilbildungen erlauben würden, nicht für andere Zwecke an Dritte übermitteln. Deswegen musste ich hier einschreiten“, kommentierte Lepper sein Vorgehen. Er zeigte sich jedoch erfreut, dass sich das Unternehmen in Datenschutzfragen kooperativ gezeigt und das Bußgeld bereits gezahlt habe. Außerdem habe Easycash nicht nur die Weitergabe von Kontoverbindungsdaten an Dritte umgehend eingestellt, sondern auch die von ihm geforderten Änderungen umgesetzt. (sa)

Sächsischer Landesdatenschutzbeauftragter zur Dresdner Datenschutzaffäre

12. September 2011

Der Sächsische Landesdatenschutzbeauftragte  hat in einem Bericht zu der nichtindividualisierten Funkzellenabfrage und anderen Maßnahmen der Telekommunikationsüberwachung, die von Ermittlungsbehörden in Dresden im Februar dieses Jahres durchgeführt wurden, kritisch Stellung bezogen. Seiner Ansicht nach ist die Funkzellenabfrage der SoKO 19/2 über „das Ziel hinausgeschossen“. Zwar sei ein Konzept zur Reduzierung der Daten auf das für die Strafverfolgung erforderliche Maß vorhanden gewesen, eine über die zeitliche und örtliche Beschränkung hinausgehende Prüfung der Verhältnismäßigkeit sei jedoch ausgeblieben. Die Funkzellenabfragen des LKA Sachsen wiederum sollen  „weit über das Ziel“ hinaus gegangen sein, da die zeitlichen und örtlichen Ausmaße unangemessen gewesen seien und überdies auf eine Verhältnismäßigkeitsprüfung sowie ein Konzept zur Reduzierung der Daten auf das erforderliche Maß gänzlich verzichtet worden sei. Daher hat der Sächsische Landesdatenschutzbeauftragte die Polizeidirektion Dresden, das Landeskriminalamt sowie die Staatsanwaltschaft Dresden jeweils nach § 29 SächsDSG beanstandet.

Er verlangt nun, dass die namentlich bekannt gewordenen Betroffenen rückwirkend informiert und die gespeicherten Datenbestände in den Arbeitsdateien unverzüglich reduziert werden. Die für die Strafverfolgung nicht erforderlichen Daten sollen gelöscht, Rohdaten wiederum gesperrt werden. Für die Zukunft sollen Funkzellendaten nicht für Gefahrenabwehrzwecke gespeichert und der Kennzeichnungspflicht der erhobenen Daten nachgekommen werden. Des weiteren solle diese Enscheidung über die Verwendung von Verkehrsdaten aus den Funkzellenabfragen künftig bei anderen Verfahren Berücksichtigung finden. Dies bedinge, dass in den zu stellenden Anträgen die genaue Bezeichnung der Rechtsgrundlagen erfolge und anhand eines allgemeinen Reduzierungskonzepts, welches für solche Fälle zu erstellen ist, vorgegangen werde. Explizit fordert er ferner, die Schaffung untergesetzlicher Handlungsanweisungen und die Präzisierung der gesetzlichen Grundlagen. (sa)

Sony reagiert mit neuem Sicherheitschef auf Datenschutzdisaster

8. September 2011

Nach den verheerenden Angriffen auf das Playstation Network und Qriocity reagiert Sony mit der Ernennung eines neuen IT-Sicherheitschefs.

Um den „Sommer der Schicksalsschläge, Katastrophen und Unglücke“, wie Sonys Vorstandsvorsitzender Howard Stringer die Vorfälle gegenüber der FAZ nannte, nicht zu einem ganzen Jahr werden zu lassen, ernannte das japanische Unternehmen nun Philip R. Reitinger zum Chef der globalen IT-Sicherheit. Reitinger war zuvor in Schlüsselpositionen der US-Heimatschutzbehörde, bei Microsoft sowie im amerikanischen Verteidigungs- und Justizministerium tätig.

Eine weitere Maßnahme zur Bewältigung des Skandals besteht darin, dass der in Verruf geratene Name Qriocity in Zukunft nicht mehr verwendet wird. Anlässlich der IFA in Berlin gab das Unternehmen bekannt, seine Musik- und Videodienste künftig unter dem Dach des „Sony Entertainment Network“ anzubieten. (se)

Auftragsdatenverarbeitung in Indien nicht von neuen Datenschutzregeln betroffen

Wie bereits im Vorfeld erwartet, reagierte die indische Regierung auf die anhaltende Kritik aus der Wirtschaft, die in Bezug auf 43a IT Act laut wurde. In einer Mitteilung vom 24.08.2011 wird nunmehr klargestellt, dass die angegriffenen Regeln ausschließlich auf indische Unternehmen, die in einem direkten Vertragsverhältnis mit einer natürlichen Person stehen, anzuwenden sind. Es wird weiterhin explizit ausgeführt, dass die Regeln nicht anwendbar sind, wenn ein Auftragsdatenverarbeitungsverhältnis mit einem indischen Unternehmen besteht.

Unternehmen, die ihre Datenverarbeitung nach Indien ausgelagert haben, sind somit voraussichtlich durch die Neuregelung nicht betroffen. (se)

1 157 158 159 160 161 170