Französische Datenschutzbehörde gibt Tipps zur Umsetzung der ePrivacy-Richtlinie

23. November 2011

Nachdem Frankreich die Vorgaben der ePrivacy Richtlinie, die oftmals auch als Cookie-Richtlinie bezeichnet wird, in nationales Recht umgesetzt hat, veröffentlichte die französische Datenaufsichtsbehörde (CNIL) vor Kurzem einen Leitfaden zur Handhabung der neuen Regeln auf ihrer Website.

Damit stellt die CNIL zunächst klar, dass sie eine Einwilligung im Wege der Browser-Einstellungen hinsichtlich der Akzeptanz von (Dritt-)Cookies – entgegen der bislang allgemein geäußerten Auffassung – für unzureichend hält. Für die Betreiber, die in Frankreich mit Cookies operieren ergeben sich somit zumindest Prüfpflichten, ob das Angebot noch rechtskonform erfolgt.

Klarstellend wird weiterhin ausgeführt, dass der Begriff „Cookie“ weit auszulegen ist. So sind auch die sogenannten Flash-Cookies (local shared objects) und andere lokal gespeicherte Webinhalte (DOM Storage) Unterfälle eines „Cookies“ im Sinne der Richtlinie.

Interessant ist insbesondere die exemplarische Auflistung der Fälle, in denen die CNIL keine Notwendigkeit einer Einwilligung vor dem Setzen eines Cookies sieht:

  • Cookies für virtuelle Einkaufswagen
  • SessionID-Cookies, die dazu benötigt werden, die vom Nutzer angeforderten Dienste bereitzustellen.
  • Cookies, die ausschließlich dazu beitragen, die vom Nutzer gewünschte Sicherheit zu ermöglichen.
  • Cookies, welche die Sprache des Nutzers registrieren (bei Seiten mit mehreren Sprachoptionen).
  • Cookies, die andere Präferenzen des Nutzers speichern, welche notwendig sind, um die angeforderten Dienste bereitzustellen.
  • Auch Flash-Cookies sollen zustimmungsfrei sein, sofern diese benötigt werden, um vom Nutzer angeforderte Multimediainhalte abzuspielen.

Bezüglich Drittanbieter-Cookies (beispielsweise Werbenetzwerken) wird klargestellt, dass keine doppelte Zustimmung notwendig ist. Wenn der Nutzer also bereits gegenüber einem Werbentzwerk seine Einwilligung erklärt hat, muss er dies nicht noch einmal tun, wenn durch dieses Werbenetzwerk auf der Seite eines Kunden ein Cookie gesetzt wird. Ebenso ist beim wiederholten Besuch einer Website keine erneute Zustimmung erforderlich.

Sofern der Nutzer dem Setzen eines Cookies nicht zustimmt, könnte ihm nach Vorstellung der CNIL die Möglichkeit geboten werden, den Cookie dauerhaft oder nur für diesen Besuch abzulehnen. Diese Angaben könnten in einem „Ablehungscookie“ gespeichert werden.

Die heutigen Möglichkeiten, Cookies mithilfe der im Webbrowser implementierten Technicken zu verwalten, hält die CNIL noch für unausgereift. Explizit stört man sich daran, dass:

  • die bisherigen Browserlösungen dem Nutzer keine klaren und vollständigen Informationen bereitstellen, wenn die Zustimmung angefordert wird.
  • die Websiten, die sich der Browsermechanismen bedienen wollen, keine Möglichkeit haben, zu überprüfen, ob die korrekten Browsereinstellungen gewählt wurden.
  • die bisherigen Browsereinstellungen nicht zwischen solchen Cookies unterscheiden können, die einer vorherigen Zustimmung bedürfen und solchen, die zustimmungsfrei sind.
  • die Einstellungen für den Nutzer schwierig anzuwenden sind, und sich von Browser zu Browser stark unterscheiden.

Nichtsdestotrotz zieht man die Möglichkeit in Betracht, dass sich in Zukunft eine wirksame Zustimmung über ein zusätzliches Browsermodul oder eine Webplattform erteillen lässt. Den bisherigen Versuchen der Werbewirtschaft wie www.youronlinechoices.com steht die CNIL kritisch gegenüber, da sich diese ausschließlich auf die alte Rechtslage bezögen und eine Anpassung an die aktuellen Erfordernisse schwer vorstellbar erscheine.

Es wird jedoch nicht nur darauf hingewiesen, was nicht ausreichend ist, sondern auch Beispiele angeführt, wie eine wirksame Zustimmung erreicht werden könnte:

  • Ein Banner am oberen Ende der der Website, wie z.B. auf der ICO Website.
  • Ein die Seite überlagernder Zustimmungsbereich.
  • Checkboxen, die angehakt werden müssen, wenn man sich für einen Online-Service registriert.

Ablehnend steht die französische Datenschutzbehörde hingegen Popups gegenüber, da diese regelmäßig von Browsern geblockt werden.

Abschließend wird festgehalten, dass Websitebetreiber verantwortlich für Drittanbietercookies sind, sofern diese beim Besuch ihrer Website gesetzt werden. Außerdem wird klargestellt, dass eine Zustimmung nicht durch Nutzungsbedinungen oder deren Änderung erfolgen kann.

Am Ende wird darauf aufmerksam gemacht, dass pro Verstoß Bußgelder bis zu 300.000 € und strafrechtliche Verfolgung drohen.

Auch für Unternehmen außerhalb Frankreichs dürften diese Einschätzungen eine wertvolle Orientierungshilfe darstellen, da die nationalstaatlichen Regelwerke bestenfalls in Details voneinander abweichen.(se)

„Drücken“ und „Ziehen“ – Kritik am geplanten Fluggastdaten-Abkommen zwischen der EU und den USA

Wie bereits berichtet, hat sich die EU-Kommission mit den USA auf ein neues Fluggastdaten-Abkommen (PNR-Abkommen) geeinigt, das die Erhebung von 19 Daten legitimieren soll. Zu diesen Daten gehören Name, Anschrift, Kreditkartennummer, Telefonnummer, Reiseverlauf, Gepäckinformationen, Sitzplatz und auch das im im Flugzeug bestellte Essen. Diese Daten werden nicht ausschließlich von Personen erhoben, die in die USA einreisen, sondern auch von solchen Passagieren, die im Laufe ihrer Reise über die USA fliegen.

Nach dem Bekanntwerden der Pläne ist umgehend Kritik an den neuen Plänen laut geworden. Stein des Anstoßes ist insbesondere folgende Regelung: Obwohl die Fluggesellschaften im Regelfall die Daten an die US-Behörden übermitteln sollen (Push-Methode), können die US-Behörden die Daten doch eigenmächtig aus dem Buchungssystem der Airlines entnehmen (Pull-Methode), wenn eine Übermittlung durch die Gesellschaften technisch nicht möglich ist, oder eine „dringende und ernste Gefahr“ besteht, die es abzuwehren gelte.

Peter Schaar drückte gegenüber der Berliner Zeitung seinen Unmut über diese Regelung aus, weil sie es den US-Behörden doch ermögliche direkt auf den gesamten Datensatz, welcher auch sensible Daten enthalte, zuzugreifen. Der Bundesdatenschutzbeauftrage störte sich weiterhin daran, dass die Daten ohne Anfangsverdacht und Erforderlichkeitsnachweis jahrelang von den US-Behörden gespeichert werden dürften.

Auch Jan Philipp Albrecht, der für die Grünen im EU-Parlament sitzt, sprach von einer „Mogelpackung“, die keine substanziellen datenschutzrechtlichen Verbesserungen im Vergleich zur Vorversion brächte und aus verfassungsrechtlichen Gründen abzulehnen sei. Als „nicht zustimmungsfähig“ erachtet der liberale EU-Parlamentarier Alexander Navaro den Entwurf und moniert insbesondere, dass den USA weitergehendere Befugnisse zugestanden würden, als dies für Kanada und Australien der Fall sei.
Der unabhängige österreichische EU-Abgeordnete Martin Ehrenhauser wirft der Kommission gar vor, dass diese gezielt die Unwahrheit verbreite und mit Hilfe eines „Datenwäsche-Tricks“ Bürgerrecht umgehe.

Zum Inkrafttreten des Abkommens ist neben der Zustimmung der Mitgliedsstaaten auch die Zustimmung des EU-Parlaments notwendig. Einem PNR-Abkommen mit Australien stimmte das EU-Parlament kürzlich zu. Im Gegensatz zum geplanten Abkommen mit den USA bleibt den australischen Sicherheitsbehörden jedoch der eigenmächtig Pull-Zugriff auf die Daten verwehrt. Nichtsdestotrotz darf bezweifelt werden, dass die weitergehenden Zugriffsrechte der US-Behörden dazu führen, dass das EU-Parlament seine Zustimmung verweigert. (se)

ENISA mahnt zur Vorsicht beim Cloud Computing

Udo Helmbrecht, Direktor der Europäischen Agentur für Netz- und Informationssicherheit, warnte Medienberichten zufolge vor einer unvorsichtigen Nutzung des Cloud Computings. Gerade mittelständische Unternehmen speicherten sensible Daten in der digitalen Wolke, so Helmbrecht, ohne datenschutzrechtliche Risiken zu beachten. Handele es sich um ausländische Anbieter von Cloud Computing, landeten die Daten möglicherweise in den USA oder anderen Drittstaaten. Dieser Datentransfer verstößt möglicherweise gegen das Bundesdatenschutzgesetz – und birgt damit ungeahnte Risiken für die Unternehmen, die auf das kostensparende Cloud Computing setzen.

Nach Ansicht von Helmbrecht seien die ersten Skandale beim Cloud Computing nur noch eine Frage der Zeit. (ssc)

severalnines/City Network: EU-Cloud-Service

Medienberichten zufolge haben sich die Unternehmen severalnines und City Network zusammengeschlossen, um europäischen Nutzern die Inanspruchnahme von Cloud-Diensten zu ermöglichen, ohne dass ein außereuropäischer Zugriff auf die Daten, z.B. durch US-Behörden aufgrund des umstrittenen Patriot-Act, erfolgt. Der gemeinsam angebotene Cloud-Dienst „Database as a Service“ soll der erst rein europäische Dienst sein, mittels dessen Unternehmen die Konfiguration ihrer Datenbanken in eine Cloud auslagern können. Damit soll ein datenschutzkonform- es Cloud Computing gewährleistet werden. (sa)

BfDI: Datenschutz zu Zeiten des Internetprotokolls Version 6 (IPv6)

22. November 2011

Am heutigen Tage hielt der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) Peter Schaar in Kooperation mit dem Museum für Kommunikation in Berlin ein Symposium zu der Einführung des Internetprotokolls IPv6 und verwies Medienberichten (Artikel nicht mehr abrufbar) zufolge auf dramatische Konsequenzen für die Internet-Nutzer, die mit der Umstellung auf diesen Standard und der Möglichkeit einer festen Adresse einhergehen sollen. Die massive Ausweitung der Zahl möglicher Internetadressen – von bisher 4,3 Milliarden auf 340 Sextillionen möglicher Internetadressen – führe dazu, dass man jedes am Internet ange- schlossene Gerät auf Dauer zu identifizieren vermag. Die Internet-Adresse werde so zu einem „unverwechselbaren Identifikationsmerkmal“ des entsprechenden Gerätes, weswegen man sich Gedanken machen müsse, wie die Privatsphäre auch in Zeiten von IPv6 geschützt werden kann. Dies könne mit strikter Umsetzung des Grundsatzes „Privacy by default“ realisiert werden, d.h. der Schutz der Privatsphäre müsse bereits in den Standardeinstellungen gewährleistet sein. (sa)

Kategorien: Allgemein
Schlagwörter: , ,

BMI: Längere Speicherfristen von Daten über Tatverdächtige

Der Bundesinnenminister Friedrich sieht Medienangaben zufolge aufgrund der Mordserie der rechtsextremen Vereinigung „Nationalsozialistischer Untergrund“ Reformbedarf hinsichtlich der Speicherfristen von Daten über Tatverdächtige durch den Verfassungsschutz. Die derzeitige Speicherfrist von fünf Jahren sei zu kurz. Ferner sei es nicht sachdienlich, zwischen gewalttätigen und anderen Extremisten zu differenzieren. Außerdem könne sich Friedrich vorstellen, die Kompetenzen des Generalbundesanwaltes zu stärken, wenn Ermittlungen in Bezug auf Fälle schwererer Kriminalität die Landesgrenzen überschreiten. Auf diese Weise soll unterbunden werden, dass die Staatsanwaltschaften der Länder größere Zusammenhänge von Verbrechensserien übersehen. (sa)

Niederlande: Automatische Grenzüberwachungen ab 2012

21. November 2011

Medienangaben zufolge werden derzeit an 15 niederländischen Grenzübergängen nach Deutschland und Belgien automatische Überwachungsanlagen installiert, die ab Januar 2012 standardisiert alle in die Niederlande einreisenden Kfz fotografisch erfassen sollen. Zeige der der Erfassung folgende computergestützte Abgleich Auffälligkeiten, soll das verdächtige Kfz von den Ermittlungsbehörden abgefangen und kontrolliert werden. Diese Überwachungsform diene der Bekämpfung von Menschenhandel und illegaler Einwanderung. Die Europäische Kommission habe, u.a. wegen einer möglichen Beschränkung des freien Grenzverkehrs, genauere Informationen aus Den Haag angefordert. Man wolle den Sachverhalt auf Vereinbarkeit mit dem Schengener Abkommen prüfen.

In Deutschland hat das Bundesverfassungsgericht im Jahre 2008 die automatisierte Kennzeichenerfassung für unzulässig erklärt. (sa)


BITKOM: Umfrage zu Sozialen Netzwerken

Laut einer im Auftrag des Bundesverbandes Informationswirtschaft, Tele- kommunikation und neue Medien e.V. (BITKOM) durchgeführten Umfrage sind knapp 75 Prozent der deutschen Internetnutzer Mitglied mindestens eines sozialen Netzwerkes. Das beliebteste Netzwerk sei Facebook, welches 51 Prozent aller deutschen Internetnutzer aktiv nutzen sollen. 27 Prozent der Internetnutzer wiederum seien Mitglieder bei Stayfriends, 23 Prozent bei einem der VZ-Netzwerke, 19 Prozent bei „Wer kennt wen“ und 9 Prozent bei dem Business-Netzwerk Xing. Das erst in diesem Jahre gestartete soziale Netzwerk Google+ werde – ebenso wie der Kurznachrichtendienst Twitter – von 6 Prozent der deutschen Nutzer verwendet und habe sich unter den sozialen Netzwerken entsprechend „etabliert“.  Seit März dieses Jahres haben den Erhebungen zufolge lediglich Facebook und Google+ neue Nutzer dazu gewonnen, bei anderen sozialen Netzwerken (z.B. Stayfriends, VZ–Netzwerke) stagnierte die Anzahl der Neumitglieder oder war rückläufig. (sa)

 

Kategorien: Allgemein
Schlagwörter: ,

BfDI: Warnung vor zu schnellen Schluss- folgerungen aus rechtsextremer Mordserie

18. November 2011

Medienberichten zufolge hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Schaar vor zu schnellen Schlussfolgerungen aus der jüngst bekanntgewordenen Mordserie von Rechtsextermen gewarnt. Weder die Errichtung eines Abwehrzentrums noch die Errichtung eines gemeinsamen Registers, in der Daten über gewaltbereite Rechtsextremisten und politisch rechts motivierte Gewalttaten zusammengeführt werden sollen (Neonazi-Datei), würden Wesentliches ändern. Bereits jetzt sei ein Informationsaustausch zwischen Verfassungsschutz und Polizei möglich, wenn Hinweise auf bevorstehende oder stattgefundene terroristische Aktivitäten vorlägen. Es gehe jetzt darum, festzustellen, ob solche Informationen tatsächlich vorlagen, bevor vorschnell neue Strukturen gefordert würden, „die letztlich gar nichts bringen“, so Schaar. Er sehe in entsprechenden Forderungen einen gewissen „Aktionismus“. (sa)

Die eigenen Basisstationen aus Googles WLAN-Datenbank entfernen

17. November 2011

Google betreibt eine Datenbank, in der alle bekannten WLAN-Basisstationen verzeichnet sind. Die Standorte der Netzwerke werden gespeichert und dazu verwendet, auch ohne GPS-Signal eine ungefähre Positionssbestimmung zu ermöglichen. Ein Teil der Daten wurde durch Fahrten mit den Street-View-Fahrzeugen zusammengetragen; andere Daten stammen von mobilen Endgeräten, wie z.B. Android-Telefonen. Ebenso wie bei den Mitbewerbern Apple und Microsoft gab es in der Vergangenheit Unstimmigkeiten in Bezug auf den Datenschutz dieser Geolocation-Dienste.

Wer möchte, dass seine Basistation nicht mehr erfasst wird, kann dies auf einfache Weise erreichen. Google führt dazu in einem Blogeintrag aus, dass bei der Netzwerkkennung (SSID) ein „_nomap“ angehängt werden muss. Lautet der Name des Netzwerkes also bisher „JuppMüller“, reicht es aus, das Netzwerk in „JuppMüller_nomap“ umzubennen. Dies kann einfach über die Konfigurationsoberfläche der WLAN-Basisstation geschehen. Beispiele für das Vorgehen bei verschiedenen Endgeräten gibt Google auf einer Hilfeseite.

Wer die Datensammlung zur Postionsbestimmung generell nicht unterstützen möchte, sollte bei seinem Endgerät die Option deaktivieren, Standorte mit Hilfe von Mobilfunk- und WLAN-Netzwerken zu bestimmen. Durch das Abschalten dieser Option wird üblicherweise auch die Übertragung der gefundenen Netze an den Datenbankbetreiber unterbunden. Dies gilt herstellerübergreifend für alle Mobilgeräte mit Ortungsfunktionen.

Die Möglichkeit eines Opt-Outs für bereits in der Datenbank befindliche Daten bietet bisher allerdings nur Google. Google selbst drückt in dem Blogeintrag jedoch die Hoffnung aus, dass das einfache Anhängen eines „_nomap“  an die SSID sich universell durchsetzt und in Zukunft von mehreren Betreibern von Geolocation-Datenbanken berücksichtigt wird. (se)

1 158 159 160 161 162 175