Tausende Zugangsdaten von Twitter-Nutzern im Internet veröffentlicht

11. Mai 2012

Medienberichten zufolge sind auf der Dokumentenveröffentlichungsplattform Pastebin 55000 Namen und Zugangsdaten von Twitter-Nutzern publik gemacht worden. Unklar sei, wer die Daten dort eingestellt hat. Nach Angaben von Twitter seien eine Vielzahl der veröffentlichten Daten falsch, doppelt oder seien mittlerweile gesperrten Spam-Zugängen oder möglicherweise auch Fake-Accounts zuzuordnen. Twitter selbst werde die Passwörter automatisch zurücksetzen und die Betroffenen via E-Mail informieren.

Google Analytics: Was Sie als Website-Betreiber beachten müssen!

9. Mai 2012

Obwohl es seit geraumer Zeit eine Möglichkeit gibt, Google Analytics datenschutzkonform zu betreiben, machen davon nur sehr wenige Website-Betreiber Gebrauch. Prüfungen des Bayerischen Landesamtes für Datenschutzaufsicht ergaben beispielsweise, dass lediglich 3 % der bayerischen Website-Betreiber Google Analytics in datenschutzkonformer Weise einsetzen. Beanstandungen durch die zuständige Datenschutzaufsichtsbehörde, Kundenunzufriedenheit und Komplikationen im Alltagsgeschäft sind bei rechtswidrigem Einsatz vorprogrammiert.

Erforderliche Schritte zum rechtskonformen Einsatz von Google Analytics

Vier Schritte sind erforderlich, um Google Analytics rechtskonform einsetzen zu können:

  • Abschluss eines Auftragsdatenverarbeitungsvertrages mit Google
  • Erweiterung um die Funktion „anonymize IP“
  • Einräumung eines Widerspruchsrechtes der User (Browser Add-On)
  • Anpassung Ihrer Datenschutzerklärung: Information über Einsatz von Google Analytics und Widerspruchsrecht

Was tun bei derzeit rechtswidrigem Einsatz von Google Analytics?

Sollten Sie bis dato die oben genannten Maßnahmen nicht umgesetzt haben, ist der Einsatz von Google Analytics rechtswidrig. Ihre Website sollte daher dringend den derzeitigen rechtlichen Regelungen entsprechend angepasst werden und Sie sollten sicherstellen, dass mittels Google Analytics gewonnene Altdaten  gelöscht werden. Dies erfordert eine Schließung des bestehenden Google Analytics Profils und die Neueröffnung eines neuen Profils.

Benötigen Sie Unterstützung bei der datenschutzkonformen Ausgestaltung des Einsatzes von Goolge Analytics oder Unterstützung bei der Kommunikation mit Ihrer Aufsichtsbehörde?

Treten Sie mit uns in Kontakt!

Schatten-Profile durch Freunde-Finder: Uni Heidelberg veröffentlicht Studie über Möglichkeiten – LG Berlin urteilt „rechtswidrig“

Das Heidelberg Collaboratory for Image Processing (HCI) der Universität Heidelberg hat eine Studie zur automatischen Generierung von sogenannten Schattenprofilen veröffentlicht. Schattenprofile sind Datensätze, die soziale Netzwerke über Nicht-Mitglieder erstellen. Dabei bedienen sie sich der Auskunftsfreudigkeit ihrer Mitglieder. Bekanntestes Beispiel hierfür ist der „Freunde-Finder“ des Social Networks Facebook. Über diesen lässt sich Facebook Zugang zu den Email-Adressbüchern ihrer Mitglieder verschaffen um darin enthaltende Nicht-Mitglieder ebenfalls erfassen und nach Möglichkeit für das Netzwerk gewinnen zu können. Dem Mitglied selber wird im Gegenzug in Aussicht gestellt, über veraltete Email-Adressen im Email-Account alte Freunde im Netzwerk wiederzufinden.

Die Studie der Heidelberger Wissenschaftler belegt jetzt, welche Möglichkeiten durch die gesammelten Schattenprofile noch bestehen. So ließen sich durch bestimmte Lern- und Vorhersagealgorithmen bis zu 40% der existierenden Freundschaften unter Nicht-Mitgliedern auf Basis der reinen Kontaktdaten zutreffend generieren. Zudem war nachweisbar, dass darüber hinaus auch die Möglichkeit besteht die sexuelle Orientierung sowie die politische Ausrichtung zu bestimmen.

Nicht erst bereits seit diesen Erkenntnissen bestehen erhebliche Zweifel an der datenschutzrechlichen Konformität des Freunde-Finders. Nach einer Klage der Verbraucherzentrale Bundesverband e.V. (vzbv) urteilte das Landgericht (LG) Berlin (Urteil v. 06.03.2012, Az. 16 O 551 /10) Anfang März und befand die Verwendung dessen durch Facebook als rechtswidrig. So würde der Nutzer nicht ausreichend über die Reichweite der Funktion und deren Hintergrund aufgeklärt. Zudem würden die potentiellen Neumitglieder kontaktiert, ohne dazu ihr Einverständnis gegeben zu haben. Das Urteil ist noch nicht rechtskräftig. (jr)

BfDI: Kritik an Stiftung Datenschutz

7. Mai 2012
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Schaar hat sich ebenfalls kritisch zu der geplanten Stiftung Datenschutz geäußert. Neben der fehlenden Klärung der Zusammenarbeit der Stiftung mit den Datenschutzaufsichtsbehörden bemängelte er, dass die Finanzierung der Stiftung unzureichend sei. Nach seinen Berechnungen würden im Jahr mindestens eine Millionen Euro benötigt, zur Verfügung stünden allerdings nur 200.000 Euro. Eine Zuschussfinanzierung sei ausgeschlossen, weswegen die Stiftung auf Gelder der Privatwirtschaft zurückgreifen müsse, was wiederum die unabhängige Aufgabenwahrnehmung der Stiftung in Frage stelle.

„Eine wirtschaftsfinanzierte Stiftung wird sich stets schwer tun, den Verdacht zu entkräften, dass sie Gefälligkeitsgutachten erbringt, um die Geldgeber nicht zu verprellen. Gütesiegel und Testreihen würden so zu einem wenig aussagekräftigen, nicht einmal besonders werbewirksamen Marketinginstrument.“, so Schaar.
Kategorien: Allgemein
Schlagwörter: ,

Luxemburg: Frühjahrskonferenz der europäischen Datenschutzbeauftragten

4. Mai 2012

Vom 03.05.2012 bis zum 04.05.2012 findet in Luxemburg die Frühjahrskonferenz der europäischen Datenschutzbeauftragten („Spring Conference“) statt. Teilnehmer sind Datenschutzbehörden aus 38 Ländern, Vertreter der Europäischen Kommission, der Europarats und der OECD. Zentrales Thema ist das von der EU-Kommission vorgeschlagene Reformpaket zum EU-Datenschutzrecht. In den Sitzungen werden von den Konferenzteilnehmern außerdem Möglichkeiten zur Stärkung der Rechten von Internetnutzern (z. B. im Rahmen des Cloud Computing und sozialen Online-Netzwerken), Möglichkeiten zur Verringerung des Verwaltungs- aufwands im Hinblick auf eine verstärkte Rechenschaftspflicht von Datenverar- beitern, die weiterentwickelte Rolle der nationalen Datenschutzbehörden, der Schutz personenbezogenerDaten im Bereich von Polizei und Justiz sowie die Modernisierung internationaler Datenschutz-Rechtsnomren (Konvention 108 des Europarates, OECD-Richtlinien) behandelt.

Aktuelle Berichte von der Frühjahrskonferenz stellt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Schaar in seinem Blog bereit.

70.000 Pfund Strafe für Walisische Gesundheitsbehörde

2. Mai 2012

Wie die BBC online berichtet, wurde ein walisisches Gesundheitsamt als erste staatliche Behörde mit einer Geldbuße von 70.000 Pfund belegt. Grund ist die Weitergabe von sensiblen Gesundheitsdaten eines Patienten an den falschen Adressaten.

Der betreffende Arzt hatte den Namen falsch geschrieben und keine weiteren Informationen zur Identifikation an seine Sekretärin weitergeleitet, die das Schreiben schließlich an einen anderen Empfänger mit ähnlichem Namen sendete.

Nach Angaben des Information Commissioner’s Office enthielt das Schreiben genaue Details über den Gesundheitszustand des Patienten und bedeute einen ernsthaften Datenschutzverstoß. Die folgende Untersuchung des Vorfalls habe ergeben, dass das Personal weder datenschutzrechtlich geschult gewesen sei, noch hätte es Routinen zur Überprüfung der richtigen Empfängeradressen gegeben.

Gleichzeitig bemängelte das ICO, dass ähnliche Standards zum Datenschutzrecht auch in anderen Einrichtungen herrschen, wobei doch das Gesundheitswesen mit den sensibelsten Daten umgehe.

Die Behörde reagierte inzwischen und will für die Zukunft sicherstellen, dass alle Mitarbeiter und Angestellten Schulungen zum Datenschutz erhalten und sich an die Richtlinien zum Datenschutz halten.

Der betroffene Patient bekam ein Entschuldigungsschreiben.

ALDI SÜD: Unzulässige Videoaufzeichnungen von Kundinnen

30. April 2012

Nach Angaben des Nachrichtenmagazins Spiegel haben Filialleiter von hessischen Filialen der Unternehmensgruppe ALDI SÜD – u.a. in Frankfurt am Main und Dieburg – Kundinnen verdeckt beim Einkauf gefilmt. Insbesondere seien Kundinnen in kurzen Röcken oder ausgeschnittener Oberbekleidung, die sich über Kühltheken beugten oder vor Regalen bückten, betroffen. Die Filme, auf denen die Kundinnen mittels Zooms besonders hervorgehoben worden seien, sollen auf CD gebrannt und im Anschluss untereinander ausgetauscht worden sein. ALDI SÜD habe sich bislang nicht zu den konkreten Fällen geäußert, jedoch kommentiert, dass ein Fehlverhalten eines einzelnen Mitarbeiters nicht ausgeschlossen werden könne. Sollte ein missbräuchlicher Umgang den Vorgesetzten bekannt werden, werde dieses umgehend untersucht, unterbunden und ziehe entsprechende disziplinarische Konsequenzen nach sich.

BfDI: Kritik an Erfassung von Fluggastdaten

27. April 2012

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Schaar hat die Entscheidung der Innenminister der EU-Mitgliedstaaten für ein europaweites System zur fünfjährigen Speicherung von Fluggastdaten öffentlich kritisiert. Die Entscheidung zur anlasslosen Vorratsspeicherung von Daten unverdächtiger Flugpassagiere sei ein weiterer großer Schritt zur lückenlosen Überwachung alltäglichen Verhaltens, wovor das Bundesverfassungsgericht in seinem Urteil zur Vorratsdatenspeicherung von Telekommunikationsdaten ausdrücklich gewarnt habe. Er könne nur dringend mahnen, diese Warnung ernst zu nehmen. Das Gericht habe festgestellt, dass die Vermeidung einer Totalüberwachung zur verfassungsrechtlichen Identität der Bundesrepublik Deutschland gehöre und für weitere Vorratsdatenspeicherungen – auch auf europäischer Ebene – deshalb kaum noch Raum bestünde. Außerdem sei das Vorhaben, alle Fluggäste auf der Grundlage der Daten einer Gefahrenanalyse zu unterziehen, aufgrund seiner Parallelen zu einer Rasterfahndung sehr bedenklich.

„Bei den nun beginnenden Verhandlungen des Rates mit dem Europäischen Parlament setze ich darauf, dass die Abgeordneten des Europäischen Parlaments das Vorhaben stoppen, ganz im Sinne des neuen Gewichts, das ihnen der Vertrag von Lissabon gegeben hat, und ganz im Sinne der Grundrechtecharta der Europäischen Union.“, so Schaar.

Deutsche Telekom: Sicherheitslücken bei WLAN-Routern der Marke Speedport

26. April 2012

Die Deutsche Telekom hat am gestrigen Tage bekannt gegeben, dass die WLAN-Router der Marke Speedport W 504V, Speedport W 723V Typ B und Speedport W 921V Sicherheitslücken aufweisen. Diese sollen dazu führen können, dass sich in der Reichweite des Funknetzwerkes befindliche Angreifer unbefugt Zugang zu dem WLAN beschaffen können (z.B. über den Anschluss im Internet surfen oder ggf. auf Dienste oder Komponenten in dem Heimnetzwerk zugreifen können, die nicht passwortgesichert sind). Betroffenen Kunden werde empfohlen, die WPS Funktion in dem Speedport W 504V und Speedport W 723V Typ B über die Konfigurations-Weboberfläche des Geräts zu deaktivieren, bis die fehlerbereinigte Softwareversion vorliegt. Ergänzend solle ein neues, sicheres WLAN-Passwort vergeben werden. Bei dem Speedport W 921V solle die WLAN Funktion komplett ausgeschaltet werden. Es werde mit Hochdruck an einem Firmwareupdate für die genannten Speedport Modelle gearbeitet, so das Unternehmen.

Gesundheitsdatenschutz: Vernichtung von Patientenakten

Der erst in der jüngeren Vergangenheit bekannt gewordene Datenskandal bei der Asklepios Klinik Hamburg-Eilbek zeigt, dass – erst recht wenn besondere Arten personenbezogener Daten wie Patientendaten betroffen sind – besonderes Augenmerk auf die Organisation der Aktenvernichtung gelegt werden muss. Eine unzureichende Organisation im Vernichtungsablauf kann schnell zur Folge haben, dass Patientenakten in unbefugte Hände geraten, was – von dem ungewünschten Medienecho ganz zu schweigen – nicht nur datenschutzrechtlich unzulässig und bußgeldbewehrt ist, sondern auch strafrechtliche Relevanz hat.

Aber was muss eine verantwortliche Stelle beachten, damit der Datenschutz bei der Vernichtung von Patientenakten in adäquater Form gewahrt wird?

Strukturierung der Abläufe

Zunächst ist es unabdingbar, die Abläufe hinreichend zu strukturieren. Es sollten auf dem Betriebsgelände verschlossene Entsorgungsbehälter in angemessener Anzahl an zentralen Stellen positioniert werden. Abteilungen, in denen erfahrungsgemäß viele und überwiegend besondere Arten personenbezogener Daten anfallen (z.B. Personalabteilung, Archiv), sollten mit einem eigenen Entsorgungsbehälter ausgestattet werden. Alle Mitarbeiter sollten angehalten werden, vertrauliches Material – was im Einzelnen genau zu definieren wäre – umgehend in die dafür vorgesehenen verschlossenen Entsorgungsbehälter zu verbringen. Zwischenlagerungen (z.B. in einem Karton unter dem Schreibtisch) sind zu vermeiden, jedenfalls dann, wenn das Büro nicht durchgängig sozial überwacht oder abgeschlossen ist.

Schlüssel zur Öffnung der Entsorgungsbehälter sollten nicht in den allgemeinen Umlauf gelangen, sondern von einer Person, die einen Stellvertreter für Fälle der Abwesenheit benennt, verwaltet werden. Öffnungen der Entsorgungsbehälter sollten nur in konkret definierten (Ausnahme-)Fällen unter Wahrung des Vier-Augen-Prinzips (z.B. unter Hinzuziehung des Datenschutzbeauftragten) gestattet werden.

Haben die Entsorgungsbehälter ihren maximalen Füllstand erreicht, ist eine sichere Abholung zur Vernichtung durch einen externen Dienstleister, mit dem ein Vertrag zur Auftragsdatenverarbeitung abzuschließen wäre, zu gewährleisten. Bis zur Abholung durch den externen Dienstleister ist es empfehlenswert, die zuständige Abteilung aufzufordern, auch bis dahin jede Zwischenlagerung des zu vernichtenden Materials in öffentlich zugänglichen Bereichen zwingend zu vermeiden. Diese sind allenfalls in stets verschlossenen und nur von einem eng umgrenzten Personenkreis zuzulassen.

Eine hinreichende Dokumentation der Abläufe und Verantwortlichkeiten sowie des jeweiligen Vernichtungsvorgangs sind empfehlenswert.

Sensibilisierung der Mitarbeiter

Die beste Ablaufsorganisation hilft allerdings nur wenig bei der Vermeidung von Datenschutzverstößen, wenn die Vorgaben nicht von allen Mitarbeitern im Betriebsalltag umgesetzt und „gelebt“ werden. Daher sollten die Mitarbeiter zum einen in Form einer Arbeitsanweisung mit den Strukturen vertraut gemacht und insbesondere aufgefordert werden, vertrauliches Material umgehend in die dafür vorgesehenen verschlossenen Entsorgungsbehälter zu verbringen. Zum anderen sind sie regelmäßig auf die Einhaltung des Datenschutzes im Allgemeinen sowie im Speziellen bei der Aktenvernichtung zu schulen.

Haben Sie Fragen zu diesem Themenkomplex? Kinast & Partner, deren Rechtsanwälte bundesweit als externer Datenschutzbeauftragter tätig sind, stehen Ihnen gern zur Verfügung.

1 158 159 160 161 162 184