Hamburg: Datenschutzbeauftragter Caspar im Amt bestätigt

22. Juni 2015

Hamburgs Datenschutzbeauftragter Johannes Caspar bleibt weitere sechs Jahre im Amt. Die Hamburgische Bürgerschaft hat Caspar Medienberichten zufolge mit einer Zustimmung von 89,5 Prozent gewählt. „Das ist ein gutes Wahlergebnis, das gibt Rückenwind für die nächsten sechs Jahre, die ja nicht leicht werden angesichts der vielen, vielen Baustellen“, so Caspar zu dem Wahlergebnis.

Caspar ist seit 2009 im Amt. Bundesweit ist er vor allem wegen seines Engagements für mehr Datenschutz rund um die Aktivitäten der Internetkonzerne Google und Facebook, die beide in Hamburg ihren deutschen Sitz haben, aufgefallen. Dabei ging es z.B. um das Abfotografieren ganzer Straßenzüge durch Google Streetview oder Gesichtserkennungsprogramme im sozialen Netzwerk Facebook.

Kategorien: Allgemein
Schlagwörter: , ,

Bundestag verabschiedet IT-Sicherheitsgesetz

17. Juni 2015

Vergangene Woche hat der Bundestag den Entwurf eines neuen IT-Sicherheitsgesetzes verabschiedet. Die jüngsten Berichte über den Hacker-Angriff auf den Bundestag verdeutlichen die drohenden Gefahren durch Cyber-Attacken. Mit den nun verabschiedeten Regelungen beabsichtigt der Gesetzgeber solchen Gefahren eine geringere Angriffsfläche zu bieten. Die Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität von informationstechnischen Systemen (IT-Systemen) zu gewährleisten, ist der Zweck der Neuerungen zum IT-Sicherheitsgesetz.

Die störungsfreie Nutzung von IT-Systemen ist für Staat, Wirtschaft und Gesellschaft von überragender Bedeutung. Dementsprechend gravierend wären die Schadensausmaße, wenn unbefugte Dritte sich Zugriff auf IT-Systeme ­- beispielsweise von Energieversorgern oder Krankenhäusern – verschafften. Vor diesem Hintergrund hat der Gesetzgeber nun den Kreis derer erweitert, die zukünftig bestimmte Sicherheitsstandards umzusetzen haben. Welche Verpflichtungen sich hieraus ergeben, soll im Folgenden kurz dargestellt werden.

Eine wesentliche Neuerung des Gesetzesentwurfs liegt in den eingeführten Pflichten der Betreiber sogenannter „Kritischer Infrastrukturen“. Adressaten der Regelungen sind entsprechend der Definition Anbieter solcher Dienstleistungen, die den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Ernährung sowie dem Finanz- und Versicherungswesen angehören.

Nach Inkrafttreten des Entwurfes des IT-Sicherheitsgesetzes wird der Gesetzgeber in einer Rechtsverordnung konkrete Dienstleistungen dieser Sektoren festlegen, so dass sich auf dieser Grundlage genau bestimmen lässt, wer Betreiber einer Kritischen Infrastruktur ist.

Von dem Anwendungsbereich des IT-Sicherheitsgesetzes ausgenommen sind jedenfalls sogenannte „Kleinstunternehmen“. Kleinstunternehmen im Sinne der Vorschriften des IT-Sicherheitsgesetzes sind solche, bei denen weniger als 10 Personen beschäftigt sind und deren Jahresumsatz unter dem Betrag von € 2 Mio. liegt.

Gehört ein Unternehmen zukünftig hingegen zu den Betreibern Kritischer Infrastrukturen treffen ihn besondere Pflichten, die er gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (Bundesamt) als zuständige Stelle zu erfüllen hat.

Zukünftig besteht die Verpflichtung angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen für IT-Systeme einzuführen. Eine organisatorische und technische Vorkehrung ist angemessen, wenn die Belastung, welche für das Unternehmen durch ihre Implementierung entsteht, im Verhältnis zu dem Ziel , welches durch sie erreicht werden soll, nicht unverhältnismäßig groß ist. Diese Vorgabe der technischen und organisatorischen Vorkehrungen hat der Gesetzgeber bewusst offen formuliert. An dieser Stelle haben Branchen- und Interessenverbände der betroffenen Adressaten die Möglichkeit, eigene Maßstäbe zu definieren. Aufgrund ihres branchenspezifischen Fachwissens sollen die Interessenverbände gut die Angemessenheit von Vorkehrungen beurteilen können.

Die Verwendung von Mindeststandards haben die einzelnen Unternehmer alle zwei Jahre gegenüber dem Bundesamt nachzuweisen. Die Nachweise können durch Zertifikate, Prüfungen oder Sicherheitsaudits erbracht werden. Auch hier hat der Gesetzgeber den Branchenverbänden einen Gestaltungsspielraum bezüglich der konkreten Anforderungen an mögliche Nachweise eingeräumt.

Des Weiteren haben Unternehmen innerhalb von sechs Wochen nach Inkrafttreten des Gesetzes eine Kontaktstelle einzurichten, über welche die Korrespondenz mit dem Bundesamt abgewickelt werden soll.

Schließlich normiert das Gesetz eine Meldepflicht für Bertreiber Kritischer Infrastrukturen gegenüber dem Bundesamt. Treten erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit informationstechnischer Systeme, ihrer Komponenten oder Prozesse, auf, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder bereits geführt haben, muss dies dem Bundesamt durch die Kontaktstelle gemeldet werden.

Für Diensteanbieter im Sinne des Telemediengesetzes sei schließlich erwähnt, dass die nicht-Verwendung der Mindeststandards bußgeldbewehrt ist.

Ob es letztendlich tatsächlich zu einer erhöhten Sicherheit von IT-Systemen kommt, bleibt abzuwarten.

EU-Datenschutzgrundverordnung aktuell (1): Die Verordnung nimmt Formen an

16. Juni 2015

Nach dreieinhalb Jahren (oder 40 Monaten) Verhandlungen haben sich die EU-Mitgliedsstaaten auf einen ersten Entwurf einer europaweiten Datenschutzverordnung geeinigt. Vorausgegangen war eine der größten Lobbyschlachten der letzten Jahre. Der Grünen-Europa-Abgeordnete Jan-Philipp Albrecht (stellvertretender Vorsitzender des Justiz- und Innenausschusses des Europäischen Parlaments) lobt in einem Interview mit der Deutsche Welle dennoch den gefundenen Kompromiss als gelungenen Ausgleich zwischen den Interessen der Wirtschaft und den Freiheitsrechten der Bürger.

Experten sehen dies deutlich skeptischer. Heise.de bemängelt vor Allem die faktische Aufhebung der Zweckbindung (also das Prinzip, dass Daten nur für den Zweck ihrer Erhebung verwendet werden dürfen) sowie des insbesondere in Deutschland geltenden Grundsatzes der Datensparsamkeit (das Prinzip so wenig wie möglich personebezogene Daten zu erheben, zu nutzen bzw. zu verarbeiten).

Auch das sich mittlerweile etablierte Prinzip des Opt-In (etwa zur Anmeldung zu Newslettern und Werbemails) könnte zukünftig nicht mehr gelten. So ist eine Formulierung geplant, dass zukünftig die „unzweideutige Einwilligung“ ausreichen soll. Ob damit gemeint ist, dass künftig auch ein mehr oder wenig leicht zu erkennender Hinweis in einem langen Text von Einwilligungen genügen soll, um entsprechende Mailings vorzunehmen, scheint nicht ausgeschlossen.

Die Nutzung der Daten für Direktmarketing soll zukünftig bereits dann möglich sein, wenn das Interesse eines Drittunternehmens (also nicht nur des Unternehmens, welches die Daten erhoben hat) bei einer Abwägung größer als das des Betroffenen eingeschätzt wird.

Ob und wie das viel diskutierte Recht auf Vergessenwerden tasächlich in der finalen Verordnung Einzug finden wird, bleibt abzuwarten.

Auch die Konsequenzen von Datenschutzverstößen für Unternehmen, die sich nicht einmal an die geplanten Rahmenbedingungen halten möchten, sollen deutlich sanfter ausfallen als bisher geplant. War in der Vergangenheit von Bußgeldern i.H.v. 100 Millionen Euro oder 5 Prozent des Jahresumsatzes die Rede wurden diese Zahlen nun deutlich reduziert. Ob sich große internationale Unternehmen, die mit den personenbezogenen Daten ihrer Nutzer viel Geld verdienen, von einem Bußgeld i.H.v. maximal 250.000 € von Verstößen abschrecken lassen werden, wird die Zukunft zeigen.

Wie die Verordnung am Ende tatsächlich aussieht hängt von den Verhandlungen zwischen EU-Kommission, Parlament und Ministerrat ab. Diese sollen bis Ende des Jahres abgeschlossen sein.

Leak-it-yourself: Sicherheitsrisiko Intranet

12. Juni 2015

Wie schnell Unternehmen die Kontrolle über vertrauliche Daten verlieren können, zeigt die Recherche eines Teams der Nachrichten-Website Heise online. In diesem Falle wurde gezielt nach der Datenleck-Stelle „Intranet“ gesucht. Aufwendige Tools braucht man dafür genauso wenig wie besonderes Expertenwissen: Die Recherche funktioniert über Google.

Dabei wurde der Suchoperator einfach so konfiguriert, dass die Suchmaschine nur Inhalte herausfiltert, welche Intranets entstammen („inurl:intranet“). Damit konnten zahlreiche Dokumente gefunden werden, welche nie für eine Öffentlichkeit bestimmt waren, und zudem personenbezogene Daten im Sinne des § 3 Absatz 1 Bundesdatenschutzgesetz (BDSG) beinhalteten. Neben Geburtsdaten, Telefonnummern und Angaben mit familiärem Bezug wurden sogar Dokumente online gefunden, welche Gesundheitsdaten aufführten – besonders sensible personenbezogene Daten also, welche der Gesetzgeber im Bundesdatenschutzgesetz unter ein erhöhtes Datenschutzniveau stellt.

Offenkundig wurden solche Dokumente von Mitarbeitern der betroffenen Unternehmen selbst aus dem Intranet heraus online verfügbar gemacht – wohl unwissentlich.

Wie sicher betriebliche Prozesse ablaufen, liegt dabei in der Hand der Unternehmen selbst. Wer seine Prozesse hinterfragt, seine Mitarbeiter durch Schulungen sensibilisiert und die technischen und organisatorischen Maßnahmen zum Datenschutz regelmäßig aktualisiert, vermeidet leicht solche Datenpannen, die mitunter nicht nur bußgeldbewährt sein können, sondern auch die Unternehmensreputation nachhaltig schädigen können. Die Hinzuziehung eines externen Datenschutzbeauftragten kann dabei eine sinnvolle Investition darstellen, die dazu beiträgt, Haftungsrisiken abzuwenden und Kosten zu minimieren.

WhatsApp-Chats von US-Behörden überwacht

11. Juni 2015

Wie heise online berichtet, soll eine US-Behörde – vermutet wird das FBI – WhatsApp-Chats von Terrorverdächtigen in Belgien überwacht haben.

Dass die Polizei eine gezielte Razzia gegen mutmaßliche Jihadisten durchführen konnte, soll laut heise auch ein Verdienst der US-Kollegen gewesen sein. Diese sollen nämlich in der Lage gewesen sein, individualisierte Mobilfunknummern und mit diesen verknüpfte WhatsApp-Konten, auszuspähen und deren Kommunikation zu belauschen, die dann wiederum von den belgischen Behörden ausgewertet werden konnten. Bei der Razzia wurden 16 Personen festgenommen, von denen die meisten allerdings wieder freigelassen wurden.

Der Messenger WhatsApp gilt unter Datenschutzaspekten als eher unsicher. Eine Ende-zu-Ende-Verschlüsselung gibt es erst seit einem halben Jahr. Deshalb gerät der Messenger auch immer wieder in Kritik insbesondere was Datenschutz und Datensicherheit seiner Nutzer angeht. Aus diesem Grund halten sich hartnäckig Vermutungen, dass WhatsApp-Kommunikationen besonders von Geheimdiensten überwacht werden. Dokumentiert war dies allerdings bislang nicht, wie heise weiter ausführt.

So stellt sich natürlich nicht nur die Frage nach den rechtlichen Grundlagen für das Ausspähen des Messengers, sondern auch, in welchem Ausmaße und von wem genau dies durchgeführt wird und was die (unschuldig) ausgespähten Betroffenen dagegen tun können. So lange es keine handfesten Informationen hierüber gibt, muss davon ausgegangen werden, dass eine Überwachung via WhatsApp – zumindest theoretisch – nahezu jederzeit möglich ist und jeden treffen kann.

Kategorien: Online-Datenschutz · Social Media
Schlagwörter: , ,

DSK: Vorratsdatenspeicherung muss diskutiert werden!

10. Juni 2015

In ihrer aktuellen Entschließung formuliert die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) erhebliche verfassungsrechtliche Bedenken gegen den Gesetzentwurf der Bundesregierung zur Vorratsspeicherung von Telekommunikationsdaten für die Sicherheitsbehörden. Der Entwurf berücksichtige nicht in Gänze die grundrechtlichen Anforderungen, die vom Bundesverfassungsgericht und vom Europäischen Gerichtshof präzisiert worden sind.

Dies gelte in Hinblick auf den Schutz der Kommunikation von Berufsgeheimnisträgern (z. B. Abgeordneten, Ärzten, Rechtsanwälten, Journalisten), die Differenzierung nach Datenarten, Verwendungszwecken und Speicherfristen sowie das Fehlen einer Evaluierungsklausel.

Daher fordert die DSK vor der Verabschiedung des geplanten Gesetzes ein ergebnisoffenes Verfahren mit umfassender Öffentlichkeitsbeteiligung.

„Nach jahrelanger ergebnisloser Schwarz-Weiß-Debatte darf die Politik nicht durchzocken, was sich spätestens vor dem Bundesverfassungsgericht rächen würde. Im Sinne einer Verhältnismäßigkeitsprüfung können die Speicherfristen stark verkürzt werden, wenn in Verdachtsfällen ein Einfrieren der Daten – also ein ´Quick Freeze` – gesetzlich vorgesehen wird. Auf den Prüfstand müssen ebenso die viel zu langen heute praktizierten Speicherfristen von einigen Telekommunikationsprovidern wie Vodafone und E-Plus. Zudem muss der Entwurf abgestimmt werden mit den Datenspeicherungen für Zwecke der IT-Sicherheit, wozu derzeit parallel ein Gesetzentwurf behandelt wird. Qualität und Rationalität müssen der Geschwindigkeit vorgehen. Nur so kann das geplante Vorhaben die nötige gesellschaftliche Akzeptanz erlangen.“, so Thilo Weichert, Leiter des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein.

Google vereinfacht Datenschutz bei der Kontoverwaltung

8. Juni 2015

Bisher war es sehr schwierig, die Kontoeinstellungen verschiedener Google-Dienste synchron und zum Schutz seiner personenbezogenen Daten einzurichten, doch seit der vergangenen Woche hat Google die Verwaltung von Gmail-, Youtube- oder Blooger-Accounts wesentlich übersichtlicher und damit nutzerfreundlicher gestaltet. Unter https://myaccount.google.com/ sind unter dem Unterkapitel „Persönliche Daten und Privatssphäre“ eine Reihe von Instrumente und Einstellungen abrufbar, die den Schutz der Privatsphäre des Einzelnen erleichtern. So kann man beispielsweise das Sammeln von Informationen zum Standortverlauf einfach ausschalten, ebenso wie auch die sogenannte „interessenbezogene Werbung“ (darunter sind Anzeigen zu verstehen, die sich nach den Nutzer-Aktivitäten auf Google oder den besuchten Internetseiten orientieren).

Dieser Entwicklung voraus gegangen war ein Verwaltungsverfahren, in dem der Hamburgische Beauftragte für Datenschutz und Informationssicherheit durch Widerspruchsbescheid Google verpflichtet hatte, die Verarbeitung personenbezogener Daten deutscher Nutzer in zulässiger Weise zu organisieren. Die Nutzer müssten „künftig selbst über die Verwendung der eigenen Daten zur Profilerstellung entscheiden können“, so Johannes Caspar.

Die neuen Möglichkeit für den Nutzer, zumindest die Kontrolle über seine Kontoeinstellungen selbst in die Hand zu nehmen, könnte ein erster Schritt in Richtung der Umsetzung der Forderungen des Datenschützers sein. Ob sie tatsächlich den gewünschten Effekt einer Stärkung der Rechte deutscher Nutzer von Google-Diensten zeigen, wird noch zu überprüfen sein.

Kategorien: Online-Datenschutz · Tracking
Schlagwörter: , ,

Microsoft gewährt Einblick in Quellcode

3. Juni 2015

Mit der Eröffnung seines so genannten „Transparency Centers“ in Brüssel erlaubt Microsoft nach der Eröffnug einer solchen Einrichtung in Redmond, USA auch in Europa Einblick in sein Allerheiligste, den Quellcode von Windows. Wie heise.de berichtet, sollen -unter strenger Bewachung- Experten der Regierungen mittels „statischer und dynamischer Tools“ Analysen durchführen können.
Aus (deutscher) datenschutzrechtlicher Sicht ist dieser Vorgang vor allem deshalb interessant, weil im Rahmen von Auftragsdatenverarbeitungen die ergriffenen technischen und organisatorischen Maßnahmen (Anlage zu § 11 BDSG) vertraglich dokumentiert werden müssen. Da Microsoft-Produkte wohl in so gut wie allen Unternehmen zu finden sein dürften, könnten sich durch die Ergebnisse der Experten insoweit auch Anpassungsbedarf bei diesen Dokumentationen ergeben. Die früher üblichen Zertifizierungen nach Common Criteria EAL4+ sind nach Ansicht des BSI wegen gestiegener Komplexität jedenfalls nicht mehr einsetzbar.
Ob und inwieweit sich der nicht immer für seine Transparenz bekannte Microsoft-Konzern durch das „Transparency Centers“ tatsächlich in Karte schauen lässt, bleibt abzuwarten.

Kategorien: Allgemein
Schlagwörter: ,

App kontrolliert Stimmung von Mitarbeitern

2. Juni 2015

Nach dem Vorbild des Trends in amerikanischen Unternehmen die Mitarbeiter mit Armbändern auszustatten, die deren tägliche Bewegungen messen und so deren Fitnesszustand dokumentieren, hat nun eine Münchener App-Schmiede eine App auf den Markt gebracht, die vermeintlich den Gemütszustand der Mitarbeiter kontrollieren kann. Hierzu zeichnet diese unterschiedliche Parameter auf, die vermeintlich einen Rückschluss auf das Stresslevel zulassen, wie etwa die Stimme, das Tippverhalten und Bewegungen. Selbst das Schlafverhalten wird analysiert.

Würden diese besonders sensiblen Daten im Sinne des § 3 Nr.9, 28 Abs.6 ff. BDSG Daten nur dem Mitarbeiter selber zur Verfügung stehen, wäre dies datenschutzrechtlich unbedenklich. Dies ist jedoch nicht das Ziel der App. Diese stellt die Daten der Geschäftsführung zur Verfügung. Vordergründig wird dies mit der Gesundheitsfürsorge begründet, um so notwendige Gegenmaßnahmen einzuleiten. Hierzu müssten die Daten entweder anonymisiert werden, oder eine arbeitrsrechtlich nicht unumstrittene Einwilligung des Arbeitnehmers hierzu einholen. Nach den Angaben zur App wird die Anonymität zwar gewährleistet, je nach Größe des Unternehmens und Anzahl der Mitarbeiter, kann es jedoch aufgrund der Bewegungsprofile zu einer Aufhebung dieser kommen.

Verbraucherzentrale NRW startet Offensive gegen unzulässig verwendete Social Plugins

1. Juni 2015

Nach einer eigenen Pressemitteilung vom 21.05.2015 hat die Verbraucherzentrale NRW insgesamt 6 Unternehmen wegen der Verwendung von Social Plugins – wie beispielsweise der „Gefällt mir“-Button von facebook – in unzulässiger Weise abgemahnt. Zu den Unternehmen gehören Nivea (Beiersdorf), Kik, Eventim, Peek & Cloppenburg (FashionID), Payback und HRS. Mit der Abmahnung werden die Unternehmen aufgefordert die unzulässige Verwendung Social Plugins zu unterlassen.
Während HRS und Eventim bereits Unterlassungserklärungen abgaben, sind gegen Peek & Cloppenburg (FashionID) und Payback inzwischen Klagen anhängig.

Hintergrund sind die bei Unternehmen beliebten Social Plugins. Mit Social Plugins können Nutzer auf Webseiten von Unternehmen deren Produkte in sozialen Netzwerken anzeigen. Dadurch werden die Produkte einem viel größerem Kreis an potentiellen Kunden bekannt gemacht. Für Unternehmen bedeutet das effektive und günstige Werbung.

Social Plugins werden mittels sogenannten iFrames in Webseiten eingebettet. Diese erheben, ähnlich wie Cookies, Daten über das Surfverhalten der Nutzer, ohne dass Nutzers etwas davon bemerken. Sofern auf einer Webseite der „Gefällt mir“-Button von facebook implementiert und gleichzeitig der Nutzer dieser Website bei facebook angemeldet ist, kann facebook sogar nicht nur dem Surfverhalten eine IP-Adresse, sondern einer konkreten Person zuordnen.
Bereits 2011 haben die Datenschutzbeauftragten des Bundes und der Länder Social Plugins mit der dargestellten Funktionsweise für unzulässig erklärt. Denn facebook, Google+ und Twitter erheben mit Social Plugins personenbezogene Daten, ohne dass die Betroffen Kenntnis darüber erlangen oder gar ihre Einwilligung hierein erklären. Dieser Zustand ist mit der geltenden Rechtslage nicht zu vereinbaren. Die Erhebung personenbezogener Daten setzt nach dem im Datenschutzrecht geltendem Prinzip des Verbots mit Erlaubisvorbehalt entweder eine Rechtsgrundlage oder eine Einwilligungserklärung des Betroffenen voraus. Mangels vorhandener Rechtsgrundlage kann es einzig auf eine Einwilligungserklärung der Betroffenen ankommen.
Von einer wirksamen Einwilligungserklärung der Nutzer kann jedenfalls nicht schon deswegen ausgegangen werden, dass eine Webseite besucht wird. Auch ein entsprechender Hinweis auf die Verwendung und die Funktionsweise von Social Plugins in der Datenschutzerklärung genügt nicht, um die Persönlichkeitsrechte der Betroffenen gegenüber den Betreibern von sozialen Netzwerken ausreichend zu wahren.

Eine Möglichkeit die widerstreitenden Interessen von Datenschutz und Marketing bei der Verwendung von Social Plugins rechtskonform zu gestalten, bietet die sogenannte „2-Klick-Lösung“. Bei Verwendung dieser Methode sind in Webseiten eingebettete Social Plugins zu Anfang grundsätzlich inaktiv. Dass heißt, es werden nicht automatisch personenbezogene Daten erhoben. Möchte ein Webseitenbesucher einem Produkt in einem sozialen Netzwerk folgen oder liken, muss er das Social Plugin zunächst aktivieren (1.Klick). Ist dies geschehen, arbeitet das Social Plugin wie beschrieben. Der Nutzer kann anschließend durch Betätigung – beispielsweise des „Gefällt mir“-Buttons von facebook – das Produkt in dem sozialen Netzwerk liken (2. Klick). Auf diese Weise wird dem Recht auf informationelle Selbstbestimmung Rechnung getragen. Für Unternehmen besteht außerdem insoweit Rechtssicherheit, als dass sie die Implementierung von Social Plugins auf ihren Webseiten rechtskonform gestalten können.

1 17 18 19 20 21 126