Europa: Sicherer Hafen des Datenschutzes?

12. Januar 2015

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder lädt anlässlich des 9. Europäischen Datenschutztages am 28. Januar zur Diskussionsveranstaltung „Europa: Sicherer Hafen des Datenschutzes?“ nach Berlin ins Abgeordnetenhaus ein. In vier Vorträgen und einer anschließenden Podiumsdiskussion soll eine Bestandsaufnahme der aktuellen Unterschiede in den Datenschutzniveaus der EU und der USA gemacht und geklärt werden, ob die Geschäftsgrundlage für die künftige Datenübermittlung in die USA weiterhin besteht. Eine elektronische Anmeldung zur Teilnahme ist bis zum 15. Januar 2015 möglich.

Bankmitarbeiter verbreitet Kundendaten im Internet

8. Januar 2015

Wie die amerikanische  Großbank Morgan Stanley berichtete, hat am vergangenen Montag einer ihrer Mitarbeiter die Daten von rund 350.000 Kunden gestohlen und einige von ihnen im Internet veröffentlicht.

Inzwischen sei dem Mitarbeiter gekündigt worden, teilte das Geldhaus mit. Es sei den betroffenen Kunden dadurch jedoch kein finanzieller Schaden entstanden, so alle bisherigen Erkenntnisse. Man habe die betroffenen Kunden bereits informiert und die Kontonummern geändert. Zudem informierte die Großbank nach eigenen Angaben die Aufsichtsbehörden.

Nach Angaben der Frankfurter Allgemeinen Zeitung veröffentlichte dieser Mitarbeiter von 900 Kunden der Vermögensverwaltung Informationen wie Namen oder Kontonummer im Internet. Er hatte offenbar die Absicht, die übrigen Datensätze zu verkaufen.

Es ist noch ungeklärt, wie der Mitarbeiter an die Datensätze gelangen konnte.

 

DDoS: Websites von Kanzlerin, Bundesregierung und Bundestag angegriffen

7. Januar 2015

Am heutigen Tag wurden Medienberichten zufolge die Website von Bundeskanzlerin Angela Merkel, die der Bundesregierung und die des deutschen Bundestags durch einen Distributed Denial of Service-Angriff (DDoS) über Stunden hinweg lahmgelegt. Zu der Attacke habe sich offiziell eine prorussische Gruppe aus der Ukraine namens CyberBerkut bekannt. Hintergrund des Angriffs sei die Unterstützung Deutschlands für den ukrainischen Ministerpräsidenten Arseni Jazenjuk, der am Nachmittag in Berlin Bundespräsident Joachim Gauck besuchen wollte. Man wolle verhindern, dass Deutschland politische und finanzielle Unterstützung für ein „kriminelles Regime in Kiew“, das einen blutigen Bürgerkrieg entfesselt habe, leiste.

BMVI: Internetbasierte Fahrzeugzulassung ab 01.01.2015

Das Bundesministerium für Verkehr und digitale Infrastruktur (BMVI) hat bekannt gegeben, dass nun mit der Änderung der Fahrzeug-Zulassungsverordnung die internetbasierte Außerbetriebsetzung eines Fahrzeuges als 1. Schritt einer internetbasierten Fahrzeugzulassung (i-Kfz) ermöglicht wird. Fahrzeughalter können unter Nutzung der ab dem 01.01.2015 bei Zulassung eines Fahrzeuges verwendeten neuen Stempelplaketten und Zulassungsbescheinigungen mit einem jeweils verdeckten Sicherheitscode auf den Portalen der Zulassungsbehörden der Länder oder über ein zentrales Portal, betrieben durch das Kraftfahrt-Bundesamt, den Antrag auf Außerbetriebsetzung, ohne persönliches Erscheinen bei der Zulassungsbehörde, stellen. Dieses Verfahren wird als Ergänzung zum bestehenden Verfahren angeboten.

Die Fahrzeugzulassung soll mittels dieses Verfahrens einfacher, bequemer und effizienter werden. Das ist die zentrale Zielsetzung des Aktionsplans „Deutschland Online“ zum Kfz-Wesen, den Bund und Länder gemeinsam initiiert haben.

Google: Transparenzbericht zur Löschung von Links

2. Januar 2015

Nach dem Urteil des Europäischen Gerichtshofs aus Mai dieses Jahres können Einzelpersonen bei Suchmaschinenbetriebern wie Google beantragen, dass Suchergebnisse zu ihrer Person gelöscht werden. Das Unternehmen Google hat nun seinen Transparenzbericht in aktualisierter Fassung veröffentlicht, der Gesamtzahlen zu eingereichten Ersuchen um Löschung von URLs beinhaltet.

Danach haben deutsche Internetnutzer seit der Verkündung des o.g. Urteils des Europäischen Gerichtshofs die Löschung von fast 120 000 Links aus Google-Sucherergebnissen beantragt. Fast jeder zweite Link sei daraufhin gelöscht worden. Aus Deutschland seien seit Mai mehr als 31 700 entsprechende Anträge bei Google eingereicht worden. Google nennt in dem Bericht erstmals Beispiele für Links, die entfernt oder auch nicht entfernt wurden. So seien auf den Antrag eines Vergewaltigungsopfers aus Deutschland hin Verweise auf Artikel über das Verbrechen entfernt worden. Ein Ersuchen von einem ehemaligen britischen Geistlichen, zwei Links zu Artikeln zu entfernen, in denen über die Ermittlungen zum Verdacht auf in Ausübung seines Berufs begangenen sexuellen Missbrauch durch den Antragsteller berichtet wird, sei jedoch abgelehnt worden.

 

LfDI RlP: 1,3 Millionen Euro Rekordbußgeld gegen Debeka wegen Datenschutzverstößen

30. Dezember 2014

Der rheinland-pfälzische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI RlP) Wagner hat mitgeteilt, dass die im Dezember des vergangenen Jahres gegen den Debeka Krankenversicherungsverein a. G. (Debeka) und gegen seine Vorstandsmitglieder eingeleiteten Ordnungswidrigkeitenverfahren mit einem Bescheid im Wege der Verständigung abgeschlossen worden sind. Darin wird die Debeka verpflichtet, eine Geldbuße in Höhe von 1,3 Millionen Euro zu zahlen. Damit sind die gegen die Debeka erhobenen Vorwürfe von Aufsichtspflichtverletzungen im Bereich des Datenschutzes insgesamt aufgearbeitet. Vorstand und Aufsichtsrat des Unternehmens haben die Geldbuße bereits akzeptiert. Die Debeka wird zusätzlich 600.000 Euro für eine Stiftungsprofessur bereitstellen, die an der Johannes Gutenberg-Universität Mainz, Fachbereich Rechts- und Wirtschaftswissenschaften, eingerichtet wird. Damit wird die Debeka die Grundlagenforschung für einen effektiven Datenschutz und dessen Implementierung in der Praxis nachhaltig fördern.

Anlass der aufsichtsbehördlichen Maßnahmen waren einige von der Debeka eingeräumte Fälle sogenannter Listenkäufe, bei denen einzelne Mitarbeiter weisungswidrig Datensätze zu Anwärtern im öffentlichen Dienst erworben und genutzt hatten. Es wurde festgestellt, dass in einigen Fällen unter Missachtung des Datenschutzes Neukunden für die Debeka durch Informationen von Kollegen gewonnen wurden. Einzelne Debeka-Mitarbeiter hatten Listen oder Kontaktdaten möglicher Kunden ohne deren Einverständnis erhalten und dafür zum Teil auch ein Entgelt bezahlt. Hierbei verstießen sie gegen unternehmensinterne Vorgaben, aber auch gegen geltendes Datenschutzrecht. Die Debeka musste feststellen, dass in der Vergangenheit nicht alle Aufsichtsmaßnahmen und Kontrollen etabliert und angewandt worden waren, die aus heutiger datenschutzrechtlicher Sicht den notwendigen Standards entsprechen.

Wagner erklärte sich mit dem Ausgang des Verfahrens zufrieden. „Wichtiger als das verhängte Bußgeld ist mir zweierlei: Zum einen hat die Debeka ernsthafte und erfolgreiche Anstrengungen unternommen, den Datenschutz in ihrem Vertriebssystem zu stärken. Ohne das kooperative Verhalten der Debeka wäre ein solch gutes Ergebnis nicht zu erzielen gewesen. Zum anderen geht von dem Verfahren das Signal aus, dass alle Unternehmen zukünftig mit noch mehr Nachdruck daran arbeiten müssen – und können! -, dass mit den persönlichen Daten von Interessenten, Kunden und Mitarbeitern vertrauensvoll und rechtskonform umgegangen wird.“ Auch im öffentlichen Bereich seien durch die Änderung der Nebentätigkeitsbestimmungen und durch die Aufarbeitung von Datenschutzverstößen erste wichtige Konsequenzen gezogen und die Überwachungs- und Kontrollmechanismen den heute geltenden Standards angepasst worden.

Der Debeka-Vorstandsvorsitzende Uwe Laue begrüßt die einvernehmliche Klärung der datenschutzrechtlichen Auseinandersetzung: „Der konstruktive Dialog mit dem LfDI hat zur Beseitigung von Fehlerquellen geführt und die grundsätzliche Zulässigkeit von Tippgebern bestätigt. Wir haben damit die Vergangenheit aufgearbeitet und schauen nun nach vorne. Mit den getroffenen Maßnahmen hält die Debeka die Datenschutzbestimmungen nicht nur ein – sie übertrifft sie sogar. Damit sind wir für die Zukunft bestens gerüstet. Wir freuen uns auch, an der Universität Mainz die wissenschaftliche Aufarbeitung von datenschutzrechtlichen Fragestellungen zu fördern.“

Die Debeka und der LfDI RlP sprechen übereinstimmend von einer sehr konstruktiven Aufarbeitung der datenschutzrelevanten Vorgänge im Vertrieb der Debeka. Dies führte letztlich dazu, dass eine langwierige gerichtliche Auseinandersetzung und Klärung mit für beide Seiten ungewissem Ausgang nicht gesucht, sondern – trotz teilweise unterschiedlicher Rechtsauffassungen – zur Erledigung aller im Raum stehender Vorwürfe das genannte Bußgeld gezahlt wird. Die Verfahren gegen die Vorstände sind ohne Bußgeldzahlungen eingestellt worden.

EU-Datenschutz-Grundverordnung: Direktmarketing mit personenbezogenen Daten legitim

29. Dezember 2014

In einem noch als vertraulich eingestuften, dennoch aber veröffentlichten Papier hat Medienberichten zufolge die italienische EU-Ratspräsidentschaft erstmals den Stand der Beratungen zur EU-Datenschutz-Grundverordnung zusammengefasst. Danach steht die Verarbeitung personenbezogener Daten für das Direktmarketing im Einklang mit der Verordnung. Man gehe davon aus, dass eine derartige Informationsnutzung in dem „legitimen Interesse“ der datenverarbeitenden Stelle erfolge. Laut Beratungsstand müsse sich künftig jeder, der nicht mit personalisierter Werbung bedacht werden möchte, ausdrücklich und gezielt dagegen aussprechen (Opt-Out). Für ein solches Opt-Out soll den Werbeempfängern ein eigenes Recht zugestanden werden, das u.a. beinhaltet, dass der Widerspruch kostenlos, einfach und effektiv erfolgen müsse.

Die geplante Regelung soll für Rechtsklarheit in der Werbewirtschaft sorgen. Moniert wurde seitens der Wirtschaft, dass nicht eindeutig sei, wann ein Opt-In des Nutzers erforderlich ist. Ob mit der Umsetzung der Regelung auch Verbraucher- und Datenschützer zufrieden gestellt werden können, ist mehr als zweifelhaft. Diese fordern für das Direktmarketing, dass der potentielle Werbeempfänger sich explizit einverstanden erklärt, Werbung zu erhalten, also ein Opt-In.

CCC: Fingerabdruck-Biometrie ist ein Sicherheitsplacebo!

Beim jüngst abgehaltenen Jahrestreffen des Chaos Computer Clubs (CCC) in Hamburg wurden Methoden vorgestellt, sich fremder biometrischer Merkmale zu bemächtigen. Sehr anschaulich wurde durch Jan Krissler alias starbug demonstriert, wie einfach sich mittlerweile Fingerabdrucksysteme austricksen lassen.

Ein direkter Kontakt mit physikalischen Objekten zum Abnehmen von Fingerabdrücken ist danach gar nicht mehr erforderlich. Man benötige schlicht die Aufnahme eines Fotos mit einer handelsüblichen Digitalkamera. Belegt wurde dies mit einem sich deutlich abzeichnenden Fingerabdruck von Bundesverteidigungsminister Ursula von der Leyen. Als Basis sei ein Pressefoto verwendet worden, dass mit einem Standardobjektiv mit zweihundert Millimetern Brennweite gefertigt wurde. Das Foto habe Krissler noch mit der Software VeriFinger bearbeitet, aber man hätte auch ein weiteres gängiges Bildbearbeitungsprogramm verwenden können. Den so hergestellten Fingerabdruck könnte man auf eine Atrappe drucken und damit handelsüblichen Fingerabdruckscannern vorgaukeln, er stamme von der die Ministerin – sei es am iPhone oder an einer automatisierten Grenzkontrolle. Oder er könnte ihren Abdruck an einem Tatort hinterlassen und sie so zu einer Verdächtigen machen.

„Mit der Sicherheit von Fingerabdrucksystemen ist es damit endgültig vorbei“, so Krissler. „Man kann nahezu unbemerkt an Fingerabdrücke jeder Person kommen, um daraus Attrappen zu bauen.“ Für eine solche Attrappe braucht es lediglich Folie, einen Drucker und Holzleim. Schon lässt sich ein falscher Fingerabdruck herstellen, den man auf den eigenen Finger kleben kann. Diese Attrappen genügen, um gebräuchliche Fingerscanner zu überlisten. „Nach diesem Vortrag werden wohl Politiker nur noch in Handschuhen zu öffentlichen Auftritten gehen“, so Krissler weiter. Er kündigte an, den Abdruck von der Leyens auch bald offiziell zu veröffentlichen, er wolle ihn nur noch „etwas schön machen“.

Niederländische Datenschutzbehörde droht Google mit Sanktionen

23. Dezember 2014

Die niederländische Datenschutzbehörde College Bescherming Persoonsgegevens (CBP) kritisiert Googles Praxis, Daten von Nutzern ohne deren Einwilligung für Werbezwecke zu nutzen, als mit europäischem Datenschutzrecht nicht vereinbar.

Wie die CBP auf ihrer Webseite berichtet sammelt das Unternehmen Nutzerdaten unabhängig davon, ob der Betroffene über eine Google-Account eingeloggt ist oder nicht. Seit der Änderung von Googles Datenschutzerklärung 2012, können beispielsweise Daten über Suchanfragen, Standortdaten und angesehene Videos zu einem Profil zusammengefügt werden, auf dessen Grundlage personenbezogene Werbung gezeigt wird.

Die niederländische Datenschutzbehörde fordert jetzt von Google bis Ende Februar 2015 die Einwilligung seiner Nutzer dazu einzuholen, dass die Daten aus verschiedenen Diensten wie der Websuche, mobilen Diensten, GMail und YouTube für Werbezwecke miteinander kombiniert werden dürfen. Die Nutzer sollen auch deutlich darüber aufgeklärt werden, welche Daten von diesen Diensten genutzt werden. Ansonsten droht Google eine Geldbuße von bis zu 15 Millionen Euro.

Wie heise.de berichtet, ist auch der in Deutschland zuständige Datenschutzbeauftragte Hamburgs mit Google wegen der aussagekräftigen Profilbildung im Gespräch. Google sei aber bislang nicht bereit, substanzielle Verbesserungen zugunsten der Nutzerkontrolle umzusetzen.

Zentrale Postöffnung in Unternehmen

22. Dezember 2014

In vielen Unternehmen gibt es eine zentrale Poststelle, die eingehende Briefe öffnet, mit einem Eingangsstempel versieht und an die betreffende Abteilung oder den namentlich genannten Mitarbeiter weiterleitet. Wenn Unternehmen jedoch keine expliziten Regelungen zur Öffnung von Briefpost aufgestellt haben, kann es „schnell vorkommen“, dass das grundrechtlich geschützte Briefgeheimnis verletzt oder bei einer unbefugten Öffnung von Briefpost sogar der Straftatbestand des § 202 Strafgesetzbuch erfüllt wird.

Solche Rechtsbrüche können vermieden werden, indem den Mitarbeitern der Poststelle, die letztlich vor dem Öffnen von Post erkennen müssen, ob das Briefgeheimnis verletzt werden könnte, die im Folgenden genannten Verhaltensempfehlungen zur Öffnung von eingehender Briefpost an die Hand gegeben werden:

  • Briefpost, die an das Unternehmen adressiert ist, ohne einen bestimmten Adressaten namentlich in dem Adressfeld zu benennen, darf zentral geöffnet werden.
  • Briefpost, die an das Unternehmen adressiert ist und an zweiter Stelle im Adressfeld den Namen eines Mitarbeiters aufweist (z.B. auch mit dem Zusatz „zu Händen“), darf zentral geöffnet werden. Es sollte – sofern es sich nicht erkennbar um Werbeschriften handelt – sichergestellt werden, dass der adressierte Mitarbeiter oder – bei dessen Abwesenheit – sein Stellvertreter die Briefpost über den regulären internen Postlauf erhalten.
  • Briefpost, die in dem Adressfeld den Namen eines Mitarbeiters an erster Stelle aufweist oder einen Vertraulichkeitsvermerk beinhaltet (z.B. „persönlich“, „privat „), darf nur von dem adressierten Mitarbeiter geöffnet werden. Eine zentrale Öffnung muss zwingend unterbleiben.

Grundsätzlich ist ratsam, dass Unternehmen die Einhaltung des Briefgeheimnisses überwachen. Eventuellen Beschwerden von Mitarbeitern oder Dritten über fehlerhaft geöffnete Korrespondenz sollte nachgegangen werden. Auch sollten die Datenschutzbeauftragten entsprechende Sensibilisierungsarbeit leisten!

1 20 21 22 23 24 121