Kategorie: Allgemein

Datenschutzreform: Europäischer Ministerrat streitet um die Ausgestaltung der Novellierung

1. August 2012

Der zu Jahresbeginn von der Europäischen Kommission vorgelegte Entwurf zu einem neuen europäischen Datenschutzrecht ist Medienangaben zufolge vergangene Woche im Rat der Europäischen Union während einer Konferenz in der zypriotischen Hauptstadt Nikosia diskutiert worden.

Die Konferenz habe ergeben, dass kein Mitgliedsstaat prinzipiell gegen die Novellierung, sich der Ministerrat allerdings bezüglich einiger Punkte sehr uneinig ist. Zum einen betreffe dies die umfassende Nutzung sogenannter delegierter Rechtsakte, mit denen die Kommission „nicht wesentliche“ Aspekte einer Gesetzgebung alleine regeln kann, ohne dass die Mitgliedstaaten und das Europäische Parlament mitentscheiden können. Ein weiterer Streitpunkt seien die Ausnahmeregelungen für kleine und mittlere Unternehmen. Einige Mitgliedsstaaten sollen hierbei eine Ausrichtung an der Datengeneigtheit der Tätigkeit und weniger an der Größe der Unternehmen präferieren. Diskutiert worden sei ferner, ob der Staat nach den gleichen Datenschutzregeln arbeiten soll wie die Privatwirtschaft, wie es von der Kommission vorgeschlagen wurde. Übereinstimmend soll eine entsprechende Gleichbehandlung befürwortet worden sein, allerdings habe die Bundesrepublik betont, auch in Zukunft Spielräume im nationalen Bereich nutzen und insbesondere im öffentlichen Sektor über das hinausgehen zu wollen, was die europäischen Regelungen als Standard festschreiben.

Die irische Regierung, die im ersten Halbjahr 2013 die Ratspräsidentschaft von Zypern übernimmt hat sich als Ziel gesetzt eine Einigung im Ministerrat zu erzielen so dass mit Inkrafttreten der neuen Regelungen bis zu 2014 zu rechnen ist.

Google hat immer noch nicht alle StreetView WLAN-Daten gelöscht.

31. Juli 2012

Die von Google im Rahmen der StreetView-Fahrten erhobenen Mitschnitte aus ungesicherten WLANs sind bisher immer noch nicht vollständig gelöscht worden. Dies geht aus einem Brief hervor, den das britische Information Commissioner’s Office (ICO) veröffentlicht hat. In diesem Schreiben räumt Googles Datenschutzbeauftragter Peter Fleischer ein, dass man noch einen kleinen Teil der bei StreetView-Fahrten aufgezeichneten Daten auf Festplatten des Unternehmens gefunden habe. Dies betreffe sowohl Daten aus dem Vereinigten Königreich, als auch Daten aus anderen Ländern. Bezüglich dieser sonstigen Länder nehme Google Kontakt mit den zuständigen Behörden auf.

In einer Stellungnahme weisen die britischen Datenschützer darauf hin, dass Google sich Ihnen gegenüber verpflichtet hatte, die Daten bereits im Dezember 2010 zu löschen. Die ICO-Verantwortlichen bezeichnen es dabei als Grund zur Sorge, dass dies nicht geschehen ist.

Deutlichere Worte fand der für die Untersuchung von Datenschutzverletzungen zuständige irische Deputy Data Protection Commissioner Gary Davis: Er verlieh seiner tiefen Unzufriedenheit dadurch Ausdruck, dass er Googles Verhalten als schlichtweg unakzeptabel bezeichnete und dem Internetkonzern eine Frist bis zum morgigen Mittwoch einräumte, um zu den Vorfällen Stellung zu nehmen.

Kategorien: Allgemein
Schlagwörter:

Datenschutz-Panne bei der UDIS

26. Juli 2012

Ausgerechnet die renommierte Ulmer Akademie für Datenschutz und IT-Sicherheit (UDIS) ist am vergangenen Dienstag Verursacherin einer Datenschutz-Panne gewesen. In einer Rund-Mail zu einem Veranstaltungshinweis wurden hunderte externe Empfänger mit ihren E-Mail-Adressen offen sichtbar im AN-Feld der Nachricht aufgeführt. Fälle wie dieser stellen einen klaren Datenschutzverstoß dar, wie der Datenschutz-Experte Dr. Eugen Ehmann in diesem Artikel ausführlich begründet.

Die UDIS ist insbesondere bekannt für ihre nachhaltige Ausbildung von Datenschutzbeauftragten und feiert in diesem Jahr ihr 25-jähriges Bestehen mit einem Jubiläumskongress in Ulm, zu welchem Vorträge namhafter Persönlichkeiten aus dem Datenschutzbereich angekündigt sind.

Anlässlich dieser Veranstaltung wurden in oben genannter Rund-Mail Einladungen an Absolventen der bisherigen Ausbildungsjahrgänge verschickt, ohne dass dabei die Namen und E-Mail-Adressen in BCC gesetzt wurden wie ein betroffener Empfänger berichtet. Wieso UDIS hier nicht entsprechende technische und organisatorische Maßnahmen etwa durch den Einsatz eines Mailing-Tools zur Verhinderung einer solchen Panne ergriffen hat, ist unklar.

In einer am Folgetag erneut an alle Empfänger versandten Nachricht spricht der geschäftsführende Gesellschafter und wissenschaftlicher Leiter der Akademie von einer „mehr als peinlichen Datenschutzpanne“ und bittet die Absolventen um Entschuldigung.

Irritiert mussten die Absolventen dabei zur Kenntnis nehmen, dass die für das Missgeschick verantwortliche Mitarbeiterin durch den Geschäftsführer nun namentlich benannt wurde, obwohl die eigentliche Pannen-Mail keine entsprechenden Rückschlüsse auf den Verfasser der Nachricht zuließ. Hierin dürfte ein weiterer Verstoß gegen datenschutzrechtliche Vorschriften vorliegen.

Der Geschäftsführer kündigte zudem mit der Aussage „eines ist sicher: Sie wird udis demnächst verlassen“ offensichtliche arbeitsrechtliche Konsequenzen aus dem Vorfall für die Mitarbeiterin an. Insbesondere dieses Verhalten wurde daraufhin – in einer weiteren Rund-Mail an alle ursprünglichen Empfänger – von einem der Absolventen heftig kritisiert. Er sprach von einem „maßlos überzogenem“ Verhalten des Geschäftsführers und forderte die übrigen Empfänger dazu auf, sich gegenüber diesem für das Überdenken seiner Personalentscheidung auszusprechen.

Update 26.07.2012 (16.15 Uhr):

Inzwischen hat der Geschäftsführer der UDIS in einer weiteren Rund-Mail darüber informieren lassen, ihm sei beim Verfassen seiner Entschuldigungs-Nachricht nicht bekannt gewesen, dass die Pannen-Mail keinen namentlichen Hinweis auf die durch ihn im Entschuldigungsschreiben benannte Mitarbeiterin enthielt. Er hätte bei Kenntnis der Sachlage von einer namentlichen Erwähnung selbstverständlich abgesehen, denn er wisse ja auch, wie Datenschutz funktioniere. Im Übrigen teilt er mit, die Mitarbeiterin habe schon vor einiger Zeit selbst ihre Kündigung eingereicht. Seine Aussage „eines ist sicher: Sie wird udis demnächst verlassen“ sei insoweit mißverständlich formuliert gewesen und stehe in keinem Zusammenhang mit ihrem Verhalten in Bezug auf die Versendung der fehlerbehafteten Rund-Mail.

Kategorien: Allgemein

LG München I: Betrieb von anonymen öffentlichen WLAN Hotspots weiterhin möglich

24. Juli 2012

Das Landgericht (LG) München I hat entscheiden (Urt. v. 12.01.2012 – Az.: 17 HK O 1398/11), dass Betreiber von öffentlichen WLAN Netzwerken ihre Nutzer nicht vor Zugang zum Internet identifizieren können müssen. Demnach ist der Betrieb von anonymen WLAN Hotspots, beispielsweise in Cafés, Bars, Restaurants und Hotels weiterhin möglich. Nach Auffassung des Gerichts besteht keine rechtliche Verpflichtung der Betreiber zur Erhebung und Speicherung der aus der Nutzung des Hotspots gewonnenen Nutzerdaten. Insbesondere könne eine solche weder aus den Regelungen des Telekommunikationsgesetzes (TKG) noch aus dem Gesetz über Urheberrecht und verwandte Schutzrechte (UrhG) hergeleitet werden.

In einer Pressemitteilung begrüßte Michael Ebeling vom Arbeitskreis Vorratsdatenspeicherung die Entscheidung des Landgerichts. “Wenn eine Identifizierung von Nutzern kostenloser Hotspots nicht erforderlich ist, wie das Landgericht München festgestellt hat, dann ist sie auch nicht zulässig: Denn das Telekommunikationsgesetz verbiete(t) die Erhebung nicht erforderlicher Daten“, so Elbing.

Offene Fragen bleiben jedoch bestehen. So ist nach wie vor ungeklärt, ob und in welchen Umfang sich Haftungsrisiken für die Betreiber von anonymen WLAN Hotspots für rechtswidriges Verhalten der Nutzer realisieren und wie sich die Betreiber hiergegen absichern können.

Kategorien: Allgemein · Mobile Business
Schlagwörter: , , ,

BITKOM: 28 Millionen Bundesbürger nutzen Online-Banking

23. Juli 2012
Nach Angaben des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) erledigen über 28 Millionen Bundesbürger, also 45 Prozent aller Bürger im Alter von 16 bis 74 Jahren, ihre Bankgeschäfte online. Dies seien rund eine Millionen Nutzer mehr als im Vorjahr, wobei eine steigende Tendenz bestünde. Im europäischen Vergleich soll Deutschland jedoch nur im Mittelfeld liegen. Spitzenreiter beim Online-Banking sei Norwegen, wo 85 Prozent der Bevölkerung davon Gebrauch machen sollen. Schlusslicht sei Bulgarien mit einer Quote von lediglich drei Prozent. Deutsche sollen außerdem besonders häufig Sicherheitsbedenken gegenüber dem Online-Banking hegen: Jeder vierte Internetnutzer verzichte aus Sicherheitsgründen auf die Nutzung des Online-Banking. Dies stelle einen geringen Rückgang von drei Prozent gegenüber dem Vorjahr dar.
Kategorien: Allgemein
Schlagwörter: ,

BfDI: Kritik an Aktenvernichtung des Bundesamtes für Verfassungsschutz

19. Juli 2012

Der Bundesdatenschutzbeauftragte für den Datenschutz und die Informations- freiheit (BfDI) Schaar hat Medienangaben zufolge das Bundesamt für Verfassungsschutz wegen der Ende Juni bekannt gewordenen Aktenvernichtung im Zusammenhang mit der Mordserie der rechtsextremen Terrorzelle NSU kritisiert. Die Vernichtung der Akten sei gesetzlich nicht gedeckt. Das Argument, man habe die Akten aus datenschutzrechtlichen Gründen vernichten müssen, sei gleichermaßen nicht legitim und “völlig unverständlich”. Es gebe nur die Vorschrift zur Sperrung von Akten, keine “Aktenvernichtungsverpflichtung”. Außerdem verdiene die Arbeit des Datenschutzbeauftragten beim Bundamt für Verfassungsschutz eine Rüge. Dessen Aufgabe bestünde nicht nur aus der Wahrung des Datenschutzes, sondern auch darin, dass Daten verfügbar seien. Die  entscheidende Aufgabe, dass die Strukturen der Datenhaltung ordentlich sind, weise “offensichtliche Mängel” auf. Auch bei der Schulung der Mitarbeiter gebe es offenbar “erschreckende Wissenslücken”, so Schaar.

Verlag Axel Springer bezeichnet Anfrage zur Auskunft über personenbezogene Daten als Computersabotage

18. Juli 2012

Der Onlinedienst Heise.de berichtet über Nachwirkungen der bundesweiten Verteilung von Gratis-„Bild“-Zeitungen im Juni: Zahlreich wurde zum Boykott aufgerufen, unter anderem machte der Blog netzpolitik.org den Vorschlag, den Springer Verlag zur Auskunft der gespeicherten personenbezogenen Daten nach § 34 Bundesdatenschutzgesetz aufzufordern. Der Autor des Blogs empfahl, das Auskunftsverlangen per E-Mail an mindestens acht Adressen zu senden, damit sichergestellt sei, dass es ankommt.

Zwar reagierte der Verlag per Brief, Angaben zu den personenbezogenen Daten machte er jedoch nicht. Die daraufhin erneute Welle von Anfragen konterte Springer mit der Aussage, dass nicht die datenschutzrechtliche Auskunft im Vordergrund stehe, sondern dass es den „Petenten“ vielmehr darauf ankomme, die „Kommunikationseinrichtungen zu blockieren“. Die als „E-Mail-Bombing“ bezeichnete Aktion bedeute einen „rechtswidrigen Eingriff in unseren eingerichteten und ausgeübten Gewerbebetrieb und erfüllt … den Tatbestand der Computersabotage gem. § 303b StGB“. Meinten die Absender ihre Anfrage ernst, sollten sie eine Kopie von Vor- und Rückseite ihres Personalausweises nachsenden, weil Springer verpflichtet sei, die Identität zu überprüfen.

Die an acht E-Mail-Adressen versendeten Anfragen als Computersabotage im Sinne des § 303b StGB zu bezeichnen, sei jedoch unhaltbar, so der Bericht weiter. Schon die insgesamt zu erwartende Menge an E-Mails anlässlich dieser Aktion dürfte kaum ausreichen, um die Server von Springer in die Knie zu zwingen.

Datenschutzrechtlich umstritten ist die Frage nach der Identifikation dessen, der eine Auskunft über gespeicherte personenbezogene Daten verlangt. Die verantwortliche Stelle muss die Legitimation der Anfragenden prüfen, weil jede falsche Herausgabe der Daten an Unberechtigte dem strafbewehrten Verbot der unbefugten Datenübermittlung unterliegt. Wie die Identifikation konkret auszugestalten ist, gibt das Gesetz nicht vor. Entscheidend ist jedenfalls auch die Art der Daten: Geht es allein um wenig sensible Daten wie Name und Anschrift, spricht nichts dagegen, diese Daten postalisch an die jeweilige Adresse zu versenden.

Die Forderung nach einer Kopie des Personalausweises als Legitimation geht nach dem Bericht zu weit. Das Personalausweisgesetz regle inzwischen für den neuen Personalausweis die Zwecke, für die eine Kopie verlangt werden dürfe. Die pauschale Legitimation im Rahmen datenschutzrechtlicher Auskunftsverlangen falle nicht darunter.

Inzwischen beschäftigt die Aktion auch den Berliner Beauftragten für Datenschutz, der die Bedenken gegen die ablehnende Haltung von Springer teilt.

Kategorien: Allgemein
Schlagwörter: ,

ULD: Hinweise zum datenschutzkonformen Cloud Computing

16. Juli 2012

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat – auf einer Empfehlung der Artikel-29-Datenschutzgruppe vom 1. Juli 2012 beruhende – Hinweise zur datenschutzgerechten Erbringung und Nutzung von Cloud-Dienstleistungen nach deutschem und europäischem Recht veröffentlicht. Dort wird u.a. betont, dass der Vertrag zwischen Cloud-Anbieterin und -Anwenderin inhaltlich den Anforderungen des § 11 Abs. 2 S. 2 Bundesdatenschutzgesetz genügen müsse. Aus Gründen der Rechtssicherheit sei es ferner von Nöten, dass dieser Vertrag zusätzlich regelt, dass die Cloud-Anbieterin dazu verpflichtet ist, die Cloud-Anwenderin über alle Unterauftrags- verhältnisse und über alle Orte, an denen personenbezogene Daten gespeichert oder verarbeitet werden können, zu informieren. Bei der gesetzlich geforderten sorgfältigen Auswahl der Dienstleister, reiche des Weiteren ein Blick auf die Datensicherheit nicht aus. Neben Verfügbarkeit, Vertraulichkeit und Integrität sei es erforderlich, die Datenschutz-Schutzziele Transparenz, Nicht-Verkettbarkeit und Intervenierbarkeit umzusetzen. Ferner sei bei einer Übermittlung personenbezogener Daten in die USA seitens der verantwortlichen Stelle – auch nach Auffassung der Art. 29–Gruppe – ein schlichtes Verlassen auf eine Selbstzertifizierung nach den Safe Harbor Prinzipien nicht hinreichend. Vielmehr müsse die Zertifizierung und die Einhaltung der Prinzipien selbst überprüft werden.

Cloud Computing ist eine technische Realität, bei der die Beachtung der Datenschutzvorschriften zwingend gefordert ist. Dies gilt auch hinsichtlich der Zugriffe staatlicher Stellen, insbesondere durch Strafverfolgungsbehörden, in Drittstaaten. Transparenz ist für die Nutzerinnen und Nutzer gerade beim Cloud Computing unverzichtbar. Mit dem EuroPriSe-Zertifikat des ULD können Cloud-Anbieter die Einhaltung der europäischen Vorgaben verlässlich und transparent nachweisen. Die Bestrebungen der EU-Kommission, Clouds `Made in Europe´ besonders zu zertifizieren, sind zu unterstützen, wenn die Siegel – wie bei EuroPriSe – durch unabhängige Stellen auf der Basis qualifizierter Gutachten im Rahmen eines definierten, transparenten Verfahrens verliehen werden.“, so der Leiter des ULD Thilo Weichert.

Xamit: Datenschutzbarometer 2011

13. Juli 2012

Nach dem von der Xamit Bewertungsgesellschaft veröffentlichten Datenschutz- barometer 2011 haben deutsche Anbieter von Internetportalen im Jahre 2011 einen – skandalös hohen – Gewinn von 7,5 Mrd. Euro durch datenschutzrechts- widriges Verhalten erzielt. So sollen z.B. 22% der untersuchten Internetportale einen Tracking-Dienst wie Google Analytics rechtswidrig eingesetzt und 49% der Google-Analytics-Nutzer nicht die vorgeschriebene Datenschutzerklärung verwendet haben. Zudem sollen 65% der Internetportale ein Kontaktformular ohne die vorgeschriebene Erklärung über den Umgang mit den erhobenen personen- bezogenen Daten anbieten und 6,6% der Internetseiten den datenschutzrechtlich höchst umstrittenen Facebook-Like-Button direkt einbinden.

 

Kategorien: Allgemein
Schlagwörter: ,

Unisys-Studie: Bürger wünschen unabhängige Zertifizierung von Datenschutzkonzepten

12. Juli 2012

Eine bereits vor der umstrittenen Abstimmung zum Meldewesen im Bundestag veröffentlichte Studie des IT-Dienstleisters Unisys zum Thema Datenschutz lässt erkennen, dass Datenschutz eine immer wesentlichere Rolle für die Bürger der Bundesrepublik einnimmt. “Vor allem, wenn es um ihre persönlichen Daten geht, ist die deutsche Bevölkerung sehr vorsichtig”, so der Geschäftsführer von Unisys Dietrich Schmitt. Nach den Studienergebnissen befürworten 81 Prozent der Teilnehmer eine Verpflichtung von Unternehmen und Organisationen darauf, personenbezogene Daten bestmöglich zu schützen. Eine darüber hinaus gehende Zertifizierung der vorgenommenen Datenschutzmechanismen von unabhängigen Prüfunternehmen sollen 69 Prozent der Teilnehmer gefordert haben. Belegt werde somit nachhaltig, welchen wesentlichen Beitrag der Datenschutz innerhalb der Unternehmen zu deren Außendarstellung leistet und welche finanziell schwer zu beziffernden Image-Schäden bei Nachlässigkeiten drohen.

Vergleichbare Schlüsse zieht auch Lutz Neugebauer, Sicherheitsexperte beim Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM): “Jedes Unternehmen muss Datenschutz als Kernaufgabe begreifen und sensible Daten effizient sichern”. Dabei sei es auch erforderlich, dem Kunden das entsprechende Sicherheitsgefühl zu vermitteln. Dabei könnten auch unabhängige Zertifizierungen helfen.

Sicherheiten für Unternehmen bieten in diesem Zusammenhang bisher vor allem externe Datenschutzbeauftragte, welche durch juristische und technische Fachkenntnisse für ein höchst mögliches Datenschutzniveau im Unternehmen sorgen.

Kategorien: Allgemein
Schlagwörter: , ,
1 139 140 141 142 143 165