Kategorie: Allgemein

LG Leipzig: Verurteilung des Kino.to-Programmierers

11. April 2012

Das Landgericht Leipzig hat Medienangaben zufolge den hauptverantwortlichen Programmierer der Infrastruktur des Filmportals Kino.to zu einer Haftstrafe von drei Jahren und zehn Monaten wegen der unerlaubten Verwertung urheberrechtlich geschützter Werke verurteilt. Über das Filmportal, welches seit dem Einschreiten der Generalstaatsanwaltschaft Dresden wegen des Verdachts auf Bildung einer kriminellen Vereinigung zur gewerbsmäßigen Begehung von Urheberrechtsverletzungen seit Juni des vergangenen Jahres offline ist, sollen 135.ooo raubkopierte Filme, Serien und Dokumentationen erreichbar gewesen sein, die auf Filehostern gelagert wurden. Zeitweise habe das Filmportal bis zu vier Millionen Nutzer täglich verzeichnen können.

Kategorien: Allgemein
Schlagwörter: , ,

Artikel 29-Gruppe: Empfehlungen für den Einsatz von Gesichtserkennungstechniken

5. April 2012

Die Artikel 29-Gruppe der europäischen Datenschutzbeauftragten hat jüngst ein Papier veröffentlicht, das den rechtskonformen Einsatz von Gesichtserkennungstechniken im Internet und im Mobilfunk thematisiert. Die rechtlichen Anforderungen seien im Hinblick auf die Sensibilität der personenbezogenen Daten entsprechend hoch. So werde beispielsweise für die Erhebung und Weitergabe von biometrischen Daten die informierte Einwilligung des Nutzers zur Voraussetzung gemacht, insbesondere auch dann, wenn Dritte die Bilder online stellen. Ebenso wichtig sei die Datensicherheit beim Hochladen der Bilder, die über Verschlüsselungs- und Verifizierungstechniken gewährleistet werden sollte.

Kategorien: Allgemein
Schlagwörter: ,

Berliner Datenschutzbeauftragter: Gefahren für den Missbrauch von persönlichen Daten sind 2011 erheblich gestiegen

4. April 2012

Der Berliner Datenschutzbeauftragte Dr. Alexander Dix hat in seinem Jahresbericht 2011 auf die stark erhöhte Gefahr eines Missbrauchs bei der Nutzung und Verarbeitung von privaten Daten hingewiesen.

Die Privatsphäre des Bürgers sei insbesondere durch neuartige Überwachungstechniken in Staat und Wirtschaft bedroht. Hier nimmt der Bericht vor allem Cloud-Computing sowie soziale Netzwerke aber auch den Einsatz von sogenannten Staatstrojanern ins Visier.

Unternehmen und Behörden müssten ebenfalls bei der Nutzung von Cloud-Computing die grundsätzlichen Anforderungen an Datenverarbeitungsprozesse, zu denen neben Informationssicherheit etwa auch Kontrollierbarkeit, Transparenz und Beeinflussbarkeit gehörten, erfüllen.

Facebook-Nutzern rät der Datenschutzbeauftragte die Timeline Funktion nicht zu aktivieren oder zumindest die Reichweite in die Vergangenheit zu begrenzen. Zudem sollte es Facebook-Apps und anderen Webseiten verwehrt sein, Einträge ungefragt auf die persönliche Neuigkeiten-Seite zu schreiben.

Im Rahmen der in der Vergangenheit kontrovers diskutierten staatlichen Maßnahmen wie die gesetzliche Verankerung der Online-Durchsuchung und die durch das Bundesverfassungsgericht vorgenommene Abgrenzung zur unzulässigen Quellen-Telekommunikationsüberwachung kommt der Bericht zu dem Ergebnis, dass die „Informationelle Selbstbestimmung, Persönlichkeitsrechte und die sich daraus ergebenden Forderungen für die Freiheit des Einzelnen nach den Vorgaben des Grundgesetzes […] zusehends in die Defensive gegenüber den Interessen des Staates zur Vorbeugung und Verfolgung von Straftaten und zur Gewährleistung von Sicherheit und Ordnung [geraten].“

Eine weitere besondere Herausforderung für den Datenschutz sieht der Datenschutzbeauftragte darin, dass große internationale – vor allem aber US-amerikanische – Unternehmen, wie Google, Apple, Amazon und vor allem Facebook immer größere Mengen an personenbezogenen Daten verarbeiten und speichern ohne dabei das deutsche und europäische Datenschutzrecht hinreichend zu berücksichtigen.

Polen: Nutzung von Vorratsdaten zur Strafverfolgung

Medienangaben zufolge haben polnische Strafverfolgungsbehörden im vergangenen Jahr knapp 1,86 Millionen Verbindungs- und Standortdaten für Strafverfolgungszwecke abgefragt. Im Jahre 2009 seien lediglich 1 Million Abfragen, im Jahre 2010 1,38 Millionen Abfragen durchgeführt worden. Im EU-weiten Vergleich nehme Polen damit weiter eine Spitzenposition unter den Ländern ein, die sich am häufigsten der Vorteile der Vorratsdatenspeicherung bedienen.

 

Externer Datenschutzbeauftragter – Kurzratgeber zu Auswahl und Bestellung

3. April 2012

Verpflichtungen im Datenschutz stellen sich für nahezu jedes Unternehmen im Tagesgeschäft. Personenbezogene Daten von Mitarbeitern und Kunden werden heutzutage nicht mehr von Hand gespeichert oder verarbeitet, überall ist EDV im Einsatz. Folge ist, dass die Unternehmen sich den Vorschriften des Bundesdatenschutzgesetzes (BDSG) nicht mehr entziehen können.

Sind mehr als neun Mitarbeiter in der automatisierten Datenverarbeitung beschäftigt, darunter fallen zum Beispiel Kundendatenbanken oder E-Mailpostfächer, verschärft das BDSG die Anforderungen: Ein Datenschutzbeauftragter muss bestellt werden, um fortan im Unternehmen über die Einhaltung des Datenschutzes zu wachen. Gleiches gilt wenn Daten verarbeitet werden, die der Vorabkontrolle unterliegen oder die Daten geschäftsmäßig mit dem Zweck der Übermittlung oder Markt- und Meinungsforschung verarbeitet werden.

Datenschutzbeauftragter – intern oder extern?

Mit der Möglichkeit einen eigenen betrieblichen Datenschutzbeauftragten zu bestellen, ist der Gesetzgeber bei Schaffung des BDSG den Unternehmen ein Stück weit entgegen gekommen. Der betriebliche Datenschutzbeauftragte folgt dem Prinzip der Selbstkontrolle und ermöglicht Selbstständigkeit und Freiraum in der Organisation des Datenschutzes. Zur Debatte stand auch, den Landesdatenschutzbeauftragten, der heute nur für öffentliche Stellen zuständig ist, als direkte staatliche Überwachungsstelle für jedes Unternehmen einzusetzen.

Wer einen Datenschutzbeauftragten bestellen muss, steht vor der Frage, an wen er sich wenden sollte. Das BDSG bietet bei der Auswahl Freiheiten, Unternehmen können auf eigene Mitarbeiter oder externe Dienstleister für den Datenschutz setzen. Jemanden aus den eigenen Reihen abzustellen, fällt gerade kleinen und mittelständischen Unternehmen schwer. Wie auch bei größeren Unternehmen müssen die Kosten kalkulierbar sein und freie Kapazitäten bestehen. Eine spezielle Materie mit hohen technischen und rechtlichen Herausforderungen verlangt nach besonderen Kenntnissen für den Datenschutzbeauftragten – und die Arbeitskraft der Leistungsträger im Hause ist meist unverzichtbar. Bis eigene Mitarbeiter den Posten besetzen können, sind längerfristige Schulungen nötig. Auch im weiteren Verlauf muss der Arbeitgeber für das Training seines eigenen betrieblichen Datenschutzbeauftragten zeitlich und finanziell aufkommen.

Vorteile externer Datenschutzbeauftragter

Viele Unternehmen entscheiden sich daher für externe Datenschutzbeauftragte, die ihre Fachkenntnis bereits mitbringen und dem Unternehmen als Dienstleister bereit stehen. Ein externer Datenschutzbeauftragter verfügt meist über mehr Erfahrung, betriebswirtschaftlich können die Kosten für die Beauftragung anders kalkuliert werden. Ein anderer Punkt für die Unternehmen ist die Flexibilität: Datenschutzbeauftragte aus den Reihen der Mitarbeiter genießen besonderen Kündigungsschutz. Selbst die Abberufung zurück zum normalen Mitarbeiterstatus wird erst nach einem Jahr wirksam.

Von der Vielzahl der Anbieter für externen Datenschutz unterscheiden sich Rechtsanwälte, die als auf Datenschutzrecht spezialisierte Juristen ein Gesamtpaket datenschutzrechtlicher Betreuung anbieten können. Datenschutzrecht als Querschnittsmaterie ist anspruchsvoll, wenn es um eine umfassende Beratung gehen soll. Neben technischer Kenntnis ist viel juristisches Knowhow gefragt, abgesehen vom Datenschutzrecht sind das Arbeitsrecht, IT-Recht, Strafrecht, Verwaltungs- sowie Zivilrecht Gegenstand der täglichen Beratung eines Rechtsanwalts als externer Datenschutzbeauftragter.

Gebündelt findet sich solche Kompetenz in spezialisierten Rechtsanwaltskanzleien wie zum Beispiel Kinast & Partner Rechtsanwälte, Betreiber von datenschutzticker.de, deren Rechtsanwälte bundesweit als externer Datenschutzbeauftragter tätig sind. Spezialisierte Kanzleien können auch Ansprechpartner für interne Datenschutzbeauftragte sein, die für einzelne Schritte fachliche Unterstützung hinzuziehen oder Prozesse ausgliedern möchten. Zum weiteren Angebot der spezialisierten Kanzleien gehören meist auch Schulungen zum Datenschutz, entweder für betriebliche interne Datenschutzbeauftragte zwecks Weiterbildung oder als Compliance-Maßnahme für die gesamte Belegschaft.

LDI RLP: Grenzen des europäischen Datenschutzrechts

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LDI RLP) Wagner hat ausdrücklich begrüßt, dass sich der Bundesrat am vergangenen Freitag gegen eine verbindliche Vollregelung des Datenschutzes auf europäischer Ebene ausgesprochen und zugleich Subsidiaritätsrüge gegen die von der Europäischen Kommission vorgelegte EU-Datenschutzverordnung eingelegt hat. Dies sei kein Votum gegen ein möglichst hohes Datenschutzniveau in den EU-Mitgliedstaaten. Im Gegenteil: In Zeiten von Facebook, Google und Co. seien die Daten der Bürgerinnen und Bürger sogar noch effektiver zu schützen als dies zurzeit der Fall sei. Die Frage sei nur, auf welchem Weg dies am besten zu erreicht werden könnte. Eine europäische Datenschutzverordnung jedenfalls sei der falsche Weg. Sie gehe über die Kompetenzzuweisungen der EU hinaus und führe zusätzlich dazu, dass die bewährten Datenschutzgesetze des Bundes und der Länder und große Teile des bereichsspezifischen Datenschutzrechtes Makulatur würden. Vor allem aber habe sie zur Folge, dass die Datenschutzgrundrechte ausgehebelt und das Bundesverfassungsgericht als Kontrollinstanz zur Seite geschoben werde. Das sei aus nationaler Sicht nicht zu akzeptieren und auch aus europäischer Perspektive nicht hilfreich.

„Datenschutz ist auch eine Frage der Kultur, und diese hat sich in den Mitgliedstaaten unterschiedlich entwickelt. Das muss auch von der Europäischen Kommission respektiert werden.“, so Wagner.

Kategorien: Allgemein
Schlagwörter: ,

Vor Xbox-Verkauf private Daten sicher löschen

2. April 2012

Wie heise.de berichtet, sollten private Verkäufer der Spielekonsole „Xbox 360“ sorgfältig darauf achten, ihre privaten Daten von der Konsole zu löschen. Die eingebaute Funktion, das Gerät auf Werkseinstellungen zurückzusetzen, reiche hierfür nicht aus, hätten Forscher der Drexel University herausgefunden.

Sie gaben an, eine so genannte refurbished Konsole erworben zu haben, auf der sie über spezielle Software direkt auf das Dateisystem hätten zugreifen können. Dort sei es ihnen möglich gewesen, Kreditkartendaten des Vorbesitzers aufzuspüren. Ihre Empfehlung laute daher, das Dateisystem vor der Rückgabe der Spielekonsole mehrfach mit sinnlosen Daten zu überschreiben. Andernfalls könnten Wiederherstellungsprogramme früher gespeicherte Daten wieder sichtbar machen, weil das System der Xbox diese nicht wirklich lösche, sondern nur als gelöscht markiere.

Microsoft reagierte nach dem Medienbericht mit Kritik, weil keine Details zu der Untersuchung an Microsoft herausgegeben worden seien. Das Unternehmen meldete weiter, die Xbox speichere in der Regel keine Kreditkartendaten auf den lokalen Speichermedien. Bei der Wiederaufbereitung gebrauchter Konsolen würden zudem alle Daten zweifelsfrei gelöscht.

Kategorien: Allgemein · Online-Datenschutz
Schlagwörter:

Ende der Übergangsfrist zum Kundendatenschutz im CRM-Bereich zum 31. August 2012

23. März 2012

Am 31. August 2012 endet die dreijährige Übergangsfrist für die Einrichtung von Kundendatenbanken nach den Vorgaben der novellierten Fassung des BDSG aus dem Jahre 2009. Ab dem 1. September 2012 gelten dann die Vorschriften des BDSG uneingeschränkt. Hierdurch ergeben sich für Unternehmen, die personenbezogene Daten erheben, speichern und verwenden wollen umfassende Vorgaben im Umgang mit den Daten.

Von besonderer Relevanz für Unternehmen jeder Größenordnung sind insoweit vor allem zwei Aspekte:

  • Zunächst betrifft die Gesetzesreform bereits die grundsätzliche Berechtigung zur Speicherung von Kundendaten: So müssen Unternehmen ab dem 1. September 2012 für alle Kundendatensätze, also auch für die vor dem 1. September 2009 erhobenen Daten, nachweisen können, woher die Daten stammen und im Falle einer behördlichen oder gerichtlichen Überprüfung jeweils eine Dokumentation der insoweit relevanten Geschäftsvorgänge oder entsprechende Einverständniserklärungen zur Speicherung vorlegen.
  • Des Weiteren betrifft die Novelle des BDSG auch den Umgang mit den Daten und insbesondere die Frage, auf welchem Wege es möglich ist, Werbung an Kunden zu übermitteln – ob per Post, E-Mail, Fax oder Telefon. Für alle Werbemaßnahmen werden künftig gesonderte ausdrückliche und gegebenenfalls differenzierte Einwilligungen des Kunden notwendig, je nachdem auf welchem Wege dieser angesprochen werden soll. Hieraus wird deutlich, dass das Gesetz auch an die technische Ausgestaltung von CRM-Systemen künftig höhere Anforderungen stellt, da diese die Einwilligungserklärungen mitumfassen müssen.

Nach Ablauf der Übergangsfrist am 31. August 2012 können entsprechende Verstöße gegen die gesetzlichen Vorgaben nicht nur die Auflage, die entsprechenden Datensätze zu löschen, sondern weiterhin die Verhängung von Bußgeldern sowie theoretisch – im Falle von besonders schwerwiegenden Verstößen gewerblichen Ausmaßes – sogar die Betriebsstillegung durch die Aufsichtsbehörde nach sich ziehen.

Das Risiko einer Überprüfung durch die Aufsichtsbehörde sollte daher nicht unterschätzt werden. Dieses steigt in Relation zur Größe des Unternehmens. Vor allem besteht jedoch die Gefahr, dass Kunden deren Daten unrechtmäßig gespeichert worden sind bzw. die keine Einwilligung erteilt haben, sich bei der Aufsichtsbehörde beschweren, die dann verpflichtet ist dieser Eingabe nachzugehen.

Kategorien: Allgemein
Schlagwörter: , ,

Facebook ändert Nutzungsbedingungen

22. März 2012

Seit längerem steht Facebook aufgrund des Umgangs mit den Daten seiner Nutzer weltweit in der Kritik. Nun reagiert Facebook, aber anstatt die Nutzerrechte zu stärken, schränkt Facebook diese weiter ein.

Die meisten Facebook Nutzer werden die Änderungen der sog. „Datenverwendungsrichtlinien“ gar nicht erst wahrnehmen. Dies erklärt sich dadurch, dass Nutzer nur dann vorab informiert werden, wenn sie „Fan“ der „Facebook Site Governance“-Webseite sind.

Wie kritisch die geänderten Nutzungsbedingungen zu sehen sind, verdeutlicht folgende Übersicht:

  • Ein Akzeptieren der geänderten Nutzungsbedingungen erfolgt durch bloßes Weiternutzen von Facebook; hier ist eine Einwilligung des Nutzers notwendig.
  • Die Übermittlung von eigenen Daten erfolgt auch dann an Anwendungen, wenn „andere Nutzer, die deine Inhalte und Informationen sehen können, eine Anwendung verwende[n]“; die Forderung von Facebook, dass Anwendungen die Privatsphäre zu respektieren haben, ist in diesem Fall als nicht mehr ausreichend zu erachten.
  • Wenn Software von Facebook (z.B. Browser-Plug-in) verwendet wird, erteilt der Nutzer sein Einverständnis, dass diese automatisch aktualisiert werden kann; darin, dass dem Nutzer die Möglichkeit genommen wird, selbst über eine Installation von Updates zu entscheiden, ist ein Widerspruch zu bestehenden Sicherheitsstandards zu sehen.
  • Facebook muss bezahlbare Dienstleistungen und Kommunikationen nicht als solche kennzeichnen; dies könnte einen Verstoß gegen § 6 Abs. 1 Telemediengesetz darstellen.

Um für Entspannung zu Sorgen, hat Facebook für den Zeitraum zwischen dem 15. März 2012 und dem 22. März 2012 eine Diskussionsplattform über die neuen Nutzungsbedingungen online gestellt. Ab dem 22. März gelten die neuen Nutzungsbedingungen dann uneingeschränkt für alle Nutzer.

Im Ergebnis ist damit festzuhalten, dass Facebook es anscheinend verpasst, das Recht der Nutzer, selbst über den Umfang der Verwendung ihrer Daten zu entscheiden, im erforderlichen Maße zu beachten und technisch umzusetzen. Vielmehr werden bestehende Bedenken sowohl an der Vereinbarkeit mit deutschen als auch europäischen Datenschutzrecht noch vertieft. (md)

Kategorien: Allgemein · Mobile Business · Online-Datenschutz
Schlagwörter: ,

EU-Kommission verlangt Vorratsdatenspeicherung in Deutschland innerhalb vier Wochen

21. März 2012

Soviel Zeit bleibt Deutschland, um eine Klage der Europäischen Kommission vor dem Europäischen Gerichtshof abzuwenden. Dieser Schritt wurde gleichzeitig mit der vierwöchigen Frist angekündigt, sollte Deutschland die vom Bundesverfassungsgericht 2010 kassierte Vorratsdatenspeicherung nicht wieder einführen. Im schlimmsten Fall droht ein Zwangsgeld durch das höchste europäische Gericht.

Grund ist die 2006 beschlossene EU-Richtlinie, nach der sich alle Mitgliedstaaten zur Einführung der Vorratsdatenspeicherung verpflichtet haben. In der konkreten Ausgestaltung sind die Staaten frei, sodass eine erstmalige Regelung in Deutschland aus dem Jahr 2007 von dem Bundesverfassungsgericht für nichtig erklärt werden konnte. Seitdem besteht im Bundestag keine Einigkeit, wie die Neuregelung ausgestaltet werden soll. Bundesjustizministerin Leutheusser-Schnarrenberger favorisiert das „Quick-Freeze“-Modell, wonach Daten nur bei konkretem Anlass von Providern eingefroren und nicht wie üblich schon nach kurzer Zeit gelöscht werden. Andere Stimmen fordern die ausnahmslose Speicherung aller Daten für sechs Monate auf Vorrat.

1 139 140 141 142 143 159