Kategorie: Allgemein
6. August 2012
Die Datingplattform meetOne soll einem Bericht von heise.de zufolge die Adressbücher auf den Smartphones der Nutzer heimlich kopiert haben. Anschließend seien die Kontakte der Nutzer mit Spam-E-Mails zur Anmeldung bei meetOne aufgefordert worden.
Zudem seien die Adressdaten über eine ungesicherte Verbindung unverschlüsselt auf die Server von meetOne übertragen worden. Die Empfänger erhielten später Benachrichtigungen, wonach eine Flirtnachricht bei meetOne für sie eingegangen sei. Auf Nachfrage von heise Security bei dem Mitbegründer von meetOne, Nils Henning, sah dieser sich außer Stande, Angaben über die Herkunft der Adressen machen. Betreiber der Plattform sei inzwischen die Meetone International LLC mit Sitz in den USA. Nur dort könne aufgeklärt werden, woher die Daten stammen.
Erst Ende Juli war eine Sicherheitslücke bei meetOne bekannt geworden, über die zahlreiche persönliche Daten inklusive Passwörter in Klartext durch die Änderung von URL-Parametern ausgelesen werden konnten.
3. August 2012
Das Bundesministerium des Inneren (BMI) hat bekannt gegeben, eine Studie “Open Government Data Deutschland”, die rechtliche, technische und organisatorische Fragen rund um die Offenlegung von Datenbeständen der öffentlichen Verwaltung thematisiert, veröffentlicht zu haben. Die Studie beschreibe den Status Quo in Deutschland und gebe zugleich Empfehlungen für das weitere Vorgehen. Ergebnis der Studie sei, dass viele Verwaltungsdaten bereits auf der Basis des geltenden Rechts ohne oder nur mit geringfügigen Änderungen offengelegt werden können. Man plane nun, die Kernempfehlung der Studie aufzugreifen und den Prototypen eines ebenenübergreifenden Online-Portals zu entwickeln und zu testen. Der Prototyp, der frei zugängliche Daten von Behörden aller Verwaltungsebenen verlinken wird, soll bis Anfang 2013 realisiert werden.
“Die Bundesregierung hat sich ein offeneres Regierungs- und Verwaltungshandeln zum Ziel gesetzt. Grundlage hierfür sind frei zugängliche Daten und Informationen, die für Dritte einfach und in standardisierten Formaten verfügbar sein müssen.”, so Bundesinnenminister Friedrich.
2. August 2012
Nach Angaben des Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM), die auf einer Auswertung der europäischen Statistikbehörde Eurostat basieren, ist Deutschland im europäischen Vergleich im Hinblick auf das Vorhandensein von Computer-Kenntnissen in der Bevölkerung zurückgefallen. Noch im Jahr 2008 habe Deutschland auf Platz vier gelegen und rund 60 Prozent der Bundesbürger sollen über mittlere bis gute Computerkenntnisse verfügt haben. Aktuell seien es nur noch 58 Prozent, was einen Abfall auf den zehnten Platz bedeute. An der Spitze sollen Island mit 77 Prozent und Luxemburg mit 75 Prozent liegen.
1. August 2012
Der zu Jahresbeginn von der Europäischen Kommission vorgelegte Entwurf zu einem neuen europäischen Datenschutzrecht ist Medienangaben zufolge vergangene Woche im Rat der Europäischen Union während einer Konferenz in der zypriotischen Hauptstadt Nikosia diskutiert worden.
Die Konferenz habe ergeben, dass kein Mitgliedsstaat prinzipiell gegen die Novellierung, sich der Ministerrat allerdings bezüglich einiger Punkte sehr uneinig ist. Zum einen betreffe dies die umfassende Nutzung sogenannter delegierter Rechtsakte, mit denen die Kommission „nicht wesentliche“ Aspekte einer Gesetzgebung alleine regeln kann, ohne dass die Mitgliedstaaten und das Europäische Parlament mitentscheiden können. Ein weiterer Streitpunkt seien die Ausnahmeregelungen für kleine und mittlere Unternehmen. Einige Mitgliedsstaaten sollen hierbei eine Ausrichtung an der Datengeneigtheit der Tätigkeit und weniger an der Größe der Unternehmen präferieren. Diskutiert worden sei ferner, ob der Staat nach den gleichen Datenschutzregeln arbeiten soll wie die Privatwirtschaft, wie es von der Kommission vorgeschlagen wurde. Übereinstimmend soll eine entsprechende Gleichbehandlung befürwortet worden sein, allerdings habe die Bundesrepublik betont, auch in Zukunft Spielräume im nationalen Bereich nutzen und insbesondere im öffentlichen Sektor über das hinausgehen zu wollen, was die europäischen Regelungen als Standard festschreiben.
Die irische Regierung, die im ersten Halbjahr 2013 die Ratspräsidentschaft von Zypern übernimmt hat sich als Ziel gesetzt eine Einigung im Ministerrat zu erzielen so dass mit Inkrafttreten der neuen Regelungen bis zu 2014 zu rechnen ist.
31. Juli 2012
Die von Google im Rahmen der StreetView-Fahrten erhobenen Mitschnitte aus ungesicherten WLANs sind bisher immer noch nicht vollständig gelöscht worden. Dies geht aus einem Brief hervor, den das britische Information Commissioner’s Office (ICO) veröffentlicht hat. In diesem Schreiben räumt Googles Datenschutzbeauftragter Peter Fleischer ein, dass man noch einen kleinen Teil der bei StreetView-Fahrten aufgezeichneten Daten auf Festplatten des Unternehmens gefunden habe. Dies betreffe sowohl Daten aus dem Vereinigten Königreich, als auch Daten aus anderen Ländern. Bezüglich dieser sonstigen Länder nehme Google Kontakt mit den zuständigen Behörden auf.
In einer Stellungnahme weisen die britischen Datenschützer darauf hin, dass Google sich Ihnen gegenüber verpflichtet hatte, die Daten bereits im Dezember 2010 zu löschen. Die ICO-Verantwortlichen bezeichnen es dabei als Grund zur Sorge, dass dies nicht geschehen ist.
Deutlichere Worte fand der für die Untersuchung von Datenschutzverletzungen zuständige irische Deputy Data Protection Commissioner Gary Davis: Er verlieh seiner tiefen Unzufriedenheit dadurch Ausdruck, dass er Googles Verhalten als schlichtweg unakzeptabel bezeichnete und dem Internetkonzern eine Frist bis zum morgigen Mittwoch einräumte, um zu den Vorfällen Stellung zu nehmen.
26. Juli 2012
Ausgerechnet die renommierte Ulmer Akademie für Datenschutz und IT-Sicherheit (UDIS) ist am vergangenen Dienstag Verursacherin einer Datenschutz-Panne gewesen. In einer Rund-Mail zu einem Veranstaltungshinweis wurden hunderte externe Empfänger mit ihren E-Mail-Adressen offen sichtbar im AN-Feld der Nachricht aufgeführt. Fälle wie dieser stellen einen klaren Datenschutzverstoß dar, wie der Datenschutz-Experte Dr. Eugen Ehmann in diesem Artikel ausführlich begründet.
Die UDIS ist insbesondere bekannt für ihre nachhaltige Ausbildung von Datenschutzbeauftragten und feiert in diesem Jahr ihr 25-jähriges Bestehen mit einem Jubiläumskongress in Ulm, zu welchem Vorträge namhafter Persönlichkeiten aus dem Datenschutzbereich angekündigt sind.
Anlässlich dieser Veranstaltung wurden in oben genannter Rund-Mail Einladungen an Absolventen der bisherigen Ausbildungsjahrgänge verschickt, ohne dass dabei die Namen und E-Mail-Adressen in BCC gesetzt wurden wie ein betroffener Empfänger berichtet. Wieso UDIS hier nicht entsprechende technische und organisatorische Maßnahmen etwa durch den Einsatz eines Mailing-Tools zur Verhinderung einer solchen Panne ergriffen hat, ist unklar.
In einer am Folgetag erneut an alle Empfänger versandten Nachricht spricht der geschäftsführende Gesellschafter und wissenschaftlicher Leiter der Akademie von einer „mehr als peinlichen Datenschutzpanne“ und bittet die Absolventen um Entschuldigung.
Irritiert mussten die Absolventen dabei zur Kenntnis nehmen, dass die für das Missgeschick verantwortliche Mitarbeiterin durch den Geschäftsführer nun namentlich benannt wurde, obwohl die eigentliche Pannen-Mail keine entsprechenden Rückschlüsse auf den Verfasser der Nachricht zuließ. Hierin dürfte ein weiterer Verstoß gegen datenschutzrechtliche Vorschriften vorliegen.
Der Geschäftsführer kündigte zudem mit der Aussage „eines ist sicher: Sie wird udis demnächst verlassen“ offensichtliche arbeitsrechtliche Konsequenzen aus dem Vorfall für die Mitarbeiterin an. Insbesondere dieses Verhalten wurde daraufhin – in einer weiteren Rund-Mail an alle ursprünglichen Empfänger – von einem der Absolventen heftig kritisiert. Er sprach von einem „maßlos überzogenem“ Verhalten des Geschäftsführers und forderte die übrigen Empfänger dazu auf, sich gegenüber diesem für das Überdenken seiner Personalentscheidung auszusprechen.
Update 26.07.2012 (16.15 Uhr):
Inzwischen hat der Geschäftsführer der UDIS in einer weiteren Rund-Mail darüber informieren lassen, ihm sei beim Verfassen seiner Entschuldigungs-Nachricht nicht bekannt gewesen, dass die Pannen-Mail keinen namentlichen Hinweis auf die durch ihn im Entschuldigungsschreiben benannte Mitarbeiterin enthielt. Er hätte bei Kenntnis der Sachlage von einer namentlichen Erwähnung selbstverständlich abgesehen, denn er wisse ja auch, wie Datenschutz funktioniere. Im Übrigen teilt er mit, die Mitarbeiterin habe schon vor einiger Zeit selbst ihre Kündigung eingereicht. Seine Aussage „eines ist sicher: Sie wird udis demnächst verlassen“ sei insoweit mißverständlich formuliert gewesen und stehe in keinem Zusammenhang mit ihrem Verhalten in Bezug auf die Versendung der fehlerbehafteten Rund-Mail.
24. Juli 2012
Das Landgericht (LG) München I hat entscheiden (Urt. v. 12.01.2012 – Az.: 17 HK O 1398/11), dass Betreiber von öffentlichen WLAN Netzwerken ihre Nutzer nicht vor Zugang zum Internet identifizieren können müssen. Demnach ist der Betrieb von anonymen WLAN Hotspots, beispielsweise in Cafés, Bars, Restaurants und Hotels weiterhin möglich. Nach Auffassung des Gerichts besteht keine rechtliche Verpflichtung der Betreiber zur Erhebung und Speicherung der aus der Nutzung des Hotspots gewonnenen Nutzerdaten. Insbesondere könne eine solche weder aus den Regelungen des Telekommunikationsgesetzes (TKG) noch aus dem Gesetz über Urheberrecht und verwandte Schutzrechte (UrhG) hergeleitet werden.
In einer Pressemitteilung begrüßte Michael Ebeling vom Arbeitskreis Vorratsdatenspeicherung die Entscheidung des Landgerichts. “Wenn eine Identifizierung von Nutzern kostenloser Hotspots nicht erforderlich ist, wie das Landgericht München festgestellt hat, dann ist sie auch nicht zulässig: Denn das Telekommunikationsgesetz verbiete(t) die Erhebung nicht erforderlicher Daten“, so Elbing.
Offene Fragen bleiben jedoch bestehen. So ist nach wie vor ungeklärt, ob und in welchen Umfang sich Haftungsrisiken für die Betreiber von anonymen WLAN Hotspots für rechtswidriges Verhalten der Nutzer realisieren und wie sich die Betreiber hiergegen absichern können.
23. Juli 2012
Nach
Angaben des
Bundesverbandes Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) erledigen über 28 Millionen Bundesbürger, also 45 Prozent aller Bürger im Alter von 16 bis 74 Jahren, ihre Bankgeschäfte online. Dies seien rund eine Millionen Nutzer mehr als im Vorjahr, wobei eine steigende Tendenz bestünde. Im europäischen Vergleich soll Deutschland jedoch nur im Mittelfeld liegen. Spitzenreiter beim Online-Banking sei Norwegen, wo 85 Prozent der Bevölkerung davon Gebrauch machen sollen. Schlusslicht sei Bulgarien mit einer Quote von lediglich drei Prozent. Deutsche sollen außerdem besonders häufig Sicherheitsbedenken gegenüber dem Online-Banking hegen: Jeder vierte Internetnutzer verzichte aus Sicherheitsgründen auf die Nutzung des Online-Banking. Dies stelle einen geringen Rückgang von drei Prozent gegenüber dem Vorjahr dar.
19. Juli 2012
Der Bundesdatenschutzbeauftragte für den Datenschutz und die Informations- freiheit (BfDI) Schaar hat Medienangaben zufolge das Bundesamt für Verfassungsschutz wegen der Ende Juni bekannt gewordenen Aktenvernichtung im Zusammenhang mit der Mordserie der rechtsextremen Terrorzelle NSU kritisiert. Die Vernichtung der Akten sei gesetzlich nicht gedeckt. Das Argument, man habe die Akten aus datenschutzrechtlichen Gründen vernichten müssen, sei gleichermaßen nicht legitim und “völlig unverständlich”. Es gebe nur die Vorschrift zur Sperrung von Akten, keine “Aktenvernichtungsverpflichtung”. Außerdem verdiene die Arbeit des Datenschutzbeauftragten beim Bundamt für Verfassungsschutz eine Rüge. Dessen Aufgabe bestünde nicht nur aus der Wahrung des Datenschutzes, sondern auch darin, dass Daten verfügbar seien. Die entscheidende Aufgabe, dass die Strukturen der Datenhaltung ordentlich sind, weise “offensichtliche Mängel” auf. Auch bei der Schulung der Mitarbeiter gebe es offenbar “erschreckende Wissenslücken”, so Schaar.
18. Juli 2012
Der Onlinedienst Heise.de berichtet über Nachwirkungen der bundesweiten Verteilung von Gratis-„Bild“-Zeitungen im Juni: Zahlreich wurde zum Boykott aufgerufen, unter anderem machte der Blog netzpolitik.org den Vorschlag, den Springer Verlag zur Auskunft der gespeicherten personenbezogenen Daten nach § 34 Bundesdatenschutzgesetz aufzufordern. Der Autor des Blogs empfahl, das Auskunftsverlangen per E-Mail an mindestens acht Adressen zu senden, damit sichergestellt sei, dass es ankommt.
Zwar reagierte der Verlag per Brief, Angaben zu den personenbezogenen Daten machte er jedoch nicht. Die daraufhin erneute Welle von Anfragen konterte Springer mit der Aussage, dass nicht die datenschutzrechtliche Auskunft im Vordergrund stehe, sondern dass es den „Petenten“ vielmehr darauf ankomme, die „Kommunikationseinrichtungen zu blockieren“. Die als „E-Mail-Bombing“ bezeichnete Aktion bedeute einen „rechtswidrigen Eingriff in unseren eingerichteten und ausgeübten Gewerbebetrieb und erfüllt … den Tatbestand der Computersabotage gem. § 303b StGB“. Meinten die Absender ihre Anfrage ernst, sollten sie eine Kopie von Vor- und Rückseite ihres Personalausweises nachsenden, weil Springer verpflichtet sei, die Identität zu überprüfen.
Die an acht E-Mail-Adressen versendeten Anfragen als Computersabotage im Sinne des § 303b StGB zu bezeichnen, sei jedoch unhaltbar, so der Bericht weiter. Schon die insgesamt zu erwartende Menge an E-Mails anlässlich dieser Aktion dürfte kaum ausreichen, um die Server von Springer in die Knie zu zwingen.
Datenschutzrechtlich umstritten ist die Frage nach der Identifikation dessen, der eine Auskunft über gespeicherte personenbezogene Daten verlangt. Die verantwortliche Stelle muss die Legitimation der Anfragenden prüfen, weil jede falsche Herausgabe der Daten an Unberechtigte dem strafbewehrten Verbot der unbefugten Datenübermittlung unterliegt. Wie die Identifikation konkret auszugestalten ist, gibt das Gesetz nicht vor. Entscheidend ist jedenfalls auch die Art der Daten: Geht es allein um wenig sensible Daten wie Name und Anschrift, spricht nichts dagegen, diese Daten postalisch an die jeweilige Adresse zu versenden.
Die Forderung nach einer Kopie des Personalausweises als Legitimation geht nach dem Bericht zu weit. Das Personalausweisgesetz regle inzwischen für den neuen Personalausweis die Zwecke, für die eine Kopie verlangt werden dürfe. Die pauschale Legitimation im Rahmen datenschutzrechtlicher Auskunftsverlangen falle nicht darunter.
Inzwischen beschäftigt die Aktion auch den Berliner Beauftragten für Datenschutz, der die Bedenken gegen die ablehnende Haltung von Springer teilt.
Pages: 1 2 ... 180 181 182 183 184 ... 205 206 
