Kategorie: Allgemein
18. Oktober 2011
Der Bundesrat hält den Entwurf für ein Gesetz zur Änderung des Bürgerlichen Gesetzbuches zum besseren Schutz von Verbraucherinnen und Verbrauchern vor Kostenfallen im elektronischen Geschäftsverkehr für unzureichend. Zwingend sei die Erfüllung der erweiterten Informationspflichten, denen Verkäufer kostenpflichtiger Online-Angebote unmittelbar vor einer Bestellung nachkommen müssen, auch gegenüber Käufern in Unternehmen und gegenüber dem gesamten Business-to-Business-Bereich. Insofern fordert der Bundesrat in seiner in der letzten Woche beschlossenen Stellungnahme, dass grundsätzlich von “Kunden” statt von “Verbrauchern” gesprochen, der Schutzbereich mithin erweitert werde. Unternehmer seien als “potenzielle Opfer unseriöser Geschäftsmodelle” – wie z.B. Abofallen – gleichermaßen schutzbedürftig. (sa)
17. Oktober 2011
Microsoft hat seinen für die erste Hälfte des Jahres 2011 erstellten Sicherheits- bericht veröffentlicht. Nach diesem erfolgt die Infektion mit Schadsoftware in 45 Prozent der Fälle durch die Windows-Nutzer selbst, indem Schadsoftware eigenhändig gestartet wird. Rund 25 Prozent aller Angriffe sollen dabei durch USB-Speichermedien und deren Autorun-Funktion ausgelöst werden. Verseuchte Netzwerkfreigaben seien in insgesamt 17,2 Prozent der Fälle kausal für Angriffe, Sicherheitslücken in nur 5,6 Prozent der Fälle.
Die Anzahl infizierter Rechner ist nach Angaben von Microsoft zurückgegangen: im dritten Quartal 2010 sollen in Deutschland durchschnittlich 5,3 von 1000 untersuchten Rechnern mit Schadsoftware infiziert gewesen sein, im zweiten Quartal 2011 lediglich 3,2 von 1000 Rechnern. Damit läge Deutschland deutlich unter dem internationalen Durchschnitt von 9,8 von 1000 infizierten Rechnern. (sa)
14. Oktober 2011
Laut einer aktuellen Online-Umfrage der Universität Regensburg und des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) bezieht jedes sechste Unternehmen Sicherheitsservices – beispielsweise zur Virenbekämpfung oder Benutzerauthentifizierung – aus einer Cloud (“Security-as-a-Service”). Mittelfristig soll dies jedes vierte Unternehmen tun. Die Umfrage ergab des Weiteren, dass Finanz- und IT-Dienstleister Vorreiter bei dem Einsatz von Security-as-a-Service sind. Fast jedes dritte Unternehmen aus diesen Branchen nutzt solche Sicherheitsservices. Nur jedes fünfte befragte Unternehmen schließt den Bezug von Sicherheitsdienstleistungen aus einer Cloud wegen befürchteter Abhängigkeit von einem Dienstleister langfristig aus.
Die verhältnismäßig hohe Akzeptanz von Security-as-a-Service ist nach Angaben des BITKOM besonders bemerkenswert, da deutsche Unternehmen im internationalen Bereich eher zurückhaltend von Cloud Computing Gebrauch machen. (sa)
13. Oktober 2011
Der baden-württembergische Beauftrage für Datenschutz, Jörg Klingbeil, äußerte sich laut einem Bericht der Stuttgarter Zeitung Ende August kritisch zur geplanten Erhebung von Daten über Luftbildaufnahmen. Auf deren Basis soll die gesplittete Abwassergebühr eingeführt werden. Aus seiner Sicht fehle es derzeit noch an einer Rechtsgrundlage, die Erhebung durch Erwerb der Luftbildaufnahmen sei datenschutzrechtlich unzulässig.
Die gesplittete Abwassergebühr fördert die Gebührengerechtigkeit und geht auf eine umfangreiche Rechtsprechung zurück, in der die Berechnung nach dem “einheitlichen Frischwassermaßstab” für unzulässig erklärt wurde. Niederschlags- und Abwassergebühr sollen künftig voneinander getrennt berechnet werden.
Um versiegelte Flächen zu vermessen, griffen fast 90 Prozent der Kommunen in Baden-Württemberg auf Luftbilder des Landesamtes für Geoinformationen und Landesentwicklungen oder von privaten Firmen zurück. Der Datenschutzbeauftrage gab zu bedenken, dass die Luftbildaufnahmen gestochen scharf seien und eine Bodenauflösung von zehn oder sogar nur fünf Zentimetern haben. Diese Bilder stellten „personenbezogene oder zumindest personenbeziehbare Daten“ dar. Das Landesdatenschutzgesetz oder eine andere Norm müsse die Verarbeitung erlauben oder der Betroffene eingewilligt haben – sonst sei sie unzulässig.
Betroffene Bürger planen bereits, vor das Verwaltungsgericht zu ziehen. Der Verweis eines Gemeindevorstehers auf Google Earth konnte die Gemüter nicht beruhigen, sei es doch ein Unterschied, ob ein privater Dienst Bilder anbiete oder eine Kommune damit hoheitliche Aufgaben erledige. Die Forderung war deutlich: Kommunen sollten in das informelle Selbstbestimmungsrecht nicht ohne Rechtsgrundlage eingreifen dürfen. (ssc)
Die Überwachung und Aufzeichnung verschlüsselter Internetkommunikations-vorgänge (z.B. Internettelefonie, E-Mail-Verkehr) durch Strafverfolgungsbehörden erfordert regelmäßig das Anbringen einer Software auf dem Endgerät des Betroffenen, die die Daten aus dem laufenden Kommunikationsvorgang vor ihrer Verschlüsselung erfasst und an die Behörde weiterleitet (sog. Quellen-Telekommunikationsüberwachung). Wegen des damit verbundenen unbemerkten Eindringens in Computer der Bürger und dem Eingreifen des Fernmelde-geheimnisses sowie des “Computer-Grundrechts” begrüßte der Landesbeauftragte für den Datenschutz Rheinland-Pfalz (RLP) erneut explizit das derzeit bestehende Moratorium, wonach Sicherheitsbehörden bis auf weiteres auf den Einsatz von Abhörsoftware zur Quellen-Telekommunikationsüberwachung verzichten. Selbstverständlich bestehe zwar die Notwendigkeit auch die über das Internet geführte Telekommunikation zur Strafverfolgung abzuhören, erforderlich sei allerdings ein Gesetz, dass gewisse Mindestvoraussetzungen verbindlich regelt. Dieses solle u.a. den Einsatz von Quellen-Telekommunikationsüberwachung auf Fälle schwerster Kriminalität begrenzen und technisch-organisatorische Vorkehrungen vorschreiben, damit sich die Datenerhebung auf Kommunikations-daten beschränkt und eine revisionssichere Nachvollziehbarkeit der Datenverarbeitungsvorgänge besteht. Daneben sei ein wirksames Verfahren zur Sicherung des Kernbereichs der privaten Lebensgestaltung vorzusehen und ein besonderer Fokus auf den technischen Datenschutz zu legen, damit ein Missbrauch der sicherheitsbehördlichen Instrumente durch Dritte ausgeschlossen werden kann.
Derzeit fehle ein solches Gesetz für den Bereich der Strafverfolgung. § 100a Strafprozessordnung (StPO) und § 100b StPO reichen nach Ansicht des Landesbeauftragten für den Datenschutz RLP dafür – selbst mit richterlicher Anordnung – nicht aus. Im Übrigen seien die Regelungen des BKA-Gesetzes zur Quellen-Telekommunikationsüberwachung unter diesen Aspekten kritisch zu prüfen. Die Datenschutzbeauftragten des Bundes und der Länder haben bereits im März 2011 die Entschließung “Ohne gesetzliche Grundlage keine Telekommunikationsüberwachung auf Endgeräten” verabschiedet, in der entsprechende Forderungen erhoben werden. Diese seien bislang allerdings unberücksichtigt geblieben. (sa)
10. Oktober 2011
In letzter Zeit wurde über den mangelnden Datenschutz bei Facebook auch in den renommierten “allgemeinen” Medien vielfach berichtet. So konnte man unter anderem lesen, dass Facebook Daten nicht zuverlässig löscht. Auch die Verfolgung (Tracking) von Nutzern durch Cookies nach deren Ausloggen wurde vielfach thematisiert. Beinahe in Vergessenheit geraten ist dabei, dass Facebook eine Zeit lang selbst die Internetnutzer besser kennelernen wollte, die nicht Nutzer des Dienstes waren, wie der Niederländer Arnold Roosendaal herausgefunden hatte.
Dass es sich dabei um Versehen handelt, scheint die Mehrheit der Deutschen nicht glauben zu wollen. Nach einer aktuellen Umfrage von TNS Emind unter 1.000 Bürgern ab 14 Jahren gaben 9 von 10 der Befragten an, dass sie den Umgang von Facebook mit persönlichen Daten für bedenklich halten. Dennoch konnte Facebook bereits Mitte des Jahres die stolze Zahl von 20 Millionen deutschen Nutzern vermelden.
Spannend wird sein, wie die Nutzer Facebooks neueste Errungenschaften, die Timeline (Chronik) und das sogenannte frictionless sharing, annehmen werden, welche auf der Facebook Entwicklerkonferenz f8 vorgestellt wurden: Die Timeline stellt dabei nicht weniger als den Versuch dar, das Leben des Nutzers ähnlich einem sehr genauen (Online)Tagebuch möglichst minutiös nachzuzeichnen. Demzufolge wirbt Facebook auch mit dem Slogan “Erzähle deine Lebensgeschichte”. Um dies dem Nutzer ohne Weiteres möglich zu machen, führt Facebook mit seiner neuen Schnittstelle Open Graph die Funktion des frictionless sharing (reibungsloses Teilen) ein. Dem Nutzer soll es so möglich sein, seine Aktivitäten nach einmaliger Zustimmung automatisch an Facebook übertragen zu lassen. Dies könnte beispielsweise darin resultieren, dass jedes vom Nutzer angehörte Musikstück von einem Online-Dienst zu Facebook übertragen wird, oder jede auf einem Newsportal gelesene Meldung an Facebook übermittelt wird. Bezieht man dann noch Check-Ins mit Hilfe von Smartphones etc. ein, ergibt die Timeline ein bemerkenswertes genaues Persönlichkeitsprofil des Nutzers.
Beinahe überflüssig zu sagen ist es, dass die neu angekündigten Funktionen zu einem Aufschrei der Datenschützer führten. Dies betrifft nicht nur die deutschen Datenschützer, sondern auch ein breites US-amerikanisches Bürgerrechtsbündins unter der Führung des EPIC (Electronic Privacy Information Center), welches mit Hilfe eines offenen Briefes ein Verfahren vor der höchsten Verbraucherschutzinstanz der USA, der FTC (Federal Trade Commission), gegen Facebook anstrengt.
Natürlich muss kein Facebooknutzer die Einwilligung zum frictionless sharing erteilen. Auch kann man durch die Privatsphäreneinstellungen Einfluss darauf nehmen, wer die jeweiligen Einträge sehen soll. Jedoch sollte man Folgendes bedenken: Selbst wenn man es schafft, die unübersichtlichen Privatsphäreneinstellungen den eigenen Vorlieben anzupassen, so hat doch Facebook ein (unsichtbares) komplettes Profil. Es bleibt jedem Facebooknutzer selbst überlassen, zu entscheiden, ob er einem Konzern, der systematisch unübersichtliche Privatsphärenoptionen anbietet und Funktionen, welche die Privatsphäre erheblich beeinträchtigen können, ohne Zustimmung des Nutzers freischaltet, einen so großen Teil seines Lebens anvertrauen möchte.
Nicht überlassen bleibt es jedoch vielen Nutzern, sich dem Datenbegehren Facebooks vollkommen zu entziehen, da die auf Websiten eingebundenen Funktionen unter Umständen auch ohne Zutun der Nutzer Daten an Facebook übertragen. Daher ist auch den verantwortlichen Seitenbetreibern anzuraten, darüber nachzudenken, ob und in welcher Form sie Funktionen von Facebook auf ihrer Seite einbinden möchten. (se)
Gerade erst wurde der elektronischen Entgeltnachweis (ELENA) zu Grabe getragen, schon wird über den Nachfolger diskutiert. Der Bundesdatenschutzbeauftragte, Peter Schaar, forderte den Gesetzgeber dazu auf, bei dem von der Bundesregierung angestrebten einfacheren und unbürokratischen Meldeverfahren in der Sozialversicherung den Datenschutz zu gewährleisten. Dabei dürfe es keine Abstriche geben, der Umfang der personenbezogenen Daten müsse so gering wie möglich gehalten werden und es müsste den Betroffenen möglich sein, von Anfang an Auskunfts- und Berichtigungsansprüche geltend zu machen. Bereits die Vereinheitlichung der vielen im Sozialrecht verwendeten Einkommensbegriffe könne auf dem Gebiet des Datenschutzes zu Fortschritten führen. (se)
29. September 2011
Google sorgte jüngst mit seinem Facebook-Konkurrenten Google+ für ein starkes mediales Echo, als einige Profile gelöscht wurden, deren Ersteller Pseudonyme anstelle der von Google geforderten Klarnamen verwendet hatten. Die Löschung wurde mit Punkt 13 der Inhalts- und Verhaltensrichtlinien für Nutzer begründet. Dort gibt Google Folgendes vor: “Verwenden Sie den Namen, mit dem Sie normalerweise von Freunden, Familie und Kollegen angesprochen werden. Dies dient der Bekämpfung von Spam und beugt gefälschten Profilen vor. Wenn Ihr voller Name beispielsweise Sebastian Michael Müller ist, Sie normalerweise aber Bastian Müller oder Michi Müller verwenden, sind diese Namen auch in Ordnung.”
Mit einem offenen Brief an Google reagierte ein Bündnis aus Bloggern, Internetaktivisten, Journalisten und einigen Bundestagsabgeordneten aller Fraktionen (außer der Linken) auf diese Praxis und fordert Google auf, Pseudonyme zu gestatten.
Der stellvertretende Vorsitzende der CDU/CSU-Bundestagsfraktion, Günter Krings, und deren innenpolitische Sprecher Hans-Peter Uhl sehen in einer Stellungnahme für einen derartigen “politischen Aufschrei mehrerer Abgeordneter… dagegen keinen Grund“. Ihre Erwägungen leiten sie dabei mit mit folgender Aussage ein: “Es kann im Internet ebenso wie in der realen Welt kein grundsätzliches Recht auf Anonymität geben.” Auffällig ist, dass auch im weiteren Text immer wieder von Anonymität gesprochen wird. Uhl und Krings scheinen insofern dem Fehler aufgesessen zu sein, nicht zwischen einem Pseudonym und dem Konzept der Anonymität zu unterscheiden.
Diese indifferente Verwendung der beiden Begriffe ist derart verbreitet, dass sich in der Wikipedia ein eigener Artikel zur Unterscheidung zwischen Anonymisierung und Pseudonymisierung findet. Der maßgebliche Unterschied besteht darin, dass nach einer Anonymisierung keine Rückschlüsse auf die Person mehr möglich sind. Bei einer Pseudonymisierung wird die “wirkliche” Identität zwar zunächst durch die Wahl eines fingierten Namens auch verschleiert, der Bezug zwischen den pseudonymisierten Daten und der dahinterstehenden Person kann jedoch wieder hergestellt werden, wenn das verbindende Element – der Schlüssel – bekannt ist. Wer also weiß, dass Kurt Tucholsky auch Texte als Theobald Tiger und Peter Panter veröffentlicht hat, kann jederzeit die so veröffentlichten Beiträge der Person Tucholskys zuordnen. Im Internet ist die Pseudonymisierung recht häufig anzutreffen: Fast jeder selbst gewählte Benutzer- oder Forenname stellt ein Pseudonym dar.
Schlußendlich kommen Krings und Uhl, der in der Diskussion um Street View noch an vorderster Front gegen Googles Begehrlichkeiten kämpfte, zu der Einschätzung, dass die Entscheidung, ob eine Pflicht zur Offenlegung des Klarnamens bestehe, letztlich auf Seiten der Betreiber läge. Schließlich gäbe es auch keine allgemeine Rechtspflicht für Nutzer, sich zu identifizieren. Dabei verkennen Sie jedoch den § 13 Abs. 6 TMG, der vorschreibt, dass ein Diensteanbieter die Nutzung von Telemedien anonym oder unter Pseudonym zu ermöglichen hat, soweit dies technisch möglich und zumutbar ist. Auch der BGH führt im Spickmich-Urteil explizit aus, dass die anonyme Nutzung dem Internet immanent sei. Dies muss dann erst recht für eine zumindest pseudonyme Nutzung gelten. (se)
26. September 2011
Wie der Online-Dienst H-Security berichtet, haben Forscher der Fachhochschule Münster einen technischen Report zum Thema Smart-Meter und Datenschutz vorgelegt. Überraschendes Ergebnis: Schon eine Messung des Stromverbrauchs im Zwei-Sekunden-Takt lässt auf das gelaufene Fernsehprogramm schließen. Aktuelle LCD-TVs schwanken in der Stromaufnahme, Grund sind unterschiedlich helle oder dunkle Bilder bzw. variierende Lautstärken. Verglichen mit einer Referenz ist dann ein Rückschluss auf das eingeschaltete Programm möglich.
Zwar sinke die Wahrscheinlichkeit, einen Spielfilm oder das Programm zu erkennen, wenn mehrere Verbraucher aktiv seien. Ein Spielfilm von 90 Minuten Länge biete aber genug Sequenzen zur Feststellung, auch wenn zwischendurch andere Geräte liefen.
In dem Report erwähnen die Forscher auch die grundsätzlich mögliche, aber als missbräuchlich anzusehende Nutzung der Stromverbrauchsdaten, um Konsumenten von urheberrechtlich geschütztem Material aufzuspüren. Diese Nutzung sei denkbar, weil nachträglich festgestellt werden könnte, welche Haushalte beispielsweise einen Film abgespielt hätten, der zu diesem Zeitpunkt noch nicht auf DVD erschienen war.
Als Gegenmaßnahme schlägt das Team der FH Münster vor, Ablese-Intervalle zu vergrößern oder nur statistische Zusammenfassungen der Verbrauchsdaten zu übertragen. (ssc)
19. September 2011
Fast zwei Jahre wurde verhandelt, jetzt die Einigung: Der Hamburgische Beauftragte für Datenschutz, Johannes Caspar, verkündete am Donnerstag vergangene Woche, dass Google die Bedingungen für das Statistik-Tool Google Analytics geändert hat.
Im Kern waren für die Datenschützer drei Punkte entscheidend, um Google Analytics den Segen zu erteilen:
- Künftig haben Nutzer über eine Browser-Erweiterung die Möglichkeit, Google Analytics persönlich zu deaktivieren. Dieses Add-on wird Google für alle gängigen Browser anbieten.
- Seitenbetreiber können die so genannte IP-Maskierung aktivieren. Dann wird Google Analytics die IP-Adresse der Nutzer nur anonymisiert speichern. Anonymisierung bedeutet dabei, dass der letzte Zahlenblock der IP-Adresse nicht mitgespeichert wird. Eine Zuordnung der Adresse zu einem Nutzer ist dann nicht mehr möglich.
- Außerdem wird Google mit den Seitenbetreibern einen Vertrag zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes (§ 11 BDSG) abschließen.
Die Datenschutzbehörde bietet auf ihrer Website eine Checkliste (pdf) für Seitenbetreiber an, die Google Analytics datenschutzkonform verwenden möchten. Neben den Änderungen müssten vor allem die alten Daten ohne IP-Maskierung gelöscht werden.
Caspar erinnerte auch daran, dass letztendlich die Seitenbetreiber für den Datenschutz verantwortlich seien – und nicht Google. Hamburgs oberster Datenschützer wies darauf hin, dass die jetzige Abstimmung mit Google nur der Anfang sei. Technische Fortschritte und die Umsetzung der E-Privacy-Richtlinie machten auch in Zukunft Gespräche notwendig. (ssc)
Pages: 1 2 ... 196 197 198 199 200 ... 205 206 
