Kategorie: Online-Datenschutz

Regulierungsfreier Verbraucherdatenschutz in den USA diskutiert

25. August 2011

US-amerikanischen Regierungskreisen zufolge streben die Vereinigten Staaten bezüglich des Verbraucherdatenschutzes im Internet einen regulierungsfreien Ansatz an. Danny Weitzner, der für die National Telecommunications and Information Administration (NTIA) tätig ist, führte aus, dass Unternehmen, die sich durch einen verantwortungsvollen Umgang mit dem Datenschutz auszeichneten, nicht noch zusätzliche Steine in den Weg gelegt werden sollten. Weiterhin vertritt Weitzner die Auffassung, dass man bessere Datenschutzgesetze, klarere Regeln, sowie rechtlich verankerte Prinzipien auch ohne die Kosten und Nachteile traditioneller Regulierungsstrukturen erreichen könnte.

Erwartungsgemäß begrüßten Branchenvertreter, wie Victor Nichols von Experian North America, den Vorschlag, auf eine strikte Regulierung zu verzichten. Nichols betonte, dass nur eine Selbstregulierung flexibel genug sei, um ausreichend schnell auf den Markt zu reagieren und den Verbrauchern gleichzeitig Transparenz und Wahlmöglichkeiten zu bieten.

Im März 2011 hatte Weitzners Vorgesetzter Lawrence Strickling dem Kongress vorgeschlagen, dass durch Verbraucherdatenschutzgrundrechte ( „consumer privacy bill of rights“) eine breitere Basis für Datenschutz geschaffen werden könnte. Die Ausführungen Stricklings blieben jedoch recht unspezifisch. Unter anderem forderte er, dass der Zweck der Datenerhebung durch die Unternehmen offengelegt wird. Ob dies auch eine Zweckbindung im Sinne des § 12 Abs. 2 TMG impliziert, lässt sich den Aussagen Stricklings nicht entnehmen. Auch seine weitreichende Formulierung, dass die Unternehmen die einmal gesammelten Daten sicher verwahren müssten, lässt noch keine Rückschlüsse auf einen möglichen Regelungsgehalt der zukünftigen Vorschriften zu.

Bereits im Dezember 2010 hatte das US-Handelsministerium, welchem auch die NTIA unterfällt, einige Anregungen gemacht, wie man die Bundesgesetze bezüglich der Datenerhebung durch Unternehmen, aktualisieren könnte. Konkrete Umsetzungsvorschläge folgten bisher jedoch nicht. Ein sogenanntes white paper, welches klarstellt, wie die Regierung die Frage handhaben möchte, wird für den Herbst 2011 erwartet.

Die USA haben bisher kein dem europäischen Datenschutzrecht vergleichbares Regelwerk. Jedoch haben US-Bundesbehörden wie die Federal Communications Commission und die Federal Trade Commission bereits jetzt einige Möglichkeiten bei Datenschutzverstöße einzuschreiten. Auch auf Grundlage einzelstaatlicher Regelungen ist die Ahndung von Datenschutzverstößen bereits möglich. (se)

China: Entwurf eines Gesetzes zum Schutz personenbezogener Daten im Internet

19. August 2011

Das Ministerium für Industrie und Informationstechnologie der Volksrepublik China hat einen Gesetzesentwurf vorgestellt, der einen grundlegenden Schutz personenbezogener Daten im Internet sicherstellen soll.

Nach diesem Entwurf sollen für Dienstanbieter im Internet folgende Regeln gelten:

  1. Personenbezogene Daten dürfen nicht ohne Zustimmung der Nutzer erhoben werden, sofern nicht Gesetze oder Verwaltungsvorschriften etwas Anderes bestimmen.
  2. Mit den personenbezogenen Daten ist sorgsam umzugehen. Diese dürfen Dritten nicht ohne Zustimmung der Nutzer zugänglich gemacht werden, es sei denn Gesetze und Verwaltungsvorschriften erlauben dies.
  3. Es dürfen nur solche Daten erhoben werden, die zur Bereitstellung des Dienstes notwendig sind.
  4. Der Nutzer muss ausdrücklich über Art, Umfang und Zweck der erhobenen und verarbeiteten Daten aufgeklärt werden. Die Verwendung der Daten ist auf die angegebenen Zwecke zu beschränken.
  5. Wenn es zu einem unbefugten Zugriff auf die Daten kam, oder die Gefahr eines solchen Zugriffs besteht, müssen Internetdienstanbieter unverzüglich Gegenmaßnahmen ergreifen. Die entstandenen oder zu erwartenden Auswirkungen des Vorfalls sind den zuständigen staatlichen Stellen zu melden. Mit dem Staat ist bezüglich der Aufklärung der Vorfälle zu kooperieren.

Bei den angestrebten Regelungen lassen sich Parallelen zum deutschen Datenschutzrecht erkennen: Die Punkte 1. & 2. statuieren ein Verbot mit Erlaubnisvorbehalt ähnlich dem des § 12 Abs. 1 TMG. Ob der dritte Punkt die Erhebung von Bestands- und/oder Nutzungsdaten betrifft, welche in hierzulande in § 14 TMG (Bestandsdaten) und § 15 TMG (Nutzsungsdaten) geregelt ist, lässt der knapp formulierte Entwurf nicht erkennen. Punkt 4. legt nahe, dass auch chinesische Dienstanbieter die erhoben Daten nur zweckgebunden verwenden dürfen, ähnlich wie dies in § 12 Abs. 2 TMG angeordnet ist. Der letzte Punkt weist schließlich inhaltlich eine gewisse Nähe zum § 15a TMG auf, der für die Informationspflichten der Anbieter bei unrechtmäßiger Kenntniserlangung von Daten auf § 42a BDSG verweist.

Dieses Gesetz würde den Schutz personenbezogener Daten im Internet erstmalig auf eine breite Basis stellen, da in China bisher nur sektorbezogene Regelungen erlassen wurden. Es ist jedoch denkbar, dass bis zum Erlass des endgültigen Gesetzes noch weitreichende Änderungen des Entwurfs vorgenommen werden. (se)

ULD: Abschaltung von Facebook-Reichweitenanalyse

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat alle Stellen in Schleswig-Holstein aufgefordert, ihre Fanpages bei Facebook und Social-Plugins – wie z.B. den „Gefällt-mir“-Button – auf ihren Websites zu entfernen. Sollten die Websitebetreiber bis Ende September 2011 dieser Aufforderungen nicht nachkommen, kündigte das ULD weitergehende Maßnahmen an. Dazu können nach Durchlaufen der Anhörungs- und Verwaltungsverfahren bei öffentlichen Stellen Beanstandungen i.S.v. § 42 Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) zählen, bei privaten Stellen wiederum kommen Untersagungsverfügungen gem. § 38 Abs. 5 Bundesdatenschutzgesetz (BDSG)  sowie Bußgeldzahlungen in Betracht.

Das ULD ist nach technischer und rechtlicher Analyse zu dem Ergebnis gekommen, dass derartige Angebote gegen das Telemediengesetz, das BDSG  bzw. das LDSG SH verstoßen, da die Nutzung der Facebook-Dienste eine Weitergabe von Verkehrs- und Inhaltsdaten in die USA bedingt und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots  („Reichweitenanalyse“) erfolgt. Wer einmal bei Facebook war oder ein Plugin genutzt habe, müsse davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook würde eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen, was gegen deutsches und europäisches Datenschutzrecht verstoße. Der betroffene Nutzer erhalte weder eine hinreichende Information über den Umgang mit seinen Daten noch ein Wahlrecht. Des weiteren seien die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook schlichtweg unzureichend. (sa)

Update: Nach der massiven Kritik des ULD an den Fanpages und den „Gefällt-mir“-Buttons von Facebook beenden auch erste öffentliche Stellen in Niedersachen ihre Teilnahme an dem sozialen Netzwerk. Dafür bedurfte es keines öffentlichen Aufrufes durch den Landesbeauftragten für den Datenschutz Niedersachsen. Dieser schloss sich zwar explizit der Rechtsauffassung des ULD an, räumte allerdings gleichzeitig ein, nicht über die personelle Kapazität zu verfügen, um die rund 300.000 Unternehmen, mehr als 1000 Kommunen und zahlreichen Behörden zu kontrollieren. Dennoch fühlen sich viele öffentliche Stellen verpflichtet, den Datenschutz einzuhalten und reagierten. Medienangaben zufolge hat beispielsweise bereits der Landkreis Friesland seine Facebook-Seite abgeschaltet und mehrere Kommunen sollen erwägen, implementierte „Gefällt-mir“-Buttons zu entfernen. (sa)

 

Gravierende Sicherheitslücke im osCommerce Shopsystem

4. August 2011

Nach einem Bericht des Amorize Malware Blogs nutzen Unbekannte mehrere seit Längerem bekannte Lücken einer veralteten Version des quelloffenen Shopsystem osCommerce zur Verbreitung von Schadcode aus. Dieser versucht bei Besuchern der infizierten Onlineshops nach Möglichkeit Schadsoftware zu installieren. Nach Recherchen von Amorize ist die Anzahl der infizierten Seiten innerhalb kürzester Zeit von knapp 92.000 Seiten (24.07.2011) auf über 3,4 Millionen Seiten (31.07.11) gestiegen. Aktuell gibt die Suchanfrage, die auf betroffene Seiten hindeutet, eine Anzahl von 5,1 Millionen Seiten an.

Die Sicherheitslücken in osCommerce sind bereits seit Erscheinen der Version 2.3 im November 2010 behoben. Aktuell stehen sowohl die Version 2.3.1 als auch 3.0.1 zum Download zur Verfügung. Daher gilt für Shopbetreiber, die auf die Open-Source Software setzen, dass sie nach Möglichkeit eine der aktuellen Versionen installieren und nicht dem gefährlichen Grundsatz „never change a running system“ folgen sollten.

Auf Endnutzerseite versucht der eingeschleuste Schadcode Lücken in Java, dem Adobe Reader, dem Windows Hilfecenter sowie dem Internet Explorer auszunutzen. Auch diese Lücken sind allesamt seit Langem geschlossen und stellen mithin für den Nutzer, der sein System regelmäßig updatet, keine Gefahr da. Windowsnutzern, andere Betriebssysteme sind nicht betroffen, ist daher zu raten, die automatische Updatefunktion des Betriebssystems zu nutzen, welche Microsoftprodukte auf dem neuesten Stand hält. Auch gängige Fremdanbieterprogramme, wie z.B. der Adobe Reader, lassen sich weitgehend automatisch und zentralisiert aktualisieren. Dazu ist jedoch die Installation einer Zusatzsoftware notwendig.

Update vom 16.08.11:

Nachdem wir bereits vor einiger Zeit über die gravierenden Sicherheitslücken in osCommerce berichtet haben, hat nun auch das Bundesamt für Sicherheit in der Informationstechnik auf die „massenhafte Kompromittierung von Online-Shops“ und den daraus resultierenden „akuten Handlungsbedarf“ hingewiesen. Dies bekräftigt einmal mehr, dass die Lücke nicht auf die leichte Schulter genommen werden sollte. (se)

Kategorien: Online-Datenschutz

Wirtschaftsvertreter reagieren auf mögliche Weitergabe von Cloud-Daten an US-Behörden

Nach der Reaktion der Datenaufsichtsbehörden zu dem Eingeständnis Microsofts, dass US Firmen unter Umständen auch innerhalb Europas gespeicherte Cloud Daten an die US Behörden weitergeben müssen, äußerten sich nach einem Bericht der Financial Times nun auch Unternehmensvertreter zu den Auswirkungen dieser Praxis. IT-Verantwortliche aus Europa gaben demnach bei einer Serie von privaten Financial Times Meetings in Deutschland und der Schweiz bekannt, dass man US Cloud Service Anbieter meiden werde, da nicht einmal sicher gestellt sei, dass man im Falle eines Zugriffs auf die Daten darüber informiert würde. Ein Teil der Befragten wollten daraus die Konsequenz ziehen, auf Cloud-Dienste komplett zu verzichten, während andere Teilnehmer der Meetings lokalen Anbietern den Vorzug geben möchten.

Alan Murphy, der bei F5 Networks für Virtualisierung und Cloud Services zuständig ist, sieht in der zweiten Alternative mehr eine Chance, denn eine Notlösung. Nach Angaben der Financial Times führte er aus, dass gerade auf Grund der Weigerung der europäischen Wirtschaft in Zukunft US basierte Dienste zu nutzen, kleinere lokale Anbieter die Chance erhielten, auf Kosten der bekannten Marktgrößen Kunden zu gewinnen. Dazu müssten die kleinen Anbieter nach seiner Ansicht nur garantieren, dass ihre Cloud Angebote den örtlichen Datenschutzanforderungen entsprechen.(se)

Skandinavien befragt Facebook zum Datenschutz

21. Juli 2011

Das soziale Internet-Netzwerk Facebook soll nach der gemeinsamen Aktion von Datenschützern aus Norwegen, Schweden, Dänemark und Finnland Auskunft über den Umgang mit persönlichen Benutzerdaten geben.

Die norwegische Datenschutzbehörde hat dem kalifornischen Konzern im Namen aller vier oben genannten Staaten einen Fragenkatalog mit 45 Fragen eingereicht. Es geht um Informationen über Erhebung, Verbreitung oder Nutzung personenbezogener Daten (z.B. bei der Nutzung des „Gefällt-mir“-Button oder der Funktion „Fotos-Hochladen“). Facebook muss bis Ende August jede Frage möglichst ausführlich und gleichzeitig kurz beantworten.

„Es handelt sich dabei um eine gemeinsame Aktion, um bessere Kenntnisse darüber zu erhalten, wie das größte soziale Netzwerk der Welt persönliche Informationen behandelt“, erklärte der Chef der schwedischen Datenschutzbehörde, Hans-Olof Lindblom, in Oslo.

Dieses soziale Internet-Netzwerk wurde im Jahr 2004 von Mark Zuckerberg gegründet und zählt heutzutage 750 Millionen Nutzern weltweit. In Deutschland hat Facebook fast 20 Millionen aktive Mitglieder.

Hacking-Angriff auf Handelskonzern Rewe und dessen Tochter Penny

18. Juli 2011

Unbekannten ist es gelungen, in zwei Datenbanken des Netzwerkes des Handelskonzerns Rewe einzudringen und Kundeninformationen in Form von Anmeldedaten für die Teilnahme an Internet-Tauschbörsen und der Teilnahme an der Fußballsammelkartenaktion auszuspähen. Betroffen sein sollen Name, E-Mail-Adresse und Passwörter der Kunden, nicht hingegen deren Bank- oder Kreditkarteninformationen.

Nach Presseberichten soll die Sicherheitslücke mittlerweile behoben sein und der Datenschutz könne wieder gewährleistet werden. Nicht sicher feststellbar sei allerdings, wie lange die Sicherheitslücke bestanden hat.

Update:

Nach einem Pressebericht scheint mittlerweile auch die Rewetochter Penny das Ziel eines Angriffs geworden zu sein. Unbekannte haben auf dem Texthoster Pastebin.com Dateien veröffentlich, die angeblich Accounts und Passwörter von Penny und Nexum Mitarbeitern enthalten. Nexum ist für den Webauftritt von Rewe und Penny verantwortlich. Laut einem Kommentar, der dem mutmaßlichen Täter zugeordnet wird, hätte er Zugriff auf die Kundendaten erlangen können, habe dies aber unterlassen. Penny.de wurde bis zur Klärung der Vorkommnisse vom Netz genommen und ist momentan nicht zu erreichen. (se)

Folgen der Weitergabe von Cloud-Daten an US-Behörden

13. Juli 2011

Wie bereits berichtet, hat Microsoft offen zugegeben, auch in Europa gespeicherte Daten seines Dienstes Office 365 unter Umständen an US-Behörden weitergeben zu müssen.

Sogleich haben die deutschen Aufsichtsbehörden hierzu eine Reaktion gezeigt: Nach einer Meldung von heise online sieht Dr. Thilo Weichert vom Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein (ULD) in einer solchen Datenweitergabe aus dem EU-Gebiet heraus einen Widerspruch zum europäischem Datenschutzrecht. Ein drohender Zugriff von US-Behörden stelle die Vertraulichkeit der gespeicherten Daten infrage und entziehe bestehenden Verträgen zur Datenverarbeitung somit die Grundlage. Auf Grund dessen lasse sich sowohl ein Sonderkündigungsrecht ableiten als auch die Feststellung treffen, dass Microsoft als Anbieter von Cloud-Lösungen wie Office 365 und Windows-Azure für personenbezogene IT-Dienstleistungen ausscheide. Als Alternative käme ferner der Bezug von Office 365 über T-Systems infrage, da dieser Anbieter seinen Nutzern zusichert, dass die Daten ausschließlich auf „unter eigener Kontrolle stehenden“ Servern gespeichert werden.

Dies zeigt einmal mehr, dass das Feld des Cloud Computing in Bezug auf Datenschutz rechtlich immer noch ein Minenfeld ist. (se)

Update:

Auch seitens der EU-Kommission liegt nunmehr eine Reaktion vor: Matthew Newman, der Pressessprecher der für Justiz-, Grundrechts- und Bürgerschaftsbelange zuständigen EU-Kommisarin Viviane Reding, hat sich gegenüber CHIP Online zu der Datenübermittlung in die USA im Rahmen des Patriot Acts geäußert. Nach seinem Verständnis muss sich dabei „jedwede Übertragung personenbezogener Daten in Drittstaaten (…) an die grundlegenden Prinzipien des Datenschutzes in der EU halten“. Wenn ein Drittland Zugriff auf Daten aus dem EU-Raum erlangen wolle, setze dies voraus, „die etablierten offiziellen Kommunikationswege zwischen öffentlichen Ämtern benutzen“.

Zur abschließenden Regelung des Problems hält Newman es für unerlässlich, „eine allumfassende Vereinbarung zwischen der EU und den USA über die gemeinsamen Datenschutz-Prinzipien zu treffen, um die personenbezogenen Daten, die ausgetauscht werden, im Kontext der Verbrechens- und Terrorismusbekämpfung zu schützen.“ (se)

Änderung des Telemediengesetzes: Mehr Schutz und Transparenz für Nutzer

11. Juli 2011

Der Bundesrat hat einen Gesetzesentwurf zur Änderung des Telemediengesetzes (TMG), der der mangelnden Transparenz bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch Diensteanbieter Abhilfe schaffen soll, in den Bundestag eingebracht.

Wegen der besonderen Gefahren für Persönlichkeitsrechte sollen danach u.a. Diensteanbieter von nutzergenerierten Inhalten zusätzliche Schutzpflichten einhalten. Diese beinhalten etwa bei Neuanmeldungen für soziale Netzwerke die standardmäßige Voreinstellung der höchsten Sicherheitsstufe, die ausschließlich durch den Nutzer reduziert werden kann, und die standardmäßige Verhinderung der Auffindbarkeit und Auslesbarket mittels externer Suchmaschinen. Den Nutzern soll künftig auch ohne technisches Hintergrundwissen die Gelegenheit gegeben werden, datenschutzrechtliche Transparenz zu erhalten und selbst zu veranlassen, dass die im Telemediendienst veröffentlichten personenbezogenen Daten gelöscht, gesperrt oder anonymisiert werden.

Der Gesetzentwurf wurde bereits der Bundesregierung zugeleitet, die zur Darlegung ihrer Auffassung bis Ende Juli aufgefordert wurde.

Kategorien: Online-Datenschutz
Schlagwörter:

US-Behörden erhalten Zugriff auf Cloud-Daten, die in Europa gespeichert sind

2. Juli 2011

Gordon Frazer, Managing Director bei Microsoft UK, räumte zum Start des Online-Office-Dienstes Office 365 ein, dass US-Behörden auch dann Zugriff auf Daten gewährt werden müsste, wenn diese physikalisch auf europäischen Servern gespeichert sind.

Auf Grundlage des USA Patriot Acts ist ein solcher Zugriff dann nicht auszuschließen, wenn eine Firma ihren Hauptsitz in den USA hat oder alle Anteile von einer US-Mutterfirma gehalten werden. Neben Microsoft sind auch sonstige Internetgrößen wie Amazon, Apple und Google betroffen. Dies wird auch durch die Aussage Frazers, dass weder Microsoft noch andere Firmen die Garantie geben könnten (, dass den US-Behörden kein Zugriff auf die Daten gewährt wird), deutlich.

Nach Möglichkeit würden die Kunden aber von einem solchen Zugriff unterrichtet. Die Einschränkung „nach Möglichkeit“ ist notwendig, da bestimmte US-Behörden wie das FBI einen National Security Letter erlassen können, welcher es den betroffenen Stellen verbietet, Informationen über die Anfrage weiterzugeben (sogenannte Gag order).

Insgesamt wurde damit zum ersten Mal eine solche Zugriffsmöglichkeit explizit bestätigt. Unternehmen, die den rechtlichen Anforderungen des Datenschutzes beim Cloud-Computing Genüge tun wollen, kann somit vorerst nur geraten werden, ihre Daten einem europäischen Anbieter anzuvertrauen. (se)

1 58 59 60 61 62