29. Dezember 2014
Beim jüngst abgehaltenen Jahrestreffen des Chaos Computer Clubs (CCC) in Hamburg wurden Methoden vorgestellt, sich fremder biometrischer Merkmale zu bemächtigen. Sehr anschaulich wurde durch Jan Krissler alias starbug demonstriert, wie einfach sich mittlerweile Fingerabdrucksysteme austricksen lassen.
Ein direkter Kontakt mit physikalischen Objekten zum Abnehmen von Fingerabdrücken ist danach gar nicht mehr erforderlich. Man benötige schlicht die Aufnahme eines Fotos mit einer handelsüblichen Digitalkamera. Belegt wurde dies mit einem sich deutlich abzeichnenden Fingerabdruck von Bundesverteidigungsminister Ursula von der Leyen. Als Basis sei ein Pressefoto verwendet worden, dass mit einem Standardobjektiv mit zweihundert Millimetern Brennweite gefertigt wurde. Das Foto habe Krissler noch mit der Software VeriFinger bearbeitet, aber man hätte auch ein weiteres gängiges Bildbearbeitungsprogramm verwenden können. Den so hergestellten Fingerabdruck könnte man auf eine Atrappe drucken und damit handelsüblichen Fingerabdruckscannern vorgaukeln, er stamme von der die Ministerin – sei es am iPhone oder an einer automatisierten Grenzkontrolle. Oder er könnte ihren Abdruck an einem Tatort hinterlassen und sie so zu einer Verdächtigen machen.
“Mit der Sicherheit von Fingerabdrucksystemen ist es damit endgültig vorbei”, so Krissler. “Man kann nahezu unbemerkt an Fingerabdrücke jeder Person kommen, um daraus Attrappen zu bauen.” Für eine solche Attrappe braucht es lediglich Folie, einen Drucker und Holzleim. Schon lässt sich ein falscher Fingerabdruck herstellen, den man auf den eigenen Finger kleben kann. Diese Attrappen genügen, um gebräuchliche Fingerscanner zu überlisten. “Nach diesem Vortrag werden wohl Politiker nur noch in Handschuhen zu öffentlichen Auftritten gehen”, so Krissler weiter. Er kündigte an, den Abdruck von der Leyens auch bald offiziell zu veröffentlichen, er wolle ihn nur noch “etwas schön machen”.
23. Dezember 2014
Die niederländische Datenschutzbehörde College Bescherming Persoonsgegevens (CBP) kritisiert Googles Praxis, Daten von Nutzern ohne deren Einwilligung für Werbezwecke zu nutzen, als mit europäischem Datenschutzrecht nicht vereinbar.
Wie die CBP auf ihrer Webseite berichtet sammelt das Unternehmen Nutzerdaten unabhängig davon, ob der Betroffene über eine Google-Account eingeloggt ist oder nicht. Seit der Änderung von Googles Datenschutzerklärung 2012, können beispielsweise Daten über Suchanfragen, Standortdaten und angesehene Videos zu einem Profil zusammengefügt werden, auf dessen Grundlage personenbezogene Werbung gezeigt wird.
Die niederländische Datenschutzbehörde fordert jetzt von Google bis Ende Februar 2015 die Einwilligung seiner Nutzer dazu einzuholen, dass die Daten aus verschiedenen Diensten wie der Websuche, mobilen Diensten, GMail und YouTube für Werbezwecke miteinander kombiniert werden dürfen. Die Nutzer sollen auch deutlich darüber aufgeklärt werden, welche Daten von diesen Diensten genutzt werden. Ansonsten droht Google eine Geldbuße von bis zu 15 Millionen Euro.
Wie heise.de berichtet, ist auch der in Deutschland zuständige Datenschutzbeauftragte Hamburgs mit Google wegen der aussagekräftigen Profilbildung im Gespräch. Google sei aber bislang nicht bereit, substanzielle Verbesserungen zugunsten der Nutzerkontrolle umzusetzen.
22. Dezember 2014
In vielen Unternehmen gibt es eine zentrale Poststelle, die eingehende Briefe öffnet, mit einem Eingangsstempel versieht und an die betreffende Abteilung oder den namentlich genannten Mitarbeiter weiterleitet. Wenn Unternehmen jedoch keine expliziten Regelungen zur Öffnung von Briefpost aufgestellt haben, kann es “schnell vorkommen”, dass das grundrechtlich geschützte Briefgeheimnis verletzt oder bei einer unbefugten Öffnung von Briefpost sogar der Straftatbestand des § 202 Strafgesetzbuch erfüllt wird.
Solche Rechtsbrüche können vermieden werden, indem den Mitarbeitern der Poststelle, die letztlich vor dem Öffnen von Post erkennen müssen, ob das Briefgeheimnis verletzt werden könnte, die im Folgenden genannten Verhaltensempfehlungen zur Öffnung von eingehender Briefpost an die Hand gegeben werden:
- Briefpost, die an das Unternehmen adressiert ist, ohne einen bestimmten Adressaten namentlich in dem Adressfeld zu benennen, darf zentral geöffnet werden.
- Briefpost, die an das Unternehmen adressiert ist und an zweiter Stelle im Adressfeld den Namen eines Mitarbeiters aufweist (z.B. auch mit dem Zusatz „zu Händen“), darf zentral geöffnet werden. Es sollte – sofern es sich nicht erkennbar um Werbeschriften handelt – sichergestellt werden, dass der adressierte Mitarbeiter oder – bei dessen Abwesenheit – sein Stellvertreter die Briefpost über den regulären internen Postlauf erhalten.
- Briefpost, die in dem Adressfeld den Namen eines Mitarbeiters an erster Stelle aufweist oder einen Vertraulichkeitsvermerk beinhaltet (z.B. “persönlich”, “privat “), darf nur von dem adressierten Mitarbeiter geöffnet werden. Eine zentrale Öffnung muss zwingend unterbleiben.
Grundsätzlich ist ratsam, dass Unternehmen die Einhaltung des Briefgeheimnisses überwachen. Eventuellen Beschwerden von Mitarbeitern oder Dritten über fehlerhaft geöffnete Korrespondenz sollte nachgegangen werden. Auch sollten die Datenschutzbeauftragten entsprechende Sensibilisierungsarbeit leisten!
Die US-Büroartikel-Kette Staples ist Medienberichten zufolge Opfer eines Hacking-Angriffs geworden. Die Point-of-Sale-Systeme in 115 der insgesamt 1400 Filialen in den USA sollen zwischen Juli und September dieses Jahres mit einer Schadsoftware versehen gewesen sein. Auf diese Weise sei es möglich gewesen, dass die Daten von etwa 1,16 Millionen Kreditkarten erbeutet wurden, so das Unternehmen am vergangenen Freitag. Wer hinter dem Angriff steckt, sei bislang nicht bekannt. Das Unternehmen empfiehlt seinen Kunden, die im entsprechenden Zeitraum in einem der Geschäfte eingekauft haben, die Kontoauszüge sorgfältig zu überprüfen und ihre Kreditkartenanbieter zu informieren.
Nach einer repräsentativen Umfrage, die im Auftrag des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM) im Rahmen des Wissenschaftsjahres „Die digitale Gesellschaft“ durchgeführt wurde, können sich viele ältere Menschen ein Leben ohne Internet nicht mehr vorstellen. Insgesamt habe jeder zweite Internetnutzer ab 65 Jahren erklärt, dass das Internet für ihn persönlich unverzichtbar ist. Die Umfrage habe überdies ergeben, dass fast vier von zehn Senioren (38 Prozent) online sind – im Vorjahr seien es lediglich 32 Prozent der Senioren gewesen.
„Das Internet kann das Leben für Seniorinnen und Senioren außerordentlich erleichtern“, so die Bundesministerin für Bildung und Forschung Prof. Dr. Johanna Wanka bei der Vorstellung der Umfrageergebnisse. Gut jeder Zweite (52 Prozent) misst laut Umfrage dem Internet eine Steigerung seiner Lebensqualität zu. „Wer sich einmal mit dem Internet befasst, profitiert schon nach kurzer Zeit von den enormen Möglichkeiten und Verbesserungen für den Alltag“, so auch der BITKOM-Präsident Prof. Dieter Kempf.
18. Dezember 2014
Die Studie Kanzleimonitor.de 2014•2015, bei der Rechtsabteilungen aus knapp 600 Unternehmen befragt wurden, listet Kinast & Partner Rechtsanwälte als “Hidden Champion” im Datenschutzrecht.
Mit dieser Nennung würdigt Kanzleimonitor.de die starke Entwicklung des hoch spezialisierten überörtlichen Datenschutzteams.
“Die Studie zeigt, dass hoch spezialisierte mittelständische Kanzleien gerade in weniger traditionellen Rechtsgebieten eine echte Alternative gegenüber den etablierten Großkanzleien darstellen. Für uns bestätigt sich somit der Eindruck, dass der im Datenschutzecht erforderliche besondere Praxisbezug von einer ausschließlich auf den Datenschutz spezialisierten Kanzlei in besonderem Maße geleistet werden kann.” meint Gründungspartner Dr. Karsten Kinast zu dem Ergebnis der Studie. “Wir sehen uns darin bestätigt, dass unser Dreiklang “Konzentration auf das Rechtsgebiet Datenschutz – Praxisbezug – schnelle Kommunikation auf Augenhöhe” der richtige Weg für eine Beratung in diesem an Bedeutung rasant wachsenden Rechtsgebiet ist.”
Die von dem Bundesverband der Unternehmensjuristen e.V. (BUJ) durchgeführte unabhängige Marktstudie beruft sich allein auf Empfehlungen deutscher Inhouse-Juristen.
“Besonders freuen wir uns darüber, dass es sich hier um eine Bewertung aus dem Mandantenkreise handelt und zudem eine Einstufung durch die eigene Berufsgruppe der Juristen erfolgt. Die Bewertungsmaßstäbe fallen zudem besonders durch Transparenz und Augenmaß auf.” erklärt Helge Kauert, Partner der Kanzlei am Standort München.
Wie Medien berichten, hat die Bundesregierung in dieser Woche einen überarbeiteten Entwurf für das geplante IT-Sicherheitsgesetz beschlossen.
40 Prozent der weltweiten Wertschöpfung basiere bereits auf der Informations- und Kommunikationstechnologie, heißt es beim bmi (Bundesministerium des Innern). Die Bundesregierung verfolge daher mit ihren Maßnahmen das Ziel, Deutschland als einen der sichersten digitalen Standorte weltweit zu etablieren.
Das neue Gesetz verpflichtet künftig Betreiber von kritischen Infrastrukturen einen Mindeststandard an IT-Sicherheit einzuhalten. Zu den Betreibern kritischer Infrastrukturen zählen zum Beispiel Energieversorger, Unternehmen im Gesundheits-, Finanz- und Versicherungswesen sowie aus der Transport- und Verkehrsbranche – also Einrichtungen, die für das Gemeinwesen von großer Bedeutung sind. Auch sieht das Gesetz eine Meldepflicht für IT-Sicherheitsfälle vor. Gemeint sind damit vor allem Cyberangriffe. Betroffen sind Betreiber, die mehr als zehn Personen beschäftigen und einen Jahresumsatz von über zwei Millionen Euro aufweisen. Für die so genannten Kleinunternehmer werden die Regelungen nicht gelten.
Darüber hinaus verschärft das IT-Sicherheitsgesetz Regelungen für Dienstanbieter im Bereich Telekommunikation und Telemedien. Diese sollen künftig ihre IT-Sicherheit nach dem aktuellsten technischen Stand aus- und einrichten und ihre Kunden darüber informieren, wenn dem Betreiber Auffälligkeiten am Anschluss des Kunden bekannt werden, die ebenfalls auf Angriffe oder Sicherheitslücken hindeuten.
Wie golem berichtet, sind in dem Gesetzesentwurf auch höhere Budget- und Personalressourcen vorgesehen. Bis zu 38 Millionen Euro jährlich für Personal und Sachmittel und bis zu 425 zusätzliche Stellen sollen bei Sicherheitsbehörden wie dem Bundesnachrichtendienst, dem Bundeskriminalamt und dem Verfassungsschutz entstehen.
17. Dezember 2014
Das Bundeskabinett hat am heutigen Mittwoch den Entwurf eines “Gesetzes zur Stärkung der Versorgung in der gesetzlichen Krankenversicherung” (GKV-Versorgungsstärkungsgesetz) beschlossen. Darin wird u. a. den gesetzlichen Krankenkassen die Aufgabe übertragen, ihren Versicherten, die für einen Krankengeldbezug in Betracht kommenn, „individuelle Beratung und Hilfeleistung, welche Leistungen und unterstützende Angebote zur Wiederherstellung der Arbeitsfähigkeit erforderlich sind“ zu bieten. Damit verbunden ist eine umfassende Befugnis zur Erhebung, Verarbeitung und Nutzung der Gesundheitsdaten der Versicherten.
Nach der bisher geltenden Rechtslage ist die Erhebung sensibler Gesundheitsdaten grundsätzlich dem Medizinischen Dienstes der Krankenversicherung (MDK) vorbehalten, insbesondere wenn er im Auftrag der Krankenkassen leistungsrechtliche Zweifelsfälle – etwa im Hinblick auf die rechtmäßige Gewährung von Krankengeld – begutachtet.
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Andrea Voßhoff, äußerte sich zu dem Vorhaben äußerst kritisch. Sie appelierte am Vortag noch an die Bundesregierung, diesen Entwurf nicht zu beschließen. Diese strikte Trennung der Datenerhebungsbefugnisse von Krankenkasse und MDK darf nicht leichtfertig aus fiskalischen Gründen aufgegeben werden. Die Trennung dient dem Schutz der Versicherten, indem die Bildung eines Pools sensibler Gesundheitsdaten bei den Krankenkassen verhindert wird. Die geplante Regelung stellt einen Fremdkörper in der bisherigen datenschutzrechtlichen Systematik im Krankenversicherungsrecht dar. Sie ist ein Einfallstor für weiter ausufernde Datensammlungen der Krankenkassen, das unbedingt verschlossen bleiben muss.
Ebenso sprach sich auch die Konferenz der Datenschutzbeauftragten des Bundes und der Länder gegen die Einführung dieser gesetzlichen Regelungen zum “Krankengeldfallmanagement” aus.
16. Dezember 2014
Am Donnerstag entschied der Europäische Gerichtshof (EuGH) in Luxemburg, dass auch Privatleute den europäischen Datenschutz beachten müssen, wenn sie aus Furcht vor Kriminellen ihr Haus Video überwachen wollen. Die europäischen Richter hatten sich mit einem Fall aus Tschechien zu befassen. Nach mehreren Angriffen auf sein Haus hatte dort ein Mann auf sein Haus eine Kamera montiert, die seinen Eingang, die Straße davor und den Eingang des gegenüberliegenden Hauses filmte. Tatsächlich erfasste der Mann bei der nächsten Attacke zwei Verdächtige, die laut Video eine Fensterscheibe zerschossen. Beim tschechischen Amt für den Schutz personenbezogener Daten beanstandete jedoch einer der Verdächtigen die Rechtmäßigkeit der Verarbeitung von der Überwachungskamera aufgezeichneten Daten. Das tschechische Amt gab ihm recht und verhängte eine Geldbuße gegen den Betreiber der Kamera. Zur Begründung führte das Amt aus, dass die Daten des Verdächtigen ohne seine Einwilligung aufgezeichnet worden seien, obwohl er sich im öffentlichen Straßenraum aufgehalten habe.
Das anschließend mit diesem Rechtsstreit ursprünglich befasste Oberste Verwaltungsgericht der Tschechischen Republik legte dem EuGH die Frage im Rahmen eines Vorabentscheidungsverfahrens vor, ob die Aufzeichnung die der Betreiber der Kamera gemacht habe, um sein Leben, seine Gesundheit und sein Eigentum zu schützen, eine Datenverarbeitung darstellt, die nicht von der Richtlinie erfasst wird, weil die Aufzeichnung von einer natürlichen Person zur Ausübung ausschließlicher, persönlicher oder familiärer Tätigkeit vorgenommen wurde. In seiner Entscheidung stellte der EuGH in einem ersten Schritt fest, dass sich der Begriff der personenbezogenen Daten im Sinne dieser Richtlinie auf alle Informationen über eine bestimmte oder bestimmbare Person beziehe. Als bestimmbar werde eine Person angesehen, die durch Zuordnung zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen Identität sind, direkt oder indirekt identifiziert werden kann. Das von einer Kamera aufgezeichnete Bild falle somit unter den Begriff der personenbezogenen Daten, da es die Identifikation der betroffenen Person ermögliche. Damit falle ebenso die Videoüberwachung, bei der personenbezogene Daten aufgezeichnet und gespeichert werden, in den Anwendungsbereich der Richtlinie, da sie eine automatisierte Verarbeitung personenbezogener Daten darstelle.
In einem zweiten Schritt legte der EuGH dar, dass die Ausnahme, die in der Richtlinie für die Datenverarbeitung vorgesehen ist, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen wird, eng auszulegen sei. Daher könne eine Videoüberwachung, die sich auf den öffentlichen Raum erstreckt und damit auf den Bereich außerhalb der privaten Sphäre desjenigen gerichtet ist, der die Daten verarbeitet, nicht als eine “ausschließliche persönliche oder familiäre Tätigkeit angesehen werden. Allerdings gibt es auch Ausnahmen zu dieser Regelung. Die Datenverarbeitung dürfe jedenfalls dann ohne Einwilligung des Betroffenen erfolgen, wenn sie zur Verwirklichung des berechtigten Interesses des für die Verarbeitung Verantwortlichen erforderlich ist. Dies gelte auch dann, wenn dies unmöglich sei oder unverhältnismäßigen Aufwand erfordere.
15. Dezember 2014
Die Informationsfreiheitsbeauftragten Deutschlands haben auf ihrer 29. Konferenz am 9. Dezember 2014 (IFK) u.a eine Entschließung zu Open Data in der öffentlichen Verwaltung verabschiedet.
Die Bundesregierung habe mit der Digitalen Agenda 2014 – 2017, der Digitalen Verwaltung 2020 und dem nationalen Aktionsplan zur Umsetzung der G8 Open-Data-Charta wesentliche Regierungsprogramme zur Etablierung von E- und Open-Government sowie zur Digitalisierung der Verwaltung auf den Weg gebracht. Die Regierungsprogramme würden aus informationsfreiheitsrechtlicher Sicht u.a. die Einführung einer gesetzlichen Open-Data-Regelung, die Schaffung von Open-Data-Ansprechpartnern in den Behörden, die Einführung der elektronischen Verwaltungsakte und eine verstärkte Zusammenarbeit mit den Ländern vorsehen.
Die IFK betont in diesem Zusammenhang das Erfordernis weitgehender gesetzlicher Veröffentlichungspflichten und die Übertragung der Aufgabe des Open-Data-Ansprechpartners auf behördliche Informationsfreiheitsbeauftragte. Insbesondere bei Planung und Einführung der eAkte seien Aspekte der Informationsfreiheit und des Datenschutzes frühestmöglich im Anforderungskatalog abzubilden. Schon bei Anlage einer Akte sollten personenbezogene Daten, Betriebs- und Geschäftsgeheimnisse und sonstige Beschränkungen vor einer weiteren Verwendung markiert werden, so dass sie automatisiert ersetzt oder hervorgehoben werden können. Dies erleichtere eine nachfolgende Weitergabe und Weiterverwendung erheblich und unterstütze die aktenführenden Stellen bei der effizienten Bearbeitung von Anträgen nach dem Informationsfreiheitsgesetz. Es gelte jetzt, die Regierungsprogramme zügig in die Tat umzusetzen, damit Open Data in Deutschland zum Standard werden kann. Die IFK fordert die Länder und den Bund daher auf, soweit noch nicht geschehen, mit dieser Zielsetzung E- und Open-Government-Strategien gemeinsam zu entwickeln.
Pages: 1 2 ... 175 176 177 178 179 ... 275 276 
